信息系统信息安全风险管理方法研究

信息系统信息安全风险管理方法研究

论文摘要

随着Internet的普及和全球信息化的不断推进,与组织业务相关的信息系统已经成为组织赖以生存的重要战略资源,保障其信息安全的重要性受到广泛关注。组织信息系统的信息安全一旦遭到破坏,不仅会使组织信息的安全属性遭受损害,而且会对组织业务运行造成巨大影响,其损失不仅包括经济方面,还可能对组织形象、声誉甚至是战略性竞争优势造成致命损伤。因此,对信息系统开展信息安全风险管理显得十分必要。已有的信息系统信息安全风险管理方法将信息系统风险分析与评估同具体的组织环境和业务背景相割裂,缺乏对风险形成过程的分析与描述,进行安全决策时单纯考虑“技术”因素、缺乏对组织决策层期望实现的多个决策目标的全面表达。为弥补上述不足,本文提出了一套信息系统信息安全风险管理的新方法ISISRM,并对该方法所涉及的关键问题进行了深入研究,为组织进行信息系统信息安全风险管理提供了一条新途径。论文的研究内容和主要贡献如下:第一,通过对基本思想、管理周期、过程与方法以及组织管理四个方面的描述,建立了信息系统信息安全风险管理方法ISISRM的整体框架。ISISRM方法利用由13个具体过程构成的流程框架为组织实施信息系统风险管理提供一套规范的程序。该方法充分体现了现代信息安全风险管理思想,具有面向组织具体的业务背景进行风险因素识别与分析,基于风险事件形成的动态过程计算风险事件频率,基于适度量化原则对信息安全风险进行度量,综合权衡多个决策目标求解理想安全方案等特点。第二,给出了通过利用图(Exploit Graph, EG)对风险事件过程进行建模的方法。建立了信息系统安全性分析模型,提出了基于该模型生成利用图的算法,并分析了该算法的计算效率。给出了基于利用图的风险事件过程建模体系框架。运用利用图对风险事件过程进行形式化描述,可模拟威胁发起者的思维过程,全面而细致刻画出威胁发起者制造风险事件的各种可能的行动方案,以及各个方案中脆弱性利用行为间的时序关系,为理解风险事件形成的动态过程提供清晰的视图。第三,提出了基于利用图计算信息系统信息安全风险事件频率的方法。其中主要包括:威胁发起者攻击尝试频率的预测方法;基于利用图计算风险事件最大成功概率的算法;根据贝叶斯网络理论计算利用图中原子利用节点的成功概率的方法。第四,提出并探讨了基于模糊NCIC(Nontraditional Capital Investment Criteria)方法的信息安全风险事件损失值计算方法。其中包括:信息安全风险事件的损失层次全息模型;用于模糊多准则评估的模糊NCIC方法;运用语言变量表示两两比较矩阵中决策者的模糊偏好信息的方法;运用模糊NCIC方法评估风险事件损失的计算流程。运用模糊NCIC方法评估风险事件损失可将风险事件损失以货币为单位地定量化,不仅能直观地反映风险事件给组织带来的危害性后果,而且便于安全决策人员对安全方案进行费效比分析,使得安全决策人员能将安全决策纳入到经济分析框架下来,从而可以使用经济学理论为信息安全管理决策提供有力的理论与方法指导。第五,建立了一个完整的信息系统安全决策框架。该框架包括安全决策启动判断、安全投资预算调控和风险控制决策三个阶段。对于安全决策启动判断阶段,在给出安全决策启动条件的基础上确定了安全决策启动判断的流程。对于安全投资预算调控阶段,设计了动态调整组织当前的信息安全投资预算的流程,建立了信息系统最小安全投资额模型,提出了求解该模型的基于模糊算子的自适应遗传算法AGABOFA;该算法采用了自适应的遗传算子,基于模糊算子进行约束处理,并且在求解的解码过程中运用总全局风险值更新算法实现对安全方案对应的信息系统残余风险的计算。对于风险控制决策阶段,建立了信息安全风险控制的模糊多目标优化模型及该模型的求解框架,提出了求解该模型的基于模糊算子的扩展Pareto进化算法SPEABOFA;该算法基于模糊算子进行约束处理,通过Pareto解集过滤器、小生境技术和优秀解培育过程的操作保证了解的多样性,加速了解的收敛过程。最后给出了在模型Pareto解集合中求解最满意安全方案的模糊多属性决策方法。基于信息系统安全决策整体框架,可以最终求解出一个整合所有安全决策人员意见、充分考虑多个决策目标且能将信息安全风险控制在可接受范围之内的理想安全方案。最后,在信息系统ISISRM理论方法研究的基础上,给出了一个信息系统信息安全风险管理的应用实例。

