杨姗媛[1]2015年在《信息安全风险分析方法与风险感知实证研究》文中认为目前,信息化和经济全球化彼此促进,互联网已经深入到社会生活的各个方面,给人们的生产和生活方式带来了巨大的变化。然而由于互联网的开放性、信息系统自身的缺陷、敏感信息的泄露、计算机病毒的泛滥以及黑客入侵等,导致各种信息系统和平台面临着巨大的安全隐患,信息安全问题日益突出。各种新的计算资源、计算方式和新的网络环境不断涌现,如移动商务、云计算、大数据、互联网金融等,使信息安全问题不断加剧;与此同时,随着对互联网的接触逐步增加,用户对信息安全风险的感知也在逐步变化和加深,用户对信息安全风险的感知已经成为用户是否愿意使用该信息系统的重要因素。目前企业都重视通过企业内部的信息安全风险分析来降低企业信息安全风险,而忽视外部用户的信息安全风险感知,其后果是企业信息系统即便具有低的信息安全风险值也不会被用户所用,从而不会为企业带来很大的效益。因此,本文的研究强调企业在进行信息安全风险管理时要将信息安全风险分析和信息安全风险感知结合起来,既有利于企业掌握内部信息安全风险大小,降低企业信息安全风险损失,同时也注重从用户角度降低用户的信息安全风险感知,提高用户对信息系统的信任度、满意度和忠诚度,使更多的用户愿意使用信息系统,进而获取更大的利益。本文的研究内容主要有以下五个方面:1.分析了国内外信息安全风险分析与风险感知的相关研究成果。通过分析,我们发现:现有的风险评估量化方法不能很好的解决评估中主观性大、风险因素之间的关系复杂等问题;云计算环境下信息安全风险评估的研究刚刚起步,还没有形成成熟的理论与方法;电子商务环境下对影响信息安全风险感知的因素缺乏全面分析和因素与因素之间的关系分析;互联网金融下的影响信息安全风险感知的因素的研究还处于空白等。2.研究了信息安全风险评估与风险决策模型。针对信息安全风险因素互相影响,提出了基于网络分析法的信息安全风险评估模型;针对信息安全风险决策过程中存在较大的主观性,建立了基于TOPSIS的多属性群决策的信息安全风险决策模型,前者有利于解决评估指标相互影响的问题,后者有利于减少主观因素,更好的为企业进行风险决策。3.提出了云计算环境下的信息安全风险的一种量化计算方法。从云计算体系结构入手,对云计算的信息安全风险进行分析,提出了基于故障树和蒙特卡洛模拟的云风险分析量化方法。用故障树来构建风险与风险因素之间的关系,对风险因素的概率赋值采用概率分布,通过蒙特卡洛模拟法得到风险结果的概率分布,逆累积分布函数显示了超过某一给定风险成本的概率。这种方法的优点是对于风险因素不是假设特定的值,而是假设某一概率分布。通过蒙特卡洛分析可以得知风险因素的排名,可以得到某一风险概率下所需的成本投资,以及某成本控制下的风险概率值,从而更好地进行风险控制;并且当风险因素变化时,能方便的修改模型输入,得到新的结果,为企业进行风险决策提供了帮助。4.研究了影响b2c电子商务用户信息安全风险感知的因素。尽管从技术和工程的角度来研究信息安全风险很重要,从社会科学与管理角度来探讨信息安全风险的影响因素也是不容忽视的,用户对信息安全风险的感知已经成为消费者购买决策的重要因素。以b2c电子商务交易为例,研究影响b2c电子商务用户信息安全风险感知的因素以及因素之间的关系。从已有文献对影响信息安全风险感知因素进行提取,分别是网站设计、技术保护、内部保证、外部保证以及网站声誉五个方面来研究信息安全风险感知,并建立了结构方程模型,结果表明:技术保护特征和网站声誉对用户的信息安全风险感知有显着正向影响,而用户感知的网站设计特征对感知的技术保护有显着正向影响,而且,网站的外部保证印章对内部保证有显着影响。