局域网信息安全论文(共1748字).doc

局域网信息安全论文(共 1748 字) 1 模糊评价数学模型对信息系统进行模糊评价的步骤是先建立评价因素集 t/评价集、再用从 U到 F(F) 的模糊映射 7 导出模糊矩阵再给出各因素的权重,并选择相应的函数进行综合,最后进行评判。数学模型为:召=4RS=B 广,其中 B 为评价矩阵, 4 为权重集合, 为从 f/到F 的一个模糊关系,S 为系统得分, 严为系统风险得分 M。 2 局域网信息安全风险评估下面以以某单位局域网信息系统为评估对象,运用模糊评价理论和 AHP 方法对其进行风险评估。 风险评估准备主要是确定风 fe 评估的目标和范围。目标是识别单位局域网信息系统及管理上的不足,以及可能造成的风险大小;范围是单位局域网信息系统及系统内存储的内部信息。 资产识别 资产分类机密性、完整性和可用性是评价资产的三个安全属性。这里的局域网信息系统的资产表现形式主要是单位内部文件、科研成果、人员档案等数据资料, 系统安装的应用软件、源程序等软件和网络设备、计算机设备、存储设备等硬件。 资产赋值这里仅给出机密性的赋值。不同等级对应资产在机密性上达成的程度或者机密性缺失时对整个单位的影响。 资产重要度区分资产价值可依据资产在机密上、完整性和可用性上的赋值等级得出。这里以资产机密性的赋值结果作为资产的最终赋值结果。为与上述机密生赋值相对应, 将资产划分为五级,级别越高表示资产越重要。 威胁识别这里采用德尔菲集体讨论法进行威胁识别,确定评估对象面临的主要威胁,生成威胁集 r:kK=I2 …,M ,其中为第;种威胁, 〃为评估对象面临的威胁种类数。单位内部网络信息系统有别于一般网络信息系统的是, 其在运行时一般要求与外网相隔离, 因此, 其面临的安全威胁, 特别是网络攻击和泄密主要来自内部人员。 脆弱性识别脆弱性识别是风险评估中最重要的一个环节。这里采用问卷调查的方法,从技术和管理两个方面进行识别。 建立风险评估指标体系建立潜在风睑指标体系时要尽量包括其所面临的各方面的风验,根据以上分析的单位局域网信息系统所面临的威胁, 并结合系统的脆弱性识别结果, 建立了该系统所面临的潜在风险的指标体系。 建立关于风险严重程度的评价集根据风 S 可能造成的影响的程度,建立评价集 V=jVi , v2, v3v4mi , ninivi= 丨灾难性的, 严重的, 轻微的, 可忽略的! 评价结果及建议由系统风险得分对照表 8 风险级别对应的风险值,可以看出该评估对象的风险等级为“严重的”,