论文目录

  • 摘要
  • ABSTRACT
  • 第一章 绪论
  • 1.1 课题研究背景
  • 1.1.1 信息系统的信息安全现状
  • 1.1.2 信息安全风险管理的目的和作用
  • 1.1.3 信息安全风险管理的历史与发展趋势
  • 1.1.4 我国信息安全实践对信息系统风险管理理论的新要求
  • 1.2 国内外相关问题研究现状
  • 1.2.1 信息安全风险管理方法的研究现状
  • 1.2.2 信息安全风险评估方法的研究现状
  • 1.2.3 攻击建模的研究现状
  • 1.2.4 信息安全决策的研究现状
  • 1.3 存在的问题与研究思路
  • 1.3.1 存在的问题
  • 1.3.2 研究思路
  • 1.4 论文的组织结构
  • 第二章 一种信息系统信息安全风险管理的新方法——ISISRM
  • 2.1 信息安全风险管理理论基础
  • 2.1.1 基本概念
  • 2.1.2 信息系统信息安全风险的界定
  • 2.2 信息系统信息安全风险管理ISISRM 方法的整体框架
  • 2.2.1 ISISRM 方法的基本思想
  • 2.2.2 ISISRM 方法的管理周期
  • 2.2.3 ISISRM 方法中过程的描述
  • 2.2.4 实施ISISRM 方法的组织管理
  • 2.3 本章小结
  • 第三章 基于利用图EG 的信息安全风险频率评估
  • 3.1 攻击尝试频率预测研究
  • 3.2 基于利用图EG 的风险事件过程建模
  • 3.2.1 风险事件过程建模概述
  • 3.2.2 利用图基础——信息系统安全性分析建模
  • 3.2.3 利用图基本概念
  • 3.2.4 利用图生成算法
  • 3.2.5 基于利用图的风险事件过程建模体系框架
  • 3.2.6 风险事件过程建模示例
  • 3.3 基于EG 的风险事件最大成功概率计算
  • 3.3.1 基本思想
  • 3.3.2 求解利用图EG 的最可能利用路径及其成功概率的算法
  • 3.3.3 风险事件最大成功概率的求解流程
  • 3.4 基于贝叶斯网络的原子利用成功概率预测分析
  • 3.4.1 贝叶斯网络在原子利用成功概率估计中的适用性分析
  • 3.4.2 贝叶斯网络理论
  • 3.4.3 贝叶斯网络建立和推理方法
  • 3.4.4 利用贝叶斯网络进行原子利用成功概率的估算
  • 3.4.5 实验及结果分析
  • 3.4.6 基于证据推理模型的变量先验分布信息修正
  • 3.4.7 计算原子利用成功概率的流程框架
  • 3.5 本章小结
  • 第四章 基于模糊NCIC 方法的风险事件损失评估
  • 4.1 信息安全风险事件的损失评估
  • 4.1.1 信息安全风险事件的损失层次全息模型
  • 4.1.2 准则级别划分
  • 4.1.3 信息安全风险损失评估方法选择
  • 4.2 模糊NCIC 方法研究
  • 4.2.1 模糊NCIC 方法概述
  • 4.2.2 三角模糊数基本理论
  • 4.2.3 基于模糊两两比较矩阵的准则权重求解
  • 4.2.4 模糊两两比较矩阵的解满足部分合理性的充要条件
  • 4.2.5 模糊两两比较矩阵的一致性分析
  • 4.2.6 强传递性与解的部分合理性的关系
  • 4.3 群决策者模糊偏好信息的语言变量表示
  • 4.3.1 语言变量的概念
  • 4.3.2 语言短语集合的确定
  • 4.3.3 语言短语的语义确定方法
  • 4.4 基于模糊NCIC 方法的信息安全风险损失值计算方法
  • 4.4.1 计算方法及步骤
  • 4.4.2 应用示例
  • 4.5 本章小结
  • 第五章 信息系统安全决策研究
  • 5.1 安全方案效用指标与相关算法
  • 5.1.1 与安全方案相关的效用指标
  • 5.1.2 利用图最可能利用路径及其成功概率的更新算法
  • 5.2 信息系统安全决策的总体框架
  • 5.2.1 基本假设
  • 5.2.2 安全决策的总体框架
  • 5.2.3 安全决策启动判断
  • 5.3 安全投资预算调控
  • 5.3.1 问题描述
  • 5.3.2 最小安全投资额模型的求解算法
  • 5.3.3 应用示例
  • 5.4 风险控制决策
  • 5.4.1 多目标优化问题的概念和已有算法
  • 5.4.2 基于模糊算子的扩展Pareto 进化算法SPEABOFA
  • 5.4.3 信息安全风险控制的模糊多目标优化模型
  • 5.4.4 求解风险控制最优安全方案的一般框架
  • 5.4.5 运用SPEABOFA 算法求解风险控制多目标问题
  • 5.4.6 应用示例
  • 5.5 安全方案排序的模糊多属性群决策技术
  • 5.5.1 模糊多属性群决策研究
  • 5.5.2 运用FMAGDM 对Pareto 解集进行权衡
  • 5.5.3 应用示例
  • 5.6 本章小结
  • 第六章 ISISRM 方法的应用验证
  • 6.1 南方某集团信息系统简介
  • 6.2 运用ISISRM 方法对集团信息系统进行风险管理的过程与结论
  • 6.3 本章小结
  • 第七章 结论与展望
  • 7.1 主要研究结论
  • 7.2 研究展望
  • 致谢
  • 参考文献
  • 附录A 攻读博士学位期间撰写的学术论文
  • 附录B 攻读博士学位期间参加的科研项目
  • 相关论文文献

