● 摘要
计算机领域的安全问题是多方面的,任何组织机构所面临的威胁不仅来自外部而且也来自内部,调查表明内部威胁所带来的损失很多时候远远大于外部威胁。为有效预防和减少内部威胁所带来的损失,需对企业组织的内部进行风险评估,对风险评估结果中风险值高的信息进行重点防护,减少内部网络中威胁事件的发生,达到预防作用。本论文来源于国防基础科研项目,主要针对内部安全领域中的风险评估问题进行研究。重点研究风险评估模型的建立,以2007年颁布的国家标准《信息安全风险评估规范》为背景给出了一套具有可操作性的信息安全风险评估计算模型,并设计实现了一个风险评估原型系统。利用该原型系统,可以分析内部安全所存在的隐患,得出风险综合值和风险等级,为进一步防范提供辅助支持。本文首先对风险评估相关理论进行研究,针对国家标准中风险计算模型比较宏观、可实施性有待细化等特点,给出风险综合值计算模型。然后在此基础上利用模糊综合评判法和层次分析法计算风险综合值。论文将风险评估要素威胁行为发生可能性、资产的脆弱程度、资产现有的安全措施三要素有机融合在一起,采用模糊综合评判方法,通过构建评估指标体系,确定评价隶属度矩阵等方式,建立了风险事件发生可能性计算模型。同时,根据被评估机构的类型与职能选择适当的影响评估项,通过建立风险影响评估标准等手段,建立了一种基于AHP层次分析法的风险影响定量分析方法,计算出风险产生的影响值。根据所建立的风险评估计算模型设计实现了一个风险评估原型系统,可以计算出风险事件发生可能性、风险事件产生的影响、风险综合值和风险等级,并对评估结果给出分析结果图。本文最后依据风险评估流程,对一个具体实例进行评估,并分析该原型系统得出的评估结果,从而使得对所研究内容有一个更直观的理解。并通过与微软自评估工具的结果对比,验证了本文提出的风险计算模型的可行性和实用性。