题目：基于专家评分和回归分析的信息安全风险评估方法研究

随着信息技术的发展，信息系统在国家的政治、军事和经济领域的广泛应用，整个社会对信息系统的依赖性越来越大，信息系统的安全问题己成为关系经济稳定发展和国家安全的社会问题。对信息系统进行有效的风险评估，选择有效的防范措施，主动防御信息威胁是解决信息系统安全问题的关键所在[1]。由于信息系统组成和逻辑关系的复杂性，再加上目前我国的信息安全风险评估工作刚刚起步，具体的评估方法、指标体系、支撑软件等还很不完善，或者缺乏现实的可操作性。本文针对风险评估中资产的价值，脆弱性及其资产面临的威胁的评估，提出了一种新的具有良好可操作性的风险评估方法。
文章基于我国的“GB-信息安全风险评估规范”，同时参考国外优秀的信息安全风险评估标准，对多数文献中进行风险评估时采用最大值作为代表值的做法改为采用平均值作为其代表值，而且在评估资产价值时，针对CIA三元组的评估增加了权重指标。另外，对脆弱性和威胁的评估增加更多的参考指标。例如在对脆弱性评估时，必须参考其隶属关系、对资产暴露程度、技术实现难易程度等。在对威胁进行评估时，必须参考威胁对资产的危险程度、对机构的危险程度、攻击恢复费用、防范费用，以及威胁名称、威胁对象、威胁主体等。
采用文章采用Delphi法构建专家评分模型，将该模型应用于对资产的价值(包括保密性、完整性、可用性)、威胁以及脆弱性等要素进行评分。基于专家的知识和经验，经过多轮意见征询、反馈和调整，使估计值更接近真实值，得出的结果更加的权威，有较高的信度和效度。
文章利用相关分析研究风险评估要素之间的关系，用回归分析对专家评分的样本数据进行总体估计，估计出风险计算的总体回归模型和总体回归方程，并通过模型检验和参数检验以保证其准确性，一定程度上解决了风险评估中定量的难题。
本文的研究主要分为六部分，第一部分论述了文章的研究背景，研究目的和方法，综述了国内外关于信息安全风险评估的研究现状以及风险评估的目的和意义。第二部分基于我国的“GB-信息安全风险评估规范”和“ISO/IEC TR 13335-3”以及“ISO/IEC 17799、ISO/IEC27001”阐述了信息安全风险评估的概念和定义、要素和关系模型、风险评估流程、风险分析原理和评价方法。第三部分基于Delphi法构建了专家评分的信息安全风险评估模型，通过构建专家组，采取专家评分法对资产价值、脆弱性、威胁、以及风险进行评估，获得风险评估的样本数据。第四部分是实证研究，将第三部分构建的专家评模型应用于广西联通BSS系统，严格按照第二部份介绍的风险评估方法和流程，挑选BSS系统一种关键资产分别进行了资产价值、脆弱性、威胁风险评估以获取风险评估样本数据；第五部分继续完成实证研究，将相关分析和回归分析方法综合使用，利用SPSS软件基于第四部分专家评分的样本数据估计回归模型和回归方程，并通过模型检验和参数检验其方程的可行性。第六部分对本文的研究进行了总结，提出了下一步的研究工作和计划。