关于模糊综合的信息安全风险评估(4)
2013-10-02 01:14
导读:4评估结果分析 对于最终得到的安全事件风险评估等级,可以采用最大隶属度原则,求得信息安全性受各种因素影响的严重度等级,最终可以得到软件安全
4评估结果分析 对于最终得到的安全事件风险评估等级,可以采用最大隶属度原则,求得信息安全性受各种因素影响的严重度等级,最终可以得到软件安全性等级评判的定量评估;还可以按照打分法,将定义的风险等级给予量化,得到一个等级量化矩阵,将得到的权重矩阵乘以等级量化矩阵即可以得到软件风险的分值,则可以得到软件安全风险性评判值,根据安全风险等级定义的分值,即可以判断出安全风险级别。模糊综合评估方法是根据影响信息安全性的威胁性、脆弱性和资产的众多因素来考虑进行信息安全评估,不是从安全性失效的数据角度出发,因此改变了以往将信息系统看成“黑盒”来评估的方法。其评估结果一方面可以对以前安全性评估的结果进行有效地和修正;另一方面该模型还可以用在信息系统开发前、中、后各个阶段进行评估。根据模糊综合评估,可以尽早地在信息开发阶段发现明显地影响系统安全性的因素,给予重点关注和纠正,能够达到明显提高软件安全性水平的目的,在一些难以收集到失效数据的情况下,通过信息安全性影响因素的收集来进行安全性评估显得更加有效。
5结束语 信息系统大而复杂,而且是有软件、硬件、人等多种不确定因素,因此系统安全风险不仅涉及因素多,而且很难测定度量。文中在介绍有关信息系统安全风险评估概念的基础上,提出了一种基于综合模糊的信息安全评估方法,该方法通过多级权重的评判得到安全事件发生可能性和安全事件发生的危害性,最终得到安全事件风险等级的数值。
目前的安全风险评价方法大多是基于数字的定量技术,实际中,评测人员经常使用“很高”、“高”、“很可能”等变量来描述其危险事件发生的可能性和危害性,并据此来推断安全事件风险的高低,使用模糊模型对信息安全事件风险的主观评价进行分析,为确定工程风险量等级提供依据。
(转载自中国科教评价网http://www.nseac.com)
随着风险评估越来越受到大家的重视,在信息风险评估方面还存在一些问题:例如错误地将风险评估认为就是漏洞扫描;评估标准采用上,还没有一个特定的标准;评估过程中在所难免地存在一些主观因素等问题。因此还需要进行更加深入的研究。
