首页> 正文

面向业务流程的信息安全风险评估研究和实现

2020-12-02阅读(870)

面向业务流程的信息安全风险评估研究和实现

论文摘要

随着互联网的发展与普及,许多企业及组织的业务都要通过电脑和网络来完成,信息化程度的提高也带来了安全的隐患。但任何单一层次上的安全措施都不可能提供真正的全方位的安全,信息系统安全问题的解决更应该站在系统工程的角度来考虑。在这项系统工程中,信息系统安全风险评估占有重要的地位,它是信息系统安全的基础和前提。目前人们对风险评估的研究模型比较单一,评判的标准也不够明确,风险评估本来是经济学上的概念,传统的信息安全专家因不了解企业或组织各部门的业务职能,导致调查不够深入,数据准备不充分,从而忽视了承载核心业务的关键资产(部件),使得评估结果真正实施起来不理想。特别是在大型信息系统中,业务系统数量多,评估涉及范围广、难度大,不同业务系统的各个安全性要素互相覆盖,各自评估将导致评估工作内容的冗余和重复,所以应该根据业务特点划分相应的业务类别,在评估过程中对某类别中有代表性的业务进行重点评估。本文介绍了现有的风险评估相关理论,总结了定性和定量的风险评估方法的利弊,以故障树作为本评估系统的主要分析方法,提出了一种面向业务的风险评估方法,各类业务系统直接对应评估对象,比按部门或按网络分区划分评估对象更合理。为了满足高标准业务的需求、提高评估的准确性,本文还研究了资产(部件)之间的逻辑关系,将孤立部件的弱点联系起来,有助于分析网络的安全风险。并根据安全评估理论中的经典模型,结合安全评估经验,设计了面向业务流程的风险评估系统。风险评估中需要采集大量的数据,评估过程相当复杂,系统需要保留所有采集数据以备日后查询、核对、检验、分析,而且需要评估人员具有丰富的评估经验。因此,开发设计有效的评估辅助工具对于缩短评估周期、节省人力物力、保证评估实施的科学性有效性都至关重要。所以本课题在当前客户对风险评估系统需求基础上,实现了用于辅助该方法的自动评估工具系统。通过对计算机信息系统的安全等级和安全风险进行评估,可对评估过程和评估结果实施完善的管理,从信息安全的角度管理信息系统的资产和业务应用及其流程。最后,以人口与人力资源信息系统一个完整的业务应用流程作为受测对象,从信息安全的角度审视机构业务流程的运营情况,并通过安全评估提供完善而深入的安全建议。

论文目录

  • 摘要
  • ABSTRACT
  • 第一章 绪论
  • 1 课题研究背景
  • 2 研究现状和创新
  • 1.2.1 研究现状
  • 1.2.2 本文的创新点
  • 3 本文的主要工作
  • 4 本文的组织结构
  • 5 本文的研究成果
  • 第二章 风险评估相关理论
  • 2.1 信息安全的基本概念
  • 2.2 信息安全评估的基本原理
  • 2.2.1 风险管理和风险计算模型
  • 2.2.2 信息安全风险评估定义
  • 2.3 信息安全风险评估要素
  • 2.3.1 资产评估
  • 2.3.2 威胁评估
  • 2.3.3 脆弱性评估
  • 2.3.4 现有安全措施评估
  • 2.4 信息系统风险评估标准体系
  • 2.4.1 信息技术安全性评估通用准则
  • 2.4.2 BS7799(ISO/IEC17799)
  • 2.4.3 中国国家标准《计算机信息系统安全保护等级划分准则》
  • 2.5 评估方法和风险分析
  • 2.5.1 定性、定量风险评估方法
  • 2.5.2 故障树分析方法
  • 2.5.3 风险分析
  • 2.6 本章小结
  • 第三章 面向业务流程的风险评估方法
  • 3.1 业务应用风险评定过程
  • 3.2 业务对象分类
  • 3.3 部件资产风险度估算
  • 3.3.1 业务应用中的部件资产赋值
  • 3.3.2 部件风险度估算过程
  • 3.4 面向业务流程的威胁分析
  • 3.4.1 量化分析关联部件
  • 3.4.2 实例说明部件关联分析法
  • 3.5 本章小结
  • 第四章 面向业务流程的风险评估系统总体设计
  • 4.1 系统功能
  • 4.1.1 系统核心功能
  • 4.1.2 系统资产管理功能
  • 4.2 风险评估系统体系结构
  • 4.3 系统评估过程
  • 4.4 评估指标表示
  • 4.5 系统知识库设计
  • 4.5.1 知识库总体结构
  • 4.5.2 评估模板库结构
  • 4.5.3 评估过程数据库
  • 4.5.4 评估工具保障库结构
  • 4.5.5 知识库的扩展设计
  • 4.6 本章小结
  • 第五章 面向业务流程的风险评估系统的实现
  • 5.1 系统要素和客户需求
  • 5.2 系统评估过程的设计与实现
  • 5.2.1 安全等级评估子系统的设计与实现
  • 5.2.2 安全风险评估子系统的实现
  • 5.3 本章小结
  • 第六章 风险评估系统测试
  • 6.1 数据准备
  • 6.2 信息资产情况
  • 6.3 脆弱性分析
  • 6.4 威胁分析
  • 6.5 风险分析
  • 6.6 物理安全风险
  • 6.7 安全建议
  • 6.8 本章小结
  • 第七章 结束语
  • 7.1 全文总结
  • 7.2 下一步工作展望
  • 致谢
  • 参考文献
  • 附录A:作者硕士期间发表论文情况

