当前位置: > 硕士毕业论文 > 30000字硕士毕业论文基于灰色系统理论的信息安全风险评估方法探讨

30000字硕士毕业论文基于灰色系统理论的信息安全风险评估方法探讨

论文类型:硕士毕业论文
论文字数:30000字
论点:信息安全,评估,信息系统
论文概述:

研究背景信息时代,互联网的迅速发展使得信息的传播可以即时穿越障碍遍布全球,信息处理不断深入到社会生活的各个部门和领域。随着社会和企业信息化程度的不断提高,信息和网络系统已

论文正文:

  1引言         1.1研究背景信息时代,互联网的迅速发展使得信息的传播可以即时穿越障碍遍布全球,信息处理不断深入到社会生活的各个部门和领域。随着社会和企业信息化程度的不断提高,信息和网络系统已经成为经济发展和日常生活中不可或缺的工具,人类已经逐渐进入信息化社会。人们在追求信息系统快速应用发展的过程中,普遍需要建立一个有序、安全的氛围,然而信息系统的脆弱问题也日益突出。信J息、系统自身的特点和局限性导致了它的发展和应用必将遭受网络黑客、木马、病毒程序、恶意代码、物理故障、人为破坏等各个方面的威胁,信息安全问题所导致的损失也成倍地增长。信息系统遭受攻击出现故障,导致其运转受负面影响的事件不断出现,信息系统安全已成为人们广泛关注的焦点。         据美国计算机紧急事件响应小组协调中心CERT/CC的统计,2003年报告的安全事件(securityincident)数量达到137529件,远远高于2001年的52658件和2002年的82094件[16i如何确保信息系统能够在长时间内处于一个较高的安全水平,是目前急需解决的问题。信息系统的安全管理不是产品,而是一个过程,不能期望通过单一的安全产品就能解决所有的安全问题。安全管理的本质是风险管理,这是因为妥全与风险恰恰是一对矛盾的两个方面,没有绝对的安全,同时也没有绝对的危险。这需要基于风险管理来建立信息安全战略,最合适的信息安全战略实际上就是最优的风险管理对策。信息系统安全的风险管理可以看作是一个不断地降低安全风险的过程,最终目的是使风险降低到一个可以接受的程度,使用户能够接受剩余的风险。面对日趋尖锐的信息安全矛盾,人们在不断的探索防范信息、系统威胁的手段和技术,并且迅速在病毒防护软件、防火墙和入侵检测技术等方面取得了长足的发展。然而,这并没有从根本上解决信息系统所面临的安全问题,来自计算机网络的威胁更是多样化和隐蔽化,黑客、病毒等攻击事件也逐渐增多。于是人们不再仅仅关注单一安全产品的开发,而是重点着力于建设以风险管理为核心的信息、安全管理体系,建立完善、有效的信息安全服务机制。建立信息、系统安全体系时,首先必须明确了解系统的脆弱性,并明确这些脆弱点在什么条件下会形成对信息系统的冲击事件。在信息安全体系建设过程中需要明确地了解这些冲击事件发生的概率和造成的损失,以便选择适当的安全控制方式,制定与之相应的应急预案和管理措施,从而形成系统完整的安全策略。对企业来说,解决信息系统安全的首要问题就是要对自身的网络与信息系统所面临的风险,以及这些风险有可能带来的安全威胁与影响的程度,进行充分的分析与评估。必须遵照国际信息安全管理标准,采用科学有效的模型方法对信息系统进行全面的安全评估,才能有效掌握企业内部信息系统的整体安全状况,分析各种潜在的威胁,以便针对高风险的威胁采取有效的应对措施,提高整体安全水平,逐步建立坚固的信息安全管理体系,这就是信息安全风险评估。       可以说,信息系统的风险评估是确保系统安全的基础和前提。信息安全风险评估(InformationSecurityEvaluation)是一个对构件、产品、系统的安全属性的综合评估,通过评估判断系统是否满足一组特定的要求(评估标准)。信息安全评估另一层次的含义是在一定的安全策略、安全功能需求及其相应保证级别下获得相应保证的过程。安全评估标准定义了评估产品以及系统安全属性的基本原则,它既是面向开发者和评估者的评估准则,同时也是面向用户的实用安全指南,评估方法以安全评估标准为依据,从不同方面对信息系统的安全功能以及相应的保证措施确定可信的级别。评估结果可以用来帮助用户确定信息产品和系统对于他们的应用而言是否足够安全,安全风险是否能够接受。         1985年,美国国防部发布了著名的可信计算机系统评估准则(TCSEC),至今世界各国对安全评估标准的研究和对信息系统所进行的安全评估实践已经进行了20多年。各国根据研究进展和实际情况,先后发布了一系列相关标准,如:美国关于TCSEC的解释TDI,TNI等;英、法、德、荷四国发布的信息技术安全评估准则(工TSEC);加拿大可信计算机产品评价准则(CTCPEC);由加、法、德、荷、英等国与90年代中期所提出的信息技术安全性通用评估准则(CC)。我国与2001年1月1日起实施强制性国家标准《计算机信息系统安全保护等级划分准则》,该准则将计算机信息系统划分为五级:用户自助保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级”5,291随着准则的实施,如何评估特定信息系统的安全保护能力业已成为一个紧迫的课题。目前具有一定实力的专业信息安全公司已在开展信息安全风险评估服 参考文献[1」肖新平,宋中民,李峰.灰技术基础及其应用.科学出版社.2005.吴亚非,李新友,禄凯.信息安全风险评估.清华大学出版社.2007.[3〕王国华,梁楔.决策理论与方法.中国科技大学出版社.2006胡勇,漆刚,陈麟,杨炜.信息系统风险量化评估指标体系.四川大学学报.2006, 43 (5):1048-1052.