信息安全风险评估是信息安全管理的一项重要工作,它是在安全事件发生之前,通过有效的手段对组织面临的信息安全风险进行识别、分析,并在此基础上选取相应的安全措施,将组织面临的信息安全风险控制在可接受的范围内,这是保障信息系统安全的有效手段。
网络蠕虫是信息系统常见的威胁之一,也是风险评估必须考虑的内容之一,蠕虫的主要特点是能够快速的自我繁殖,因而其传播速度快、影响大,蠕虫传播规律也自然吸引了更多研究人员的注意力。
本文对信息安全风险评估模型进行了深入研究,提出了综合的风险评估模型、基于效用的安全风险度量和安全防护方案选取模型,并进一步研究了网络蠕虫的传播规律,主要工作包括:
1)分析了当今世界有关信息安全风险管理的标准、技术、实施方法,综合ISO/IEC 13335、ISO/IEC 17799、德国的IT基线保护手册、AS/NZS 4360、NIST SP800-30和我国的《信息安全风险评估指南》提出了综合的风险评估模型,它包含基线评估与详细评估两个选项。
2)将效用理论引入信息安全风险管理领域,提出了新的安全风险度量与安全防护方案选取模型。在风险度量方面,利用效用函数的反函数,定义了绝对损失效应和相对损失效应,并用以度量安全风险,绝对损失效应克服了期望损失不能度量高损失、低概率与低损失高概率风险间的差异的缺点;相对损失效应克服了不同规模组织对同样大小损失风险承受能力的差异;在此基础上建立了统一的风险等级划分标准。在安全防护方案选取方面,本文利用财富效用建立了安全防护方案评价模型;在此基础上,提出了如何确定组织所面临安全风险的最高防护代价的方法,并进一步利用优化理论,建立了寻求最优安全防护方案的模型,为寻求最优安全安全防护方案提供方法,也提供了可接受风险的确定依据。
3)本文分别对主动探测蠕虫、E-Mail蠕虫、即时通信蠕虫传播规律进行了分析与研究。对主动探测蠕虫,本文分析了当前主流模型的不足,发现并修正了蠕虫对抗蠕虫模型中存在的错误,提出了新的SIRS蠕虫传播模型。对E-Mail蠕虫及即时通信蠕虫,本文对这两种蠕虫传播网络、传播模型进行了综述性研究。