    • [1].信息安全风险监测研究与实现[J]. 新疆电力技术 2013(01)
    • [2].关于大数据信息安全风险框架及应对策略研究[J]. 中国新通信 2019(22)
    • [3].大数据信息安全风险框架及应对策略分析[J]. 中国新通信 2020(01)
    • [4].基于信息挖掘技术的网络信息安全风险预测[J]. 兰州文理学院学报(自然科学版) 2020(04)
    • [5].网购过程中的信息安全风险与应对[J]. 保密工作 2020(07)
    • [6].大数据信息安全风险框架及应对策略[J]. 设备管理与维修 2018(10)
    • [7].矩阵法在信息安全风险值定量计算中的应用研究[J]. 网络安全技术与应用 2016(11)
    • [8].虚拟化环境下的信息安全风险及防护措施[J]. 中国管理信息化 2017(05)
    • [9].电子政务系统信息安全风险的综合评价模型[J]. 现代电子技术 2017(07)
    • [10].烟草行业信息安全风险的控制策略[J]. 电子技术与软件工程 2017(06)
    • [11].大数据信息安全风险框架及应对策略研究[J]. 信息与电脑(理论版) 2017(05)
    • [12].大数据信息安全风险框架及应对策略研究[J]. 无线互联科技 2017(13)
    • [13].大数据发展的信息安全风险防御探析[J]. 中国安全生产科学技术 2017(09)
    • [14].大数据信息安全风险及应对方案研究[J]. 化工管理 2017(29)
    • [15].基于移动通信的信息安全风险及对策初探[J]. 民营科技 2016(03)
    • [16].可穿戴设备发展趋势及信息安全风险研究[J]. 中国新技术新产品 2016(07)
    • [17].云环境下的图书馆信息安全风险与防范[J]. 甘肃科技 2016(20)
    • [18].“互联网+”环境下电子文件信息安全风险的界定[J]. 办公室业务 2016(20)
    • [19].移动通信的信息安全风险及对策[J]. 科技资讯 2015(08)
    • [20].大数据信息安全风险框架及应对策略研究[J]. 图书馆学研究 2015(13)
    • [21].基于虚拟云化业务的信息安全风险防控机制研究[J]. 电脑迷 2016(10)
    • [22].地市级电网企业信息安全风险内控管理体系建设[J]. 大众投资指南 2017(04)
    • [23].工业大数据信息安全风险研究及调控体系建议[J]. 网络空间安全 2020(10)
    • [24].大数据背景下公安情报信息安全风险研究[J]. 安徽警官职业学院学报 2019(06)
    • [25].大数据信息安全风险框架及应对策略研究[J]. 信息系统工程 2018(08)
    • [26].适用于企业自评估的信息安全风险评估模型设计[J]. 科技与创新 2017(12)
    • [27].有限实名网络中的个人信息安全风险[J]. 吉首大学学报(自然科学版) 2015(06)
    • [28].“互联网+”环境下的电子文件信息安全风险的界定[J]. 办公自动化 2016(12)
    • [29].大数据信息安全风险框架及应对策略研究[J]. 金卡工程 2016(07)
    • [30].网络时代下企业信息安全风险和控制[J]. 中国管理信息化 2015(17)

    标签:;  ;  ;  ;  ;  ;  ;  

    信息系统信息安全风险管理方法研究
    下载Doc文档

    猜你喜欢