5.研究了影响p2p网络借贷的信息安全风险感知因素。电子商务的发展为金融业的发展提供了契机,出现了多种新型的支付方式和金融业务,互联网金融是2013年来最重要的金融业务模式。互联网金融以大数据、搜索技术、社交网络为基础,从事相关金融领域的业务,其交易流程带来的信息安全风险尤为凸显。本文以p2p网络借贷平台为例,选取了技术保护、外部保证、网站声誉、交易流程四个因素来分析影响借贷用户对信息安全风险感知。建立结构方程模型,结果表明:外部保证对信息安全风险感知没有正向显着影响,而技术保护和声誉合并成一个因子,正向显着影响用户的信息安全风险感知,交易流程对信息安全风险感知存在着正向显着影响。本文的研究给企业进行信息安全风险管理提供了新思路,提出了企业在进行信息安全风险管理时,要注重将信息安全风险分析和信息安全风险感知结合,既要降低企业内部信息安全风险值,同时也要降低外部用户的信息安全风险感知。企业可以通过信息安全风险分析方法将企业内部风险控制在可承受范围内,同时,通过设计更好的网站,采取更有效的技术保护和提高企业声誉等办法来降低外部用户的信息安全风险感知,提高用户的使用意愿,获得用户的信任、满意和忠诚,使企业获得更大利益。
柴文光[2]2009年在《基于数据挖掘的信息系统风险评估体系框架研究》文中指出信息正在成为越来越重要的资源,同时信息面临的各种风险也越来越多。在当前以信息技术为基本工具的社会生产活动中,机构为了保证信息系统资产不受侵害,而投入的资金和人员力量也越来越大。信息系统风险是人为或自然的威胁利用系统存在的脆弱性引发的安全事件,并由于受损信息资产的重要性而对机构造成的影响。开展信息系统风险评估是企业管理发展的需要,也是信息技术发展的需要。从20世纪90年代已来,英国、美国等国家及国际标准化组织相继推出了一系列有关信息系统风险评估的标准,研究出一些实现方法并积累了大量的实践经验。目前信息系统风险评估的一个重要问题是对各类与安全相关的数据的分析处理。本文建立了一个基于数据挖掘技术的信息系统风险评估理论框架,在该框架的指导下,采用定量和定性研究的方法,对数据挖掘技术应用于信息系统风险评估的理论进行了研究并给出了实例分析。本论文除引言外共分为6章:第一章主要对信息系统风险评估的概念及其产生缘由进行溯源,并探讨其发展过程中的主要理论基础、方法基础、模型及应用。第二章在数据挖掘技术的基础上,建立了基于数据挖掘技术的信息系统风险评估理论框架。总体来说,信息系统风险评估是对一些不确定的事件所做的估计和分析。这些事件主要包括信息系统资产、系统脆弱性、威胁等。信息系统的资产包括系统内部和网络互联外部的信息,所以也可以看作资产属性分布在一个更大、更复杂、分布式的数据库中。数据挖掘技术运用于风险评估,首要的目标是确定风险评估的应用主题,并对挖掘目标建立恰当的模型;其次是围绕信息系统风险评估主题收集数据源。本文将信息系统风险评估的数据源分为资产属性数据、威胁数据、Web资源数据叁类,将这叁类数据分别交给预处理模块处理,得出资产、威胁赋值列表。信息系统风险因素可分为系统安全风险、数据信息风险、执行风险、人为因素风险、物理因素风险和管理因素风险等。本文在对风险因素进行分析评价时,先将引发风险的各类威胁因子提取出来,利用Poisson分布的方法计算威胁发生的频率,对系统资产的脆弱性进行赋值;然后对威胁(包括频率和分布)赋值表、资产(包括脆弱性)赋值表进行提取、分解、合并,转化,成为适合进行数据挖掘的数据格式;最后借鉴金融风险管理VaR方法进行风险损失度量,得出对风险评估的等级。