基于風(fēng)險分析的信息系統(tǒng)安全定級方法.pdf

1、隨著我國國民經(jīng)濟和社會信息化進程全面加快，信息網(wǎng)絡(luò)資源已經(jīng)成為了我們生活中最為活躍的因素。然而，信息網(wǎng)絡(luò)系統(tǒng)固有的缺陷使得信息系統(tǒng)安全面臨嚴重的威脅，并成為影響整個社會信息技術(shù)前進的重要方面。鑒于此，我國提出了對信息系統(tǒng)進行安全等級保護的要求，并將等級保護作為國家信息系統(tǒng)安全保障工作的基本制度。等級保護工作主要分為信息系統(tǒng)定級、等級保護實施、等級測評、系統(tǒng)安全運維等幾個環(huán)節(jié)。在整個實施流程中，對信息系統(tǒng)的定級尤為重要，它是等級保護各項工

2、作開展的基礎(chǔ)，是后續(xù)工作順利進行的關(guān)鍵。然而，從等級保護工作實際施行情況來看，對信息系統(tǒng)安全的定級還不夠細致，偏于主觀決斷，不能準確地反映信息系統(tǒng)的實際情況。因此，為了解決定級環(huán)節(jié)存在的問題，本文引入了風(fēng)險分析的方法對定級過程做了更細致深入的工作。
　　論文首先對國內(nèi)外信息安全保護標準的發(fā)展流程做了簡要介紹，并根據(jù)我國等級保護制度的具體要求，詳細闡述了信息系統(tǒng)安全定級的劃分、計算步驟及其計算框架。隨后根據(jù)信息系統(tǒng)安全定級綜合評價的

3、要求，結(jié)合基于風(fēng)險分析的信息系統(tǒng)安全定級方法，設(shè)計并實現(xiàn)了基于風(fēng)險分析的定級原型系統(tǒng)。
　　該原型系統(tǒng)通過對信息系統(tǒng)各子系統(tǒng)的業(yè)務(wù)信息和系統(tǒng)服務(wù)功能進行資產(chǎn)識別、威脅識別以及脆弱性識別來計算資產(chǎn)的風(fēng)險值，然后通過AHP（AnalyticHierarchyProcess）方法構(gòu)建資產(chǎn)風(fēng)險對于客體綜合侵害程度的層次結(jié)構(gòu)模型來獲取資產(chǎn)風(fēng)險的權(quán)重值，再結(jié)合對應(yīng)客體和資產(chǎn)風(fēng)險值得到子系統(tǒng)的業(yè)務(wù)信息以及系統(tǒng)服務(wù)安全等級，從而可以方便地獲得子系