基于信息安全等保标准的网络安全风险模型研究

doi:10.3969/j.issn.1671-1122.2016.09.036

摘要/Abstract

摘要：

信息安全等级保护是信息系统必不可少的安全保障,其要求不同安全等级的系统应具有不同的安全保护能力,通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现。文章着眼于三级信息系统安全等保测评的一个重要方面——网络安全,通过建立反映其安全状况和风险威胁的风险评估模型,对三级系统等保网络安全层面的安全控制模块进行风险评估分析研究,对不同安全侧重点的系统进行安全评价,反映系统的总体网络架构和各关键网络设备的安全保护情况,进而更精确地得到不同风险对系统的影响,可更有效地对安全风险进行控制和预防,为系统的安全决策提供有力支持和安全保障。

关键词: 等级保护, 网络安全, 风险评估, 测评模型, 信息安全

Abstract:

Information security level protection is an important guarantee of information system. It requires that different level information system should have the different security proctection which is realized by using suitable security control on security technology and system management. The paper focuses on an important aspect of the three information system security assessment of the level of protection assessment model, the three-tier grading system information network security level to protect the safety control module for risk assessment analysis to accurately focus on different security information systems security evaluation accurately reflects the overall network architecture and all critical information systems security of the network devices. Based on the assessment model, the most common major information systems - three information systems, "Network security risk assessment based on the information system security protection standards."Derived by analyzing three information systems risk assignment, and then get a more precise impact of different risk levels for each system can more effectively control security risks and prevention, provide strong support for the safety and security of information systems decisions protection.

Key words: classified protection, network security, risk assessment, evaluation model, information security

中图分类号:

TP309

李涛, 张驰. 基于信息安全等保标准的网络安全风险模型研究[J]. 信息网络安全, 2016, 16(9): 177-183.

Tao LI, Chi ZHANG. Research on Network Security Risk Model Based on the Information Security Level Protection Standards[J]. Netinfo Security, 2016, 16(9): 177-183.

图/表 10

表1

图1

表2

图2

表3

图3

表4

表5

图4

图5

参考文献 16

[1]	周焕盛,江建慧.一个多维信息安全指标体系及等级保护量化模型[J].中国科学技术大学学报,2012,42(1):0253-2778.
[2]	江雷,朱建平.面向等级保护的软件安全需求分析方法研究[J].信息网络安全,2011(9):101-103.
[3]	陈华智,张闻,张华磊.网络安全等级保护实施方案的设计及应用实践[D].杭州:浙江省电力试验研究院,2011.
[4]	GB/T22239-2008信息安全技术一信息系统安全等级保护基本要求[S]北京:中国标准出版社,2008.
[5]	李承. 我国信息安全等级保护法律框架及其完善[J].信息化建议,2009(3):29-41.
[6]	吴天水,赵刚,王喆.考虑控制措施关联性的信息安全风险评估模型[J].小型微型计算机系统,2013,34(10):2324-2328.
[7]	李晨旸,张晓梅,李媛.一种基于层次分析法的大规模信息系统风险评估方法[J].计算机应用与软件,2013,30(10):322-325.
[8]	文伟平,郭荣华,孟正,等. 信息安全风险评估关键技术研究与实现[J]. 信息网络安全,2015(2):7-14.
[9]	黄剑雄,丁建立.基于模糊分析的信息系统风险灰色评估模型[J].计算机工程与设计,2012,34(4):1285-1289.
[10]	梁旭. 基于AHP的信息系统风险处理评估研究[J].现代计算机,2012(10):12-13.
[11]	吕金娜,麻信洛,张志军.信息安全风险评估通用模型研究[J].河南科技学院学报:自然科学版,2013,41(4):57-61.
[12]	丁谊. 基于矩阵法的信息安全[J].武警工程大学学报,2013(2):28.
[13]	黄欢. 信息安全风险评估系统的研究和实现[D].南京:南京航空航天大学,2008.
[14]	陈明奇,洪学海,王伟,等. 关于网络安全和信息技术发展态势的思考[J]. 信息网络安全,2015(4):1-4.
[15]	GB/T20984-2007信息安全技术新信息安全风险评估规范[S] 北京:中国标准出版社,2007.
[16]	孙强. 定量的信息安全风险评估计算模型的研究[J].计算机应用与软件,2012,29(9):285-288.