返回
改)基于模糊层次和证据理论的信息系统风险评估方法研究

改)基于模糊层次和证据理论的信息系统风险评估方法研究

ID:40494972

大小:447.74 KB

页数:30页

时间:2019-08-03

改)基于模糊层次和证据理论的信息系统风险评估方法研究_第1页
改)基于模糊层次和证据理论的信息系统风险评估方法研究_第2页
改)基于模糊层次和证据理论的信息系统风险评估方法研究_第3页
改)基于模糊层次和证据理论的信息系统风险评估方法研究_第4页
改)基于模糊层次和证据理论的信息系统风险评估方法研究_第5页
资源描述:

《改)基于模糊层次和证据理论的信息系统风险评估方法研究》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、基于模糊层次和证据理论的信息系统风险评估方法研究第三组PPT讲解周晶慧PPT制作刘利云周晶慧资料收集刘利云李彬慧张倩俐张玉静论文作者及相关信息湖南大学硕士学位论文基于模糊层次和证据理论的信息系统风险评估方法研究学位申请人姓名:赵仁君导师姓名及职称:谢冬青教授培养单位:软件学院专业名称:软件工程论文研究背景当今世界,IT技术的快速发展和广泛应用掀起了全球信息化的大潮,是人类进入了继农业革命、工业革命后的第三次生产力的革命阶段。信息产业自然也成为世界经济的重要支柱产业,信息产业的发达程度已经成为衡量一个国家综合国力和国际竞争力强弱的标志。由于人们认识真理、实践真理的能力的局限性,IT产品存在安全性

2、问题,信息系统存在着弱点。加之存在着意识形态的斗争、经济发展的竞争以及社会犯罪和恐怖主义活动,信息系统的正常功能受到制约,信息化带来的高效率、高效益受到限制,信息资源受到威胁,信息空间的安全形势日益严峻,信息技术已经成为人类社会发展中的双刃剑。信息系统安全的风险评估结果对组织机构在信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策有着重要的指导作用,信息安全风险评估已成为信息安全的重要保障。风险评估是信息系统安全的基础性工作,它是安全管理过程中的一个持续的工作,是分级防护和突出重点的具体体现。信息安全风险和事件不可能完全避免,关键在于如何控制、化解和规避风险。信息安全保障是高技术

3、的对抗,有别于传统安全,呈现扩散速度快、难控制等特点,必须采取符合信息安全规律的科学方法和手段来保障信息安全。只有正确地了解和理解安全风险后,才能决定如何处理安全风险。。论文研究背景信息系统评估一、信息系统风险评估定义;二、信息系统风险评估原理、方法、形式及评估模型;三、国内信息系统风险评估标准;四、信息系统风险评估实施流程;五、基于综合权重的模糊层次风险评估方法。六、总结信息系统风险评估相关定义信息系统的安全风险,是指由于系统存在的弱点、人为或自然的威胁导致安全事件发生所造成的影响。信息系统风险评估,则是指依据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和

4、可用性等安全属性进行科学评价的过程,它要评估信息系统的弱点、信息系统面临的威胁以及弱点被利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。信息系统风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。风险要素关系模型信息系统风险评估主要涉及4个因素:资产、威胁、弱点和风险。这些要素之间不是互相独立的,而是存在着复杂的相互关系。风险要素及属性的关系风险评估原则在对目标信息系统进行风险评估分析时,应当遵循可控性原则、完整性原最小影响原则和保密原则。评估原则的具体内容如下:(1)信息系统中的硬件、软件、网络以及使用者的情况都对系统的安全构成影响

5、,任何一个环节出现了问题,安全将不存在。系统的强度取决于系统中的最薄弱环节;(2)信息系统没有绝对的安全,只有相对的安全,系统中的风险是动态的,可能存在的安全问题的数量、种类和概率都是变化的,对系统的安全性难有精确地数字表示;(3)所有参与信息系统风险评估的人员均应进行严格的资格审查和备案,明确其职责分工,并对人员工作岗位的变更执行严格的审批手续,确保人员可控;(4)风险评估必须签署保密协议,严格恪守保密原则,不能以任何形式向外公布有关被评估对象的内部情况;(5)与被评估方签订非侵害性协议,评估过程中不能对已有的网络资料和设备造成损坏;(6)所使用的风险评估工具均应通过多方综合性能对比,悉心挑

6、选,并取得被评估方的同意方可使用;(7)需要依据项目管理方法制定风险评估计划,达到项目过程的可控性;(8)严格按照委托单位的评估要求和制定的范围进行全面的评估服务,确立明确的系统边界;(9)从项目管理和工具技术角度出发,力求将风险评估对系统正常运行使用的可能影响降到最小;(10)风险评估只能根据已有的知识(漏洞、系统基本信息)进行检测和评估,而且依据一定得数据统计理论进行计算,不能对尚未公布的安全漏洞进行检测和评估。风险评估原则风险评估方法在风险评估过程中,可以采用多种操作方法。包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qua

7、litative)分析和定量(Quantitative)分析等。无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。定性分析方法是目前采用最为广泛的一种方法,它带有很强的主观性,往往需要凭借分析的经验和直觉,或者业界的标准和惯例,为风险管理诸要素(资产价值,威胁的可能性,弱点被利用的容易度,现有控制措施的效力等)的大小或高低程度定性分级,例如“

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。