欢迎来到天天文库
浏览记录
ID:33489340
大小:3.41 MB
页数:83页
时间:2019-02-26
《【精品论文】风险评估技术的研究与应用[专业:计算机科学与技术]》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、知识水坝论文分类号UDC工学硕士学位论文学号—塑旦!!旦生一密级一风险评估技术的研究与应用硕士生姓名刘华掌科专业计算机科学与技术研究方向计算机安全指导教师王志英教投国防科学技术大学研究生院二oo四年十一月知识水坝论文国防科学技术大学研究生院学位论文摘要信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。信息系统的安全风险问题已从单纯的技术性问题变成事关国家安全的全球性问题,因此有必要对信息系统的安全性进行评估。而对信息系统的风险评估,即脆弱性、信息系统面临的威胁及其发生的可能性,以及脆弱性被威胁源利用后所产生的负面影响的评估,是信息
2、系统安全评估的基础。信息系统的安全风险评估结果对组织机构在信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策有重要的指导作用,是一个组织机构实现信息系统安全的必要的步骤,可以使决策者对其业务信息系统的安全策略或安全实践有更加深刻的认识。国外对信息系统的风险评估已经由单纯的信息技术安全评估发展成为信息技术安全评估和组织机构管理安全评估相结合的综合评估,并通过法规、标准手段加以保障,逐步以此形成了横跨立法、行政、司法的完整的信息安全风险管理体系。而我国目前的风险评估活动才剐刚起步,为了满足我国风险评估发展的需要,本文对信息系统安全风险评估进行
3、了以下几个方面的研究:1.对国际信息系统安全风险评估的标准、方法和工具的发展进行研究,力求为国内风险评估标准的制定、方法的提出和工具的研究提供一定的参考和依据;2.对风险评估方法OCTAVE进行了研究,并将定量风险分析方法应用于其中;本文将OCTAVE评估方法作为信息系统安全管理中风险评估的理论依据,并且从评估实践需要的角度出发,加入了定量风险分析,通过对评估结果进行量化,采用多属性决策分析的方法对风险发生的可能性和风险影响的综合指数进行定量分析,指导风险消减计划的制定。通过实践表明,定量方法的引入有利于促进信息安全风险评估工作者和组织机构内部人员更准
4、确、更高效的评估风险;3.设计并实现了基于OCTAVE的风险评估辅助工具;为了更好的完成风险评估工作,评估人员需要有合适的信息安全风险评估辅助工具帮助收集风险评估所需要的信息和分析风险评估的结果。我国在风险评估工具的开发方面还处于萌芽阶段,现有的风险评估工具大多是风险评估服务厂商根据自身特点而设计开发的,缺少权威方法的支持,这与风险评估的社会需求形成巨大的反差。本文设计并实现了基于OCTAVE的风险评估辅助工具ORAS(ocTAvERiskAssessmentSystem),有利于提高信息系统安全风险评估工作的效率和结果的正确性,为我国开发具有自主知识
5、产权的风险评估工具进行了有意义的尝试;4.对安全评估准则cc(IS0/IECl5408)进行了深入研究,并对其辅助工具CCToolbox进行了改进;第1页国防科学技术大学研究生院学位论文安全风险评估研究为风险管理提供支持。风险消减计划制定过程中,往往需要增加安全控制措施并对安全产品进行选择和评价。对信息安全产品的评估能够为产品的选择提供可靠的依据,也为信息系统安全奠定了基础。因为,选用通过评估和认证的安全产品来构建信息系统,是确保系统运营单位或组织的信息资产安全的关键。本文迸一步对信息安全评估准则CC(ISO/IECl5408)进行了深入研究,并对其辅
6、助工具CCToolbox进行了改进,有助于生产方基于cc标准进行安全产品的设计和生产。【关键词】信息安全风险评估OCTAVE多目标决策分析CCToolbox第1I页国防科学技术大学研究生院学位论文ABSTRACTThehi曲lydynamicnatureoftheITenvironmentcreatesanearlyinfinitesetofrisks.Howdoesthemanagementestablishandtrackaninformationsystemsecuritywhenrisksarereal,risksarenearlyinfini
7、te,theinformationenvironmentishighlydynamic,andresourcesarefinite?Afterall,noneofUShaveunlimitedresources.Thescenarioofunlimitedandchan百ngthreatsandlimitedresourcesmakesitimpossibletoavoidallrisks.Rathereachorganizationmusttakeanapproachthat1etsitprioritizerisksandenablesittomak
8、ewellreasoneddecisionsfortheapplicationofinform
此文档下载收益归作者所有
![【精品论文】风险评估技术的研究与应用[专业:计算机科学与技术]_第1页](https://f25.wenku365.com/file-convert/2021/07/01/22/45/a3e34107601b2d7149aae41e2d2ab544/img/1.jpg)
![【精品论文】风险评估技术的研究与应用[专业:计算机科学与技术]_第2页](https://f25.wenku365.com/file-convert/2021/07/01/22/45/a3e34107601b2d7149aae41e2d2ab544/img/2.jpg)
![【精品论文】风险评估技术的研究与应用[专业:计算机科学与技术]_第3页](https://f25.wenku365.com/file-convert/2021/07/01/22/45/a3e34107601b2d7149aae41e2d2ab544/img/3.jpg)
![【精品论文】风险评估技术的研究与应用[专业:计算机科学与技术]_第4页](https://f25.wenku365.com/file-convert/2021/07/01/22/45/a3e34107601b2d7149aae41e2d2ab544/img/4.jpg)
![【精品论文】风险评估技术的研究与应用[专业:计算机科学与技术]_第5页](https://f25.wenku365.com/file-convert/2021/07/01/22/45/a3e34107601b2d7149aae41e2d2ab544/img/5.jpg)
