分享到:

信息安全风险评估方法研究与应用

随着计算机技术及网络技术的蓬勃发展,如何保证信息安全成了一个日益重要和棘手的问题。因为随着技术的发展,影响信息安全的因素也日益增多。为了预测和防范可能存在的安全风险,及时发现和定位安全威胁的来源,分析安全风险和安全问题的影响,评估安全风险和安全问题的严重程度,我们需要进行信息安全风险评估。信息安全风险评估的方法有很多,当前使用较多的方法为层次分析法(Analytic Hierarchy Process,AHP)。它的基本思路是:首先找出问题涉及的主要因素,建立信息安全风险的威胁识别层次模型和脆弱性识别层次模型;然后再通过比较各要素之间的两两关系,确定各要素的相对重要性,得到各要素的综合权重。但是在评估过程中使用层次分析法也存在若干不确定因素,比如,各要素之间可能互无联系,专家的个人喜好等主观因素往往会左右评测结果。如何改进层次分析法,使其在上述情况下也能对信息安全进行科学的评估,成了一个亟待解决的问题。本文着重研究如何利用灰色系  (本文共55页) 本文目录 | 阅读全文>>

哈尔滨理工大学
哈尔滨理工大学

中国人民银行省级分支机构信息安全风险自评估研究

近年来,随着经济全球化不断扩展,金融创新的广度和深度不断扩展,我国的金融业信息化工作得到快速发展,规范、方便、高效、安全的金融业信息化服务体系初步建成。与此同时,金融业对信息技术的依赖程度越来越大,金融业信息安全保障难度持续加大,给我国金融业信息安全带来新的更大的挑战。本文在对国内外信息安全风险评估现状进行研究的基础上,结合国内外信息安全分级保护标准体系以及人民银行信息系统特点和安全需求,建立综合定性和定量方法的信息安全风险自评估模型。通过在人民银行某省级分支机构应用此模型进行信息安全风险自评估的具体实施,并依据评估结果改进和完善其信息安全体系。具体研究内容如下(1)通过分析人民银行信息网络的安全特点及安全需求,分析风险评估的国内国际标准以及人民银行系统信息安全相关的规范,研究人民银行信息系统网络的几种主要风险,威胁发生的主要途径;并通过对这些特征信息的研究,构建一种综合定性和定量方法的信息安全风险方法,确定风险计算模型。(2)...  (本文共57页) 本文目录 | 阅读全文>>

山东轻工业学院
山东轻工业学院

基于知识库的信息安全风险评估技术研究与软件实现

信息领域的安全问题随着信息化的发展而日趋严重,引起了国内外的广泛重视。但研究发现:信息系统中没有绝对的安全,也没有彻底的危险,只是当存在的安全风险超出安全措施的控制范围时才可能引发安全事件的发生。因此对信息系统的安全管理实质上也就转化为对信息系统本身存在的风险和采取的安全措施进行管理和控制,通过分析存在的风险及采取的风险控制措施,权衡轻重,把风险降低到一个可接受的程度,这个过程的组织与实施工作就由信息安全风险评估这门学科来完成。实际上,对某信息系统进行评估就是在安全与风险之间寻求一个平衡,既要保证信息系统的安全运行,又要防止因风险控制措施的实施而产生成本过高问题。因此风险评估过程是一个动态的、循环往复的平衡过程,是一个不断降低安全风险的过程,也是一个在信息资产的风险与采用安全措施的成本代价之间寻求平衡的过程。本文在充分学习信息安全风险评估理论的基础上,介绍了信息安全风险评估的发展历程及研究现状,阐述了信息安全风险评估的基本概念和...  (本文共70页) 本文目录 | 阅读全文>>

吉林大学
吉林大学

信息安全风险管理、评估与控制研究

论文在对国内外相关信息安全风险管理的研究成果及存在的问题进行综合评述的基础上,对论文的研究内容、研究方法和技术路线进行概括阐述。同时介绍了风险管理的一般理论,详细阐述了信息安全与信息安全风险、信息安全风险管理的基本理论,引入与风险管理相关的内部控制理论,为论文的后续研究工作做好理论铺垫。论文首先对典型的三个国际信息安全标准中提出的信息安全风险的构成要素及相互关系分别进行了阐述,提出了面向任务的信息安全风险构成要素,同时对信息安全风险的形成机制进行了深入而全面分析;接着对国内外典型的信息安全风险管理过程进行了阐述和比较,提出了一种改进的信息安全风险管理过程;对信息安全风险评估两个主要过程风险分析流程和风险估计流程进行了详细阐述;接着是信息安全风险评估方法的研究,对层次分析法、模糊综合评价方法、贝叶斯网络方法、故障树方法、因果图方法进行介绍和比较分析,建立了适用于信息安全风险评估的模糊动态因果图方法,并给出了应用实例。接着在以上研究...  (本文共252页) 本文目录 | 阅读全文>>

北京交通大学
北京交通大学

信息系统风险评估及风险管理对策研究

随着经济全球化和信息技术的迅猛发展,信息系统在国家的政治、军事和经济等领域应用的日益广泛,整个社会对信息系统的依赖性越来越大,信息系统的安全问题已经成为一个关乎国家政治稳定、社会安定和经济健康有序运行的全局性重要问题。信息安全管理本质上是基于风险的管理。当前信息技术迅猛发展,信息安全管理理论和方法正经历一场重大的变革:从单一的技术手段到“技术与管理”并重的综合治理手段;从局部的工程管理到全局性的系统管理;从标准不完善的经验式管理到安全等级分明的科学管理;风险评估对象从综合评估到人因评估、从现状评估到趋势评估;评估方式从静态评估到动态评估;评估手段从手动评估到自动评估;评估方法从定性评估、定量评估到定性和定量相结合。结合信息系统实际情况,对相关科学的理论和方法进行完善与创新,是确保信息系统风险评估与管理工作不断完善的必要前提。本文遵循定性-定量-定性的分析研究思路,着眼于从技术层面和管理层面的有机结合,从信息系统风险评估与管理过程...  (本文共181页) 本文目录 | 阅读全文>>

中国海洋大学
中国海洋大学

计算机网络信息安全风险评估标准与方法研究

随着计算机多媒体技术、互联网技术的快速发展和改进,其已经在电子政务、电子商务、金融证券、通信运营等领域得到了广泛的应用,取得了显著的成效。在计算机网络为人们工作、生活和学习带来极大便利的同时,也带来了潜在的威胁,尤其是随着新时期计算机网络中传播的木马、病毒开发技术的更新升级,计算机网络信息系统自身固有的漏洞等,都已经成为网络信息系统推广和运行的最大障碍。面对快速增长的计算机网络信息安全需求,仅仅从被动的防御技术等方面无法满足网络安全防御,并且不能够从根本上解决网络安全防御问题,信息系统的安全需要全面的进行防控。因此,计算机网络信息安全风险评估可以有效的分析网络信息系统目前和未来的风险发展趋势和发生位置,评估这些风险给计算机网络信息安全带来的威胁及其影响程度,以便更好地制定安全防御策略,为计算机网络信息提供安全运行保障。目前,计算机网络信息系统安全风险评估主要包括定性分析、定量分析和混合分析三种模式,尤其是层次分析方法,其作为一种...  (本文共55页) 本文目录 | 阅读全文>>