面向电信系统的信息安全风险评估研究及应用

摘要

随着信息安全事件的不断涌现，信息安全已上升到国家安全战略高度，变被动修护为主动防御已成为解决安全问题趋势。信息安全风险评估是识别系统存在的潜在风险、全面了解系统安全状况的有效手段。目前我国对信息安全风险评估研究正处于高速发展阶段，我国颁布了很多信息安全风险评估标准及行业标准，对此也进行了大量研究，但多为标准解读和理论研究，对信息安全风险评估项目实施研究较少，如何在分析评估流程的基础上构建评估实施体系为普通评估者提供有效指导，及如何优化已有的评估方法使评估结果更科学、客观、全面的反映评估目的，将是信息安全防护研究的重点。　　首先，分析了信息安全风险评估、等级保护、风险管理三者流程和相互关系，深入了解我国信息安全风险评估现状，在此基础上将研究对象界定为：电信系统的运行维护阶段。　　其次，构建了“电信系统信息安全风险评估实施体系”，通过分析信息安全风险流程并结合项目实践经验，详细制定了相关人员职责、实施流程、输入输出文档等通用活动；并针对电信系统的特点，详细归纳了风险要素识别阶段的工作及需要注意的事项，以提高电信系统信息安全风险评估项目的实施效率和保障项目的实施质量，并对其他风险评估项目的实施具有指导与借鉴作用。　　再次，通过对常用评估方法的比较分析，选择运用基于熵权法的模糊综合评价的评估方法对整个电信系统安全状况进行评估，有效解决了整体评估中评估指标多、数据量大、结论带有模糊性等问题；选择运用基于G1法和模糊距离相结合的组合评估方法对具体风险值进行求解，有效解决了具体风险求解过程中评估指标少、主观性强、数据量少、精确度低等问题。　　最后，论文选取一个典型的电信系统进行实例应用，并根据系统实际运行情况，建立系统整体安全评估体系和具体风险值求解体系，利用论文提出的评估方法评估出电信系统整体安全部署现状并有效验证了评估方法的科学性和有效性。

目录

封面

声明

中文摘要

英文摘要

目录

1 绪论

1.1 研究背景及意义

1.2 国内外研究现状

1.3 研究目标和研究内容

2 相关理论研究

2.1 信息安全概述

2.2 信息安全风险评估主要标准概述

2.3 风险评估工具概述

2.4 信息安全风险评估、等级保护及信息安全管理的关系分析

2.5 本章小结

3 信息安全风险评估流程分析

3.1信息安全风险评估过程

3.2 系统全生命周期的信息安全风险评估

3.3信息安全风险评估解决的问题

3.4 电信系统信息安全风险评估分析

3.5 本章小节

4 电信系统信息安全风险评估实施体系构建

4.1 风险评估实施原则

4.2 风险评估实施流程

4.3 风险评估实施准备

4.4 电信系统风险评估要素识别分析

4.5 风险值求解与分析

4.6 风险处理过程

4.7 本章小结

5 电信系统信息安全风险评估方法研究

5.1 常见的风险评估方法

5.2 电信系统信息安全风险评估方法分析

5.3 本章小结

6 电信系统信息安全风险评估实例应用

6.1 项目背景

6.2 电信系统整体信息安全评估

6.3 风险值确定

6.4 本章总结

7 总结与展望

7.1 总结

7.2 展望

致谢

参考文献

个人简历、在学期间发表的学术论文及取得的研究成果