信息系统风险评估中几点关键技术的研究
随着经济和科技的迅速发展,人们的生活、工作越来越依赖于信息技术所提供的服务,人们正经历着一场对人类具有深远影响的信息革命,信息系统也正在成为国家建设的关键基础设施。与此同时信息系统所面临的安全风险也在不断上升,计算机病毒、计算机盗窃、服务器的非法入侵破坏已变得日益普遍和错综复杂。任何企业及其信息系统都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏、火灾、水灾等大范围的安全威胁。信息系统的安全风险问题己从单纯的技术性问题变成事关国家安全的全球性问题,因此如何有效地采用各种安全措施、如何科学地评价信息系统的安全状况,如何给出行之有效安全方案,已经成为一个刻不容缓的现实问题。
信息安全涉及到多个方面,其控制是一个复杂的过程,风险评估为风险控制提供了基础。本文针对信息系统安全评估中存在的主要问题,总结了一个信息系统安全评估研究的概念框架,并在此基础上,采用定量与定性相结合的方法,对信息系统安全评估理论及其关键技术进行了研究。对于信息系统安全问题的不确定性、复杂性,将层次分析、模糊数学、多属性决策和群体决策理论等方法引入信息系统安全评估中,有助于进一步提高信息系统安全评估结果的客观性、科学性、准确性。
本文对信息系统安全风险评估的研究内容主要包括:
l、对国内外信息安全结构理论体系的发展现状以及评估标准进行了概述和总结。
2、对风险评估相关概念进行概述,包括评估内容、评估作用、评估方法、及评估原则。介绍了信息系统风险评估中常用到的一些基本概念,使对风险评估框架有个整体把握,为后面章节的展开打下基础。
3、风险评估流程,对风险、威胁、脆弱性、资产进行了具体的分析,及详细分析了它们之间的相互制约、相互影响的关系。指出在对不同系统进行评估时要充分考虑系统自身的特点,制定有针对性的评估计划,计算出更符合系统实际情况的风险等级。
4、重点讲述了层次分析法在风险评估中的应用,层次分析法的步骤,层次分析法的不足,现在常用的改进方法,改进方法存在的缺陷,本文提出的改进方法,最后求出较为理想的决策方案的权重,为下一章的研究做了准备。
5、对多属性决策,模糊多属性决策进行了概述,然后重点对模糊群决策进行研究,分别从对属性指标值如何量化,不同形式的偏好信息如何一致化,模糊数运算法则及隶属函数的确定等多个方面进行了详细的研究,然后再进行模糊综合评价,最后进行综合排序得出最优方案,或得到方案的优劣顺序,尽量使得到的排序结果科学、客观,能反映出大多数人的意见。
本文的意义在于通过信息安全、层次分析法、决策理论、模糊数学等多学科交叉研究的方法,构建了信息系统安全评估的理论框架,并对其关键技术进行了深入研究。为信息系统安全评估研究引入新的思想,探索了提高信息系统安全评估效果的新途径,拓广和深化了信息系统安全评估的研究内容,对于提高安全评估的准确性和有效性有重要的意义。
信息系统;安全评估;风险评估;层次分析法;多属性决策;模糊群决策
中国海洋大学
硕士
计算机应用技术
郭忠文
2008
中文
TP309;TP393.08
62
2008-12-08(万方平台首次上网日期,不代表论文的发表时间)