风险管理在信息系统安全中的应用研究

摘要

随着社会信息化的推进,信息安全越来越受到人们的重视.纵观国内外,信息安全问题不容乐观,仍困扰着信息化社会.信息安全领域的研究从六十年代的密码学理论到今天的信息安全保障体系得到了质的发展.近年来,人们对用风险管理的思想构建安全信息系统给予充分的重视.安全风险管理是一种理性的对待信息安全的方法.安全不是绝对的,只要安全对策能够满足系统的需要就已经足够了.实施风险管理不能够完全消灭风险,它的目的是平衡安全控制成本与风险评估额的关系.如果安全控制不能抵御系统的安全风险,则系统是不安全的;如果安全控制成本大于系统的安全风险额,将造成不必要的浪费.实施风险管理是对系统的现有安全风险进行辨识、评估,在此基础上实施控制,目的是构建一个安全的信息系统.该论文基于这一点,对信息安全风险管理的思想、方法、过程进行了论述.共分六章.第一章信息系统安全概述对安全问题的现状、安全体系结构与国内外的研究现状作以分析,从风险管理的角度提出构建安全信息系统的方法.并介绍了该文的研究路线与撰写结构.第二章风险管理概述从风险的本质开始,论述了信息安全风险的定义、特性与分类,论述了风险管理的目的、原则与过程,然后研究了基于生存力的风险管理思想.基于生存力的风险管理思想是将信息安全风险管理与信息系统生存力理论相结合的产物,是信息系统安全风险管理的基本思想.第三章和第四章详细论述了风险管理的整个过程:系统描述——风险辨识——风险评估——风险分析报告——现有控制识别——识别控制点——控制成本估算——制定安全风险防范与控制策略——策略实施与评价.第三章风险分析从系统描述、风险辨识、风险评估到风险分析报告对这一过程及方法进行了论述.第四章风险控制首先研究了安全机制与安全服务,然后研究了安全风险控制的类型,它们是构成安全风险控制模型的主要内容.安全风险控制模型是一个三维的模型,解决的是如何运用这个模型控制安全风险实现安全服务的问题.在此基础上论述了集成的安全风险控制策略的制定方法与实施步骤.在第三、四章中,结合了一个国外的远程医疗信息系统的安全风险管理与控制的成功案例来进行论述.第五章案例研究中,对EFESCO项目案例进行介绍与分析.通过对EFESCO项目的安全风险分析与控制的项目实践,对风险管理又有了更深入的理解与认识,对风险管理的过程与关键点有更准确的把握.第六章是总结与展望,对研究的内容进行总结,并对这项研究的前景进行简单的展望.

目录

文摘

英文文摘

1信息安全概述

1.1信息安全的现状

1.2信息安全体系的基本构成

1.3国内外信息安全的研究

1.4本论文的研究路线与撰写结构

2风险管理概述

2.1风险的定义、特性、分类

2.2风险管理的定义、目标、原则、对象

2.3风险管理的过程

2.4基于生存力的风险管理思想

3风险分析

3.1系统描述

3.1.1数据与信息

3.1.2人

3.1.3软件

3.1.4硬件

3.1.5环境

3.1.6系统接口和关联

3.2风险辨识

3.2.1风险的成因

3.2.2威胁分析

3.2.3脆弱性分析

3.3风险评估

3.3.1风险发生的可能性分析

3.3.2风险的影响分析

3.3.3确定风险级别

3.3.4系统生命周期中的风险评估

3.4风险分析报告

3.4.1风险分析报告的作用

3.4.2风险分析报告的内容

3.5远程医疗信息系统安全风险分析案例

3.5.1概述

3.5.2系统描述

3.5.3风险辨识及评估

4系统安全的风险控制

4.1安全机制与安全服务

4.1.1安全服务

4.1.2安全机制

4.2安全风险控制模型

4.2.1安全风险控制分类

4.2.2安全风险控制模型

4.3安全风险控制策略及评价

4.3.1控制现状分析

4.3.2识别控制点

4.3.3安全控制成本估算

4.3.4基于风险分析报告的集成控制策略

4.3.5控制方案的评价

4.4风险跟踪与回馈

4.5远程医疗信息系统风险控制方案

5EFESCO系统安全风险分析及控制策略研究

5.1 EFESCO电子商务平台系统描述

5.1.1项目背景

5.1.2系统体系结构

5.1.3数据交换图

5.2风险分析

5.2.1威胁分析

5.2.2脆弱性分析

5.2.3风险评估

5.3风险控制策略与系统安全方案

5.3.1系统整体安全机制策略及分析

5.3.2数据库安全机制策略及分析

5.3.3网络数据传输安全机制策略及分析

5.4效果评价

6总结与展望

致谢

参考文献