基于指标体系的网络安全风险评估研究洲8㈣2删2洲3舢2㈣5㈣1删Y工学硕士学位论文国防科学技术大学研究生院二oo八年十一月徐冰莹计算机科学与技术研究方向计算机软件与理论指导教师徐锡山教授硕士生姓名工程领域堡公开类D学号密级号c分u珀06060120， 摘要现快速增长的势头。网络安全越来越成为人们关注的重点。实践证明，计算机网最后，本文设计实现了静态与动态相结合的风险计算子系统，该系统可以作为指标验证的辅助工具。论文的实例分析论证了计算模型的可行性、有效性，并且演示了验证某单一指标的方法。随着因特网的普及和计算机网络应用的迅速发展，针对网络系统的攻击也呈络安全风险的预先识别和网络安全风险评估工作非常重要。本文对国内外网络安全风险评估标准、方法和工具进行了大量研究，在详细比较静态风险评估和动态风险评估的基础上，针对目前待评估网络系统规模增大导致单一风险评估方法不能很好解决时效性和全面性之间的矛盾，提出将静态评估和动态评估结合起来的风险评估方法。本方法的静态评估部分涉及的概念、流程参照国家标准《信息安全技术信息安全风险评估规范》的有关规定。为了更加准确地把握动态风险，作者提出了一套基于安全事件分类的动态风险评估指标体系框架，该指标框架以国家标准《信息安全事件分类分级指南》为蓝本，满足全面性和重要性相结合、结构稳定性与内容动态性相结合、定量和定性指标相结合、可操作性等要求，具有良好的可扩展性，对风险评估的准确性具有重大参考价值。论文从有效性和可信度两方面论述指标框架的合理性，讨论了前侧．后侧验证方法。论文还分析研究了指标无量纲化、归一化、多指标综合等问题，并利用层次分析法设计了一种网络动态风险评估的计算模型。该模型具有权值分配合理、计算量少的优点。主题字：网络安全，静态评估，动态评估，安全事件分类，指标体系，AHP国防科学技术大学研究生院硕士学位论文第i页 assessment．mdynamicframeworkt001．Samplenetworksystem．TheneABSTRACTproposed。砀ewithWords：networkWithandrelevantrangeorganizationfeatures，andanalyticCananalysismodel，and国防科学技术大学研究生院硕士学位论文Intemetascomputer．Networksecurityincreasingly．Practicethatimportantcomputerassessmentlong—termbomhomedeeply．Currently．theincreasetheinformationsystemmethodbetweentimelinesscomprehensive．Basedcomparisonmethods，acombinesmethodsriskofStandards“Informationaccurately，thebasedclassificationmeetsrequirementscombinationimportancecomprehensive，thestabilityvolatilityoperability．Thereasonableeasilyreasonablenessfrombothcredibilityhasbeendiscussed．Afterindications．theauthorcomputingmodelhierarchydistributioncomputing．sub-system，demonstratedfeasibilityKeysecurity，staticassessment，dynamicincidents，indexsystem，AHP第ii页popularitywellapplicationissuesaffectlivesproveditisveryidentifyinadvancework．Inthispaper，Standards，methodstoolsatabroadhavecarriedscaleresultssinglesolveconflictstaticwhichconceptsprocessespartreferprovisionsNationalInstitutetechnology．Riskspecificationforsecurity'’．orderholdproposesindicatorsincidents．111equantitativequalitativeindexwideorganizationsexpandablecontributeaccuracyPaperdemonstrateseffectivenessindi