作者:王标; 胡勇; 戴宗坤评估要素关系模型风险评估安全等级保护信息系统因果关系安全要素形式化描述内在联系一般模型安全措施相互作用状态特征分析基动态性脆弱性
摘要:要对信息系统进行准确的风险评估,前提是明确风险评估的关键要素以及各要素之间的内在联系.首先分析基于ISO 13335,GB/T 18336(等同于ISO/IEC 15408)的一些风险评估要素关系模型,为克服一般模型存在的重复考虑和静态考虑的缺点,提出分析风险评估要素关系要遵守直接因果关系准则和动态性准则,并且考虑信息安全等级保护要求,将等级作为参考坐标.基于上述准则,通过扩充评估要素集合,特别突出人、安全措施和脆弱性之间的动态因果关系,得到新的风险评估要素关系模型.同时得到比ISO 13335中更加系统的安全要素相互作用图,并对安全要素之间的关系进行形式化描述,最后给出信息系统风险评估的状态特征.
注:因版权方要求,不能公开全文,如需全文,请咨询杂志社