本文關(guān)鍵詞：企業(yè)信息系統(tǒng)安全技術(shù)選擇與配置優(yōu)化策略研究

  更多相關(guān)文章： 信息系統(tǒng)安全 安全技術(shù)組合 安全技術(shù)配置 脆弱性水平 風(fēng)險(xiǎn)偏好

【摘要】：隨著信息系統(tǒng)在各類(lèi)企業(yè)中的使用日趨廣泛和深入,信息系統(tǒng)安全問(wèn)題成為信息系統(tǒng)研究人員和實(shí)踐人員共同關(guān)注的重要問(wèn)題。從2013年爆發(fā)的美國(guó)“棱鏡門(mén)”事件到2014年發(fā)生的馬來(lái)西亞MH370航班失聯(lián)折射出的機(jī)場(chǎng)安檢漏洞問(wèn)題,無(wú)一不反映了目前世界范圍內(nèi)信息系統(tǒng)安全問(wèn)題的嚴(yán)峻性以及信息系統(tǒng)安全防御的迫切性。信息系統(tǒng)安全是指在既定的密級(jí)條件下,網(wǎng)絡(luò)與信息系統(tǒng)抵御意外事件或惡意行為的能力。在信息系統(tǒng)安全防御過(guò)程中,企業(yè)通常選擇各種安全技術(shù)對(duì)相應(yīng)的信息系統(tǒng)安全威脅加以防范,形成信息系統(tǒng)安全技術(shù)策略。企業(yè)信息系統(tǒng)安全技術(shù)策略涉及安全資源投入與分配、安全技術(shù)選擇與運(yùn)用、安全效益分析等諸多方面,不僅是一個(gè)技術(shù)問(wèn)題,也是一個(gè)管理問(wèn)題。目前學(xué)術(shù)界從管理視角有關(guān)企業(yè)信息系統(tǒng)安全技術(shù)選擇與配置等問(wèn)題的研究還存在明顯不足。本文在對(duì)國(guó)內(nèi)外相關(guān)研究進(jìn)行歸納分析,對(duì)相關(guān)理論進(jìn)行概述的基礎(chǔ)上,運(yùn)用博弈論、優(yōu)化理論、決策理論與仿真方法等從五個(gè)方面對(duì)信息系統(tǒng)安全技術(shù)選擇與配置優(yōu)化策略進(jìn)行了深入研究。首先,研究了企業(yè)信息系統(tǒng)安全技術(shù)類(lèi)型與數(shù)量的優(yōu)化選擇策略。利用博弈論將安全技術(shù)類(lèi)型選擇與信息系統(tǒng)安全威脅類(lèi)型相聯(lián)系,將威脅類(lèi)型設(shè)為模型參數(shù)之一,構(gòu)建攻擊防御博弈模型,模型分析表明,安全技術(shù)類(lèi)型選擇及其選擇概率決定于威脅發(fā)生概率和該安全技術(shù)處理各種威脅的效率；信息系統(tǒng)安全資源最優(yōu)分配比例取決于威脅發(fā)生概率和安全技術(shù)選擇概率。同時(shí),利用博弈論將安全技術(shù)數(shù)量的選擇同信息系統(tǒng)安全技術(shù)的功能與特性相聯(lián)系,針對(duì)入侵檢測(cè)系統(tǒng)與人工調(diào)查技術(shù)組合,構(gòu)建企業(yè)與入侵者博弈模型,研究發(fā)現(xiàn),部署多個(gè)入侵檢測(cè)系統(tǒng),一是可以提高入侵檢測(cè)率,降低企業(yè)人工調(diào)查概率；二是人工調(diào)查概率在警報(bào)情形下的降低幅度由大趨小,非警報(bào)情形下反之；三是部署多個(gè)入侵檢測(cè)系統(tǒng)時(shí)的期望收益并不總是高于部署單個(gè)入侵檢測(cè)系統(tǒng)。其次,分別研究了考慮脆弱性水平和安全等級(jí)的企業(yè)信息系統(tǒng)安全技術(shù)配置優(yōu)化策略。首先,研究考慮脆弱性水平的企業(yè)信息系統(tǒng)安全技術(shù)配置優(yōu)化策略,針對(duì)入侵檢測(cè)系統(tǒng)與脆弱性管理技術(shù)組合,構(gòu)建了企業(yè)和入侵者博弈模型,研究顯示,當(dāng)企業(yè)信息系統(tǒng)脆弱性水平較低時(shí),人工調(diào)查策略為對(duì)入侵檢測(cè)系統(tǒng)警報(bào)事件進(jìn)行部分調(diào)查,對(duì)非警報(bào)事件均不調(diào)查；當(dāng)脆弱性水平較高時(shí),調(diào)查策略為對(duì)所有警報(bào)事件調(diào)查,對(duì)部分非警報(bào)事件調(diào)查；還有,入侵者選擇入侵的概率并不總是隨著脆弱性水平的提高而提高。