基于EA模型的业务安全评估方法的研究
(0) 随着信息技术的快速发展,信息安全问题日益严重,信息安全风险评估是发现信息安全风险最有效的手段.然而,由于传统的风险评估方法是以信息系统及相关资产为评估对象,很难发现业务层面的问题,而用户关心的是业务的安全运行.在此背景下,本文首先对传统面向资产的评估方法的不足进行描述,然后提出了”基于EA模型的业务安全评估方法”,对该方法从安全需求分析与映射、现场测试和业务影响评估三个方面进行描述,涉及的工具模型包括价值链模型、EA模型、IDEF0模型和STRIDE威胁模型.通过该方法能够发现传统面向资产的评估方法很难发现的业务层面的问题,满足用户保障业务安全运行的安全需求,提高了评估工作的有效性和针对性.
信息系统 安全风险 评估方法 EA模型
陈锦 李斌 班晓芳 佟鑫 王禹 宋璟 凌晨
中国信息安全测评中心 北京100085
国内会议
北京
中文
307-315
2015-10-23(万方平台首次上网日期,不代表论文的发表时间)