信息安全风险评估系统的研究和实现

论文摘要

信息安全风险评估是信息系统安全工程体系中的重要环节,已成为国内外信息安全领域的研究热点。但现有的风险评估工具由于服务对象和采用标准的不同,国内无法直接引用,且存在难以识别新颖威胁、评估能力无法自增长等问题。针对以上问题,论文以国标《信息安全风险评估规范》为依据,在分析和比较了国内外典型的信息安全风险评估标准和风险评估方法的基础上,设计并实现了一个新的信息安全风险评估系统RISRA(RAADD Information Security Risk Assessment)。该系统通过风险评估辅助决策数据库RAADD(Risk Assessment Assistant Decision Database)的建立,把复杂的信息系统分类细化,辅助用户参考专家经验和推理建立风险评估实例,强化了风险处理能力;引入风险评估矩阵,为风险要素指标和综合风险建立了量化计算模型。论文以一个应用实例为背景,详细论述了RISRA系统的实现,介绍了该系统进行安全风险评估的流程和方法。实验结果表明,RISRA系统能够合理量化和描述系统的安全现状和目前与未来的风险情况,残留风险可能带来的安全威胁与影响程度,对信息系统的安全保障和风险控制具有指导意义。论文还研究了基于免疫网络的信息安全风险评估系统模型,并进行相应的测试实验。该模型具有对信息系统安全信息进行自动采集和自动分析等功能,可应对信息系统的动态变化,对信息系统的整体安全状态做出科学的、量化的评价。

论文目录

摘要

Abstract

第一章概述

1.1 引言

1.1.1 风险评估概念

1.1.2 风险评估与等级保护

1.2 信息安全风险评估国内外研究现状

1.2.1 国外风险评估相关标准

1.2.2 国内信息安全风险评估标准化情况

1.3 课题来源和主要研究工作

1.4 论文的章节安排

第二章信息安全风险评估相关理论

2.1 风险评估的组成要素

2.2 风险评估方式

2.2.1 中介评估

2.2.2 自动化评估

2.2.3 人工评估

2.3 典型的风险评估方法

2.3.1 故障树分析

2.3.2 风险模式影响及危害性分析

2.3.3 事件树分析

2.3.4 线性加权评估

2.3.5 模糊分析

2.3.6 德尔斐法

2.3.7 典型分析评估方法分析与总结

2.4 常见的风险评估工具

2.4.1 安全管理评价系统工具

2.4.2 信息基础设施风险评估工具

2.4.3 风险评估辅助工具

2.5 风险评估存在的问题

第三章 RISRA系统的设计

3.1 RISRA系统总体架构设计

3.1.1 RISRA系统总体结构

3.1.2 RISRA系统风险评估实施过程

3.2 RAADD的设计

3.2.1 资产部分数据表

3.2.2 威胁部分数据表

3.2.3 脆弱点部分数据表

3.3 信息库的设计

3.4 RISRA关键资产识别模块

3.5 RISRA威胁识别模块

3.6 RISRA脆弱点识别模块

3.7 RISRA确认控制措施

3.8 RISRA风险分析

3.8.1 评估要素的量化

3.8.2 判断矩阵的计算

第四章 RISRA系统的实现

4.1 评估准备阶段

4.2 关键资产识别

4.2.1 XX企业风险评估分析

4.2.2 资产赋值

4.3 威胁评估

4.4 脆弱点识别

4.5 评估要素关联

4.6 评估分析

4.7 开发环境和工具

第五章基于免疫网络的信息安全风险评估系统模型

5.1 免疫学概述

5.2 免疫网络调节机理

5.3 免疫网络的构建

5.4 风险评估免疫网络的构建

5.4.1 威胁行为检测器的定义

5.4.2 静态检测器的定义

5.4.3 基于免疫网络的信息安全风险评估学习算法

5.5 风险计算

5.6 实验

第六章结束语

参考文献

致谢

在学期间发表的学术论文以及科技成果

信息安全风险评估系统的研究和实现

论文摘要

论文目录

相关论文文献

猜你喜欢