文摘
英文文摘
声明
第1章绪论
1.1该课题的意义
1.2国内外风险评估的进展情况
1.2.1国外进展情况
1.2.2国内进展情况
1.3国内外风险评估工具的情况
1.3.1国外情况
1.3.2国内工具
1.4论文的主要内容和创新点
1.4.1论文的主要内容
1.4.2论文的创新点
第2章信息安全风险评估概述
2.1信息安全管理体系建设(ISMS)
2.1.1信息安全管理体系的定义
2.1.2信息安全管理体系的意义
2.1.3信息安全管理体系建设与风险评估
2.2风险评估的基本原理
2.2.1基本定义与概念
2.2.2基本要素关系
2.2.3风险分析原理
2.2.4风险评估过程及资产、脆弱性和威胁赋值
2.3有关风险评估的标准
2.3.1 CC与GB/T 18336
2.3.2 BS 7799与ISO/IEC TR 13335
2.3.3 SSE-CMM
2.3.4 GAO/AIMD-99-139《信息安全风险评估指南》
2.3.5 NIST SP 800-30 IT系统风险管理指南
2.3.6 OCTAVE方法
2.3.7 AS/NZS 4360
2.3.8信息安全风险评估规范
2.3.9电子政务等级保护指南
2.4已经有的风险分析方法
2.4.1层次分析法
2.4.2风险矩阵测量
2.4.3威胁分级法
2.4.4风险综合评价法
2.4.5调查问卷法
第3章风险评估模型的建立
3.1该模型的理论基础
3.2模型的建立
3.2.1风险计算的通用模型及针对资产三个属性的风险分别计算
3.2.2业务系统访问路径的确定
3.2.3事故树的建立
3.2.4业务系统风险分析
第4章系统分析设计和实现
4.1系统的总体设计
4.1.1系统总体目标
4.1.2系统总体结构
4.1.3系统开发平台
4.2数据库的设计
4.2.1资产信息表的结构
4.2.2威胁信息表的结构
4.2.3脆弱信息表的结构
4.2.4威胁脆弱性关联信息表
4.2.5资产风险表
4.2.6事故树存储表
4.2.7安全事件的发生概率和安全等级转换表
4.2.8各个表之间的关系
4.3主要功能模块和关键算法的的设计和实现
4.3.1资产评估
4.3.2威胁评估
4.3.3脆弱性评估
4.3.4风险计算
4.3.5事故树的存储与化简,结构重要度计算
结论
致谢
参考文献