畢業(yè)論文，泛指專科畢業(yè)論文、本科畢業(yè)論文(學(xué)士學(xué)位畢業(yè)論文)、碩士研究生畢業(yè)論文(碩士學(xué)位論文)、博士研究生畢業(yè)論文(博士學(xué)位論文)等，即需要在學(xué)業(yè)完成前寫(xiě)作并提交的論文，是教學(xué)或科研活動(dòng)的重要組成部分之一。

　　摘要：信息安全風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理的角度，運(yùn)用科學(xué)的手段，系統(tǒng)的分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，為防范和化解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可以接受的水平，制定有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施以最大限度的保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。

　　關(guān)鍵詞：安全風(fēng)險(xiǎn)、風(fēng)險(xiǎn)評(píng)估

　　1 引言

　　信息安全的至關(guān)重要性越來(lái)越受到更多人的關(guān)注，它牽涉的不只是技術(shù)問(wèn)題，更多的是管理問(wèn)題。信息安全所涉及的工作是識(shí)別、度量和減輕運(yùn)作信息資產(chǎn)所面臨的風(fēng)險(xiǎn)，或最低限度要記錄這些風(fēng)險(xiǎn)。所以風(fēng)險(xiǎn)評(píng)估是信息安全管理中最核心的一環(huán)。

　　風(fēng)險(xiǎn)評(píng)估是在整個(gè)信息安全戰(zhàn)略中有著“知己知彼”的作用，了解機(jī)構(gòu)運(yùn)作的薄弱環(huán)節(jié)所在;了解機(jī)構(gòu)的信息是如何處理、存儲(chǔ)和傳送以及機(jī)構(gòu)有何種資源可用;發(fā)現(xiàn)與評(píng)估機(jī)構(gòu)運(yùn)作的風(fēng)險(xiǎn);同時(shí)確定怎樣控制和減少那些風(fēng)險(xiǎn)。選擇一種合適的風(fēng)險(xiǎn)評(píng)估方法是進(jìn)行風(fēng)險(xiǎn)評(píng)估的關(guān)鍵，直接影響評(píng)估結(jié)果的優(yōu)劣。

　　2 常用風(fēng)險(xiǎn)評(píng)估方法

　　2.1 定量分析方法

　　定量分析方法是根據(jù)一定的數(shù)據(jù)，建立數(shù)學(xué)模型，再去計(jì)算分析各項(xiàng)指標(biāo)的一種方法。這種方法把整個(gè)風(fēng)險(xiǎn)評(píng)估的過(guò)程和結(jié)果量化，然后通過(guò)這些被量化的數(shù)值對(duì)信息系統(tǒng)進(jìn)行評(píng)估判定。常見(jiàn)的定量分析方法有時(shí)序序列分析法、因子分析法、聚類分析法、決策樹(shù)法等。定量分析方法由于在實(shí)際操作過(guò)程中要收集大量的數(shù)據(jù)，所需工作量太大而且有時(shí)數(shù)據(jù)保密而無(wú)法獲得或成本過(guò)高，純定量分析方法已經(jīng)很少使用。

　　2.2 定性分析方法

　　定性分析方法不需要嚴(yán)格的數(shù)據(jù)來(lái)量化各個(gè)屬性，它采用人為的判斷、只關(guān)注威脅事件所帶來(lái)的損失，而忽略事件發(fā)生的概率。利用一些非量化的指標(biāo)對(duì)信息系統(tǒng)進(jìn)行判斷，最后，根據(jù)風(fēng)險(xiǎn)評(píng)估計(jì)算公式得出風(fēng)險(xiǎn)值。常用的定性分析方法有：德?tīng)柗品āCTAVE方法等。

　　定性分析方法由于是非量化的，主觀性強(qiáng)，對(duì)評(píng)估者要求相對(duì)較高，可以挖掘出一些蘊(yùn)藏很深的思想，使評(píng)估的結(jié)論更全面、更深刻，使用比較廣范。

