發(fā)布時間：2020-08-15 22:29

【摘要】：電子政務系統(tǒng)是實現(xiàn)電子政務各項目標與功能的基礎和平臺，它對于促進改革和發(fā)展，加快現(xiàn)代化建設具有重要意義。隨著網絡技術的發(fā)展，電子政務系統(tǒng)面臨越來越多的風險：一方面網絡的發(fā)展本身增加了電子政務系統(tǒng)面臨的風險；另一方面網絡的發(fā)達為各種黑客聯(lián)盟的興起和網上攻擊軟件的交流提供了有效平臺，使得在攻擊復雜度直線上升的同時，對攻擊者的知識要求卻在呈指數(shù)下降，目前的風險控制理論與模型越來越難以適應新形式下電子政務系統(tǒng)對風險控制的要求。 本文提出了一種基于生存力的電子政務系統(tǒng)風險控制的系統(tǒng)架構，該架構以確保系統(tǒng)應對風險的生存力為核心，從攻擊識別、攻擊抵抗、攻擊恢復和攻擊自適應四個方面構建了一個可以多階段抵御風險的風險控制系統(tǒng)。 本文的主要創(chuàng)新點在于：(一)提出了基于生存力的電子政務系統(tǒng)風險控制的系統(tǒng)架構。該架構由攻擊識別系統(tǒng)、攻擊抵抗系統(tǒng)、攻擊恢復系統(tǒng)和攻擊自適應系統(tǒng)這四個子系統(tǒng)組成，它注重的是系統(tǒng)面對風險的生存能力，采用的是一種主動的風險控制策略，改變了目前風險控制理論中采用的被動的風險控制方法的局面。(二)采用了形式化的方法對風險控制架構的四個子系統(tǒng)進行了嚴格、無二義的描述，確保了系統(tǒng)的實用性，保證了對電子政務系統(tǒng)風險控制的有效性。(三)在構建攻擊識別系統(tǒng)時，將模糊理論引入系統(tǒng)，提出了基于模糊關聯(lián)規(guī)則挖掘的攻擊識別方法，并且在運用的模糊集函數(shù)中用模糊集{BELOW，AVERAGE，ABOVE}取代了傳統(tǒng)的模糊集{LOW，MEDIUM，HIGH}，進一步提高了攻擊識別的精度。 本文的結構如下：首先介紹文章的研究背景、研究目的、意義與方法以及文章的結構和創(chuàng)新點。然后對有關電子政務風險控制的理論與模型進行了綜述，并對其進行簡要評價。接著構建了基于生存力的電子政務系統(tǒng)風險控制的系統(tǒng)架構中的四個子系統(tǒng)，即攻擊識別系統(tǒng)、攻擊抵抗系統(tǒng)、攻擊恢復系統(tǒng)和攻擊自適應系統(tǒng)，然后給出了基于生存力的電子政務系統(tǒng)風險控制的整體的系統(tǒng)架構圖，并且結合案例論證了該風險控制的系統(tǒng)架構的有效性，最后對文章進行了總結和展望。
【學位授予單位】：同濟大學
【學位級別】：博士
【學位授予年份】：2006
【分類號】：D035
【圖文】：

型的基于過程的方法:③加強了對風險評估過程、控制選擇和適用性聲明與相互關系的闡述;④進一步說明了對isMS持續(xù)過程改進的重要性;⑤楚地描述了文檔和記錄方面的需求;⑥對風險評估和管理過程進行了改進新版本使用提供了指南的附錄。新版本在介紹信息安全管理體系的建立、實施和改進的過程中引用了甲D型，按照PDCA模型將信息安全管理體系分解成風險評估、安全設計與執(zhí)全管理和再評估四個子過程，特別介紹了基于PD以模型的過程管理方在附錄中為解釋或采用新版標準提供了指南，如圖2.2所示。組織通過持行這些過程而使自身的信息安全水平得到不斷的提高。PDCA模型的主要下[l9l:①計劃(PLAN):定義信息安全管理體系的范圍，鑒別和評估業(yè)務風實施(DO):實施同意的風險治理活動以及適當?shù)目刂?③檢查(CHEC均控制的績效，審查變化中環(huán)境的風險水平，執(zhí)行內部信息安全管理體系審改進(^CTIO喲:在信息安全管理體系過程方面實行改進，并對控制進行改進，以滿足環(huán)境的變化。PDCA棋型應用與信思安全管理體系過程

一30]息及相關技術的控制目標(eontrolobjeetivesforbformationandogy，COB助，是rr治理的一個開放性標準，是一個由美國負責信與控制參考架構的組織IsA以(hifon衛(wèi)ationsystemsAuditandcotion)在19%年所公布的業(yè)界標準，目前己經更新至第四版，是最先進、最權威的安全與信息技術管理和控制的標準。COBrr歸項相關的來源，形成了一套專供企業(yè)經營者、使用者、rr專家、安全控制人員來強化和評估rr管理和控制的規(guī)范。仃業(yè)務流程是焦點，對每一個rr業(yè)務流程，COBrr提出了一系列的控制目標、些控制目標的控制程序，評價這些控制程序是否存在，并被有效執(zhí)計程序。該標準為n’的治理、安全與控制提供了一個普遍適用的輔助管理層進行仃治理。目前己在世界一百多個國家的重要組織，指導這些組織有效利用信息資源，有效地管理與信息相關的風險。圖2.3所示。

圖2.6NISTSP800一30風險控制的流程2.2.5OC異戊E件2書]OC口渾E(OPerationallyCriticalTreat，Asset，andVulnerabilityEvaiuation)，即可操作的關鍵威脅、資產和薄弱點評估，是由美國卡耐基·梅隆大學軟件工程研究所下屬的CERT協(xié)調中心開發(fā)的用以定義一種系統(tǒng)的、組織范圍內的評估信息安全風險的方法。OC口渾E的核心是自主原則，即由組織內部的人員管理和指導該組織的信息安全風險評估。信息安全是組織內每個人的職責，而不只是汀部門的職責。

【參考文獻】

相關期刊論文 前10條

1 忻尚芝,桂海峰,陳世平;基層政府電子政務系統(tǒng)的開發(fā)與應用[J];上海電力學院學報;2002年03期

2 王國海;電子政務系統(tǒng)的研究[J];福建電腦;2003年06期

3 任相花,王培東,楊向東;生物免疫原理在網絡入侵檢測中的應用[J];哈爾濱理工大學學報;2005年02期

4 聶方彥,傅光軒,許淑華,蔡堅;一種基于費歇(Fisher)判別法的異常檢測模型設計[J];計算機應用;2004年12期

5 郭順利,楊小虎;COBIT控制目標體系研究及在電子政務中的應用[J];計算機工程與設計;2004年03期

6 郝曉玲;信息系統(tǒng)審計與控制框架初探[J];上海管理科學;2003年04期

7 高翔,王敏,于楓;基于數(shù)據挖掘的自適應入侵檢測系統(tǒng)[J];西安工業(yè)學院學報;2005年02期

8 熊平,朱天清,黃天戍;模糊關聯(lián)規(guī)則挖掘算法及其在異常檢測中的應用[J];武漢大學學報(信息科學版);2005年09期

9 朱天清,熊平;模糊關聯(lián)規(guī)則挖掘及其算法研究[J];武漢工業(yè)學院學報;2005年01期

10 吳偉,王浣塵,陳明義;電子政務系統(tǒng)環(huán)境下的技術擴散[J];系統(tǒng)工程理論方法應用;2005年05期

本文編號：2794749