安全风险评估模型研究及其在海洋信息系统中的应用

摘要

我国是海洋大国，海洋在国民经济和社会发展中占有极其重要的地位。尤其近几年来，我国海洋产业GDP基本上保持稳步增长。据初步核算，2015年我国海洋产业生产总值达64669亿元，较上年增长了7%。上海市海洋局和上海市发展改革委也于去年组织开展了上海市海洋发展战略研究，并起草了《关于上海加快发展海洋事业的行动方案（2015-2020年）》。随着海洋强国战略和“一带一路”建设的推进，如何加强海洋信息化建设，提升预报减灾、环境保护、维权执法等海洋信息公共服务保障能力，成为各方关注的重大战略问题。 从总体来看，我国海洋信息化建设至今已经取得了不错的进展。例如，我国已经制定并完善了国家海洋信息化规划，海洋数据的获取和处理能力、技术也有了提升，并且我国的多级海洋信息业务体系已经初步形成，建设了国家海洋综合管理系统，海洋信息安全工作也在不断加强。由于大部分的海洋数据都属于国家机密，海洋信息安全出现了任何一点技术漏洞或管理不当都有可能对我国利益带来严重后果，因此在建设海洋信息系统时，其信息安全问题不容忽视。据了解，国家海洋局、各省市、县级海洋局及其他涉海单位都有针对不同海洋业务的不同安全等级要求。由此，对于海洋信息系统的安全风险评估就成为海洋信息安全管理机制建设的基础。有效的风险评估模型可以判断评估对象系统的安全措施建设是否满足保护信息资产安全的要求，同时运用合理的模型也可以监控整个系统具体的安全状况，从而能够及时调整信息安全保障措施，始终将风险控制在可接受的范围内，用低成本从最大程度上保障整个系统的安全。 首先，本文对现有的安全风险评估标准、评估模型、评估方法进行了深入的分析，以GB/T20984-2007《信息安全技术信息系统的风险评估规范》和BS7799等国内外信息安全风险评估标准为指导，结合海洋数据属性及海洋信息系统特点，从而分析和研究海洋信息系统安全因素，提出一套较为全面、客观的海洋信息系统安全评估指标体系，基于层次分析法对指标体系进行定量与定性相结合的分析，从而筛选对海洋信息系统安全影响较小的指标。最后利用统计学中的效度系数和相关系数做出效度和信度检验，证明了本文中的指标体系具有一定的有效性和可靠性。 其次，本文结合事故树和层次分析法在定性和定量分析上的优势，建立了基于改进层次分析法的海洋信息安全评估方法，将事故树中的结构重要度概念引入到层次分析法的判断矩阵构建过程中，利用结构重要度引出的判断因子的相互比较关系来建立判断矩阵并计算其权重，而后，结合传统层次分析法计算出的权重，进而计算分析得出各因素的综合权重。 最后，基于改进层次分析法的海洋信息安全评估方法的基础上，提出海洋信息系统安全评估模型。该模型第一步是分析评估系统的安全风险因素；第二步是分别构建事故树和层次分析法的判断矩阵，计算各自权重，再计算各自的标度因子和一致性因子，从而结合权重赋值；第三步是利用模糊综合分析法结合权重得出系统的安全等级评价，并给出安全改进方案。 通过实例应用，将本文提出的指标体系及安全评估模型运用到实际海洋信息系统中，并在实践中证明该安全评估模型是切合实际、可行有效的。最后实例应用计算及分析结果表明，本文研究的海洋信息系统安全评估指标及模型能够满足实际评估工作，并且符合实际情况。

目录

封面

声明

中文摘要

英文摘要

目录

第一章绪论

1.1选题背景

1.2研究目的与意义

1.3研究内容

1.4本文组织结构

第二章信息安全风险评估概述

2.1 信息安全风险评估标准研究现状

2.2信息安全风险评估方法

2.3信息安全评估实施流程

2.4 本章小结

第三章海洋信息安全评估指标体系构建

3.1层次分析法

3.2海洋信息安全指标体系设计原则

3.3海洋信息安全指标构建流程

3.4海洋信息安全指标的优化方法

3.5海洋信息安全指标体系构建

3.6 本章小结

第四章海洋信息安全风险评估建模

4.1 海洋信息系统安全评估原则

4.2 基于改进层次分析法的海洋信息安全评估方法

4.3海洋信息系统安全评估模型

4.4 本章小结

第五章实例应用

5.1 系统背景描述

5.2 指标权重计算

5.3 安全等级评估

5.4 大洋山海浪远程监测系统安全改进措施

5.5 本章小结

第六章总结与展望

参考文献

附录一 指标权重详细计算过程

附录二 攻读学位期间发表的学术论文

附录三 攻读学位期间参与过的项目

致谢