    • 相关论文文献

    • [1].基于电子化移交业务流程协同问题定位和闭环管理的研究应用[J]. 信息系统工程 2020(09)
    • [2].“一站式”是否将成为趋势?[J]. 中国教育网络 2017(11)
    • [3].供应链业务流程网络的内涵分析[J]. 物流技术 2009(04)
    • [4].高等院校复合图书馆业务流程变革的探讨[J]. 内蒙古科技与经济 2008(15)
    • [5].供应链业务流程集成的系统分析[J]. 当代经济 2008(09)
    • [6].基于目标的业务流程概念建模[J]. 计算机科学 2014(10)
    • [7].论政府行政业务流程重塑的实施途径[J]. 企业导报 2012(20)
    • [8].业务流程中存在的问题值得重视[J]. 现代金融 2010(02)
    • [9].论学分制下教务管理业务流程重构[J]. 长沙民政职业技术学院学报 2009(01)
    • [10].业务流程网络与业务流程评估[J]. 管理世界 2009(10)
    • [11].以业务流程为控制单元[J]. 施工企业管理 2012(09)
    • [12].基于工厂建设的可重用业务流程库技术研究[J]. 机电产品开发与创新 2011(03)
    • [13].医疗业务流程知识管理探讨[J]. 医学与社会 2009(04)
    • [14].论企业信息化建设中的业务流程重构问题[J]. 技术经济与管理研究 2009(03)
    • [15].把握业务流程的设计能力之三 顺应市场变化的部门横向贯通式业务流程[J]. 信息与电脑 2008(07)
    • [16].对重组业务流程的建议[J]. 现代金融 2011(09)
    • [17].一种面向数据模型的并行业务流程异常检测方法[J]. 计算机研究与发展 2011(S3)
    • [18].朝天分理处创新业务流程的实践与思考[J]. 现代金融 2009(04)
    • [19].CIO的选择[J]. 软件和信息服务 2013(03)
    • [20].项目部采购业务流程的风险管控[J]. 山西财经大学学报 2017(S1)
    • [21].全岗位业务流程对提升公司整体效率的可行性研究[J]. 河北企业 2012(10)
    • [22].IDC:满足业务目的将成云计算发展重点[J]. 通讯世界 2011(Z1)
    • [23].论政府行政业务流程重塑的实施途径[J]. 北京行政学院学报 2011(04)
    • [24].业务流程测试方法的研究[J]. 仪器仪表用户 2009(05)
    • [25].北京科技大学:重新审视业务流程[J]. 中国教育网络 2020(05)
    • [26].基于保险业务流程的知识管理问题——以团体健康保险新契约核保业务流程为例[J]. 保险研究 2011(08)
    • [27].业务流程成熟度[J]. 程序员 2008(05)
    • [28].竞争情报与营销业务流程的整合模型与机制研究[J]. 情报科学 2013(05)
    • [29].“总经理眼中的ERP”之十[J]. 机械工业信息与网络 2009(05)
    • [30].论企业信息化建设进程中的业务流程重构问题[J]. 科技管理研究 2009(09)

    标签:;  ;  ;  ;  

    面向业务流程的信息安全风险评估研究和实现
    下载Doc文档

    猜你喜欢

    © 2024 毕速过 版权所有 鄂ICP备12018319号-5