本文在进行信息系统风险防范措施决策时,首先根据有限状态机模型来计算信息生存性的指标(可抵抗性、可识别性和可恢复性),以作为信息风险防范措施投入和采取与否的依据;接着对风险防范措施的有效性、灵敏度等方面做出评估,从而对风险防范措施进行排序;最后借用粗糙集理论建立组合风险防范措施效果预测模型,利用模型计算出预测值后,将结果通过决策支持工具提交给决策者,用于信息系统风险评估的风险防范措施决策和相关技术处理。第叁章提出了资产安全属性动态空间应力计算方法。由于信息资产之间的安全性是相互关联的,因此本文通过对信息资产完整性、机密性、可用性、等级和资产位置等属性进行空间转化,以B-Spline函数为基础,经过改进构造出信息资产安全属性空间,提出了资产属性相互关系动态应力计算方法。根据描述的资产所在安全属性空间曲面中的曲率变化,表现出资产安全属性之间的相互影响关系,并能动态地调整和计算资产安全属性值。这个资产安全属性动态空间应力计算方法,能够帮助系统动态地完成风险防范措施决策的修改。第四章构建了基于经常性事件原则的优化决策量化模型。每项风险控制措施的重要性有所不同,对信息系统整体安全性的影响也有所不同。企业往往会根据自身的条件,集中注意力于技术条件的可行性约束优化和资金投入约束优化。但是对于选择应该加强哪些方面的投入,则往往凭经验行事。对于信息系统面临的风险而言,有不可接受的风险和在有限防范措施下可接受的风险两类,信息系统资产也按对系统影响的重要性分为五个等级。本文在分析基于投资约束和风险防范需求约束的风险防范措施优化决策方法的基础上,将不可接受的风险、重要性较大的资产和自定义的重要风险防范措施作为经常性事件,依据Amdahl定律构建了基于经常性事件原则的优化决策量化模型。这个模型可以直接得出某项风险防范措施对整体系统安全性的影响,以及加强这项措施对整体系统安全性的贡献值,从而为建立信息系统风险评估的优化决策自动化系统提供了科学计算手段。第五章用本文所提出的基于数据挖掘的风险评估框架,针对一个企业所面临的风险情况,对其进行风险评估,从而验证了本文所提出的风险评估框架的合理性。第六章对论文的整体作了总结,并对并对未来信息系统风险评估的发展趋势进行了展望。本文的创新之处体现在:建立了基于数据挖掘技术的信息系统风险评估理论框架;在B- Spline函数的基础上经过改进,提出了信息资产安全属性的动态空间应力计算方法;在Amdahl定律的基础上经过改进,构建了加强经常性事件的风险防范措施优化决策模型。本论文是2005年度教育部哲学社会科学研究重大课题攻关项目(05JZD00024)“数字信息资源的规划、管理与利用研究”的研究成果之一,也是国家自然科学基金项目(70473068)“我国数字化信息资源管理的可视化模型研究”的研究成果之一
张坤[3]2016年在《基于AHP和BP的信息安全风险评估研究》文中指出随着信息科技的发展和人类需求的扩张,国家、社会和人们对信息系统的依赖程度越来越深。保障信息系统安全是新形势下必须要正视的重要问题。信息安全风险评估对保障信息系统正常运行至关重要,而选择科学合理的风险评估方法是进行高效、科学的信息安全风险评估的首要任务,就目前的风险评估方法而言,在采用定性分析的基础上再次使用定量对其综合,将二者进行有机结合的方法得到了广泛应用。越来越多的大众认识到信息安全风险评估是保证信息系统安全、建立信息系统保护架构不可或缺的步骤。通过比较本文中选取的风险评估方法层次分析法和BP神经网络,得出所选方法在实际信息安全风险评估过程中存在的不足。