前言:想要寫出一篇引人入勝的文章?我們特意為您整理了局域網信息安全論文范文,希望能給你帶來靈感和參考,敬請閱讀。
1模糊評價數學模型
對信息系統(tǒng)進行模糊評價的步驟是先建立評價因素集t/評價集、再用從U到F(F)的模糊映射7導出模糊矩陣再給出各因素的權重,并選擇相應的函數進行綜合,最后進行評判。數學模型為:召=4RS=B廣,其中B為評價矩陣,4為權重集合,為從f/到F的一個模糊關系,S為系統(tǒng)得分,嚴為系統(tǒng)風險得分M。
下面以以某單位局域網信息系統(tǒng)為評估對象,運用模糊評價理論和AHP方法對其進行風險評估。
2.1風險評估準備
主要是確定風fe評估的目標和范圍。目標是識別單位局域網信息系統(tǒng)及管理上的不足,以及可能造成的風險大小;范圍是單位局域網信息系統(tǒng)及系統(tǒng)內存儲的內部信息。
2.2資產識別
2.2.1資產分類機密性、完整性和可用性是評價資產的三個安全屬性。這里的局域網信息系統(tǒng)的資產表現形式主要是單位內部文件、科研成果、人員檔案等數據資料,系統(tǒng)安裝的應用軟件、源程序等軟件和網絡設備、計算機設備、存儲設備等硬件。
2.2.2資產賦值這里僅給出機密性的賦值。不同等級對應資產在機密性上達成的程度或者機密性缺失時對整個單位的影響。
2.2.3資產重要度區(qū)分資產價值可依據資產在機密上、完整性和可用性上的賦值等級得出。這里以資產機密性的賦值結果作為資產的最終賦值結果。為與上述機密生賦值相對應,將資產劃分為五級,級別越高表示資產越重要。
2.3威脅識別
這里采用德爾菲集體討論法進行威脅識別,確定評估對象面臨的主要威脅,生成威脅集r:kK=I2…,M,其中為第;種威脅,〃為評估對象面臨的威脅種類數。單位內部網絡信息系統(tǒng)有別于一般網絡信息系統(tǒng)的是,其在運行時一般要求與外網相隔離,因此,其面臨的安全威脅,特別是網絡攻擊和泄密主要來自內部人員。
2.4脆弱性識別
脆弱性識別是風險評估中最重要的一個環(huán)節(jié)。這里采用問卷調查的方法,從技術和管理兩個方面進行識別。
2.5建立風險評估指標體系
建立潛在風瞼指標體系時要盡量包括其所面臨的各方面的風驗,根據以上分析的單位局域網信息系統(tǒng)所面臨的威脅,并結合系統(tǒng)的脆弱性識別結果,建立了該系統(tǒng)所面臨的潛在風險的指標體系。
2.6建立關于風險嚴重程度的評價集
根據風S可能造成的影響的程度,建立評價集V=jVi,v2,v3v4mi,ninivi=丨災難性的,嚴重的,輕微的,可忽略的!
2.7評價結果及建議
由系統(tǒng)風險得分對照表8風險級別對應的風險值,可以看出該評估對象的風險等級為“嚴重的”,說明該單位局域網存在較大風險。結合最大隸屬度原則和評價權重可以看出該系統(tǒng)的信息安全風險隱患主要來自于制度落實不到位和有意泄密2個方面。一方面說明該系統(tǒng)安全管理制度制定較健全,但在管理制度的落實上存在問題,執(zhí)行過程中未嚴格落實,因而存在發(fā)生安全風險的可能。另外,系統(tǒng)設計時防范措施不嚴密,存在內部人員利用系統(tǒng)安全漏洞進行攻擊的風險。所以,該單位信息系統(tǒng)需加強信息安全管理制度的落實監(jiān)督,及時檢測系統(tǒng)漏洞,并制定方案修補漏洞,從而提高其安全性。
3結語
文中以信息安全問題為研究對象,用模糊評價模型對某單位的局域網信息系統(tǒng)進行風險評估,通過風險識別和威脅識別,將其面臨的風險威脅進行分類,建立評估指標,對系統(tǒng)進行風險評估,確定了系統(tǒng)的風險得分,并指出了風險隱患和建議,可為該單位局域網信息系統(tǒng)的安全建設提供參考。可以看出,該方法可以計算各種威脅的相對風險程度和整個局域網信息系統(tǒng)的安全風險等級,為控制風險、減少風險和轉移風險提供幫助,實例應用也證明了該方法的科學性和有效性,適用于信息安全風險評估。
作者:車進喜口 張錦春 高博 單位:中國洛陽電子裝備試驗中心 光電對抗測試評估技術重點實驗室