本文關(guān)鍵詞：信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理方法研究，，由筆耕文化傳播整理發(fā)布。

【摘要】： 隨著Internet的普及和全球信息化的不斷推進(jìn),與組織業(yè)務(wù)相關(guān)的信息系統(tǒng)已經(jīng)成為組織賴以生存的重要戰(zhàn)略資源,保障其信息安全的重要性受到廣泛關(guān)注。組織信息系統(tǒng)的信息安全一旦遭到破壞,不僅會(huì)使組織信息的安全屬性遭受損害,而且會(huì)對(duì)組織業(yè)務(wù)運(yùn)行造成巨大影響,其損失不僅包括經(jīng)濟(jì)方面,還可能對(duì)組織形象、聲譽(yù)甚至是戰(zhàn)略性競(jìng)爭(zhēng)優(yōu)勢(shì)造成致命損傷。因此,對(duì)信息系統(tǒng)開(kāi)展信息安全風(fēng)險(xiǎn)管理顯得十分必要。 已有的信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理方法將信息系統(tǒng)風(fēng)險(xiǎn)分析與評(píng)估同具體的組織環(huán)境和業(yè)務(wù)背景相割裂,缺乏對(duì)風(fēng)險(xiǎn)形成過(guò)程的分析與描述,進(jìn)行安全決策時(shí)單純考慮“技術(shù)”因素、缺乏對(duì)組織決策層期望實(shí)現(xiàn)的多個(gè)決策目標(biāo)的全面表達(dá)。為彌補(bǔ)上述不足,本文提出了一套信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理的新方法ISISRM,并對(duì)該方法所涉及的關(guān)鍵問(wèn)題進(jìn)行了深入研究,為組織進(jìn)行信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理提供了一條新途徑。論文的研究?jī)?nèi)容和主要貢獻(xiàn)如下: 第一,通過(guò)對(duì)基本思想、管理周期、過(guò)程與方法以及組織管理四個(gè)方面的描述,建立了信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理方法ISISRM的整體框架。ISISRM方法利用由13個(gè)具體過(guò)程構(gòu)成的流程框架為組織實(shí)施信息系統(tǒng)風(fēng)險(xiǎn)管理提供一套規(guī)范的程序。該方法充分體現(xiàn)了現(xiàn)代信息安全風(fēng)險(xiǎn)管理思想,具有面向組織具體的業(yè)務(wù)背景進(jìn)行風(fēng)險(xiǎn)因素識(shí)別與分析,基于風(fēng)險(xiǎn)事件形成的動(dòng)態(tài)過(guò)程計(jì)算風(fēng)險(xiǎn)事件頻率,基于適度量化原則對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行度量,綜合權(quán)衡多個(gè)決策目標(biāo)求解理想安全方案等特點(diǎn)。 第二,給出了通過(guò)利用圖(Exploit Graph, EG)對(duì)風(fēng)險(xiǎn)事件過(guò)程進(jìn)行建模的方法。建立了信息系統(tǒng)安全性分析模型,提出了基于該模型生成利用圖的算法,并分析了該算法的計(jì)算效率。給出了基于利用圖的風(fēng)險(xiǎn)事件過(guò)程建模體系框架。運(yùn)用利用圖對(duì)風(fēng)險(xiǎn)事件過(guò)程進(jìn)行形式化描述,可模擬威脅發(fā)起者的思維過(guò)程,全面而細(xì)致刻畫(huà)出威脅發(fā)起者制造風(fēng)險(xiǎn)事件的各種可能的行動(dòng)方案,以及各個(gè)方案中脆弱性利用行為間的時(shí)序關(guān)系,為理解風(fēng)險(xiǎn)事件形成的動(dòng)態(tài)過(guò)程提供清晰的視圖。 第三,提出了基于利用圖計(jì)算信息系統(tǒng)信息安全風(fēng)險(xiǎn)事件頻率的方法。