文档介绍:方法的信摘‘,与组织业务相关的信息系统已经成为信息安全一旦遭到破坏,不仅会使组织信息的安全属性遭受损害,而且会对组织业务运行造成巨大影响,其损失不仅包括经济方面,还可能对组织形象、声誉甚至是战略性竞争优已有的信息系统信息安全风险管理方法将信息系统风险分析与评估同具体的组织环境和业务背景相割裂,缺乏对风险形成过程的分析与描述,进行安全决策时单纯考虑“技术”因素、缺乏对组织决策层期望实现的多个决策目标的全面表达。为弥补上述不足,本了信息系统信息安全风险管理方法的整体框架。,保障其信息安全的重要性受到广泛关注。组织信息系统的势造成致命损伤。因此,。并对该方法所涉及的关键问题进行了深入研究,为组织进行信息系统信息安全风险管理提供了一条新途径。论文的研究内容和主要贡献如下:第一,通过对基本思想、管理周期、过程与方法以及组织管理四个方面的描述,建立程构成的流程框架为组织实旄信息系统风险管理提供一套规范的程序。该方法充分体现了现代信息安全风险管理思想,具有面向组织具体的业务背景进行风险因素识别与分析,基于风险事件形成的动态过程计算风险事件频率,基于适度量化原则对信息安全风险进行度量。综合权衡多个决策目标求解理想安全方案等特点。第二,给出了通过利用图苑缦帐录探薪5姆椒ā=了信息系统安全性分析模型,提出了基于该模型生成利用图的算法,。运用利用图对风险事件过程进行形式化描述,可模拟威胁发起者的思维过程,全面而细致刻画出威胁发起者制造风险事件的各种可能的行动方案;以及各个方案中脆弱性利用行为间的时序关系,为理解风险事件形成的动态过程提供清晰的视图。第三,:威胁发起者攻击尝试频率的预测方法;基于利用图计算风险事件最大成功概率的算法;根据贝叶斯网络理论计算利用图中原子利用节点的成功概率的方法。第四,提出并探讨了基于模糊息安全风险事件损失值计算方法。其中包括:信息安全风险事件的损失层次全息模型;用于模糊多准则评估的模糊方法;运用语言变量表示两两比较矩阵中决策者的模糊偏好信息的方法;,不仅能直观地反映风险事件给组织带来的危害性后果,而且便于安全决策人员对安全方案进行费效比分析,使得安全决策人员能将安全决策纳入到经济分析框架下来,从而可以使用经济学理论为信息安全管目防科学技术大学研究生院学位论文第
关键词;信息系统信息安全风险管理利用图风险事件建模模糊方法安全决策模糊多目标优化’第五,建立了一个完整的信息系统安全决策框架。该框架包括安全决策启动判断、安全投资预算调控和风险控制决策三个阶段。对于安全决策启动判断阶段,在给出安全决策启动条件的基础上确定了安全决策启动判断的流程。对于安全投资预算调控阶段,设计了动态调整组织当前的信息安全投资预算的流程,建立了信息系统最小安全投资额模型,提出了求解该模型的基于模糊算子的自适应遗传算法焊盟惴ú捎昧俗允视Φ囊传算子,基于模糊算子进行约束处理。并且在求解的解码过程中运用总全局风险值更新算法实现对安全方案对应的信息系统残余风险的计算。对于风险控制决策阶段,建立了信息安全风险控制的模糊多目标优化模型及该模型的求解框架,提出了求解该模型的基于模糊算子的扩展进化算法:该算法基于模糊算子进行约束处理,通过解集过滤器、小生境技术和优秀解培育过程的操作保证了解的多样性,加速了解的收敛过程。最后给出了在模型解集合中求解最满意安全方案的模糊多属性决策方法。基于信息系统安全决策整体框架,可以最终求解出一个整合所有安全决策人员意见、充分考虑多个决策目标且能将信息安全风险控制在可接受范围之内的理想安全方案。最后,在信息系统理论方法研究的基础上,给出了一个信息系统信息安全风险管理的应用实例。国防科学技术大学研究生院学位论文第Ⅱ页
删畉或嘲甥【啦淄嘲龋甀痟’∞锄飘血鄂乇豤‘琪鴓懦竚醥阷盯耬4盒弧辤誧瓤н汀辧ヽ:╬籭国防科学技术大学研究生院学位论文∞Ⅲ页;,猳.:;瓵.;.
,甀腶嗣防科学技术大学研究生院学位论文趒璐,嬲抻目第Ⅳ页甌萻萀”.,篴五可面;吼盯锄辬瑆———.緁:,駍畊盈..“蚋∞護
棚衚辤妣洗S腸幻琣锄鰊茹/醥蹦娥裭∞