文档介绍:四川大学硕士学位论文一年——月——日基王信息逾的凰险诬值丕统的遮让里塞理奎塑迸完成日期年—戴塞垃硒究员通信当信息丕统圆终丕统墨信息塞全作者培养单位四川太堂指导教师研究方向授予学位日期题目专业
基于信息流的风险评估系统的设计与实现要摘通信与信息系统专业研究生李均锐指导教师戴宗坤在计算机技术和网络通信技术的推动下,信息迅速成为支配人类社会发展进程的决定性力量之一。但是,随着信息的共享与交流越来越广泛、越来越方便,信息也面临更多的危险:窃取、破坏、污染或篡改等等。各领域的信息安全,尤其是互联网信息安全成为目前急需解决的问题。信息安全已经成为国家安全的重要组成部分,因此为保证信息安全,建立信息安全保障体系已成为目前安全建设的首要任务。信息安全保障涉及方方面面,其中信息安全管理是关键环节之一,风险评估作为信息安全管理的重要内容,在信息安全管理体系建设的各个阶段发挥着重要的作用。风险评估的进行离不开风险评估工具,本文在深入研究国际国内各种评估标准、模型及评估方法的基础上,重点研究了基于信息流的风险评估系统的实现问题。本文首先探讨了信息安全保障、信息安全管理、风险评估的相互关系及其重要性,讨论了安全管理与风险评估在国际国内的现状与发展趋势,研究了经典的和常用的准则及模型,如癙等文献和模型。本文着重阐述了基于信息流的风险评估系统的设计与系统原型实现中的若干问题。本文参考的评估模型及方法,来源于四川大学信息安全研究所近年来提出的基于信息漉的风险评估模型和方法,即从信源到信宿全通信保护角度研究信息系统安全风险分布规律及估值方法,结合等级保护导出安全保护需求,并与已采取或待采取的安全保护措施进行符合度比较,旱嫉较低嘲踩ǖ燃断碌姆缦樟炕凸计。这种方法把资源从信息流向的角度分为龇缦沼颍俑葑试吹募壑担机密性、完整性和可用性等方面分析每个风险域中各资源面临的风险,应用数学方法对资源、风险进行形式化描述,采用层次分析和模糊数学的方法量化每个风四川大学硕士学位论文、
险。在此基础上,导出被评估系统的安全需求及安全措施需求,并将其与信息系统的安全措施进行符合度比较,以确定信息系统总的安全状况,为信息系统设计与安全性改进提供依据。本论文根据这些研究成果,实现了一个风险评估的原型系统。该系统能根据输入的被评估网络信息系统的相关参数,生成资源分布情况报告、脆弱性分布情况报告、风险分布情况报告和风险评估报告。关键词:信息安全:信息流:资源分布;风险评估;模型;模糊综合评判。四川大学硕士学位论文基于信息流的风险评估系统的设计与实现Ⅱ
,:,,;基于信息流的风险评估系统的设计与实现篊:瓾篠,琾瓵瑃甌琣,琣.,琺琲,,四川大学硕士学位论文,甒
琫.,瑂,甒;琲,籸/.;四川大学硕士学位论文基于信息流的风险评估系统的设计与实现琭,,琲琧琭琣,甀瓵琣,甇,,.,篒,籉
攀研究的目的与意义济安全、社会稳定的全局性战略问题,是国家安全的重要组成部分。荐依据标准的测试、评估,建立政府主导的信息安全测评认证体系,对信息安全争愈演愈烈,信息安全成为维护国家安全和社会稳定的重要手段,各国都给以极大的关注与投入。传统的管理模式和技术手段已不完全适应开放互连网络环境下的概念。保护信息系统的安全,国际公认的、最有效的方式是采用系统工程的方理取决于准确的信息安全风险评估,因此信息安全风险评估是信息安全保障体系目前,我国国民经济和社会信息化进程全面加快,信息技术得到广泛应用,网络与信息系统的基础性、全局性作用进一步增强,成为国家的关键基础设施。随着信息化的发展,信息安全问题日益增加、日渐突出,已经上升为事关国家经随着经济全球化和以因特网为代表的全球网络化、信息化的发展,信息技术已经成为应用面最广、渗透性最强的战略性技术。我国大量建设的各种信息化系统已经成为国家关键基础设施,其中许多业务也已经与国际接轨,诸如电信、电子商务、金融网络等。由于信息安全产品和信息系统固有的敏感性和特殊性,直接影响着国家的安全利益和经济利益,从而信息安全保障能力成为世纪综合国力、经济竞争实力和生存能力的重要组成部分,成为世纪之交世界各国在奋力攀登的制高点。世界各国特别是西方发达国家纷纷颁布信息安全标准,推产品的研制、生产、销售、使用和进出口实行严格、有效的控制,对构成信息系统的物理网络、虚拟网络及其有关产品,以及信息系统的运行和服务进行测试评估,对信息系统的管理和保障体系进行评估验证。信息是社会发展的基本要素之一。国际上围绕信息的获取、使用和控制的斗对网络安全问题的解决。中认为,信息安全已不只是人们传统意义上的安全,即添加防火墙或路由器等简单的设备就可保证安全,而是一种系统和全局法,管理与技术并重的、积极的和消极的防御相结合的方法。有效的信息安全管建立和生命周期中的重要的评价机制。但在目前,由于评估内容的复杂性