鐵路部門與國計民生息息相關(guān),而且對信息系統(tǒng)的依賴性非常高,一旦出現(xiàn)故障和意外,將導(dǎo)致整個鐵路運輸生產(chǎn)受到嚴重影響,并將造成嚴重的社會影響和后果,因此鐵路信息系統(tǒng)的風險管理至關(guān)重要。本文詳細介紹了鐵路的信息系統(tǒng)安全現(xiàn)狀和課題的研究背景,闡述了信息安全風險管理的原理,研究了國內(nèi)外風險評估的標準和方法,其中重點研究了BS7799標準和基于該標準的根據(jù)信息系統(tǒng)資產(chǎn)、脆弱性和威脅進行賦值對信息系統(tǒng)進行量化的風險自評估的方法和構(gòu)建信息安全管理體系的過程。針對廣深鐵路現(xiàn)有的重要信息系統(tǒng)案例使用以上方法進行了風險自評估,對廣深鐵路各重要信息系統(tǒng)的資產(chǎn)、脆弱性和威脅進行賦值,并計算出廣深鐵路信息系統(tǒng)面臨的15種常見風險的估算值。結(jié)合廣深鐵路信息系統(tǒng)的風險現(xiàn)狀,提出了構(gòu)建廣深鐵路信息安全管理體系的構(gòu)想,并參考BS7799-1提出的的十一個控制點,針對各控制點研究了風險管理的策略和風險應(yīng)對的措施,并最終形成了廣深鐵路風險管理策略指導(dǎo)性文件。 

【文章來源】：上海交通大學上海市 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：108 頁

【學位級別】：碩士

【文章目錄】：
摘要
ABSTRACT
第1章 緒論
    1.1 研究背景
    1.2 國內(nèi)外研究現(xiàn)狀
        1.2.1 信息安全標準的現(xiàn)狀
        1.2.2 風險評估方法的現(xiàn)狀
    1.3 論文研究的內(nèi)容和意義
    1.4 論文結(jié)構(gòu)安排
第2章 信息系統(tǒng)風險管理
    2.1 信息系統(tǒng)風險管理
        2.1.1 基本概念
        2.1.2 信息安全風險管理的目的和意義
        2.1.3 信息安全風險管理的范圍和對象
        2.1.4 信息安全風險管理的內(nèi)容和過程
第3章 對 BS7799 標準及其評估方法的研究
    3.1 BS7799 標準的發(fā)展歷程
    3.2 基于 BS7799 的風險評估過程
        3.2.1 信息安全風險評估框架和流程
            3.2.1.1 風險要素關(guān)系
            3.2.1.2 風險分析
    3.3 基于 BS7799 的風險自評估實施
        3.3.1 風險評估準備
            3.3.1.1 確定目標
            3.3.1.2 確定范圍
            3.3.1.3 組建團隊
            3.3.1.4 系統(tǒng)調(diào)研
            3.3.1.5 確定依據(jù)
            3.3.1.6 制定方案
            3.3.1.7 獲得高層支持
        3.3.2 資產(chǎn)識別
            3.3.2.1 資產(chǎn)分類
            3.3.2.2 資產(chǎn)賦值
        3.3.3 威脅識別
            3.3.3.1 威脅分類
            3.3.3.2 威脅賦值
        3.3.4 脆弱性識別
            3.3.4.1 脆弱性識別內(nèi)容
            3.3.4.2 脆弱性賦值
        3.3.5 已有安全措施的確認
    3.4 風險計算
    3.5 風險控制
    3.6 信息安全管理體系的建立和完善
        3.6.1 建立ISMS
        3.6.2 運行ISMS
        3.6.3 監(jiān)視和評審ISMS
        3.6.4 保持和改進ISMS
第4章 廣深鐵路運營信息系統(tǒng)的風險評估實例
    4.1 項目準備
    4.2 項目實施
        4.2.1 評估目的
        4.2.2 評估范圍
        4.2.3 評估內(nèi)容
        4.2.4 評估方法
        4.2.5 評估過程
        4.2.6 風險分析和風險計算
第5章 廣深鐵路信息安全管理體系的構(gòu)建設(shè)想
    5.1 廣深鐵路信息安全現(xiàn)狀
    5.2 基于 BS7799-1 制定信息系統(tǒng)管理策略
第6章 結(jié)束與展望
    6.1 研究總結(jié)
    6.2 研究的不足和展望
第7章 致謝
參考文獻
攻讀學位期間發(fā)表或錄用的論文目錄
附件1


【參考文獻】：
期刊論文
[1]鐵路系統(tǒng)基于風險的定量安全評估方法[J]. 劉敬輝,戴賢春,郭湛,王陽.  中國鐵道科學. 2009(05)
[2]基于ISO27001的企業(yè)信息安全保障體系的構(gòu)建設(shè)想[J]. 春增軍.  情報雜志. 2009(05)
[3]信息系統(tǒng)審計問題研究[J]. 吳曉東.  科技情報開發(fā)與經(jīng)濟. 2009(02)
[4]基于層次分析法的信息安全風險評估研究[J]. 華光.  現(xiàn)代計算機(專業(yè)版). 2008(09)
[5]基于ISO/IEC 27001標準的信息安全管理體系建設(shè)[J]. 王志強,李建剛,顏立.  浙江電力. 2008(04)
[6]ISMS信息安全管理體系建設(shè)初探[J]. 單寧.  信息網(wǎng)絡(luò)安全. 2008(02)
[7]ISMS概念模型探索[J]. 姚軼嶄,江常青,張利,李建彬.  計算機工程. 2008(02)
[8]主成分分析法在信息資產(chǎn)安全價值識別上的應(yīng)用[J]. 雙海軍,王冰,武鵬飛.  兵工自動化. 2007(06)
[9]信息安全管理體系中的資產(chǎn)管理[J]. 韓碩祥,張洪光.  中國標準化. 2007(04)
[10]基于BP神經(jīng)網(wǎng)絡(luò)和專家系統(tǒng)的信息系統(tǒng)風險評估方法研究[J]. 段金利,張岐山.  現(xiàn)代管理科學. 2006(07)



本文編號：3151730