论文部分内容阅读
计算机技术发展,各部门、单位对信息系统的依赖不断加强,现在的社会是信息化的社会。虽然信息化给我们的工作和生活带来了方便,但是信息化是一把双刃剑,信息化中的安全问题威胁着我们的利益。所以在现代化进程中,信息安全地位日益重要。为了减少信息安全问题带来的损害,我们需要有效的措施,来应对信息安全问题。信息安全风险评估是用来评估信息系统的安全性,通过评估,给出风险评估结果,方便解决信息安全问题,降低安全风险。本文通过调查以往的线下评估经验,参照国内外研究现状和风险评估标准,进行了系统的功能分析和非功能分析,确定了远程安全风险评估系统目标。基于评估原理,实现评估,评估中标准是《GT/T20984-2007》。从资产、威胁、脆弱性三个方面进行风险评估,明确风险评估中的资产、威胁、脆弱性的评估要素,采用扫描器检测系统的脆弱性,专家进行资产评估和威胁评估,专家确认已有的安全措施,然后调整评估中的相关不准确地方,在三个评估都完成之后,采用矩阵法计算安全风险值,从而完成远程信息安全风险评估。风险评估系统构建了信息系统与人之间的桥梁,平台给用户提供“一站式”服务。风险评估系统实现了用户权限的管理,便于用户管理和功能的扩展。系统实现了多种方式创建任务,包括多种情况的定时任务的创建,创建成功后申请风险评估专家,评估专家进行资产评估、威胁评估。系统实现了与扫描器间的交互,方便扫描器对信息系统进行全面的扫描,发现问题。平台设置定时检测任务完成功能,进行定期的检查任务的进度,完成扫描后,取回数据进行解析和存储。系统实现了矩阵法计算风险值,通过计算安全事件的损失值和可能性,进一步计算出风险值;从资产、风险值、脆弱性等角度,对评估总的数据进行分析和展示;对评估中的专业数据,用多种格式的报表呈现给用户,主要分为主机报表、综述报表、风险评估报表,方便用户查看和存档;实现评估论坛功能,方便用户探讨相关问题。系统提供预警信息展示功能,通过展示最新的预警信息,方便用户了解更多的新的安全问题,从而提前做好防范。系统提供便捷的短息通知功能,在用户管理和评估过程中,提醒用户当前扫描任务的运行状况,从而方便用户做出处理,缩短评估周期。目前,远程安全风险评估系统己经投入使用,支持风险评估、数据分析、交流论坛、个人信息管理、预警信息管理等。平台整体的运行情况良好。