摘要
信息系统面临的安全问题日益凸显,对社会稳定与生产发展带来了越来越多的威胁。为此,国家公安部制定了信息安全等级保护测评制度及标准。在当前的等级保护测评机制中,没有体现出不同行业的风险重点区别,对于分类的划分也过于笼统缺乏针对性。因此,风险测评模型缺乏自适应性和宽动态性。鉴于此,本文将以风险评估的各个要素为线索,引入基于大数据的风险参数,参照行业特征及评测项基本分类建立新的风险赋值模型,以解决等级保护测评中不符合项的风险定级缺乏针对性的问题,达到建立科学合理的风险赋值体系的效果。 本文重点为:在等级保护测评方面,结合风险评估中的风险评估要素模型,对原有等级保护测评中的风险分类赋值方法进行改进,用基于大数据因子的量化结果代替按照风险分类直接定级;在风险评估模型中引入了基于大数据的参数,把不同行业领域的资产等风险要素引入到风险评估中来,作为不同行业领域的风险评估中资产、威胁、脆弱性的赋值依据。 本文首先分析现有的信息安全等级保护体系,然后对风险评估体系进行研究,结合等级保护测评与风险评估的特点及共性,将大数据引入风险评估模型中,对风险赋值方式进行了改进,并据此给出了计算方法与计算公式,以及最终的风险等级评判标准;再后,将设计的风险评估模型理论引入实际项目案例中,验证理论的可行性。
NETL