针对于此,在风险因素识别阶段提出基于改进层次分析法的风险因素识别方法和在风险值确立阶段提出粒子群优化的主元神经网络信息安全风险评估方法,并通过仿真实验对改进后的方法进行验证。首先针对层次分析法在风险评估中存在的缺点,在判断矩阵构造过程中引入故障树分析法中结构重要度的概念,并结合模糊综合评判,从判断矩阵构造、一致性检验、确立风险等级叁个方面对其进行改进,改进后的方法在风险因素识别中较原来的方法具有明显的优势,能对风险因素充分识别、划分等级。在此基础上,采用粒子群优化算法优化主元神经网络初始参数,克服网络对初始值依赖性强、学习速率慢、宜陷入局部极小值等缺点,并建立基于粒子群优化主元神经网络的信息安全风险评估模型,通过与基于BP神经网络的信息安全风险评估方法进行对比分析,发现改进后的方法在风险值预测的准确度上有明显提高,且迭代次数减少。
蒋平[4]2007年在《企业网络安全评估模型的建立与实现》文中研究表明企业网络安全评估是一复杂的系统工程,本文介绍了网络安全评估的发展情况,常用的信息安全评估标准以及常见的网络安全评估方案;并通过对网络安全评估的现况进行深入剖析,并同时对企业的网络安全状况进行实际调研,并对当前网络评估标准进行比较,从企业网络安全的实际需要出发,对影响网络安全的各种因素进行了深人研究,确立了网络安全综合评价指标体系,提出了基于BP算法的人工神经网络(ANN)安全评价模型,并采用Visual Basic程序设计语言加以实现。结果表明,这一模型能有效地对企业网络安全等级进行综合评价,形成具有高度泛化及非线性映射能力的综合评价模型,减少了评价过程中人为主观因素的影响,有助于对网络安全进行科学的测评认证,有利于用户及时发现在网络安全上所存在的薄弱环节,调整安全策略及安全投资,提高网络的安全水平及总体效益。从而为全面评价企业网络安全状况提供了新的思路和方法。
张鸣天[5]2016年在《基于贝叶斯网络的信息安全风险评估研究》文中指出近年来,随着网络的快速发展,网络对人们生活的影响也逐渐加深,扩展到社会上的各个领域。然而在其发展的同时,由其引发的安全事件也日益增多,网络安全问题不容忽视。为了应对日益突出的网络安全问题,如何能够提前准确的识别信息系统存在的安全风险,从而使得信息系统变得更安全成为研究重点。因此,建立一种精确的信息安全风险评估方法能够合理识别信息系统存在的安全风险也逐渐成为一种研究趋势。针对信息安全风险评估模型中存在精确性问题,本文提出建立基于贝叶斯网络的信息安全风险评估模型。首先基于攻击图建立贝叶斯网络拓扑结构,确定评估指标和建模方法,然后建立静态贝叶斯网络模型并进行静态模型推理分析,再引入时间维度,建立动态贝叶斯网络模型并进行动态模型推理分析,最后,为进一步提高模型推理的精确性,在贝叶斯网络的信息安全风险评估模型中引入参数学习。基于测试环境,建立评估指标,本文对基于贝叶斯网络的信息安全风险评估模型进行实验分析。首先建立信息安全风险的评估模型,然后采集网络实验环境的数据,进行仿真实验,实验结果验证了信息安全风险评估模型的有效性。最后对实验结果进行对比分析,结果表明动态贝叶斯网络评估模型比静态贝叶斯网络评估模型的精确度更高,当模型进行参数学习后,实验结果表明学习后的模型能够进一步提高模型的准确性和可靠性,能够给决策者提供更有价值的指导。
