分享到:

基于度量学的认证认可方法研究

1 概述认证是对安全特征和保护措施的综合评估,而后者是为了特定安全需求而设计、执行的。认可是指这样的一个过程,经指定的权威部门批准,某系统在一定的保护措施下可以在特殊的安全模式中运行。由于信息系统在生命期中的不断改变,没有一个确定的方法是很难界定系统的安全成熟度的。SSE-CMM的理论已经成熟,但是还没有得到广泛的应用。如果将其很好的融合并应用在认证认可过程中,SSE-CMM可以成功而有有效的作为一个框架和度量方法。这种方法可以用于具有相似功能、高风险的目标系统,提高了效率,减小了成本。通过结构化的方法改进认证认可过程,可以建立系统安全性度量标准并且把这些标准融合、联系起来;使知识管理成为管理目标关键系统的一种方法。至于其它形式的风险管理过程的优化可以在建模和模拟时结合系统风险管理和诸如攻击、保护、防御等信息操作形成。2 系统风险评估风险评估的首要目的就是评估系统威胁、脆弱性及其造成的影响。技术的改进和操作需求的改变使得软硬件发...  (本文共4页) 阅读全文>>