欢迎来到天天文库
浏览记录
ID:42343202
大小:612.00 KB
页数:20页
时间:2019-09-13
《信息安全风险评估系统的研究》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、信息安全风险评估系统的研究作者:权洁导师:周大水教授山东大学硕士学位论文摘要本文首先对信息系统安全风险评估的国内外研究现状进行了深入分析,其中对风险评估相关国际国内标准进行了分类收集和研究,并对风险评估的方法进行了介绍。然后,对资产、威胁、脆弱点等风险要素和控制措施的分类和赋值进行了研究,并且在此基础上总结了目前风险评估存在的问题和进一步的需求。最后,介绍了信息安全管理体系(ISMS)标准及其实施过程,对控制措施的重要性进行了分析,提出了在ISMS中实施风险评估的方法,讨论了ISMS风险评估系统,并给出了完整的评估过程。论文主要内容前言信息安全风险评估信息安全风险评估标准风险评估的常用方法风
2、险评估过程及存在的问题ISMS中风险评估系统的分析与设计前言——国外研究概况第一阶段(20世纪60年代至80年代):信息安全风险管理实践与理论发展的初期阶段。第二阶段(20世纪80年代末至90年代中期):是信息安全风险管理实践和理论走向初步成熟的阶段第三阶段(20世纪90年代中一现在):风险评估实践与理论进入全球化阶段。国际上信息安全风险评估经历了一个从只重技术到技术、管理并重的全面评估,从单机到网络再到信息系统基础设施,从单一安全属性到多种安全属性的发展过程。前言——国内研究概况风险评估在我国的企业、组织和部门的普及程度较低,许多领导对风险评估的流程不了解,安全风险防范意识薄弱。我国的科学
3、研究计划中,有关信息系统安全风险评估的重点科研项目还较少,不足以支撑进行科学的风险评估理论、方法、技术和工具研究的需要。目前我国的信息系统安全风险评估还处在仅仅对信息系统的技术进行安全评估,来掌握和了解具体行业、部门的资产、威胁和风险的阶段。前言——国内研究概况我国目前缺乏信息系统安全风险评估的规范化标准风险评估过程中,信息系统安全风险评估的角色和责任混乱目前各信息安全风险评估服务厂商大都是根据自身特点来设计开发风险评估工具或者管理工具对风险评估本身存在的风险不够重视我国对信息系统的风险评估研究虽然取得了一定的成绩,但与国际研究情况相比,还处在起步阶段,存在许多理论和实践上的问题和困难。信息
4、安全风险评估用一个例子来解释一下信息安全风险评估中的概念:我口袋里有100块钱,因为不小心,被小偷偷走了,结果是我晚上没饭吃。用风险评估的观点来描述这个案例,我们可以对这些概念作如下理解:资产=100块钱;脆弱性=不小心;威胁=小偷风险=钱被偷走;影响=晚上没饭吃信息安全风险评估就是指依据有关信息安全测评标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行科学识别和评价的过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。信息安全风险评估标准CC标准信
5、息技术安全评估公共标准CCITSE(CommonCriteriaofInformationTechnicalsecurityEvaluation),简称CC(ISO/IEC15408-1),是美国、加拿大及欧洲四国(共6国7个组织)经协商同意,于1993年6月起草的,是国际标准化组织统一现有多种准则的结果,是目前最全面的评估准则。由三部分内容组成:l)介绍以及一般模型;2)安全功能需求(技术上的要求);3)安全认证需求(非技术要求和对开发过程、工程过程的要求)。信息安全风险评估标准BS7799(ISO/IEC17799)BS7799标准是由英国标准协会((BSI)制定的信息安全管理标准,是国
6、际上具有代表性的信息安全管理体系标准,标准包括两部分:B57799-l:1999《信息安全管理实施细则》,BS7799-2:2002《信息安全管理体系规范》ISO/IEC21827:2002(SSE-CMM)信息安全工程能力成熟度模型、SystemSecurityEngineeringCapabilityMaturityModel,是关于信息安全建设工程实施方面的标准信息安全风险评估标准国家标准(计算机信息系统安全保护等级划分准则》我国国家标准《计算机信息系统安全保护等级划分准则》GB17859于1999年9月正式批准发布,该准则将计算机信息系统安全分为五级:用户自主保护级、系统审核保护级、
7、安全标记保护级、结构化保护级和访问验证保护级风险评估的常用方法风险评估的方法有很多种,概括起来可分为三大类:定量的风险评估方法、定性的风险评估方法、定性与定量相结合的评估方法。定量评估方法层次分析法模糊综合评判法BP神经网络灰色系统预测模型定性评估方法安全检查表法专家评价法事故树分析法(FTA)事件树分析法(ETA)潜在问题分析法(PPA)因果分析法(CCA)作业安全分析法(WSA)风险评估过程及存在的问题风
此文档下载收益归作者所有