其次,研究考慮信息系統(tǒng)安全等級(jí)的企業(yè)信息系統(tǒng)安全技術(shù)配置優(yōu)化策略,以防火墻和入侵檢測(cè)系統(tǒng)組合為例,構(gòu)建企業(yè)與入侵者博弈模型,并將未考慮安全等級(jí)與考慮安全等級(jí)時(shí)的技術(shù)配置策略相比較,研究認(rèn)為,一是無(wú)論入侵檢測(cè)系統(tǒng)檢測(cè)率配置高低,企業(yè)信息系統(tǒng)安全等級(jí)越高,遭遇入侵的概率越��；二是企業(yè)信息系統(tǒng)安全等級(jí)對(duì)其人工調(diào)查概率無(wú)直接影響；三是未考慮安全等級(jí)時(shí)的均衡策略只是考慮安全等級(jí)時(shí)的一個(gè)邊界,且這個(gè)邊界特例在現(xiàn)實(shí)中通常無(wú)法或無(wú)需達(dá)到。接著,研究了考慮風(fēng)險(xiǎn)偏好的企業(yè)信息系統(tǒng)安全技術(shù)選擇與配置優(yōu)化策略。分別針對(duì)入侵檢測(cè)系統(tǒng)和蜜罐技術(shù)組合、入侵檢測(cè)系統(tǒng)和人工調(diào)查技術(shù)組合構(gòu)建博弈模型,模型分析發(fā)現(xiàn),風(fēng)險(xiǎn)偏好對(duì)不同信息系統(tǒng)安全技術(shù)組合及其配置既具有相同影響也具有不同影響。相同影響為企業(yè)在入侵者期望收益很低時(shí)對(duì)風(fēng)險(xiǎn)厭惡型入侵者的人工調(diào)查率高,在入侵者期望收益很高時(shí)其對(duì)風(fēng)險(xiǎn)中立型入侵者的調(diào)查率高,入侵者在企業(yè)人工調(diào)查成本較低時(shí)更傾向于入侵風(fēng)險(xiǎn)中立型企業(yè),在人工調(diào)查成本很高時(shí)更愿意入侵風(fēng)險(xiǎn)厭惡型企業(yè)。這樣,企業(yè)應(yīng)加強(qiáng)對(duì)自身風(fēng)險(xiǎn)偏好的隱藏和對(duì)入侵者風(fēng)險(xiǎn)偏好的甄別。不同影響則因安全技術(shù)組合類(lèi)型不同而異,如風(fēng)險(xiǎn)厭惡型企業(yè)配置蜜罐的數(shù)量并不總是高于風(fēng)險(xiǎn)中立型企業(yè),企業(yè)選擇多入侵檢測(cè)系統(tǒng)或單入侵檢測(cè)系統(tǒng)與人工調(diào)查技術(shù)相組合時(shí)并不受其風(fēng)險(xiǎn)偏好的直接影響。隨后,研究了企業(yè)信息系統(tǒng)安全技術(shù)策略實(shí)施優(yōu)化問(wèn)題。企業(yè)信息系統(tǒng)安全技術(shù)策略實(shí)施不僅可以考慮自主防御還可以考慮外包,兩者之間存在選擇邊界。假定企業(yè)選擇信息系統(tǒng)安全技術(shù)外包和選擇自主防御時(shí)所達(dá)到的安全水平是一致的,從而可對(duì)兩種方式下的期望收益展開(kāi)比較,構(gòu)建了博弈模型和數(shù)學(xué)優(yōu)化模型,研究認(rèn)為,企業(yè)外包信息系統(tǒng)安全技術(shù)的成本之和總是高于其自主防御時(shí)各種安全技術(shù)成本之和；企業(yè)外包各種信息系統(tǒng)安全技術(shù)的成本之和與其自主防御時(shí)各種技術(shù)成本之和的差值在臨界值及以下,企業(yè)可選擇外包。最后,論文研究分析了與模型分析密切相關(guān)的三個(gè)案例,以體現(xiàn)理論研究結(jié)論的實(shí)際應(yīng)用價(jià)值。
【學(xué)位授予單位】：東南大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位授予年份】：2016
【分類(lèi)號(hào)】：TP309;F270.7

