导　　师： 万江平;万举勇

学科专业： H33

授予学位： 硕士

作　　者： ;

机构地区： 华南理工大学

摘　　要： 当今社会，信息时代为国家和个人提供了全新的发展机遇和生活空间，但也增加了新的安全威胁。由此而产生的信息安全问题对国家安全的影响日益增加、日益突出，国家安全面临新的挑战。而对于企业用户来说，能否保障信息安全的问题，更是被提到了影响企业生存和发展的高度。 但信息安全是一个动态、复杂的过程，它贯穿于信息资产建设和信息系统的整个生命周期，不能期望一个安全产品就能把所有的安全问题都解决掉。安全管理的本质是风险管理，而信息安全风险评估是做好信息安全管理的一项基础性工作。信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用，是依据相关法规和标准，对信息系统及由其处理、传输和存储信息的保密性、可用性和完整性等安全属性进行科学、公正的综合评估的活动过程。只有通过全面的信息安全风险评估才能真正掌握各类信息系统的整体安全状况，分析各种存在的威胁，才能针对高风险的威胁采取有效的安全措施，提高整体安全水平。 但在信息安全风险评估过程中，还存在很多的问题，突出的问题是:全球并没有形成统一的信息安全风险评估模型，每个机构和公司都是依据自己的理解包括建立的模型来进行风险评估，这就客观上造成了风险评估结果的难以互认;另外，在现行的信息安全风险评估实践中，主观性过强，过多地依赖了某些权威专家的意见，造成了评估结果的不客观、不准确、不全面。 本文从系统的观点出发，运用文献查阅和比较分析，以及案例分析，尤其是运用层次分析(ahp)法，理论结合实际，在广泛研究和分析国内外信息安全风险评估现状和方法的基础上，系统全面地研究了信息安全风险评估的模型及模型中各风险要素之间的关系，并通过层次分析法对信息安全风险评估模型诸多要素进行量化分析，建立了一个较完整的信息安全风险评估过程方法，最后通过一个实际案例的演示分析，来验证评价该评估模型。 通过研究，本文主要形成了如下成果:首先，形成了量化的信息安全风险关系模型以及基于资产、脆弱性及威胁的信息安全风险评估模型及方法。该模型和方法基于业界普遍认可的信息安全风险关系，并吸取了专业信息安全评估机构在信息安全实践中的一些经验，使得该评估模型和方法更全面并具有操作性。其次，通过在信息安全风险评估过程中引入ahp层次分析法，增强了该信息安全风险评估模型的评估准确性和结果的可比较性，为进一步选择安全控制措施以及进行相关的科学管理和决策提供了较有说服力的依据。

关 键 词： 信息安全 安全风险 风险评估 评估模型 层次分析法

分 类 号： [TP309.2]

领　　域： [自动化与计算机技术] [自动化与计算机技术]