其中主要包括:威脅發(fā)起者攻擊嘗試頻率的預(yù)測(cè)方法;基于利用圖計(jì)算風(fēng)險(xiǎn)事件最大成功概率的算法;根據(jù)貝葉斯網(wǎng)絡(luò)理論計(jì)算利用圖中原子利用節(jié)點(diǎn)的成功概率的方法。 第四,提出并探討了基于模糊NCIC(Nontraditional Capital Investment Criteria)方法的信息安全風(fēng)險(xiǎn)事件損失值計(jì)算方法。其中包括:信息安全風(fēng)險(xiǎn)事件的損失層次全息模型;用于模糊多準(zhǔn)則評(píng)估的模糊NCIC方法;運(yùn)用語(yǔ)言變量表示兩兩比較矩陣中決策者的模糊偏好信息的方法;運(yùn)用模糊NCIC方法評(píng)估風(fēng)險(xiǎn)事件損失的計(jì)算流程。運(yùn)用模糊NCIC方法評(píng)估風(fēng)險(xiǎn)事件損失可將風(fēng)險(xiǎn)事件損失以貨幣為單位地定量化,不僅能直觀地反映風(fēng)險(xiǎn)事件給組織帶來(lái)的危害性后果,而且便于安全決策人員對(duì)安全方案進(jìn)行費(fèi)效比分析,使得安全決策人員能將安全決策納入到經(jīng)濟(jì)分析框架下來(lái),從而可以使用經(jīng)濟(jì)學(xué)理論為信息安全管理決策提供有力的理論與方法指導(dǎo)。 第五,建立了一個(gè)完整的信息系統(tǒng)安全決策框架。該框架包括安全決策啟動(dòng)判斷、安全投資預(yù)算調(diào)控和風(fēng)險(xiǎn)控制決策三個(gè)階段。對(duì)于安全決策啟動(dòng)判斷階段,在給出安全決策啟動(dòng)條件的基礎(chǔ)上確定了安全決策啟動(dòng)判斷的流程。對(duì)于安全投資預(yù)算調(diào)控階段,設(shè)計(jì)了動(dòng)態(tài)調(diào)整組織當(dāng)前的信息安全投資預(yù)算的流程,建立了信息系統(tǒng)最小安全投資額模型,提出了求解該模型的基于模糊算子的自適應(yīng)遺傳算法AGABOFA;該算法采用了自適應(yīng)的遺傳算子,基于模糊算子進(jìn)行約束處理,并且在求解的解碼過(guò)程中運(yùn)用總?cè)诛L(fēng)險(xiǎn)值更新算法實(shí)現(xiàn)對(duì)安全方案對(duì)應(yīng)的信息系統(tǒng)殘余風(fēng)險(xiǎn)的計(jì)算。對(duì)于風(fēng)險(xiǎn)控制決策階段,建立了信息安全風(fēng)險(xiǎn)控制的模糊多目標(biāo)優(yōu)化模型及該模型的求解框架,提出了求解該模型的基于模糊算子的擴(kuò)展Pareto進(jìn)化算法SPEABOFA;該算法基于模糊算子進(jìn)行約束處理,通過(guò)Pareto解集過(guò)濾器、小生境技術(shù)和優(yōu)秀解培育過(guò)程的操作保證了解的多樣性,加速了解的收斂過(guò)程。最后給出了在模型Pareto解集合中求解最滿意安全方案的模糊多屬性決策方法�；谛畔⑾到y(tǒng)安全決策整體框架,可以最終求解出一個(gè)整合所有安全決策人員意見(jiàn)、充分考慮多個(gè)決策目標(biāo)且能將信息安全風(fēng)險(xiǎn)控制在可接受范圍之內(nèi)的理想安全方案。 最后,在信息系統(tǒng)ISISRM理論方法研究的基礎(chǔ)上,給出了一個(gè)信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理的應(yīng)用實(shí)例。
【關(guān)鍵詞】：信息系統(tǒng) 信息安全風(fēng)險(xiǎn)管理 利用圖 風(fēng)險(xiǎn)事件建模 模糊NCIC方法 安全決策 模糊多目標(biāo)優(yōu)化
【學(xué)位授予單位】：國(guó)防科學(xué)技術(shù)大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位授予年份】：2006
【分類號(hào)】：TN918
【目錄】：

