论文摘要
风险评估是风险管理过程的重要组成部分,它通过对被保护的系统存在的安全威胁、脆弱性以及对资产可能造成的损失进行概率统计和评估,得出系统安全性的衡量值。本文主要研究利用计算机辅助实现风险评估系统的问题。 本文深入研究了ISO17799和ISO13355两种风险评估国际标准,分析了风险评估的概念模型和关系模型。在此基础上,提出了业务事务的概念,设计了一个计算机辅助评估系统,有效实现了基于业务事务的资产评估和基于概率统计的威胁、漏洞评估。并在参考BS7799-2和SP800-30风险评估过程的基础上,根据本系统的实际需求,提出了一个可操作性强的便于计算机实现的评估过程。解决了传统风险评估过程中对专业人员的高度依赖、主观性因素过多的问题,实现了风险评估的自动化,减少了专业分析人员的工作劳动量,保证了评估结果的客观性和准确性。