信息安全風(fēng)險(xiǎn)評(píng)估的漏洞分析及評(píng)估方法改進(jìn).pdf

1、在信息安全保障越來(lái)越受業(yè)內(nèi)人士關(guān)注的今天,風(fēng)險(xiǎn)評(píng)估作為信息安全管理的一個(gè)重要環(huán)節(jié),對(duì)保障企事業(yè)單位的基礎(chǔ)信息系統(tǒng)安全起著非常重要的作用。但是,目前我國(guó)的信息安全風(fēng)險(xiǎn)評(píng)估工作剛剛起步,具體的評(píng)估方法、指標(biāo)體系、支撐軟件等還很不完善,或者缺乏現(xiàn)實(shí)的可操作性。本文針對(duì)風(fēng)險(xiǎn)評(píng)估中非常重要的部分:技術(shù)脆弱性及其對(duì)應(yīng)的威脅的評(píng)估,提出了一種新的具有良好可操作性的評(píng)估方法。本文的研究工作以“重慶市級(jí)部門信息安全風(fēng)險(xiǎn)評(píng)估”項(xiàng)目(合同編號(hào):2006120

2、02)為基礎(chǔ),對(duì)風(fēng)險(xiǎn)評(píng)估和漏洞分析的關(guān)系作了深入的研究。信息安全風(fēng)險(xiǎn)評(píng)估中,有兩大關(guān)鍵因素:“脆弱性嚴(yán)重程度”和“威脅出現(xiàn)頻率”,但是目前的計(jì)算方法對(duì)此大多是定性的,簡(jiǎn)單的以“高”,“中”,“低”概括,難以進(jìn)行風(fēng)險(xiǎn)值的計(jì)算;或者給出的評(píng)估標(biāo)準(zhǔn)過(guò)于粗糙,對(duì)評(píng)估人員的經(jīng)驗(yàn)和水平依賴太大,不同的評(píng)估人員對(duì)同一對(duì)象的評(píng)估結(jié)果可能相去甚遠(yuǎn);或者需要的數(shù)據(jù)在實(shí)際工作中難以獲得,可操作性不強(qiáng)。本文在具體分析了漏洞與“脆弱性嚴(yán)重程度”和“威脅出現(xiàn)頻率”