风险评估要素关系模型的改进

被引：11

作者：

王标

胡勇

戴宗坤

机构：

[1] 四川大学信息安全研究所,四川大学信息安全研究所,四川大学信息安全研究所四川成都,四川成都,四川成都

来源：

四川大学学报(工程科学版) | 2005年 / 03期

关键词：

风险评估要素; 关系模型; 安全要素关系图; 安全状态; 形式化描述;

D O I：

10.15961/j.jsuese.2005.03.025

中图分类号：

F224 [经济数学方法];

学科分类号：

0701 ; 070104 ;

摘要：

要对信息系统进行准确的风险评估,前提是明确风险评估的关键要素以及各要素之间的内在联系。首先分析基于ISO13335,GB/T18336(等同于ISO/IEC15408)的一些风险评估要素关系模型,为克服一般模型存在的重复考虑和静态考虑的缺点,提出分析风险评估要素关系要遵守直接因果关系准则和动态性准则,并且考虑信息安全等级保护要求,将等级作为参考坐标。基于上述准则,通过扩充评估要素集合,特别突出人、安全措施和脆弱性之间的动态因果关系,得到新的风险评估要素关系模型。同时得到比ISO13335中更加系统的安全要素相互作用图,并对安全要素之间的关系进行形式化描述,最后给出信息系统风险评估的状态特征。

引用

页码：110 / 114

页数：5