摘 要:风险对组织及其资产存在破坏的可能性,它是安全评估的重要因素之一。文章采用定性分析与定量分析相结合的方法进行风险评估,在确定评价对象的基础上,建立一种基于知识的定性分析法,提出风险等级设定和风险防范措施,实践运行证明,该评价体系具有安全性高、稳定性好、易操作、高可靠等优势,可极大提高风险评估效率。
关键词:节点风险;信息安全;系统网络测评
DOI:10.19850/j.cnki.2096-4706.2021.16.037
基金项目:中国科学院十三五信息化专项 项目(XXH13507-2)
中图分类号:TP39 文献标识码:A 文章编号:2096-4706(2021)16-0153-05
Research on Node Risk Assessment of Security Information System in Scientific Research Institutes
HUI Jianxin1 , LOU Hongwei 2 , QIAO Dezhi 3
(1.Purple Mountain Observatory, Chinese Academy of Sciences, Nanjing 210023, China; 2.Changchun Institute of Optics, Fine Mechanics and Physics, Chinese Academy of Sciences, Changchun 130033, China; 3.Dalian Institute of Chemical Physics, Chinese Academy of Sciences, Dalian 116023, China)
Abstract: Risk has the possibility of damage to the organization and its assets, which is one of the important factors of safety assessment. In this paper, it is the combination use of qualitative analysis and quantitative analysis for risk assessment. On the basis of determining the evaluation object, a knowledge-based qualitative analysis method is established, and the risk level setting and risk prevention measures are put forward. The practical operation shows that the evaluation system has the advantages of high security, good stability, easy operation and high reliability, which can greatly improve the efficiency of risk assessment.
Keywords: node risk; information security; system network evaluation
参考文献:
[1] 刘玉林,王建新,谢永志 . 涉密信息系统风险评估与安全测评实施 [J]. 信息安全与通信风险,2007(1):142-144.
[2] 李舸 . 信息安全风险评估的漏洞分析及评估方法改进 [D]. 重庆:重庆大学,2007.
[3] 陈曦 . 网络安全监察系统中风险评估方法的研究 [D]. 北京:北方工业大学,2008.
[4] 鲁娟.给水管网脆弱性评估研究 [D].合肥:合肥工业大学, 2007.
[5] 肖薇薇 . 企业内网网络安全体系的设计与实现 [D]. 大连: 大连海事大学,2011.
[6] 沈鸣 . 企业网络安全风险评估研究 [D]. 上海:上海交通大学,2009.
[7] 杨洋,姚淑珍 . 一种基于威胁分析的信息安全风险评估方法 [J]. 计算机工程与应用,2009,45(3):94-96+100.
[8] 范红,吴亚非 . 国家信息安全风险评估标准化工作的几点思考 [C]// 中国信息协会信息安全专业委员会年会 . 中国信息协会 信息安全专业委员会年会文集 . 张家界:出版社不详,2004:187- 195.
[9] 何湘 . 基于 BS7799 标准的信息安全风险评估研究与实践 [D]. 重庆:重庆大学,2008.
[10] 吴兰 . 信息系统安全风险评估方法和技术研究 [D]. 无锡:江南大学,2007.
[11] 王丽平 . 政府接入网安全体系设计与实现 [D]. 长春:长春理工大学,2006.
[12] 周师熊,周亦群 . 信息网络安全技术讲座(1) [J]. 中国数据通信,2001(6):55-60.
[13] 柯敏毅,肖俊林 . 网络安全评估的量化研究 [J]. 网络安全技术与应用,2006(9):18-20.
[14] 张雷 . 军工企业涉密信息系统安全管理技术研究 [J]. 决策与信息(中旬刊),2013(5):83-86.
[15] 顾华杰.信息系统风险评估方法综述 [J].无线互联科技,2014(9):84-85+182.
作者简介:惠建新(1978—),男,汉族,江苏盐城人,高级工程师,硕士学位,研究方向:应用系统开发、系统分析与集成、 信息系统管理;娄洪伟(1982—),男,汉族,吉林长春人,正高级工程师,硕士学位,研究方向:网络安全架构研究、安全网建设与维护;乔德志(1979—),男,汉族,辽宁大连人,高级工程师,硕士学位,研究方向:安全信息系统设计与开发、安全 网运维。