论文摘要
随着Internet的普及和全球信息化的不断推进,与组织业务相关的信息系统已经成为组织赖以生存的重要战略资源,保障其信息安全的重要性受到广泛关注。组织信息系统的信息安全一旦遭到破坏,不仅会使组织信息的安全属性遭受损害,而且会对组织业务运行造成巨大影响,其损失不仅包括经济方面,还可能对组织形象、声誉甚至是战略性竞争优势造成致命损伤。因此,对信息系统开展信息安全风险管理显得十分必要。已有的信息系统信息安全风险管理方法将信息系统风险分析与评估同具体的组织环境和业务背景相割裂,缺乏对风险形成过程的分析与描述,进行安全决策时单纯考虑“技术”因素、缺乏对组织决策层期望实现的多个决策目标的全面表达。为弥补上述不足,本文提出了一套信息系统信息安全风险管理的新方法ISISRM,并对该方法所涉及的关键问题进行了深入研究,为组织进行信息系统信息安全风险管理提供了一条新途径。论文的研究内容和主要贡献如下:第一,通过对基本思想、管理周期、过程与方法以及组织管理四个方面的描述,建立了信息系统信息安全风险管理方法ISISRM的整体框架。ISISRM方法利用由13个具体过程构成的流程框架为组织实施信息系统风险管理提供一套规范的程序。该方法充分体现了现代信息安全风险管理思想,具有面向组织具体的业务背景进行风险因素识别与分析,基于风险事件形成的动态过程计算风险事件频率,基于适度量化原则对信息安全风险进行度量,综合权衡多个决策目标求解理想安全方案等特点。第二,给出了通过利用图(Exploit Graph, EG)对风险事件过程进行建模的方法。建立了信息系统安全性分析模型,提出了基于该模型生成利用图的算法,并分析了该算法的计算效率。给出了基于利用图的风险事件过程建模体系框架。运用利用图对风险事件过程进行形式化描述,可模拟威胁发起者的思维过程,全面而细致刻画出威胁发起者制造风险事件的各种可能的行动方案,以及各个方案中脆弱性利用行为间的时序关系,为理解风险事件形成的动态过程提供清晰的视图。第三,提出了基于利用图计算信息系统信息安全风险事件频率的方法。其中主要包括:威胁发起者攻击尝试频率的预测方法;基于利用图计算风险事件最大成功概率的算法;根据贝叶斯网络理论计算利用图中原子利用节点的成功概率的方法。第四,提出并探讨了基于模糊NCIC(Nontraditional Capital Investment Criteria)方法的信息安全风险事件损失值计算方法。其中包括:信息安全风险事件的损失层次全息模型;用于模糊多准则评估的模糊NCIC方法;运用语言变量表示两两比较矩阵中决策者的模糊偏好信息的方法;运用模糊NCIC方法评估风险事件损失的计算流程。运用模糊NCIC方法评估风险事件损失可将风险事件损失以货币为单位地定量化,不仅能直观地反映风险事件给组织带来的危害性后果,而且便于安全决策人员对安全方案进行费效比分析,使得安全决策人员能将安全决策纳入到经济分析框架下来,从而可以使用经济学理论为信息安全管理决策提供有力的理论与方法指导。第五,建立了一个完整的信息系统安全决策框架。该框架包括安全决策启动判断、安全投资预算调控和风险控制决策三个阶段。对于安全决策启动判断阶段,在给出安全决策启动条件的基础上确定了安全决策启动判断的流程。对于安全投资预算调控阶段,设计了动态调整组织当前的信息安全投资预算的流程,建立了信息系统最小安全投资额模型,提出了求解该模型的基于模糊算子的自适应遗传算法AGABOFA;该算法采用了自适应的遗传算子,基于模糊算子进行约束处理,并且在求解的解码过程中运用总全局风险值更新算法实现对安全方案对应的信息系统残余风险的计算。对于风险控制决策阶段,建立了信息安全风险控制的模糊多目标优化模型及该模型的求解框架,提出了求解该模型的基于模糊算子的扩展Pareto进化算法SPEABOFA;该算法基于模糊算子进行约束处理,通过Pareto解集过滤器、小生境技术和优秀解培育过程的操作保证了解的多样性,加速了解的收敛过程。最后给出了在模型Pareto解集合中求解最满意安全方案的模糊多属性决策方法。基于信息系统安全决策整体框架,可以最终求解出一个整合所有安全决策人员意见、充分考虑多个决策目标且能将信息安全风险控制在可接受范围之内的理想安全方案。最后,在信息系统ISISRM理论方法研究的基础上,给出了一个信息系统信息安全风险管理的应用实例。
