基于Petri网的等级保护与风险评估流程建模研究

摘要

随着我国社会信息化进程的全面加快，国民经济和社会发展对基础信息网络和重要信息系统的依赖性越来越大，因此信息安全保障越来越受到业内人士的关注。等级保护与风险评估作为信息安全保障的重要环节，对保障企事业的基础信息系统安全有着非常重要的作用。然而，信息安全等级保护与风险评估工作在国内仍处于起步阶段。根据国家的统一安排，从2007年开始，我国重要信息系统将大规模开展等级保护和风险评估工作。由于风险评估和等级保护二者之间所具有的内在联系，将二者结合研究，充分发挥各自的特点，将能促进信息系统安全保障工作。 在本文里，笔者在分析了基本Petri网和面向对象的优缺点后，认为集合了这两种技术方法优点的面向对象Petri网适合用于信息安全保障流程的建模研究。为定义适合于信息安全保障流程建模的面向对象Petri网，笔者分析了信息安全保障流程，提炼出信息安全保障流程的要素，并将信息安全保障流程的要素与面向对象Petri网的要素进行映射，提出了一个面向对象的Petri网定义并根据信息安全保障流程的需要，对其进行了扩展。在此基础上，笔者以《电子政务信息安全等级保护实施指南》和《信息安全风险评估指南》提供的流程为基础，利用扩展的面向对象Petri网(EOOPN)对其建模。笔者将流程划分为系统识别、资产识别、威胁识别等多个对象，对各个对象用Petri网进行详细的描述，最后给出一个总体的Petri网图。在模型的验证和分析上，笔者运用Petri网理论里的不变量关联矩阵分析的方法，对模型的进行验证和分析，得出笔者所建立的模型是非死锁的、有界的、安全的结论，然后笔者对两者之间的联系进行了探讨。在流程建模的基础上，笔者根据Petri网建模的结果设计并实现了一个等级保护与风险评估辅助测评系统。该系统较好的体现了在等级保护中如何运用风险评估的思想，并具有良好的扩充性。最后笔者通过一个测评实例，对等级保护与风险评估辅助测评系统的实际效果进行测试。

目录

文摘

英文文摘

声明

1绪论

1.1课题背景及研究意义

1.2国内外研究现状

1.3论文主要工作

1.4论文组织形式

1.5本章小结

2相关背景知识

2.1引言

2.2等级保护与风险评估综述

2.2.1我国的等级保护发展过程

2.2.2我国的风险评估发展过程

2.3国外风险评估发展过程

2.3.1国际上主要的几个标准

2.3.2其他国家和地区的情况

2.4 Petri网概述

2.5本章小结

3基于EOOPN的等级保护与风险评估流程建模研究

3.1引言

3.2基本petri网和面向对象的优缺点

3.3信息安全保障流程要素分析

3.4扩展的面向对象Petri网(EOOPN)

3.4.1 EOOPN的定义

3.4.2 EOOPN对基本Petri网的扩展

3.4.3 EOOPN建模步骤与结构正确性检验

3.5基于EOOPN的等级保护与风险评估流程模型的建立

3.5.1相关流程

3.5.2等级保护与风险评估的Petri网模型

3.5.3等级保护与风险评估两者之间的分工协同分析

3.6本章小结

4等级保护与风险评估辅助测评系统设计与实现

4.1引言

4.2需求分析

4.3总体设计

4.3.1总体结构设计

4.3.2模块设计

4.4详细设计

4.4.1资产识别模块设计

4.4.2威胁识别模块设计

4.4.3脆弱性模块设计

4.4.4风险计算模块

4.4.5定级模块

4.4.6安全现状分析模块

4.5本章小结

5测评案例结果及分析

5.1被测评单位简介

5.2系统运用及结果

5.2.1系统识别

5.2.2等级保护与风险评估辅助测评系统的运用

5.3本章小结

6结语

6.1全文总结

6.2未来研究工作展望

致 谢

参考文献

附 录