一种基于信息熵的企业信息系统的安全风险定量评估方法
Research on Quantitive Security Risk Assessment Method of an Enterprise Information System Based on Information Entropy
摘要 针对信息系统风险评估中过分依赖主观赋值的现象,提出了基于信息熵的风险评估方法,该方法通过构建威胁-脆弱性矩阵和威胁-损失矩阵,并对所构建的矩阵用信息熵方法分别对其行和列进行处理,从而降低了对主观赋值的依赖性,提高了结果的准确性.最后结合中小企业的实际,设计了一套方便可行的评估流程.利用该方法对典型的企业信息系统进行了实例分析,说明了该方法的有效性.
Abstract:
For the security risk assessment,the result always relies on the value assigned by some queries directly.In order to assess the information system of an enterprise objectively,we proposed an security risk assessment method based on information entropy.By constructing the matrix of Threat-Vulnerability and the matrix of Threat-Loss,we can enhance the result accuracy through dealing with the data of the matrixes by the method of the information entropy.In the end of the paper,we gave an example to explain the efficiency of the proposed method by analyzing an special enterprise information system.
作者: 刘勇 林奇 孟坤
Author: LIU Yong LIN Qi MENG Kun
作者单位: 东北大学,沈阳,110004 航空工业信息中心,北京,100012 清华大学计算机系,北京,100084
刊 名 计算机科学 ISTICPKU
年,卷(期): 2010, 37(5)
分类号: TP3
机标分类号: TP3 O22
在线出版日期: 2010年6月30日
基金项目: 国家自然科学基金