论文目录
相关论文文献
- [1].信息安全风险监测研究与实现[J]. 新疆电力技术 2013(01)
- [2].关于大数据信息安全风险框架及应对策略研究[J]. 中国新通信 2019(22)
- [3].大数据信息安全风险框架及应对策略分析[J]. 中国新通信 2020(01)
- [4].基于信息挖掘技术的网络信息安全风险预测[J]. 兰州文理学院学报(自然科学版) 2020(04)
- [5].网购过程中的信息安全风险与应对[J]. 保密工作 2020(07)
- [6].大数据信息安全风险框架及应对策略[J]. 设备管理与维修 2018(10)
- [7].矩阵法在信息安全风险值定量计算中的应用研究[J]. 网络安全技术与应用 2016(11)
- [8].虚拟化环境下的信息安全风险及防护措施[J]. 中国管理信息化 2017(05)
- [9].电子政务系统信息安全风险的综合评价模型[J]. 现代电子技术 2017(07)
- [10].烟草行业信息安全风险的控制策略[J]. 电子技术与软件工程 2017(06)
- [11].大数据信息安全风险框架及应对策略研究[J]. 信息与电脑(理论版) 2017(05)
- [12].大数据信息安全风险框架及应对策略研究[J]. 无线互联科技 2017(13)
- [13].大数据发展的信息安全风险防御探析[J]. 中国安全生产科学技术 2017(09)
- [14].大数据信息安全风险及应对方案研究[J]. 化工管理 2017(29)
- [15].基于移动通信的信息安全风险及对策初探[J]. 民营科技 2016(03)
- [16].可穿戴设备发展趋势及信息安全风险研究[J]. 中国新技术新产品 2016(07)
- [17].云环境下的图书馆信息安全风险与防范[J]. 甘肃科技 2016(20)
- [18].“互联网+”环境下电子文件信息安全风险的界定[J]. 办公室业务 2016(20)
- [19].移动通信的信息安全风险及对策[J]. 科技资讯 2015(08)
- [20].大数据信息安全风险框架及应对策略研究[J]. 图书馆学研究 2015(13)
- [21].基于虚拟云化业务的信息安全风险防控机制研究[J]. 电脑迷 2016(10)
- [22].地市级电网企业信息安全风险内控管理体系建设[J]. 大众投资指南 2017(04)
- [23].工业大数据信息安全风险研究及调控体系建议[J]. 网络空间安全 2020(10)
- [24].大数据背景下公安情报信息安全风险研究[J]. 安徽警官职业学院学报 2019(06)
- [25].大数据信息安全风险框架及应对策略研究[J]. 信息系统工程 2018(08)
- [26].适用于企业自评估的信息安全风险评估模型设计[J]. 科技与创新 2017(12)
- [27].有限实名网络中的个人信息安全风险[J]. 吉首大学学报(自然科学版) 2015(06)
- [28].“互联网+”环境下的电子文件信息安全风险的界定[J]. 办公自动化 2016(12)
- [29].大数据信息安全风险框架及应对策略研究[J]. 金卡工程 2016(07)
- [30].网络时代下企业信息安全风险和控制[J]. 中国管理信息化 2015(17)
标签:信息系统论文; 信息安全风险管理论文; 利用图论文; 风险事件建模论文; 模糊方法论文; 安全决策论文; 模糊多目标优化论文;