畢業(yè)論文寫作指導(dǎo)
畢業(yè)論文,泛指專科畢業(yè)論文、本科畢業(yè)論文(學(xué)士學(xué)位畢業(yè)論文)、碩士研究生畢業(yè)論文(碩士學(xué)位論文)、博士研究生畢業(yè)論文(博士學(xué)位論文)等,即需要在學(xué)業(yè)完成前寫作并提交的論文,是教學(xué)或科研活動(dòng)的重要組成部分之一。
摘要:信息安全風(fēng)險(xiǎn)評估是從風(fēng)險(xiǎn)管理的角度,運(yùn)用科學(xué)的手段,系統(tǒng)的分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,為防范和化解信息安全風(fēng)險(xiǎn),或者將風(fēng)險(xiǎn)控制在可以接受的水平,制定有針對性的抵御威脅的防護(hù)對策和整改措施以最大限度的保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。
關(guān)鍵詞:安全風(fēng)險(xiǎn)、風(fēng)險(xiǎn)評估
1 引言
信息安全的至關(guān)重要性越來越受到更多人的關(guān)注,它牽涉的不只是技術(shù)問題,更多的是管理問題。信息安全所涉及的工作是識(shí)別、度量和減輕運(yùn)作信息資產(chǎn)所面臨的風(fēng)險(xiǎn),或最低限度要記錄這些風(fēng)險(xiǎn)。所以風(fēng)險(xiǎn)評估是信息安全管理中最核心的一環(huán)。
風(fēng)險(xiǎn)評估是在整個(gè)信息安全戰(zhàn)略中有著“知己知彼”的作用,了解機(jī)構(gòu)運(yùn)作的薄弱環(huán)節(jié)所在;了解機(jī)構(gòu)的信息是如何處理、存儲(chǔ)和傳送以及機(jī)構(gòu)有何種資源可用;發(fā)現(xiàn)與評估機(jī)構(gòu)運(yùn)作的風(fēng)險(xiǎn);同時(shí)確定怎樣控制和減少那些風(fēng)險(xiǎn)。選擇一種合適的風(fēng)險(xiǎn)評估方法是進(jìn)行風(fēng)險(xiǎn)評估的關(guān)鍵,直接影響評估結(jié)果的優(yōu)劣。
2 常用風(fēng)險(xiǎn)評估方法
2.1 定量分析方法
定量分析方法是根據(jù)一定的數(shù)據(jù),建立數(shù)學(xué)模型,再去計(jì)算分析各項(xiàng)指標(biāo)的一種方法。這種方法把整個(gè)風(fēng)險(xiǎn)評估的過程和結(jié)果量化,然后通過這些被量化的數(shù)值對信息系統(tǒng)進(jìn)行評估判定。常見的定量分析方法有時(shí)序序列分析法、因子分析法、聚類分析法、決策樹法等。定量分析方法由于在實(shí)際操作過程中要收集大量的數(shù)據(jù),所需工作量太大而且有時(shí)數(shù)據(jù)保密而無法獲得或成本過高,純定量分析方法已經(jīng)很少使用。
2.2 定性分析方法
定性分析方法不需要嚴(yán)格的數(shù)據(jù)來量化各個(gè)屬性,它采用人為的判斷、只關(guān)注威脅事件所帶來的損失,而忽略事件發(fā)生的概率。利用一些非量化的指標(biāo)對信息系統(tǒng)進(jìn)行判斷,最后,根據(jù)風(fēng)險(xiǎn)評估計(jì)算公式得出風(fēng)險(xiǎn)值。常用的定性分析方法有:德爾菲法、OCTAVE方法等。
定性分析方法由于是非量化的,主觀性強(qiáng),對評估者要求相對較高,可以挖掘出一些蘊(yùn)藏很深的思想,使評估的結(jié)論更全面、更深刻,使用比較廣范。
2.3 定量定性結(jié)合分析方法
定量定性結(jié)合的分析方法是把前兩種方法結(jié)合起來,取長補(bǔ)短,發(fā)揮各自的優(yōu)勢,比如在現(xiàn)場調(diào)查階段,針對系統(tǒng)關(guān)鍵資產(chǎn)進(jìn)行定量的調(diào)查、分析,提供量化的參考依據(jù),在風(fēng)險(xiǎn)分析階段,可以采用定性的分析形成概念、觀點(diǎn)、作出判斷,得出結(jié)論。常用的方法有層次分析法(AHP)、故障樹分析方法、模糊綜合評價(jià)法等。定量定性結(jié)合的分析方法由于網(wǎng)絡(luò)環(huán)境的多元化,信息安全風(fēng)險(xiǎn)評估的不確定性因素隨之增加,采用這種評估方法,能更精確地對大型系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估,是實(shí)際應(yīng)用中最常使用的方法。
3 風(fēng)險(xiǎn)評估新方法的發(fā)展
近年來,國內(nèi)外學(xué)者對信息安全風(fēng)險(xiǎn)評估做了大量研究,人們也在探索更科學(xué)的理論、技術(shù)和方法。本文對風(fēng)險(xiǎn)評估的新方法進(jìn)行探討,希望有助于新方法的論證和推廣應(yīng)用。
國內(nèi)學(xué)者基于前面三類常用方法做出了一些研究,將更多的新技術(shù)應(yīng)用到信息安全風(fēng)險(xiǎn)評估中,提出了一些新的評估方法。如基于模糊層次法的評估方法、基于模糊-小波神經(jīng)網(wǎng)絡(luò)的評估方法、基于邏輯滲透圖模型的評估方法、基于離散動(dòng)態(tài)貝葉斯網(wǎng)絡(luò)的評估方法等。
3.1 基于模糊層次法的評估方法
通過對層次分析法和模糊評價(jià)法分別進(jìn)行改進(jìn),將兩者有機(jī)結(jié)合,分析和評估風(fēng)險(xiǎn)事件發(fā)生的概率和影響,以確定各風(fēng)險(xiǎn)因素的風(fēng)險(xiǎn)等級,并給出了信息系統(tǒng)的風(fēng)險(xiǎn)控制建議。該方法通過算例表明是一種有效且操作性強(qiáng)的方法。
3.2 基于模糊-小波神經(jīng)網(wǎng)絡(luò)的評估方法
此方法是將人工神經(jīng)網(wǎng)絡(luò)(ANN)理論應(yīng)用到風(fēng)險(xiǎn)評估。首先將人工神經(jīng)網(wǎng)絡(luò)應(yīng)用于信息系統(tǒng)風(fēng)險(xiǎn)因素評估,對神經(jīng)網(wǎng)絡(luò)的輸入進(jìn)行了預(yù)處理,將模糊系統(tǒng)的輸出作為神經(jīng)網(wǎng)絡(luò)的輸入。人工神經(jīng)網(wǎng)絡(luò)經(jīng)過訓(xùn)練,可以實(shí)時(shí)地估算風(fēng)險(xiǎn)因素的級別。然后提出了一種信息安全風(fēng)險(xiǎn)評估的小波神經(jīng)網(wǎng)絡(luò)模型,該模型以非線性小波基為神經(jīng)元函數(shù),通過優(yōu)化伸縮因子和平移因子確定對應(yīng)各神經(jīng)元的小波基函數(shù),從而合成小波神經(jīng)網(wǎng)絡(luò)。該模型經(jīng)過訓(xùn)練后可用于信息、安全風(fēng)險(xiǎn)因素的評估,精度更高。