前言:想要写出一篇引人入胜的文章?我们特意为您整理了局域网信息安全论文范文,希望能给你带来灵感和参考,敬请阅读。
1模糊评价数学模型
对信息系统进行模糊评价的步骤是先建立评价因素集t/评价集、再用从U到F(F)的模糊映射7导出模糊矩阵再给出各因素的权重,并选择相应的函数进行综合,最后进行评判。数学模型为:召=4RS=B广,其中B为评价矩阵,4为权重集合,为从f/到F的一个模糊关系,S为系统得分,严为系统风险得分M。
下面以以某单位局域网信息系统为评估对象,运用模糊评价理论和AHP方法对其进行风险评估。
2.1风险评估准备
主要是确定风fe评估的目标和范围。目标是识别单位局域网信息系统及管理上的不足,以及可能造成的风险大小;范围是单位局域网信息系统及系统内存储的内部信息。
2.2资产识别
2.2.1资产分类机密性、完整性和可用性是评价资产的三个安全属性。这里的局域网信息系统的资产表现形式主要是单位内部文件、科研成果、人员档案等数据资料,系统安装的应用软件、源程序等软件和网络设备、计算机设备、存储设备等硬件。
2.2.2资产赋值这里仅给出机密性的赋值。不同等级对应资产在机密性上达成的程度或者机密性缺失时对整个单位的影响。
2.2.3资产重要度区分资产价值可依据资产在机密上、完整性和可用性上的赋值等级得出。这里以资产机密性的赋值结果作为资产的最终赋值结果。为与上述机密生赋值相对应,将资产划分为五级,级别越高表示资产越重要。
2.3威胁识别
这里采用德尔菲集体讨论法进行威胁识别,确定评估对象面临的主要威胁,生成威胁集r:kK=I2…,M,其中为第;种威胁,〃为评估对象面临的威胁种类数。单位内部网络信息系统有别于一般网络信息系统的是,其在运行时一般要求与外网相隔离,因此,其面临的安全威胁,特别是网络攻击和泄密主要来自内部人员。
2.4脆弱性识别
脆弱性识别是风险评估中最重要的一个环节。这里采用问卷调查的方法,从技术和管理两个方面进行识别。
2.5建立风险评估指标体系
建立潜在风睑指标体系时要尽量包括其所面临的各方面的风验,根据以上分析的单位局域网信息系统所面临的威胁,并结合系统的脆弱性识别结果,建立了该系统所面临的潜在风险的指标体系。
2.6建立关于风险严重程度的评价集
根据风S可能造成的影响的程度,建立评价集V=jVi,v2,v3v4mi,ninivi=丨灾难性的,严重的,轻微的,可忽略的!
2.7评价结果及建议
由系统风险得分对照表8风险级别对应的风险值,可以看出该评估对象的风险等级为“严重的”,说明该单位局域网存在较大风险。结合最大隶属度原则和评价权重可以看出该系统的信息安全风险隐患主要来自于制度落实不到位和有意泄密2个方面。一方面说明该系统安全管理制度制定较健全,但在管理制度的落实上存在问题,执行过程中未严格落实,因而存在发生安全风险的可能。另外,系统设计时防范措施不严密,存在内部人员利用系统安全漏洞进行攻击的风险。所以,该单位信息系统需加强信息安全管理制度的落实监督,及时检测系统漏洞,并制定方案修补漏洞,从而提高其安全性。
3结语
文中以信息安全问题为研究对象,用模糊评价模型对某单位的局域网信息系统进行风险评估,通过风险识别和威胁识别,将其面临的风险威胁进行分类,建立评估指标,对系统进行风险评估,确定了系统的风险得分,并指出了风险隐患和建议,可为该单位局域网信息系统的安全建设提供参考。可以看出,该方法可以计算各种威胁的相对风险程度和整个局域网信息系统的安全风险等级,为控制风险、减少风险和转移风险提供帮助,实例应用也证明了该方法的科学性和有效性,适用于信息安全风险评估。
作者:车进喜口 张锦春 高博 单位:中国洛阳电子装备试验中心 光电对抗测试评估技术重点实验室