胡勇,方勇,肖龙等.信息系统风险分析的工程方法研究.计算机工程.2006, 32 (13):2 9-31.王洪利,冯玉强.基于灰云的改进白化模型及其在灰色决策中的应用.黑龙江大学自然科学学报.2006, 23 (6) : 740-745.曾春,薛质.AHP法在信息系统风险评估中的应用.学术研究.2004, 34-36.王奕,费洪晓,蒋,}},. FAHP方法在信息安全风险评估中的应用.计算机工程与科学.2006, 28 ( 9 ):  4-6邓聚龙.灰理论基础.华中科技大学出版社.2002.华光.基于层次分析法的信息安全风险评估研究.现代计算 机.2008, 80-83.张磊,向德全,脊杰.基于灰色理论的军用信息系统安全效能评估。弹箭与制导学报.2006, 27 (1) : 223-225张泽虹.基于评估流程的信息、安全风险的综合评估.计算机工程与应 用.2008, 44 (10):111-115.[13〕周英,曲海鹏,冯庆云,郭忠文.信息安全风险评估中权重优化方法研究。信息安全与通信保密.2008, 63-64.[14」肖龙,戴宗坤.信息系统的多级模糊综合评判模型.四川大学学报(工程科 学版).20042004, 36 (5):98-102.[15]全国信息、安全标准化技术委员会.GB/T 20984-2007信息安全技术信息安全风险评估规范.中国标准出版社.2007[16]程建华.信息安全风险管理、评估与控制研究.〔博士学位论文〕吉林大 学 .2008[17] United States General Accounting Office, Accounting and Information Management Division. Information Security Risk Assessment.I999  致谢 4-5 摘要 5-6 Abstract 6-7 目录 8-11 1 引言 11-15     1.1 研究背景 11-13     1.2 研究现状 13-14     1.3 论文结构 14     1.4 本章小节 14-15 2 信息安全风险评估概述 15-30     2.1 风险评估概述 15-19         2.1.1 风险评估是分析和明确风险的过程 15-16         2.1.2 风险评估的相关概念 16-17         2.1.3 基本要素之间的关系 17-19         2.1.4 风险分析的原理 19     2.2 风险评估过程 19-24         2.2.1 风险评估工作流程应当遵循的原则 20         2.2.2 风险评估的流程 20-24     2.3 风险评估方式 24-25         2.3.1 自评估方式 24-25         2.3.2 检查评估方式 25     2.4 风险的处理 25-27     2.5 国内外安全标准介绍 27-29         2.5.1 CC标准 27         2.5.2 BS7799标准 27-28         2.5.3 OCTAVE标准 28         2.5.4 信息安全风险评估指南 28-29     2.6 本章小节 29-30 3 灰色系统理概述 30-39     3.1 灰色系统理论的基本内涵 30-31         3.1.1 灰色系统理论的基本概念 30         3.1.2 灰色系统理论的基本原理 30-31         3.1.3 灰色系统理论的研究内容 31     3.2 灰评估技术及其应用 31-38         3.2.1 灰评估技术概述 32-35         3.2.2 灰色综合评估 35-38     3.3 本章小节 38-39 4 信息安全风险评估模型建立 39-54     4.1 风险评估指标体系的确定 39-43         4.1.1 组织管理与制度 39-40         4.1.2 环境安全 40-41         4.1.3 安全技术措施 41-42         4.1.4 软件与信息安全 42         4.1.5 网络与通信安全 42-43     4.2 评估指标的无量纲化 43-44     4.3 评估指标权重的确定 44-50         4.3.1 AHP方法的基本原理 44-50         4.3.2 AHP方法的基本步骤 50     4.4 信息系统风险等级的划分 50-52     4.5 本章小节 52-54 5 信息安全风险灰色评估模型 54-62     5.1 三角白化权函数建立 54-56     5.2 灰色评价系数、权向量计算 56-57     5.3 综合评估值的计算、排序和结论 57-58     5.4 实例计算 58-60     5.5 本章小节 60-62 6 信息安全风险评估系统实现 62-74     6.1 系统架构 62-69         6.1.1 资产识别模块 63-64         6.1.2 威胁识别模块 64-65         6.1.3 脆弱点识别模块 65-66         6.1.4 评估管理与计算模块 66         6.1.5 关键数据结构 66-69     6.2 系统测试 69-73     6.3 本章小节 73-74 7 总结与展望 74-76     7.1 总结 74     7.2 下一步的工作 74-76