ＥＯＭＳ流程管理平臺系統信息安全風險評估模型研究

董添犀

摘 要：依據目前流行的信息安全風險準則，提出了一種基于模糊評價方法的信息安全風險評估模型。該模型結合了定性分析和定量計算，能夠簡單，快速，客觀地對信息系統的風險進行等級評估。最后，將以A公司的EOMS流程管理平臺系統為評估對象，驗證了該評價方法對信息系統的安全風險具有較好的評估效果。

關鍵詞：信息安全風險評估；模糊評價；EOMS流程

1 信息安全風險評估模型

在風險評估的風險分析階段主要采用定性的分析方法。由于該階段所需數據往往很難精確統計或統計成本過高，通常采取結合人員經驗的方法進行實施。

R=f (A，T，V，P)

式中：A：資產價值T：威脅事件發生的影響V：薄弱點的嚴重程度P：威脅利用系統薄弱點的可能性。

從風險分析模式公式中可以看出，風險值是一個多因素函數，由資產價值，威脅事件發生的影響，薄弱點的嚴重程度以及威脅利用系統薄弱點的可能性四個因素決定，并且這四個因素都不能用很確切的數值表示。作者由此聯想到利用模糊平價法進行風險值的計算。因為，模糊評價法是對受多個因素影響的事物做出客觀，全面的評價。

1.1 資產價值

此時的資產價值不僅僅為自身的價值，而是它在信息系統中的價值，與資產的機密性、完整性和可用性有關。具體計算過程如下：對于現有信息資產A，評判小組人員分別對每個資產對信息機密性，完整性和可用性的影響打分，得到考核集的隸屬度：

2 風險評估模型的應用

2.1 資產價值

3 結論

本文是在信息安全風險評估理論基礎上，提出了基于模糊評價法的評估模型，并將該模型付諸實踐，取的了良好評估效果。不同于矩陣式的定性分析方法，基于模糊評價法的評估模型更加客觀，科學，容易操作。另外，整個評估過程都是使用模糊評價法，保證了評估的一致性，完整性。雖然，本文是針對的EOMS流程管理平臺系統進行信息安全風險評估的，但是不代表該評估模型只是適用于這種流程系統，由于該評估模型無論從評估流程到風險計算方法都是建立的通用的理論基礎上，因此，該評估模型同樣適用于其他的信息系統。

參考文獻

[1] Hutt，Arthur E，Bosworth，“Computer Security Handbook [M]”.New York：John Wiley & Sons，Inc，1995.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”