【相似文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 史東;截?fù)粝到y(tǒng)安全隱患[J];中國(guó)計(jì)算機(jī)用戶(hù);2000年22期

2 李一軍,曹榮增,于洋;系統(tǒng)安全工程能力成熟模型簡(jiǎn)介[J];計(jì)算機(jī)應(yīng)用研究;2001年10期

3 黃國(guó)輝;防火墻與系統(tǒng)安全[J];計(jì)算機(jī)時(shí)代;2001年03期

4 ;中國(guó)國(guó)際計(jì)算器信息系統(tǒng)安全展覽會(huì)即將召開(kāi)[J];通訊世界;2002年02期

5 馬紅靜;;提高企業(yè)安全“免疫力”[J];每周電腦報(bào);2002年18期

6 陸波;鐵路信息系統(tǒng)安全體系的構(gòu)建[J];鐵路計(jì)算機(jī)應(yīng)用;2003年05期

7 支曉繁,張世永;信息系統(tǒng)安全量化評(píng)價(jià)要素研究[J];計(jì)算機(jī)工程;2004年10期

8 密鑰;巧設(shè)系統(tǒng)安全的第一防線[J];網(wǎng)絡(luò)與信息;2004年10期

9 成自強(qiáng);加強(qiáng)系統(tǒng)安全之另類(lèi)怪招[J];電腦愛(ài)好者;2004年21期

10 ;細(xì)微做起 全面打造您的電腦系統(tǒng)安全[J];計(jì)算機(jī)與網(wǎng)絡(luò);2006年Z1期

中國(guó)重要會(huì)議論文全文數(shù)據(jù)庫(kù) 前10條

1 劉卓軍;;系統(tǒng)安全探討[A];新觀點(diǎn)新學(xué)說(shuō)學(xué)術(shù)沙龍文集35：現(xiàn)代社會(huì)危機(jī)管理與風(fēng)險(xiǎn)決策[C];2009年

2 李小玲;;系統(tǒng)安全理論在原油外銷(xiāo)計(jì)量管理中應(yīng)用[A];江蘇省計(jì)量測(cè)試學(xué)術(shù)論文集(2011)[C];2011年

3 潘振宇;;淺談醫(yī)院信息系統(tǒng)安全[A];2009年浙江省醫(yī)學(xué)工程學(xué)術(shù)年會(huì)論文匯編[C];2009年

4 武俊芳;鄭秋生;;重要信息系統(tǒng)安全測(cè)評(píng)工具的研究與設(shè)計(jì)[A];計(jì)算機(jī)研究新進(jìn)展（2010）——河南省計(jì)算機(jī)學(xué)會(huì)2010年學(xué)術(shù)年會(huì)論文集[C];2010年

5 劉海峰;張曉梅;李嵩;孫鐵;;信息系統(tǒng)安全測(cè)評(píng)工具的設(shè)計(jì)與實(shí)現(xiàn)[A];全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)'2005論文集（上冊(cè)）[C];2005年

6 葉明芷;劉相坤;;鐵路客票預(yù)訂與發(fā)售系統(tǒng)安全技術(shù)的應(yīng)用與發(fā)展[A];第十六次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2001年

7 王曉程;;系統(tǒng)安全工程模型概述[A];第十六次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2001年

8 萬(wàn)峻;戴云;;北京市血液中心信息系統(tǒng)安全解決方案[A];中國(guó)輸血協(xié)會(huì)第五屆輸血大會(huì)論文專(zhuān)集（摘要篇）[C];2010年

9 李飛;羅珊;;我軍信息系統(tǒng)安全與防護(hù)能力分析[A];開(kāi)創(chuàng)新世紀(jì)的通信技術(shù)——第七屆全國(guó)青年通信學(xué)術(shù)會(huì)議論文集[C];2001年

10 周澤巖;姚洪磊;祝詠升;張彥;;鐵路信息系統(tǒng)安全仿真平臺(tái)的研究[A];Proceedings of 14th Chinese Conference on System Simulation Technology & Application(CCSSTA’2012)[C];2012年

