论文部分内容阅读
随着网络技术的飞速发展,信息借助于网络快速的传播,信息系统的安全性也受到来自多方面的威胁,因而,如何保证信息系统安全也日益被提到日程。在几十年的系统安全研究中,人们也深刻认识到:信息系统安全问题单凭技术是无法得到彻底解决的,它的解决涉及到法规政策、管理、标准、技术等方方面面,任何单一层次上的安全措施都不可能提供真正的全方位的安全,信息系统安全问题的解决更应该站在系统工程的角度来考虑。在这项系统工程中,信息系统安全风险分析和评估占有重要的地位,它是信息系统安全的基础和前提。信息系统安全风险分析是针对包括系统的体系结构、指导策略、人员状况以及各类设备如工作站、服务器、交换机、数据库应用等各种对象,根据检查结果向系统管理员提供周密可靠的安全性分析报告,为提高信息安全整体水平提供重要依据。风险评估是网络安全防御中的一项重要技术,也是信息安全工程学的重要组成部分。其原理是对采用的安全策略和规章制度进行评审,发现不合理的地方,同时采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查,确定存在的安全隐患和风险级别。本文首先对信息系统安全风险评估的国内外发展和研究现状进行了深入分析,其中对风险评估相关国际国内标准进行了分类收集和研究,对资产、威胁、脆弱点等风险要素和控制措施的分类和赋值进行了研究,并且总结了目前风险评估存在的问题和进一步的需求。然后对风险评估流程、风险识别、风险分析方法等风险评估关键问题又进行了针对性的研究和设计,并对信息系统安全风险评估常用工具进行了收集和研究。在此基础上,结合目前信息安全的新需求,重点设计并实现了安全风险评估系统,详细描述了系统采用的评估流程与评估方法,具体的功能划分、设计与实现。本文最后剪裁出一个应用实例,用来说明该系统的功能特点和应用流程。