学位论文 > 优秀研究生学位论文题录展示

信息安全风险自评估方法的研究及其辅助工具的设计与实现

作 者: 崇小蕾
导 师: 雷震甲
学 校: 西安电子科技大学
专 业: 情报学
关键词: 信息安全 风险管理 自评估 评估工具
分类号: TP309
类 型: 硕士论文
年 份: 2006年
下 载: 220次
引 用: 1次
阅 读: 论文下载
 

内容摘要


随着网络技术的飞速发展,信息借助于网络快速的传播,信息系统的安全性也受到来自多方面的威胁,因而,如何保证信息系统安全也日益被提到日程。在几十年的系统安全研究中,人们也深刻认识到:信息系统安全问题单凭技术是无法得到彻底解决的,它的解决涉及到法规政策、管理、标准、技术等方方面面,任何单一层次上的安全措施都不可能提供真正的全方位的安全,信息系统安全问题的解决更应该站在系统工程的角度来考虑。在这项工程中,信息系统安全风险评估占有重要的地位,它是信息系统安全的基础和前提。信息安全风险评估分为自评估和他评估两种类型,其中,自评估是组织为了定期了解自身安全状态而进行的一种评估活动,在组织信息安全管理中有着重要的作用。为了使组织自我的风险评估工作更具科学性和合理性,有必要在进行评估前确定一个评估实施的流程和方法;并且风险评估中需要采集大量的数据,评估过程相当复杂,系统需要保留所有采集数据以备日后查询、核对、检验、分析,而且需要评估人员具有丰富的评估经验。因此,开发设计有效的评估辅助工具对于缩短评估周期、节省人力物力、保证评估实施的科学性和有效性都至关重要。本文首先介绍了信息系统的安全以及信息系统风险管理和风险评估的背景知识,在研究了国内外相关标准的前提下提出了一套自评估的方法,并对具体的实施进行了分析,这些对具体的评估活动有着重要的指导作用。在这个风险评估流程基础上,给出了一个有效的风险评估辅助工具的设计方案。本方案中,根据风险评估涉及要素多、过程复杂、不易实施等特点设计了内容丰富的信息库,包括了资产、威胁和脆弱点的分类及分级等重要信息,使用户可有效地对要素进行识别和赋值。同时,方案的设计能够为识别出的威胁提供控制措施,并在评估的最后,按照矩阵法对系统风险值进行计算,使用户清晰地了解信息系统安全状况,并采取有效的控制措施。

全文目录


摘要  3-4
Abstract  4-7
第一章 引言  7-13
  1.1 背景介绍  7
  1.2 信息安全概述  7-9
  1.3 信息系统安全国内外研究现状  9-11
  1.4 研究的内容  11-12
  1.5 论文的章节安排  12
  1.6 项目支持  12-13
第二章 信息安全风险评估  13-24
  2.1 信息安全风险管理概述  13-16
    2.1.1 基本概念  13-14
    2.1.2 信息安全风险管理的目的和意义  14
    2.1.3 信息安全风险管理的范围和对象  14-15
    2.1.4 信息安全风险管理的内容和过程  15-16
  2.2 信息安全风险评估  16-24
    2.2.1 信息安全风险评估的发展  16-18
    2.2.2 国内外风险评估标准体系的发展  18-19
    2.2.3 信息安全风险评估标准  19-20
    2.2.4 信息安全风险评估方法  20-21
    2.2.5 风险评估要素关系模型  21-22
    2.2.6 信息安全风险评估发展存在的问题  22-24
第三章 风险自评估方法和流程  24-33
  3.1 风险评估的准备  25
  3.2 资产评估  25-26
  3.3 威胁评估  26-29
  3.4 脆弱点评估  29-30
  3.5 对已有安全措施的确认  30
  3.6 风险计算  30-31
  3.7 风险等级的划分  31
  3.8 控制措施的选择  31-32
  3.9 残余风险的评价  32-33
第四章 信息安全风险评估工具的设计与实现  33-47
  4.1 软件总体架构设计  33-34
  4.2 信息库的设计  34-43
    4.2.1 信息库资产部分数据表  34-38
    4.2.2 信息库威胁部分数据表  38-42
    4.2.3 信息库脆弱点部分数据表  42-43
  4.3 基本系统  43-46
    4.3.1 资产评估  43
    4.3.2 威胁评估  43-44
    4.3.3 脆弱点评估  44-45
    4.3.4 确认控制措施  45
    4.3.5 风险计算  45-46
  4.4 工具的实现  46-47
第五章 结束语  47-48
致谢  48-49
参考文献  49-51
研究成果  51

相似论文

  1. 矢量CAD电子图纸保护系统研究,TP391.72
  2. 露天矿生产事故人因风险管理措施研究,TD771
  3. 我国涉密电子政务网信息安全建设对策的研究,D630
  4. 第24届大冬会竞赛管理系统项目风险管理,G812.2
  5. 基于可持续发展观的森林经营权益融资创新研究,F326.2
  6. 一种FFTT非对称加解密算法的研究与实现,TP309.7
  7. A建筑工程项目业主方风险管理研究,F284
  8. C公司信息安全管理研究,F270.7
  9. A供电公司信息管理安全与防范对策研究,F426.61
  10. 物联网安全技术的研究与应用,TN929.5
  11. 数字信息资源安全风险评估体系的构建,G353.1
  12. 沈阳远大国际幕墙工程项目风险管理研究,F426.92
  13. 我国农村金融机构合规风险管理研究,F832.35
  14. 新资本协议与银行风险管理,F832.2
  15. 山东农信网上银行信息风险管理研究,F832.2
  16. CD商业银行IT风险管理研究,F832.2
  17. 我国商业银行信用衍生品应用研究,F224
  18. 透过次贷危机看巴塞尔协议的改革方向及对我国的启示,F832.1
  19. 面向服装制造企业的服装供应链风险评估及模型研究,F274;F224
  20. 华谊公司丙烯酸项目的风险管理研究,F426.72
  21. 利率市场化进程中的我国商业银行利率风险管理研究,F224

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 一般性问题 > 安全保密
© 2012 www.xueweilunwen.com