论文摘要
本文主要以信息安全风险评估方法为研究对象,主要是为了能研究出一个可行性高的、准确性较好的,适合一般企业的信息安全风险评估方法。以应对日益复杂的信息安全风险和环境。本文先介绍了前人对于信息安全风险评估的研究,并选择了最适合企业的信息安全风险评估标准GB/T22080和GB/T20984方法进行研究,在结合现实范例分析后,展示了传统方法的不足,比如难以进行客观的定量分析,风险值计算过程中存在漏洞,评价人主观操控评估结果等。并分析出造成这一切后果的主要原因,那就是GB/T20984方法没有在资产之间建立起有效的逻辑关系,也很难对用户的风险进行度量。为了改进此风险评估方法,本研究引入了ITIL中的配置管理理念,要求将所有的资产之间的管理清理出来并加入数据库,再加上故障树分析、CORAS等方法的思想,设计出了一套基于配置管理数据库CMDB的信息资产模型,以及与之相配套的风险传递算法,先将所有的资产信息和关系信息输入数据库后,再根据相互之间的关系进行计算,某项资产受到的风险能成功传递到相关的资产,从而能分析到组织内部所有的风险,不留死角,另外由于人工干预少了,结果也更加精确。对于信息安全风险评估中最难以度量的用户行为,也借鉴用户自助理念,采取问卷调查的方式获取其威胁值和脆弱性值,并通过定期做信息安全内审,进一步将用户的威胁值和脆弱性值进行调整,使其更加接近真实的值,最终设计出了一套适合一般企业、方便可行,又比较准确地信息安全风险评估方法,并成功地推演了一次,证明可行。