赵文[6]2012年在《基于“风险熵”的信息系统风险评估数量化模型研究》文中指出近些年以来,随着计算机网络和信息技术的广泛研究与应用,信息之间的交流与共享迅速成为现代科技和经济发展的重要前提。在各个国家以及各个行业几乎都在进行大规模全方位的信息化建设。政治的稳固、经济的发展、军事的迈进等社会领域的信息系统的应用也在不断普及深入,直至越来越广泛。与此同时,信息系统是否可以安全运营,或者在运营过程中其安全状态具体如何也逐渐变得纷繁复杂,扑朔迷离。保护信息系统、保护系统当中的信息安全在瞬间上升为炙手可热的讨论问题,对信息系统安全状况深入、全面的研究比信息系统自发展以来的任何时候都显得更为迫切,更为重要。然而,传统的信息安全防护措施已不能满足发展的实际需要,迫切需要新的研究理论和研究方法。信息系统安全研究的一个重要理论基础是安全评价。在目前看来,实施安全评价的工作对大部分信息系统而言主要是采用不同安全评估标准对信息系统安全属性进行定性分析,做出更多的定性评价。但是这种分析方法主观判断色彩较浓,对信息系统安全性的认识失真度较大。因此在对信息系统安全性做出定性分析的基础上,还应加大量化分析,以客观的数量值来判断信息系统的安全性,提升判断结果的可信度和确切度。针对上述论述结合“熵”的概念及应用原理,本文创新性的提出信息系统“风险熵”这一概念。根据研究角度的不同分别构建基于“系统状态丰富程度”的信息系统“风险熵”模型和基于“系统损失分析数量度量”的信息系统“风险熵”模型,并且取得如下研究成果:1,简要概述了信息安全风险评估的相关概念,重点介绍了风险分析方法及风险值的计算等要点,为后续构建的两种模型在分析、计算过程提供可供参考和实用的分析过程。2,介绍了“熵”从产生到目前的发展及取得的泛化研究成果。在熵理论的研究基础上,通过分析关于信息系统安全基本知识点,引入信息系统安全与信息系统“风险熵”数值变化关系。3,在定义信息系统“风险熵”概念的基础上,从两种模型各自需要的判断依据出发构建两种用以计算不同风险状况的信息系统风险熵模型,同时给出考察不同风险状况的信息系统“风险熵”值计算过程,从理论上说明基于“系统状态丰富程度”的信息系统“风险熵”模型旨在用来计算信息系统面对的风险态的数量结果;基于“系统损失分析数量度量”的信息系统“风险熵”模型旨在获得信息系统遭遇风险后损失有个数量度量。同时详细分析了两种模型的内涵和意义。4,在前述对两种模型给出理论分析的基础上,分别选取“多媒体信息系统”和“个人电脑—一个微型信息系统”对所构建的不同信息系统“风险熵”模型做实际分析计算,从所求得的数量化结果来解释说明两种模型的实际应用。5,对本文的研究进行了总结,提出了下一步的研究工作和计划。
梁军[7]2007年在《湖南电信公司内网信息安全体系建设的研究》文中进行了进一步梳理进入信息时代,企业的各种经营活动越来越强烈地依赖信息资源和信息网络,而网络在为企业带来利益、价值和方便的同时,也带来了巨大的风险和隐患,如何通过信息安全建设来消除和降低风险,实现信息安全保障目标已经成为全球企业共同关注的焦点问题。电信内网又称电信IT网络,是承载电信企业核心业务和机密信息的内部网络,其安全性关系到企业的生存发展,在内网建立起完善的信息安全保障体系也是湖南电信急需解决的重要课题。论文从分析湖南电信外部环境及企业面临的萨班斯法案、战略转型、运营支撑系统集中化的信息安全建设的需求背景入手,按照风险评估方法,对湖南电信内网信息安全现状、面临的风险和安全建设中存在的主要问题进行了深入的剖析和研究,在风险评估的基础上,依据国内外公认的信息安全管理标准和典型信息安全模型,以信息安全管理理论为指导,借鉴国内外企业信息安全建设的最佳实践经验,对湖南电信内网的信息安全体系进行了总体架构,对四个要素:策略体系、组织体系、管理运作体系、技术体系的建设内容进行了详细规划。