信息安全風險評估方法研究與應用.pdf

1、隨著計算機技術(shù)及網(wǎng)絡(luò)技術(shù)的蓬勃發(fā)展，如何保證信息安全成了一個日益重要和棘手的問題。因為隨著技術(shù)的發(fā)展，影響信息安全的因素也日益增多。為了預測和防范可能存在的安全風險，及時發(fā)現(xiàn)和定位安全威脅的來源，分析安全風險和安全問題的影響，評估安全風險和安全問題的嚴重程度，我們需要進行信息安全風險評估。 信息安全風險評估的方法有很多，當前使用較多的方法為層次分析法（Analytic Hierarchy Process，AHP）。它的基本思路是

2、：首先找出問題涉及的主要因素，建立信息安全風險的威脅識別層次模型和脆弱性識別層次模型；然后再通過比較各要素之間的兩兩關(guān)系，確定各要素的相對重要性，得到各要素的綜合權(quán)重。但是在評估過程中使用層次分析法也存在若干不確定因素，比如，各要素之間可能互無聯(lián)系，專家的個人喜好等主觀因素往往會左右評測結(jié)果。如何改進層次分析法，使其在上述情況下也能對信息安全進行科學的評估，成了一個亟待解決的問題。 本文著重研究如何利用灰色系統(tǒng)理論和D—S證據(jù)理

3、論對層次分析法進行改進的問題?；疑碚撗芯康氖秦殻╬oor）信息建模問題，或稱信息不足、不充分情況下的建模問題，它為外部信息明確而內(nèi)部規(guī)律不明確的系統(tǒng)提供了貧信息情況下的解決途徑和方法。信息系統(tǒng)的風險信息正符合貧信息建模，因此本文借鑒灰色理論在貧信息建模的過程，構(gòu)建信息風險評估模型。但是這樣還不能解決評估過程中的人為影響，因此引入D—S證據(jù)理論。它是一種不確定性推理方法，一種決策理論，與概率決策理論相比，不但能處理由于知識不準確所引起的

4、不確定性，而且能滿足比概率更弱的公理系統(tǒng)。本文將打分的數(shù)值，變?yōu)閷Ψ謹?shù)處于某個區(qū)間的概率估計，以此來規(guī)避因為專家個人因素給整個評估過程帶了的誤差。然后使用證據(jù)合成法則，將個專家意見進行融合，使最終結(jié)果能過完全反映所有專家的意見。當概率已知時，證據(jù)理論就變成了概率論，它更符合對專家不確定性信息的融合。 利用本文所闡述的方法可以彌補層次分析法存在的弊端，例如，信息不夠充分，不能準確的對目標進行定性或定量的評價，以及專家的數(shù)量和自身的