董添犀

摘 要：依据目前流行的信息安全风险准则，提出了一种基于模糊评价方法的信息安全风险评估模型。该模型结合了定性分析和定量计算，能够简单，快速，客观地对信息系统的风险进行等级评估。最后，将以A公司的EOMS流程管理平台系统为评估对象，验证了该评价方法对信息系统的安全风险具有较好的评估效果。

关键词：信息安全风险评估；模糊评价；EOMS流程

1 信息安全风险评估模型

在风险评估的风险分析阶段主要采用定性的分析方法。由于该阶段所需数据往往很难精确统计或统计成本过高，通常采取结合人员经验的方法进行实施。

R=f (A，T，V，P)

式中：A：资产价值T：威胁事件发生的影响V：薄弱点的严重程度P：威胁利用系统薄弱点的可能性。

从风险分析模式公式中可以看出，风险值是一个多因素函数，由资产价值，威胁事件发生的影响，薄弱点的严重程度以及威胁利用系统薄弱点的可能性四个因素决定，并且这四个因素都不能用很确切的数值表示。作者由此联想到利用模糊平价法进行风险值的计算。因为，模糊评价法是对受多个因素影响的事物做出客观，全面的评价。

1.1 资产价值

此时的资产价值不仅仅为自身的价值，而是它在信息系统中的价值，与资产的机密性、完整性和可用性有关。具体计算过程如下：对于现有信息资产A，评判小组人员分别对每个资产对信息机密性，完整性和可用性的影响打分，得到考核集的隶属度：

2 风险评估模型的应用

2.1 资产价值

3 结论

本文是在信息安全风险评估理论基础上，提出了基于模糊评价法的评估模型，并将该模型付诸实践，取的了良好评估效果。不同于矩阵式的定性分析方法，基于模糊评价法的评估模型更加客观，科学，容易操作。另外，整个评估过程都是使用模糊评价法，保证了评估的一致性，完整性。虽然，本文是针对的EOMS流程管理平台系统进行信息安全风险评估的，但是不代表该评估模型只是适用于这种流程系统，由于该评估模型无论从评估流程到风险计算方法都是建立的通用的理论基础上，因此，该评估模型同样适用于其他的信息系统。

参考文献

[1] Hutt，Arthur E，Bosworth，“Computer Security Handbook [M]”.New York：John Wiley & Sons，Inc，1995.

“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文”