同时,制定了体系的建设流程,对建设中的关键问题:管理运作的方法、技术体系的建设给出了建议和实施方案,最后就体系的适宜性、充分性、有效性、可操作性和实现企业信息安全目标的可靠性进行了理性分析和综合评价。研究结果表明:湖南电信内网的信息安全体系具有层次化的策略体系、完善的组织架构、基于风险管理的运作体系、纵深防御的技术体系、在管理模式上符合PDCA的信息安全管理模式,在实施流程上体现了持续性、动态性、不断改进的建设思想,尤其强调了在信息安全管理运作上融入先进的、科学的现代管理方法,研究提出用规范化命名方法解决管理制度混乱分散、无法形成制度体系的问题;用集中化管理和分权管理的结合解决数据集中情况下统一安全管理的复杂性问题;用柔性管理解决安全意识贯彻难的问题;用统一的安全运营平台解决大型企业安全事件管理难的问题。文中设计的湖南电信内网信息安全体系和提出的建设方法是充分、有效、科学的,既能满足企业内网信息安全保障目标和未来发展需求,又体现了行业特点,对其他大型企业的信息安全建设具有很强的示范性和参考价值。
汪秀[8]2014年在《云计算环境下电子商务安全风险评估模型研究》文中研究说明云计算(Cloud Computing)拥有成本低、规模大、通用性、可扩展性高等优点,在人类社会生活、经济生活的各个领域被广泛运用,是信息化社会的又一次革命。云计算在电子商务中的运用与普及,为高速发展的电子商务行业注入了新的强大动力,推动电子商务发展到新的阶段——智慧阶段。对电子商务企业来说,云计算的运用,意味着软硬件要求的降低,基础设施成本的减少,信息传输与处理速度的加快。将云计算引入电子商务实施,大大提高了电子商务企业的核心竞争力。云计算在电子商务中的普及和发展,仍面临着一系列的问题,其中最为突出的就是安全问题。尽管在云计算模式下,数据能够保证统一管理与实时监测,电商企业的商业信息理论上能够得到最大程度的保障,但是云部署安全管理的控制缺乏、多租户以及资源共享、数据保密性和隐私问题、供应商和合作商户间的信任缺乏等都将带将来未知的安全风险。在传统网络环境中,风险评估是解决安全问题的有效手段。但是在云环境中,由于安全边界的不固定以及海量信息处理等特殊性,信息的安全面临新的挑战。如何在云计算环境中,建立一个有效的风险评估体系,是电子商务企业首要关注亟待解决的问题。本文从云环境下电子商务发展模式以及由此产生的安全问题入手,通过分析现有的主流评估工具、评估标准、方法与流程,在国内外学者研究成果的基础上,针对云环境下电子商务的安全问题,以“风险评估即服务”为指导思想,提出一个包括资产分析模块、安全知识库模块以及风险评估计算模块的安全风险评估模型。并将风险评估流程部署到云端,对整个电子商务平台进行动态持续的监测与管理,针对风险评估过程进行实验数据验证,以期实现对云环境下电子商务系统实现智能、动态的安全管理。同时,本文还就云环境中信息资产的定价策略以及信息资产在云环境中的迁移方面做了一些有益的探索。
弭乾坤[9]2018年在《信息系统安全风险评估关键技术研究》文中提出随着网络技术的不断发展,信息系统面临的网络环境日趋复杂,其安全问题日益严峻。对信息系统进行合理、有效的评估能够为防御策略的制定和优化提供有力支撑。因此,本文在深入分析信息系统安全风险评估标准、理论与技术的基础之上,分别针对静态风险评估和攻防对抗过程中动态风险评估的两种应用场景,提出了对应的安全风险评估方法,以解决目前评估方法不够准确、全面的问题,根据所提方法设计实现了风险评估辅助系统。主要研究内容如下:1.提出了基于最优组合赋权和模糊综合评定模型(Optimal Combination Weight and Fuzzy Comprehensive Evaluation,OCWFCE)的信息系统安全风险评估方法。