基于BS7799的信息安全风险评估的量化研究

摘要

随着各类组织的信息化程度的提高和业务运作过程中大量数据的生成，使得信息系统越来越复杂，组织的发展对信息的依赖程度也越来越大，这样信息安全风险管理成了组织风险管理的重要组成部分。如何保障信息安全是每个现代组织所面临的共同问题，信息安全风险评估逐渐被引入组织的管理体系当中。风险评估是风险管理的最根本依据，是对现有信息系统的安全性进行分析的第一手资料，也是信息安全领域内最重要的研究内容之一。 本文深入研究了BS7799风险评估国际标准、信息安全风险评估的方法和风险量化的方法。在此基础上，提出了在以BS7799标准为基础之上，将风险评估的方法引入到风险评估的整个活动中去。在传统的风险评估准则和风险评估方法中，对风险评估结果均采用定性的分析方法，定性分析方法得出的结论主观性较强，不能够全面、客观的反应出系统存在的风险大小。本文研究了AHP（Analytic Hierarchy Process）和Fuzzy math（模糊数学）相结合的模糊层次分析方法并将其应用到风险评估中，形成了BFARA（base on the BS7799、Fuzzy math and AHP Risk Appraisal model）风险评估量化模型即基于BSS7799和模糊层次分析方法相结合的BFARA风险评估量化模型。本文设计实现了相应的辅助系统，该辅助系统采用Visual C++为前台，MS SQL server2005为后台，能够有效的帮助风险评估工作的顺利完成。最后本文以某高校的信息系统为例，验证了提出的信息安全风险评估量化模型及辅助系统的使用，效果良好。

目录

文摘

英文文摘

声明

1绪论

1.1论文的选题背景及研究意义

1.1.1研究背景

1.1.2研究意义

1.2国内外信息安全评估研究现状

1.2.1国外信息安全风险评估状况

1.2.2国内信息安全风险评估状况

1.3论文研究的主要内容

2信息安全风险评估与BS7799准则

2.1信息安全风险评估综述

2.1.1信息安全风险评估的基本概念

2.1.2风险评估的一般流程

2.2BS799准则概述

2.2.1 BS7799标准介绍

2.2.2标准第一部分BS7799-1：信息安全管理实施细则

2.2.3标准第二部分BS7799-2：信息安全管理体系规范

2.2.4信息安全风险评估的主要阶段

2.2.5 BS7799标准的优点与不足

2.3信息安全风险评估方法

2.4信息安全风险分析方法

2.5模糊层次分析法

2.5.1层次分析法概述

2.5.2层次分析法的不足

2.5.3模糊数学

2.5.4模糊层次分析法

3BFARA辅助系统的设计与实现

4 BFARA风险评估量化模型

4.1 BFARA风险评估流程

4.2风险评估的实施

4.2.1风险评估的准备

4.2.2风险评估过程

4.3资产评估

4.3.1资产识别

4.3.2资产赋值标准

4.3.3关键资产价值的定量计算

4.4威胁评估

4.4.1威胁识别

4.4.2威胁赋值标准

4.4.3威胁的定量计算

4.4脆弱性评估

4.5.1脆弱性识别

4.5.2脆弱性赋值标准

4.5.3脆弱性的定量计算

4.5风险确定

4.6.1风险计算模型

4.6.2风险等级的确定

5实例应用

5.1特征描述

5.1.1某高校信息系统概述

5.1.2现行系统的安全策略

5.2 BFARA模型及辅助系统应用过程

5.2.1资产评估

5.2.2威胁评估

5.2.3某高校脆弱性评估

5.2.4风险计算

5.2.5 风险等级

结论

致谢

参考文献