Print

基于配置管理和用户自助的信息安全风险评估研究

论文摘要

本文主要以信息安全风险评估方法为研究对象,主要是为了能研究出一个可行性高的、准确性较好的,适合一般企业的信息安全风险评估方法。以应对日益复杂的信息安全风险和环境。本文先介绍了前人对于信息安全风险评估的研究,并选择了最适合企业的信息安全风险评估标准GB/T22080和GB/T20984方法进行研究,在结合现实范例分析后,展示了传统方法的不足,比如难以进行客观的定量分析,风险值计算过程中存在漏洞,评价人主观操控评估结果等。并分析出造成这一切后果的主要原因,那就是GB/T20984方法没有在资产之间建立起有效的逻辑关系,也很难对用户的风险进行度量。为了改进此风险评估方法,本研究引入了ITIL中的配置管理理念,要求将所有的资产之间的管理清理出来并加入数据库,再加上故障树分析、CORAS等方法的思想,设计出了一套基于配置管理数据库CMDB的信息资产模型,以及与之相配套的风险传递算法,先将所有的资产信息和关系信息输入数据库后,再根据相互之间的关系进行计算,某项资产受到的风险能成功传递到相关的资产,从而能分析到组织内部所有的风险,不留死角,另外由于人工干预少了,结果也更加精确。对于信息安全风险评估中最难以度量的用户行为,也借鉴用户自助理念,采取问卷调查的方式获取其威胁值和脆弱性值,并通过定期做信息安全内审,进一步将用户的威胁值和脆弱性值进行调整,使其更加接近真实的值,最终设计出了一套适合一般企业、方便可行,又比较准确地信息安全风险评估方法,并成功地推演了一次,证明可行。

论文目录

  • 摘要
  • Abstract
  • 目录
  • 图目录
  • 表目录
  • 1 绪论
  • 1.1 本论文研究背景和应用意义
  • 1.2 国内外相关的研究与实践
  • 1.3 本论文的主要研究内容、研究方法与研究成果
  • 2 现有信息安全风险评估手段的局限性分析
  • 2.1 信息安全风险评估标准的选择依据和实践对象分析
  • 2.2 基于 GB/T 20984 的信息安全风险评估方法实践与分析
  • 3 GB/T 20984 信息安全风险评估方法改进研究
  • 3.1 通过配置管理思想建立资产间的联系
  • 3.2 信息安全事件的定义与传递
  • 3.3 用户自助与行为度量和控制
  • 4 信息安全风险评估方法改进设计与实践
  • 4.1 软件模型设计
  • 4.2 模型初始化赋值定义与数据分析
  • 结束语
  • 致谢
  • 参考文献
  • 相关论文文献

    本文来源: https://www.lw50.cn/article/bacc693a53ab9336de6fdc5f.html