针对传统信息安全风险评估方法存在指标权重准确性不足、评估信息模糊的问题,将最优组合赋权法与模糊综合评判法相结合,用于信息安全静态风险评估场景。在构建评估指标体系的基础上,折衷考虑主观权重与客观权重分配,采用最优组合赋权法综合计算评估指标权重值;进而利用模糊综合评判法对信息系统总体安全风险进行全面评判,确定威胁源与各评估指标的模糊关系;依据风险等级划分情况确定安全风险等级,设计信息系统安全风险评估算法。通过实例分析验证了所提方法的实用性和有效性,能够为信息系统安全管理者实施日常风险防控提供方法保障。2.提出了基于静态贝叶斯攻防博弈(Static Bayesian Attack Defense Game,SBADG)模型的信息系统安全风险评估方法。针对传统信息安全风险评估侧重于静态分析,未考虑攻防策略动态变化对评估结果影响的问题。本文从攻防对抗视角出发,借鉴博弈理论,构建了基于SBADG模型的信息系统安全风险动态评估模型,利用海萨尼转换将攻防双方策略风险的不确定性转换为对彼此类型的不确定性,对纯防御策略和混合防御策略两种情形下的安全风险进行了量化分析,并在此基础上设计了基于SBADG模型的网络安全风险评估算法。与现有方法相比,所提方法解决了动态、复杂、对抗网络场景下安全风险动态、定量测度困难的问题。实验分析结果表明,所提方法能够准确评估攻防对抗过程中的安全风险的动态变化,并为安全防御决策提供指导。3.设计并实现了安全风险评估辅助系统(Risk Assessment System,RAS)。以上述两种安全风险评估方法为核心,设计、实现并测试了RAS系统,测试结果表明,系统各模块功能正常,适用于静态安全策略和攻防对抗情况下的动态安全策略两种应用场景,达到了预期目标,提升了风险评估的针对性和准确性。利用上述研究成果,系统安全管理者可以定量地分析、评估已部署静态安全策略和动态对抗安全策略两种应用环境下的信息系统安全风险,为安全决策提供相关理论和技术支撑。
刘经学[10]2011年在《基于SCP~2DR~2的信息安全风险控制排序模型研究》文中进行了进一步梳理随着步入科技创新时代及全球一体化进程的推进,信息技术的应用得到了迅速的普及,信息已经成为我国众多行业和领域的神经中枢,信息产业已成为世界经济发展的重要驱动力,信息化在调整经济结构、改造传统产业和提高人民生活质量等方面发挥着不可替代的作用。但随着我国信息产业和信息化建设高速的发展,企业经营的环境日趋复杂,竞争日益激烈,风险也伴随而生,黑客入侵加剧,病毒肆虐,信息泄露事件更是时有发生,这已成为困扰企业和企业管理人员的一个重要问题。信息的安全直接影响到这些企业和领域的日常工作和生产的正常运转,信息的可靠性和完整性将直接关系到企业的生存力和竞争力。因此,企业为了能够更好地利用信息并在市场竞争中占据有利地位,在信息化进一步发展的过程中必须考虑信息安全的风险控制。对于企业而言,不同的行业,不同的应用甚至同一个企业的不同部门,对于信息安全的要求都有所不同,信息安全建设也并不是“越安全越好”。在信息安全领域进行风险控制是根据不同的安全需求尽可能的保护信息安全,保护信息的完整性、可用性、保密性,在可接受的成本范围内,识别并控制风险。企业只有掌握信息安全风险识别、评估、控制的方法,根据面临的不同风险,选出最有效的应对控制措施,才能保证信息的安全使用并充分享用信息技术带来的方便与快捷。