董添犀

摘 要：依據(jù)目前流行的信息安全風(fēng)險準(zhǔn)則，提出了一種基于模糊評價方法的信息安全風(fēng)險評估模型。該模型結(jié)合了定性分析和定量計算，能夠簡單，快速，客觀地對信息系統(tǒng)的風(fēng)險進行等級評估。最后，將以A公司的EOMS流程管理平臺系統(tǒng)為評估對象，驗證了該評價方法對信息系統(tǒng)的安全風(fēng)險具有較好的評估效果。

關(guān)鍵詞：信息安全風(fēng)險評估；模糊評價；EOMS流程

1 信息安全風(fēng)險評估模型

在風(fēng)險評估的風(fēng)險分析階段主要采用定性的分析方法。由于該階段所需數(shù)據(jù)往往很難精確統(tǒng)計或統(tǒng)計成本過高，通常采取結(jié)合人員經(jīng)驗的方法進行實施。

R=f (A，T，V，P)

式中：A：資產(chǎn)價值T：威脅事件發(fā)生的影響V：薄弱點的嚴(yán)重程度P：威脅利用系統(tǒng)薄弱點的可能性。

從風(fēng)險分析模式公式中可以看出，風(fēng)險值是一個多因素函數(shù)，由資產(chǎn)價值，威脅事件發(fā)生的影響，薄弱點的嚴(yán)重程度以及威脅利用系統(tǒng)薄弱點的可能性四個因素決定，并且這四個因素都不能用很確切的數(shù)值表示。作者由此聯(lián)想到利用模糊平價法進行風(fēng)險值的計算。因為，模糊評價法是對受多個因素影響的事物做出客觀，全面的評價。

1.1 資產(chǎn)價值

此時的資產(chǎn)價值不僅僅為自身的價值，而是它在信息系統(tǒng)中的價值，與資產(chǎn)的機密性、完整性和可用性有關(guān)。具體計算過程如下：對于現(xiàn)有信息資產(chǎn)A，評判小組人員分別對每個資產(chǎn)對信息機密性，完整性和可用性的影響打分，得到考核集的隸屬度：

2 風(fēng)險評估模型的應(yīng)用

2.1 資產(chǎn)價值

3 結(jié)論

本文是在信息安全風(fēng)險評估理論基礎(chǔ)上，提出了基于模糊評價法的評估模型，并將該模型付諸實踐，取的了良好評估效果。不同于矩陣式的定性分析方法，基于模糊評價法的評估模型更加客觀，科學(xué)，容易操作。另外，整個評估過程都是使用模糊評價法，保證了評估的一致性，完整性。雖然，本文是針對的EOMS流程管理平臺系統(tǒng)進行信息安全風(fēng)險評估的，但是不代表該評估模型只是適用于這種流程系統(tǒng)，由于該評估模型無論從評估流程到風(fēng)險計算方法都是建立的通用的理論基礎(chǔ)上，因此，該評估模型同樣適用于其他的信息系統(tǒng)。

參考文獻

[1] Hutt，Arthur E，Bosworth，“Computer Security Handbook [M]”.New York：John Wiley & Sons，Inc，1995.

“本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文”