文档介绍：网络信息系统风险评估方法研究应用数学专业研究生:胡勇【摘要】随着信息化进程的推进和深入,信息系统在各行各业应用的广度和深度不断拓展,信息系统的重要性愈显突出。信息安全问题逐渐受到信由于信息系统的重要性、计算机网络的开放性、信息系统组成部分的脆弱性和用户的有意、无意不当操作或恶意的破坏企图,使信息系统面临许多风险,这是信息安全问题产生的根本原因。基于成本和效益的考虑,以及对信息技术不断发展的现实等认识,解决信息安全问题的思路不是倾尽人力、物力、财力,将风险彻底降为零,达到绝对的安全率瞪希参薹ù锏骄对的安全且园逊缦战档偷叫畔⑾低晨梢越邮艿乃剑佣剐畔⑾低的安全性得到提高为目标的。为了达到该目标,必须知道信息系统面临哪些风险,其分布情况和强度ǚ⑸目赡苄杂敕⑸蟮乃鹗有多大。这信息系统风险评估的研究由来已久,在评估流程和方法,以及工具软件的开发上都有很多成果,但体系性、理论性和实用性都存在着很大争议,在本文从基于信息流的资源分布入手研究风险分布规律,构建了信息系统的风险评估过程,研究了风险评估的几个关键问题。论文首先综述了风险分析的一般理论和方法,并对自然灾害、社会稳定、经济与金融、工程项目管理和信息安全中的风险评估方法进行了比较分析,挑选出可以借鉴的其它领域风险评估的一些理论、流程和方法,同时结合信息系统风险的特点,研究信息系统风险评估方法。接下来,为引出风险评估过程,研究了风险评估的要素及其关系模型。风险评估涉及到信息系统的很多因素,有:人、环境、业务战略、法律、法指导教师:周仲义院士息系统所有者、管理者和使用者的重视。是信息系统风险评估工作的基本内容。理论和方法上都还有很多值得进一步研究的地方。摘要
件、安全需求、安全措施、安全保护等级等。这些要素在风险评估过程中必须考虑。而风险评估要素关系是指各个评估要素在风险评估过程中和互之间本文接着对信息系统风险评估的流程进行了描述,并对风险评估的业务需求与安全目标、资源识别与分布、风险分析、风险量化评估、安全需求导出、安全措施需求导出、实际安全措施与安全措施需求符合度检查、残留风法,为信息系统风险的确定提供了方法。本部分论文也对风险的识别和验证对风险的评估量化包括风险可能性和后果的量化。由于风险的复杂性、关联性和多样性,评估分为主观评估和客观评估。对客观评估来说,可能性评估可以通过分析风险的特点给出概率分布:后果的量化评估由安全事件造成的可量化的损失给出。对某些不能直接客观评估的风险,采用主观评估方法,分析安全事件与风险的关系,根据安全事件构成要素及其属性提出信息系统风险评估指标体系。采用模糊综合评判方法,通过对评估指标的量化完成风险的量化评估。在对风险进行分析和评估量化后,得到了信息系统存在的风险及其强度。为了使信息系统达到一定的安全等级,需要采取相应的安全措施以对抗风险,这就需要研究信息系统的安全保护需求。信息系统的安全保护需求的依据是全措施来满足。论文采用了多目标的决策方法,研究安全措施的选择。最后介绍根据研究成果开发的信息系统风险评估工具的一些设计思路。关键词:信息流、风险、风险指标、风险等级、安全措施有效性、多级模糊综合评判、符合度、安全性评估、残留风险、安全保护等级规及人文环境、资产、资产价值、威胁、脆弱性、风险、残留风险、安全事的因果、依赖等关系。这些关系决定了风险评估的流程。险估计等环节的研究内容进行了阐述。在基于信息流的信息系统资源分布模型基础上,根据风险点的分布结构,以信息系统资产、安全性和脆弱性分布分析提出信息系统风险点分布分析方进行了探讨。信息系统的客观要求和信息系统的实际风险。安全需求可以通过实施各种安论文还对安全保护等级与风险评估的关系进行了探讨。摘要
瞞踟..琣篈縒..躢勰,,,畉痗琤,∞,.瓹:瓵甌甀畐琫瓸痷.
..甌甌篿琲,,垃辭甌瓸,琣,,瑂瑃.’,’痳瑃琫,瑂,.’琣瑀瑀,Ⅱ
研姓撼指导教师:只谢,毋夕年,月上矛目指导教师:。蹋堋声明工。口鹿は教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得四川大学或其他的任何贡献均已在论文中作了明确的说明并表示谢意。本学位论文成果是本人在四川大学读书期间在导师指导下取得的,论文成果归四川大学所有,特此声明。四川大学博士学位论文
佳在自然界和人类社会活动中,包括创造精神和物质财富的一切活动都在安全与危险的矛盾之中演化,安全和危险这对矛盾的运动贯穿始终。大气污染、核灾害、化学污染、交通航运事故等等都是与安全相关的事件。自然资源的开采和利用带来了自然环境的变化和破坏;机电设备的广泛应用带来了各种机电事故;人在