中國(guó)重要報(bào)紙全文數(shù)據(jù)庫(kù) 前10條

1 吳華;商務(wù)系統(tǒng)安全督查月活動(dòng)啟動(dòng)[N];大同日?qǐng)?bào);2008年

2 記者 李婧;我省展開(kāi)教育系統(tǒng)安全大檢查[N];發(fā)展導(dǎo)報(bào);2006年

3 記者 原亮亮;全市教育系統(tǒng)安全穩(wěn)定工作會(huì)召開(kāi)[N];漢中日?qǐng)?bào);2010年

4 本報(bào)記者 高超;系統(tǒng)安全是信息化建設(shè)的重中之重[N];中國(guó)信息化周報(bào);2013年

5 趙曉輝 高亢 張辛欣;安卓系統(tǒng)安全隱患令人憂(yōu)[N];國(guó)際商報(bào);2014年

6 本報(bào)記者 張苗苗;六安煙草:大力加強(qiáng)信息系統(tǒng)安全“免疫”[N];中國(guó)信息化周報(bào);2014年

7 向衍蓀（作者系中國(guó)職業(yè)安全健康協(xié)會(huì)原秘書(shū)長(zhǎng)）;安全評(píng)價(jià)要重視“系統(tǒng)安全”[N];中國(guó)安全生產(chǎn)報(bào);2005年

8 秦洋;省政府召開(kāi)教育系統(tǒng)安全穩(wěn)定工作電視電話會(huì)[N];山西日?qǐng)?bào);2004年

9 劉權(quán)永;甘孜國(guó)稅五強(qiáng)化促信息系統(tǒng)安全[N];甘孜日?qǐng)?bào)(漢文);2009年

10 曹斌;企業(yè)系統(tǒng)安全的基本要素[N];網(wǎng)絡(luò)世界;2001年

中國(guó)博士學(xué)位論文全文數(shù)據(jù)庫(kù) 前7條

1 張兵;RFID系統(tǒng)安全體系架構(gòu)與關(guān)鍵技術(shù)研究[D];電子科技大學(xué);2014年

2 方玲;企業(yè)信息系統(tǒng)安全技術(shù)選擇與配置優(yōu)化策略研究[D];東南大學(xué);2016年

3 余志偉;面向業(yè)務(wù)過(guò)程的信息系統(tǒng)安全需求識(shí)別方法及其關(guān)鍵技術(shù)研究[D];浙江大學(xué);2006年

4 陳辰;VANET系統(tǒng)安全的關(guān)鍵問(wèn)題研究[D];復(fù)旦大學(xué);2011年

5 王欣;WEB應(yīng)用系統(tǒng)安全檢測(cè)關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2011年

6 羅景峰;基于可變模糊集的系統(tǒng)安全理論研究[D];東北大學(xué);2012年

7 高漢軍;虛擬計(jì)算環(huán)境下系統(tǒng)安全增強(qiáng)方法研究[D];武漢大學(xué);2012年

中國(guó)碩士學(xué)位論文全文數(shù)據(jù)庫(kù) 前10條

1 黃義夫;RFID系統(tǒng)安全檢測(cè)關(guān)鍵技術(shù)研究[D];電子科技大學(xué);2014年

2 安沛;企業(yè)OA系統(tǒng)安全機(jī)制的研究與應(yīng)用[D];西安工程大學(xué);2015年

3 楊琪;地鐵車(chē)站靜態(tài)導(dǎo)引標(biāo)識(shí)系統(tǒng)安全功效評(píng)價(jià)研究[D];北京交通大學(xué);2016年

4 李鳳強(qiáng);齊魯乙烯系統(tǒng)安全管理模式研究[D];大連理工大學(xué);2001年

5 張振遠(yuǎn);系統(tǒng)安全工程在系統(tǒng)開(kāi)發(fā)階段的應(yīng)用研究[D];哈爾濱工業(yè)大學(xué);2007年

6 曹學(xué)民;城市通卡系統(tǒng)安全體系研究與設(shè)計(jì)[D];電子科技大學(xué);2005年

7 高婭玲;中國(guó)航天科工集團(tuán)公司網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)安全方案研究及實(shí)現(xiàn)[D];四川大學(xué);2003年

8 林忠澤;金融企業(yè)信息系統(tǒng)安全解決方案的設(shè)計(jì)與實(shí)現(xiàn)[D];東北大學(xué);2009年

9 劉果生;保障網(wǎng)上電子報(bào)稅系統(tǒng)安全的PKI/CA體系的研究與實(shí)現(xiàn)[D];同濟(jì)大學(xué);2006年

10 龐智;Web系統(tǒng)安全滲透測(cè)試方案的分析與設(shè)計(jì)[D];北京郵電大學(xué);2011年

，

本文編號(hào)：1297663