• 摘要8-10
• ABSTRACT10-18
• 第一章 緒論18-41
• 1.1 課題研究背景18-25
• 1.1.1 信息系統(tǒng)的信息安全現(xiàn)狀18-19
• 1.1.2 信息安全風(fēng)險(xiǎn)管理的目的和作用19-21
• 1.1.3 信息安全風(fēng)險(xiǎn)管理的歷史與發(fā)展趨勢(shì)21-24
• 1.1.4 我國(guó)信息安全實(shí)踐對(duì)信息系統(tǒng)風(fēng)險(xiǎn)管理理論的新要求24-25
• 1.2 國(guó)內(nèi)外相關(guān)問(wèn)題研究現(xiàn)狀25-38
• 1.2.1 信息安全風(fēng)險(xiǎn)管理方法的研究現(xiàn)狀25-29
• 1.2.2 信息安全風(fēng)險(xiǎn)評(píng)估方法的研究現(xiàn)狀29-32
• 1.2.3 攻擊建模的研究現(xiàn)狀32-35
• 1.2.4 信息安全決策的研究現(xiàn)狀35-38
• 1.3 存在的問(wèn)題與研究思路38-39
• 1.3.1 存在的問(wèn)題38-39
• 1.3.2 研究思路39
• 1.4 論文的組織結(jié)構(gòu)39-41
• 第二章 一種信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理的新方法——ISISRM41-75
• 2.1 信息安全風(fēng)險(xiǎn)管理理論基礎(chǔ)41-51
• 2.1.1 基本概念41-47
• 2.1.2 信息系統(tǒng)信息安全風(fēng)險(xiǎn)的界定47-51
• 2.2 信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理ISISRM 方法的整體框架51-74
• 2.2.1 ISISRM 方法的基本思想51-52
• 2.2.2 ISISRM 方法的管理周期52-54
• 2.2.3 ISISRM 方法中過(guò)程的描述54-73
• 2.2.4 實(shí)施ISISRM 方法的組織管理73-74
• 2.3 本章小結(jié)74-75
• 第三章 基于利用圖EG 的信息安全風(fēng)險(xiǎn)頻率評(píng)估75-119
• 3.1 攻擊嘗試頻率預(yù)測(cè)研究75-77
• 3.2 基于利用圖EG 的風(fēng)險(xiǎn)事件過(guò)程建模77-102
• 3.2.1 風(fēng)險(xiǎn)事件過(guò)程建模概述77-80
• 3.2.2 利用圖基礎(chǔ)——信息系統(tǒng)安全性分析建模80-92
• 3.2.3 利用圖基本概念92-94
• 3.2.4 利用圖生成算法94-97
• 3.2.5 基于利用圖的風(fēng)險(xiǎn)事件過(guò)程建模體系框架97-99
• 3.2.6 風(fēng)險(xiǎn)事件過(guò)程建模示例99-102
• 3.3 基于EG 的風(fēng)險(xiǎn)事件最大成功概率計(jì)算102-105
• 3.3.1 基本思想102-103
• 3.3.2 求解利用圖EG 的最可能利用路徑及其成功概率的算法103-104
• 3.3.3 風(fēng)險(xiǎn)事件最大成功概率的求解流程104-105
• 3.4 基于貝葉斯網(wǎng)絡(luò)的原子利用成功概率預(yù)測(cè)分析105-118
• 3.4.1 貝葉斯網(wǎng)絡(luò)在原子利用成功概率估計(jì)中的適用性分析105-106
• 3.4.2 貝葉斯網(wǎng)絡(luò)理論106-107
• 3.4.3 貝葉斯網(wǎng)絡(luò)建立和推理方法107
• 3.4.4 利用貝葉斯網(wǎng)絡(luò)進(jìn)行原子利用成功概率的估算107-111
• 3.4.5 實(shí)驗(yàn)及結(jié)果分析111-113
• 3.4.6 基于證據(jù)推理模型的變量先驗(yàn)分布信息修正113-117
• 3.4.7 計(jì)算原子利用成功概率的流程框架117-118
• 3.5 本章小結(jié)118-119
• 第四章 基于模糊NCIC 方法的風(fēng)險(xiǎn)事件損失評(píng)估119-151
• 4.1 信息安全風(fēng)險(xiǎn)事件的損失評(píng)估119-126
