文档介绍:基于的信息系统安全风险评估研究摘随着计算机的日益发展和普及,计算机病毒、计算机盗窃、服务器的非法入侵破坏已变得日益普遍和错综复杂。任何企业及其信息系统都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏、火灾、水灾等大范围的安全威胁。因此有必要对信息系统的安全性进行评估。对信息系统进行风险评估即脆弱性、系统面临的威胁及其发生的可能性,以及脆弱性被威胁源利用后所产生的负面影响的评估,系统安全的风险评估结果对组织机构在信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策有重要的指导作用。而我国的风险评估研究才刚刚起步,有很多问题值得去研究。本文对信息系统安全风险评估进行了以下几个方面的研究:苑缦掌拦酪K丶涔叵的P偷难芯浚⑾忠话隳P痛嬖诰蔡悸堑娜钡悖通过扩充评估要素集合,特别突出人和评估等级,得到新的风险评估要素关系模型,克服了这个缺点;怨噬狭餍械男畔踩拦辣曜糃进行了分析,得出标准的结构十分清楚、借助它实施风险评估十分清楚和流畅,实旌人员可以依据目录分门别类进行选择和操作,同时,还便于在风险评估后进行核查、教育和培训;訠曜肌⒍亢投ㄐ苑治龇椒ǖ难芯浚岢瞿芄欢訠曜进行改进、定性和定量相结合的风险评估方法,以克服单一评估方法的不足。在具体设计风险评估方法时,采用风险树和风险模式影响分析相结合的方式对进行了实施与应用;ü咛灏咐抡嫜芯浚橹ち舜朔椒ǖ目蒲院涂尚行浴关键字:信息系统;标准;评估要素;风险;风险评估要
,,,琧.,.甌畇痳甌,甌【琫甌’琧,篒,瑂,,甀’痵甦.,.,..甌.
插图清单图信息系统安全层次模型⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯图信息系统的安全过程⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯缦评估要素叵的P汀图风险评估各要素关系模型⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯图风险评估的一般流程⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯图安全措施对应风险要素关系图⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯图过程模式⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯图风险分析工作流程⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯图风险评估定量和定性方法⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯图使用风险树法确定要项权重的过程⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯图资产、威胁和薄弱点对应关系⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯图信息系统安全风险因素层次结构模型⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯图仿真对象系统结构⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯图系统各部分的接口⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯图仿真对象网络拓扑图⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯图
表格清单表甀要素间相对权重标度⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯表风险影响等级定义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯表风险符号定义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯表信息系统资产分类列表⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯表风险评估小组成员⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯表评估小组确定的资产⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯表威胁分析和影响分析表⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯表关键资产威胁值⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯表人员、系统威胁可能性⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯表四部门的权重⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯表各风险要素及风险值⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯表关键资产风险值排序⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯表公文发文模块风险分析报告表⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯表评估方法对比分析表⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯
黼龇。蛳%东蟛,,膨鲜姚童擗漪伽吾芦学位论文者签名:如学位论文作者签字:奶●签字日期:;癙签字日期:莎叼年占月户日邮编:及,··独创性声明学位论文版权使用授权书签字日期;≯矽月/表或撰写过的研究成果,也不包含为获得金魍王些盍堂本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知,除了文中特别加以标志和致谢的地方外,论文中不包含其他人已经发或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。本学位论文作者完全了解合肥工业大学有关保留、使用学位论文的规定,有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许论文被查阅或借阅。本人授权合肥工业大学可以将学位论文的全部或部分论文内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。C艿难宦畚脑诮饷芎笫视帽臼谌ㄊ学位论文作者毕业后去向:/