　　2.3 定量定性結(jié)合分析方法

　　定量定性結(jié)合的分析方法是把前兩種方法結(jié)合起來(lái)，取長(zhǎng)補(bǔ)短，發(fā)揮各自的優(yōu)勢(shì)，比如在現(xiàn)場(chǎng)調(diào)查階段，針對(duì)系統(tǒng)關(guān)鍵資產(chǎn)進(jìn)行定量的調(diào)查、分析，提供量化的參考依據(jù)，在風(fēng)險(xiǎn)分析階段，可以采用定性的分析形成概念、觀點(diǎn)、作出判斷，得出結(jié)論。常用的方法有層次分析法(AHP)、故障樹(shù)分析方法、模糊綜合評(píng)價(jià)法等。定量定性結(jié)合的分析方法由于網(wǎng)絡(luò)環(huán)境的多元化，信息安全風(fēng)險(xiǎn)評(píng)估的不確定性因素隨之增加，采用這種評(píng)估方法，能更精確地對(duì)大型系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，是實(shí)際應(yīng)用中最常使用的方法。

　　3 風(fēng)險(xiǎn)評(píng)估新方法的發(fā)展

　　近年來(lái)，國(guó)內(nèi)外學(xué)者對(duì)信息安全風(fēng)險(xiǎn)評(píng)估做了大量研究，人們也在探索更科學(xué)的理論、技術(shù)和方法。本文對(duì)風(fēng)險(xiǎn)評(píng)估的新方法進(jìn)行探討，希望有助于新方法的論證和推廣應(yīng)用。

　　國(guó)內(nèi)學(xué)者基于前面三類常用方法做出了一些研究，將更多的新技術(shù)應(yīng)用到信息安全風(fēng)險(xiǎn)評(píng)估中，提出了一些新的評(píng)估方法。如基于模糊層次法的評(píng)估方法、基于模糊-小波神經(jīng)網(wǎng)絡(luò)的評(píng)估方法、基于邏輯滲透圖模型的評(píng)估方法、基于離散動(dòng)態(tài)貝葉斯網(wǎng)絡(luò)的評(píng)估方法等。

　　3.1 基于模糊層次法的評(píng)估方法

　　通過(guò)對(duì)層次分析法和模糊評(píng)價(jià)法分別進(jìn)行改進(jìn)，將兩者有機(jī)結(jié)合，分析和評(píng)估風(fēng)險(xiǎn)事件發(fā)生的概率和影響，以確定各風(fēng)險(xiǎn)因素的風(fēng)險(xiǎn)等級(jí)，并給出了信息系統(tǒng)的風(fēng)險(xiǎn)控制建議。該方法通過(guò)算例表明是一種有效且操作性強(qiáng)的方法。

　　3.2 基于模糊-小波神經(jīng)網(wǎng)絡(luò)的評(píng)估方法

　　此方法是將人工神經(jīng)網(wǎng)絡(luò)(ANN)理論應(yīng)用到風(fēng)險(xiǎn)評(píng)估。首先將人工神經(jīng)網(wǎng)絡(luò)應(yīng)用于信息系統(tǒng)風(fēng)險(xiǎn)因素評(píng)估，對(duì)神經(jīng)網(wǎng)絡(luò)的輸入進(jìn)行了預(yù)處理，將模糊系統(tǒng)的輸出作為神經(jīng)網(wǎng)絡(luò)的輸入。人工神經(jīng)網(wǎng)絡(luò)經(jīng)過(guò)訓(xùn)練，可以實(shí)時(shí)地估算風(fēng)險(xiǎn)因素的級(jí)別。然后提出了一種信息安全風(fēng)險(xiǎn)評(píng)估的小波神經(jīng)網(wǎng)絡(luò)模型，該模型以非線性小波基為神經(jīng)元函數(shù)，通過(guò)優(yōu)化伸縮因子和平移因子確定對(duì)應(yīng)各神經(jīng)元的小波基函數(shù)，從而合成小波神經(jīng)網(wǎng)絡(luò)。該模型經(jīng)過(guò)訓(xùn)練后可用于信息、安全風(fēng)險(xiǎn)因素的評(píng)估，精度更高。