随着信息技术的发展,信息系统在国家的政治、军事和经济领域的广泛应用,整个社会对信息系统的依赖性越来越大,信息系统的安全问题已成为关系经济稳定发展和国家安全的社会问题。对信息系统进行有效的风险评估,选择有效的防范措施,主动防御信息威胁是解决信息系统安全问题的关键所在。针对信息安全风险评估的实际需求和现状,在国家高技术发展研究计划“863”系统安全风险分析和评估方法研究”(编号2002AA142151)和河北省科技攻关计划“信息网络系统的安全风险评估模型研究”(编号042135127)等项目的资助下,本文将层次分析法(AHP)、模糊数学、神经网络、小波分析等学科的最新研究成果进行有机的结合,应用于信息安全的风险评估。从解决信息安全风险评估过程中的关键问题入手,研究了信息安全风险评估的量化方法,并通过案例分析对风险评估量化方法进行了验证,为信息安全的风险评估提供理论算法依据和技术支撑。本文的主要研究工作和创新点如下:1.风险评估过程中的关键问题及解决办法。对风险评估过程中的关键技术问题进行了分析,并提出了相应的解决方法。即针对信息系统完整性问题,建立了信息系统安全框架的模型;对于信息资产识别,提出以资产组为单位进行识别的方法,使资产识别的工作量得以减少;对于资产的赋值,提出了不同资产的保密性、完整性和可用性(CIA)的权值不同、CIA本身的拆分赋值等方法;对于威胁识别,提出了威胁的获取方法以及威胁发生的可能性的确定方法;对于脆弱性评估,分析了脆弱性评估过程中可能出现的新的风险并提出了应对措施。2.基于模糊层次法的风险评估方法。针对信息安全风险评估的不确定性和当前评估手段的主观性,提出模糊层次分析法,以实现对风险因素的主、客观评估的有机结合。通过对层次分析法和模糊评价法分别进行改进,将二者有机结合,分析和评估风险事件发生的概率和影响,以确定各风险因素的风险等级,并给出了信息系统的风险控制建议。算例表明:该算法结果符合实际,是一种有效且操作性强的方法。3.基于信息熵的风险评估方法。针对当前对信息系统整体风险等级缺乏有效的评估手段这一现状,将信息熵应用于信息安全风险评估领域。首先定义了风险度是风险概率和风险影响的似然估计,以风险度衡量整个信息系统的风险等级。针对风险事件发生的概率和所产生影响的估计具有一定的模糊性这一问题,采用模糊综合评判法来评价风险因素。在风险因素的模糊综合评判中,对每个风险事件的权值采用熵权系数法获得,克服了专家直接赋值的主观性。将模糊综合评价法和信息熵相结合,求出风险度,为信息系统划分风险等级。示例说明了算法的应用结果,表明该方法切合实际,实用可行。4.基于模糊-小波神经网络的风险评估方法。针对信息安全风险评估的不确定性和复杂性以及当前手段的局限性,将人工神经网络(ANN)理论应用到风险评估,提出了基于模糊神经网络的风险评估方法。首先将人工神经网络应用于信息系统风险因素评估,对神经网络的输入进行了预处理,将模糊系统的输出作为神经网络的输入。人工神经网络经过训练,可以实时地估算风险因素的级别。然后提出了一种信息安全风险评估的小波神经网络模型,该模型以非线性小波基为神经元函数,通过优化伸缩因子和平移因子确定对应各神经元的小波基函数,从而合成小波神经网络。该模型经过训练后可用于信息安全风险因素的评估。实验结果表明,模糊-小波神经网络比人工神经网络具有更强的学习能力,精度更高。5.评估案例。通过案例分析,描述了风险评估方法在实际问题中的应用,并在实践过程中得到了认证,对各种评估方法的结果进行了比较。案例分析表明,本文研究的各种方法符合实际评价结果。