基于BS7799标准的信息安全风险评估研究与实践

摘要

我国对重要信息系统的安全保护已经从早期的针对各种单一技术的研究和应用逐步扩展到关注信息安全顶层设计的战略高度。目前国家有关法律和政策已经明确指出信息安全等级保护是国家信息安全保障的基本制度,信息安全风险评估则是信息系统等级保护的重要手段。信息安全等级保护与风险评估是两个相互联系、相互依存、相互促进的体系框架,信息安全风险评估为等级保护提供科学合理的重要依据,因此,本文对国际上流行的信息安全管理标准BS7799进行研究的目的是为了对信息系统等级保护提供支撑。本文的主要研究工作及结果包括:对BS7799基本思想和核心内容进行了深入分析,并从我国管理文化和等级保护制度的国情出发,指出了BS7799实施中面临的问题;在此基础上,对BS7799的风险评估模型进行了相应的裁剪和补充,使之在充分保留BS7799在风险管理诸方面优势的基础上,适应我国的国情和工程实践需求;在给出了相应的辅助软件工具设计和实现之后,将上述结果运用到一个实际系统的信息安全风险评估项目中,效果明显,表明本文的成果具有可行性、实用性,可为未来信息安全风险评估实践提供参考。

目录

摘要

ABSTRACT

1 绪论

1.1 课题背景及意义

1.2 国内外现状

1.3 本文工作简介

1.4 本文组织结构

2 相关基础

2.1 BS7799 标准的发展历程

2.2 BS7799 标准的主要内容

2.3 其他同类相关标准简介

2.4 小结

3 BS7799 在信息安全风险评估中的应用研究

3.1 BS7799 在风险评估应用中的相关问题

3.2 基于BS7799 风险评估应用中的裁剪及补充

3.3 裁剪后的风险计算

3.4 小结

4 基于BS7799 标准的信息安全风险评估辅助工具设计

4.1 概述

4.2 工具需求分析

4.3 总体设计概述

4.4 主要功能模块描述

4.4 用户界面设计

4.5 小结

5 实际检验

5.1 目标机构概况

5.2 系统概况

5.3 实施流程

5.4 结果及经验

5.5 小结

6 结论

6.1 本文工作总结

6.2 未来研究展望

致谢

参考文献

附录 作者在攻读硕士学位期间参与的研究项目