信息系统风险评估及量化方法研究

摘要

随着互联网络的普及和信息化进程的深入，信息系统在各行各业中的应用得到了不断的拓展，信息系统的重要性愈显突出。另一方面，无论采用多么完善的安全保护措施，风险总是存在的，它时刻威胁着系统的安全。因此，有必要对信息系统进行周密的风险分析和量化评估，从而采取有效的措施保护系统的安全，保障系统的正常运作。
　　 信息系统风险评估的研究由来已久，在评估流程、方法以及相关工具的研究上都取得了许多成果，但在理论体系和实用性上仍然存在着很大的争议，在理论和方法上都还有很多值得进一步研究的地方。
　　 本文在研究分析了大量风险评估的相关资料后，鉴于信息系统的分布性和动态性以及风险因素多并且因素之间的相互关系影响到评估的进程，提出了风险评估要素的关系模型，具体分析了信息系统中各个风险要素之间的关系，为评估的顺利完成打下了基础。
　　 分析风险要素关系之后，论文从信息系统资源保护视角、组织目标实现视角、信息系统生命周期过程控制视角出发，提出了信息系统的三维评估模型。最后，根据该模型对信息系统风险评估的相关流程和技术进行了研究。
　　 在信息系统风险量化过程中，由于系统风险因素的复杂性，存在着众多不确定性的影响因素，很难通过有效的数据分析确定风险事件发生的概率，也很难准确地计算其发生后的影响值。基于此，论文采用了模糊综合评判的方法对风险事件发生的可能性和风险影响值进行了计算，最终求出风险综合值的大小，并通过示例介绍了方法的过程。
　　 接着论文从管理、人员、技术方面研究了系统的风险控制措施，并把系统划分成不同的安全区域，把系统的风险划分到区域内，以加强系统的风险控制。
　　 在论文的最后，以一个具体的信息系统为实例，运用本文提出的风险评估模型对系统的风险进行了分析，然后运用模糊综合评判的方法对系统的风险进行了量化处理，最后把系统划分为不同的安全区域，加强系统的安全管理。

目录

文摘

英文文摘

第1章 绪论

1.1 课题的研究背景及意义

1.2 国内外研究现状

1.3 本文的主要工作和创新点

1.4 论文的组织结构

第2章 信息系统风险评估综述

2.1 信息系统风险评估相关知识

2.1.1 信息系统组成

2.1.2 风险及风险评估

2.2 信息安全及风险评估的历史

2.2.1 风险评估的初始阶段

2.2.2 风险评估初步成熟的阶段

2.2.3 风险评估全球合作阶段

2.3 风险评估相关标准的介绍

2.3.1 BS7799/ISO27000

2.3.2 CC

2.3.3 COBIT

2.3.4 我国相关标准的研究

2.4 小结

第3章 信息系统风险评估控制模型的研究

3.1 信息系统风险评估要素关系

3.1.1 信息系统风险要素的定义

3.1.2 信息系统风险要素的关系

3.2 信息系统的三维评估模型

3.3 信息系统风险评估过程

3.3.1 信息系统组织目标(S)视角

3.3.2 信息资产保护(R)视角

3.3.3 信息系统生命周期过程(P)视角

3.4 小结

第4章 基于模糊综合评判法的风险量化评估的研究

4.1 模糊理论

4.2 隶属函数

4.3 风险因素权重

4.3.1 层次分析法

4.3.2 层次分析法的实施步骤

4.4 P 视角风险综合值的量化

4.4.1 风险发生可能性的量化

4.4.2 风险发生影响值的量化

4.5 小结

第5章 信息系统风险控制的研究

5.1 制定风险控制措施

5.2 安全区域的定义

5.3 安全区域划分的意义

5.4 安全区域的构建

5.5 安全区域内的风险处理策略

5.6 小结

第6章 信息系统风险评估的实例分析

6.1 系统的介绍

6.2 三维评估模型的应用

6.2.1 组织目标(S)视角活动评估

6.2.2 资产保护(R)视角活动评估

6.2.3 生命周期过程(P)视角活动评估

6.3 模糊综合评判量化结果分析

6.3.1 风险事件的分析

6.3.2 量化结果数据分析

6.4 系统风险控制措施

6.5 小结

第7章 全文总结

7.1 已完成的工作

7.2 下一步的工作

7.3 结束语

参考文献

后 记

攻读硕士学位期间论文发表及科研情况