• 4.1.1 信息安全風(fēng)險(xiǎn)事件的損失層次全息模型119-122
• 4.1.2 準(zhǔn)則級(jí)別劃分122-123
• 4.1.3 信息安全風(fēng)險(xiǎn)損失評(píng)估方法選擇123-126
• 4.2 模糊NCIC 方法研究126-141
• 4.2.1 模糊NCIC 方法概述126-127
• 4.2.2 三角模糊數(shù)基本理論127-128
• 4.2.3 基于模糊兩兩比較矩陣的準(zhǔn)則權(quán)重求解128-132
• 4.2.4 模糊兩兩比較矩陣的解滿足部分合理性的充要條件132-137
• 4.2.5 模糊兩兩比較矩陣的一致性分析137-140
• 4.2.6 強(qiáng)傳遞性與解的部分合理性的關(guān)系140-141
• 4.3 群決策者模糊偏好信息的語(yǔ)言變量表示141-147
• 4.3.1 語(yǔ)言變量的概念141-142
• 4.3.2 語(yǔ)言短語(yǔ)集合的確定142
• 4.3.3 語(yǔ)言短語(yǔ)的語(yǔ)義確定方法142-147
• 4.4 基于模糊NCIC 方法的信息安全風(fēng)險(xiǎn)損失值計(jì)算方法147-150
• 4.4.1 計(jì)算方法及步驟147
• 4.4.2 應(yīng)用示例147-150
• 4.5 本章小結(jié)150-151
• 第五章 信息系統(tǒng)安全決策研究151-202
• 5.1 安全方案效用指標(biāo)與相關(guān)算法151-161
• 5.1.1 與安全方案相關(guān)的效用指標(biāo)151-156
• 5.1.2 利用圖最可能利用路徑及其成功概率的更新算法156-161
• 5.2 信息系統(tǒng)安全決策的總體框架161-163
• 5.2.1 基本假設(shè)161
• 5.2.2 安全決策的總體框架161-162
• 5.2.3 安全決策啟動(dòng)判斷162-163
• 5.3 安全投資預(yù)算調(diào)控163-176
• 5.3.1 問(wèn)題描述163-165
• 5.3.2 最小安全投資額模型的求解算法165-170
• 5.3.3 應(yīng)用示例170-176
• 5.4 風(fēng)險(xiǎn)控制決策176-191
• 5.4.1 多目標(biāo)優(yōu)化問(wèn)題的概念和已有算法177-180
• 5.4.2 基于模糊算子的擴(kuò)展Pareto 進(jìn)化算法SPEABOFA180-186
• 5.4.3 信息安全風(fēng)險(xiǎn)控制的模糊多目標(biāo)優(yōu)化模型186-187
• 5.4.4 求解風(fēng)險(xiǎn)控制最優(yōu)安全方案的一般框架187-188
• 5.4.5 運(yùn)用SPEABOFA 算法求解風(fēng)險(xiǎn)控制多目標(biāo)問(wèn)題188-190
• 5.4.6 應(yīng)用示例190-191
• 5.5 安全方案排序的模糊多屬性群決策技術(shù)191-200
• 5.5.1 模糊多屬性群決策研究191-197
• 5.5.2 運(yùn)用FMAGDM 對(duì)Pareto 解集進(jìn)行權(quán)衡197-198
• 5.5.3 應(yīng)用示例198-200
• 5.6 本章小結(jié)200-202
• 第六章 ISISRM 方法的應(yīng)用驗(yàn)證202-220
• 6.1 南方某集團(tuán)信息系統(tǒng)簡(jiǎn)介202-205
• 6.2 運(yùn)用ISISRM 方法對(duì)集團(tuán)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)管理的過(guò)程與結(jié)論205-219
• 6.3 本章小結(jié)219-220
• 第七章 結(jié)論與展望220-222
• 7.1 主要研究結(jié)論220-221
• 7.2 研究展望221-222
• 致謝222-223
• 參考文獻(xiàn)223-234
• 附錄A 攻讀博士學(xué)位期間撰寫的學(xué)術(shù)論文234
• 附錄B 攻讀博士學(xué)位期間參加的科研項(xiàng)目234