面对全球一体化的互联网环境,绝大多数安全问题并不是因为技术的落后而是管理方面的缺陷,所以单靠技术不能解决所有信息安全问题,需要通过管理、技术、文化、法律等综合要素对风险进行控制。在企业面对错综复杂的威胁时,如何快速选择控制措施以提高安全防护和保障能力,这也是目前需要深入研究和亟待解决的重要课题。本文写作的主要目的是使企业管理者能够更全面、更具体地了解信息安全风险,通过信息安全风险控制排序模型可以清晰地了解各种控制措施的优先级并选择相应的控制措施,从而有针对性地控制相关风险,降低风险给企业带来的损失,有效的保证企业生产经营的正常进行,提高企业核心竞争力,为企业的管理提供有力的保证,最终使企业能够实现预期的战略目标。本文的研究框架主要包含以下六部分:第一部分绪论。主要阐述了论文的研究背景和研究意义,介绍了国内外现状及本论文的研究框架。第二部分信息安全风险控制理论。介绍了信息安全含义及特征,信息安全风险的含义、特征及构成要素。其次介绍了信息安全风险管理体系,其中包含信息安全风险评估方法——模糊数学理论、信息安全风险的识别等。为文章的进一步研究奠定了理论基石。第叁部分信息安全风险控制体系。重点阐述了信息安全风险控制流程,并对每一环节进行了详细的解释,其中包括:信息安全风险控制方式、信息安全风险控制措施等。第四部分信息安全风险控制措施排序。该部分是论文的核心,首先介绍了安全控制P2DR模型、SCP2DR2模型,详细分析了两者的特点,并基于SCP2DR2模型对信息安全风险控制措施进行分类,在此基础上提出了信息安全风险控制措施排序模型,根据专家对每一种资产面临每一种威胁的同一类控制措施排序结果及倒数赋值法,对控制措施进行赋值,再利用资产权重及通过叁角模糊数序理论、威胁与脆弱性的关系、脆弱性对资产的影响来计算威胁的权重,最终得到信息安全风险控制措施的综合排序。第五部分排序模型在企业中的应用。选取了防护型控制措施,结合企业的具体实例,演绎了信息安全风险控制措施排序的过程。第六部分结语。对全文的研究内容和研究成果总结,同时对论文研究过程中的不足及未来研究方向作以分析论述。
参考文献:
[1]. 信息安全风险分析方法与风险感知实证研究[D]. 杨姗媛. 中央财经大学. 2015
[2]. 基于数据挖掘的信息系统风险评估体系框架研究[D]. 柴文光. 武汉大学. 2009
[3]. 基于AHP和BP的信息安全风险评估研究[D]. 张坤. 河北工程大学. 2016
[4]. 企业网络安全评估模型的建立与实现[D]. 蒋平. 贵州大学. 2007
[5]. 基于贝叶斯网络的信息安全风险评估研究[D]. 张鸣天. 北京化工大学. 2016
[6]. 基于“风险熵”的信息系统风险评估数量化模型研究[D]. 赵文. 陕西师范大学. 2012
[7]. 湖南电信公司内网信息安全体系建设的研究[D]. 梁军. 湖南大学. 2007
[8]. 云计算环境下电子商务安全风险评估模型研究[D]. 汪秀. 安徽财经大学. 2014
[9]. 信息系统安全风险评估关键技术研究[D]. 弭乾坤. 战略支援部队信息工程大学. 2018
[10]. 基于SCP~2DR~2的信息安全风险控制排序模型研究[D]. 刘经学. 东北财经大学. 2011
标签:计算机软件及计算机应用论文; 信息安全论文; 风险评估论文; 信息安全标准论文; 网络模型论文; 技术风险论文; 管理风险论文; 控制环境论文; 管理控制论文; 感知风险论文; 技术与管理论文; 用户研究论文; 电子商务发展论文; 电子商务环境论文; 风险模型论文; 信息发展论文; 电子商务分析论文; 网络安全防护论文; 动态模型论文; 用户分析论文; 信息系统规划论文;