文档介绍：大连理工大学
硕士学位论文
基于ISO27001的风险评估系统的设计与实现
姓名:王阳
申请学位级别:硕士
专业:软件工程
指导教师:唐达
20070519
要摘随着计算机技术与网络通信技术的高速发展,信息的价值变得越来越重要,但是,随着信息的共享与交流的越来越方便、快捷、广泛,信息也越来越面临着更多的危险:窃取、泄漏、破坏以及篡改等等,各领域内的信息安全问题已经越来越重要,尤其是对以信息技术为企业核心竞争力的公司来说,其重要性日见明显。因此,为了保证信息的安全,建立信息安全保障体系不但成为各企业安全建设的主要任务,同时也是国家安全的重要组成部分之一,信息的安全保障涉及方方面面,其中信息安全管理是关键环节之一,风险评估作为信息安全管理的重要内容,在信息安全管理体系建设的各个阶段都发挥着重要的作用,风险评估地进行离不开风险评估工具,本文结合了作者所在公司的需求,重点研究了基于信息安全管理标准的风险评估系统的实现问题,提供了整套设计方案,并最终用软件进行了实践。本文分析了信息安全保障,信息安全管理,风险评估相互关系及其重要性,讨论了安全管理与风险评估在国际国内的现状与发展趋势,研究了常用的标准及工具:、、,从机密性、完整性和可用性等方面分析了每个风险领域中各资源面临的风险,应用数学化方法对资源风险进行形式化的描述及量化处理,在此基础上,导出被评估系统的安全需求及安全措施需求,并将其与信息系统的安全措施进行符合度比较,己确定信息系统总的安全状况,为信息系统设计与安全改进提供了依据。这篇论文的设计出发点是作者按照作者所在公司的业务需求分析了公司的实际情况,公司一共三大部门,多个项目,如果每一个项目都按照传统的认证方法来进行认证的话,将是一个漫长而又耗费资金的过程,作者所在的公司质且桓鲆孕息技术,咨询为企业核心主营业务的高新技术企业,信息安全历来都是重中之重,按照公司以往在信息安全方面的要求,全球性的信息安全方面的认证,基本上都是只要有最新的标准跟要求,就会考虑通过,这不仅仅是客户的需求,同时也是企业自身的在信息安全方面的重视。是必须通过的一个认证,因此作者浏览,参考和总结了在之前的全球性的有关信息安全方面相关认证要求和内容,结合了淖钚掳的评估标准,把所要求的个管理要项,个管理目标,龉芾泶胧┖喔龉芾硪5阃ü既氪罅康闹J犊馐萦氡曜际菘庀嘟岷希荽忧白龉娜证的经验,将实际的人工的评估过程用软件流程实现,并且在公司内部棵沤辛的认证试验。大连理工大学专业学位硕士学位论文、
作者根据这些研究成果设计实现了一个风险评估系统,能根据输入的被评估信息的环缦掌拦溃恍畔踩ǎ环缦掌拦懒鞒相关参数,以及相关项目的问卷调查和对所要评估的系统的漏洞扫描,生成资源分布情况报告,脆弱性分布情况报告,风险评估报告等相关报告,从而实现了按照的标准,对企业项目在信息安全方面的风险进行了评估。关键宇:基于的风险评估系统的设计与实现
,.瑃篒琁珺珺,
瑃:::,基于的风险评估系统的设计与实现,,:.琣,—
作者签名:—垒址日期:—之独创性说明作者郑重声明;本硕士学位论文是我个人在导师指导下进行的研究工对本研究所做的贡献均已在论文中做了明确的说明并表示了谢意。作及取得研究成果。尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写的研究成果,也不包含为获得大连理工大学或者其他单位的学位或证书所使用过的材料。与我一同工作的同志
窿丝竽细丑曰多彳日大连理工大学学位论文版权使用授权书本学位论文作者及指导教师完全了解“大连理工大学硕士、博士学位论文版权使用规定”,同意大连理工大学保留并向国家有关部门或机构送交学位论文的复印件和电子版,允许论文被查阅和借阅。本人授权大连理工大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,也可采用影印、缩印或扫描等复制手段保存和汇编学位论文。作者签名:导师签名:火连理工大学硕士研究生学位论文
髀信息系统安全概述信息:通过在数据上旌加某些约定而赋予这些数据特殊含义【”。建立在网络基础之上的现代信息系统,其安全定义较为明确,那就是:保护信息系信息作为一种资产,是企业或组织进行正常商务运作和管理不可或缺的资源。从最高层次来讲,信息安全关系到国家的安全;对组织机构来说,信息安全关系到正常运作估。全球性的,有影响力的安全公司会不定期的推出新的信息安全方面的标准,并且根同时,信息也是社会发展的基本要素之一,对于信息的获取、使用、控制的斗争愈的关怀和投入。传统的管理模式和技术手段已经不完全适应开放的互联网络环境下对信大连理工大学专业学位硕士学位论文信息安全是一个广泛而抽象的概念,不同领域不同方面对其概念的阐述都会有所不同。统的硬