【引證文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 范淵;;Web應(yīng)用風(fēng)險(xiǎn)掃描的研究與應(yīng)用[J];信息安全與技術(shù);2010年09期

2 范淵;;Web應(yīng)用風(fēng)險(xiǎn)掃描的研究與應(yīng)用[J];電信網(wǎng)技術(shù);2012年03期

3 王楨珍;武小悅;劉忠;;一種基于智能規(guī)劃的信息安全風(fēng)險(xiǎn)過(guò)程建模方法[J];電子學(xué)報(bào);2008年S1期

4 王楨珍;姜欣;武小悅;譚旭;;信息安全風(fēng)險(xiǎn)概率計(jì)算的貝葉斯網(wǎng)絡(luò)模型[J];電子學(xué)報(bào);2010年S1期

5 孟祥宏;;電子政務(wù)信息安全攻防策略研究[J];電子政務(wù);2010年01期

6 張春明;陳天平;張新源;鄭連清;;基于攻擊樹(shù)的網(wǎng)絡(luò)安全事件發(fā)生概率評(píng)估[J];火力與指揮控制;2010年11期

7 郭威武;陳天平;鄭連清;吳昌銀;;基于費(fèi)效分析的信息安全方案決策方法[J];火力與指揮控制;2011年04期

8 陳天平;張串絨;郭威武;鄭連清;;效用理論在信息安全投資優(yōu)化中的應(yīng)用[J];計(jì)算機(jī)科學(xué);2009年12期

9 韓金森;張龍軍;鄒濤;;基于專家綜合評(píng)判的叛逆追蹤效能評(píng)估研究[J];計(jì)算機(jī)應(yīng)用研究;2012年10期

10 吳溥峰;劉祺;;以專家知識(shí)為核心的網(wǎng)上銀行安全風(fēng)險(xiǎn)分析算法研究[J];情報(bào)雜志;2010年12期

中國(guó)重要會(huì)議論文全文數(shù)據(jù)庫(kù) 前1條

1 范淵;;Web應(yīng)用風(fēng)險(xiǎn)掃描的研究與應(yīng)用[A];全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集·第二十五卷[C];2010年

中國(guó)博士學(xué)位論文全文數(shù)據(jù)庫(kù) 前6條

1 毛捍東;基于邏輯滲透圖模型的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2008年

2 王輝;內(nèi)部威脅安全體系結(jié)構(gòu)及關(guān)鍵技術(shù)研究[D];吉林大學(xué);2009年

3 趙文濤;基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的預(yù)警技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2009年

4 王楨珍;基于智能規(guī)劃的信息安全風(fēng)險(xiǎn)過(guò)程建模與評(píng)估方法[D];國(guó)防科學(xué)技術(shù)大學(xué);2009年

5 郭勇;移動(dòng)商務(wù)風(fēng)險(xiǎn)控制方法研究[D];哈爾濱工業(yè)大學(xué);2010年

6 高志民;基于業(yè)務(wù)流程的信息安全風(fēng)險(xiǎn)度量方法研究[D];北京交通大學(xué);2012年

中國(guó)碩士學(xué)位論文全文數(shù)據(jù)庫(kù) 前5條

1 薛露;基于D-S證據(jù)理論的信息安全管理能力評(píng)價(jià)研究[D];哈爾濱工程大學(xué);2010年

2 紀(jì)永亮;高校管理信息系統(tǒng)開(kāi)發(fā)中關(guān)鍵技術(shù)研究及應(yīng)用[D];南京航空航天大學(xué);2010年

3 李超;工作流平臺(tái)信息安全問(wèn)題研究[D];哈爾濱工程大學(xué);2011年

4 劉經(jīng)學(xué);基于SCP~2DR~2的信息安全風(fēng)險(xiǎn)控制排序模型研究[D];東北財(cái)經(jīng)大學(xué);2011年

5 朱琪;IC制造的信息安全風(fēng)險(xiǎn)管理模型研究及實(shí)施應(yīng)用[D];復(fù)旦大學(xué);2010年

  本文關(guān)鍵詞：信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理方法研究，由筆耕文化傳播整理發(fā)布。

本文編號(hào)：398414