一种适用于ERP的信息安全风险评估模型研究及应用

摘要

本文通过对信息网络安全和风险评估模型和应用的探讨,以及对现有风险评估系统的分析,将现有信息安全和风险评估理论模型与基于安全策略的风险评估技术结合,提出一种适合于ERP的信息安全风险评估模型(PERIVOR模型),并在此模型的基础上开发了适合于ERP的信息安全风险评估系统(Risk Assessment System,RAS)。 PERIVOR模型通过三维立体结构,可以全面、多角度来展示信息安全的各种风险因数及其相互之间的关系。PERIVOR模型的研究重点在于除借鉴目前风险评估模型和标准外,还创新性地提出动态网络安全模型(PMDR)分析和基于管理策略的ERP企业网安全和风险权值分析方法,综合了信息安全资源策略和危险权值等诸多因素,尽量全面客观地对信息安全的技术性和非技术性方面进行分析,实现定性和定量相结合,评估企业的信息安全风险。 开发的网络安全风险评估系统RAS以PERIVOR模型为基础,采用软件系统工程的方法和面向对象的编程语言。系统采用模块化结构设计,具有良好的可扩充和可维护性,能够进行一些灵活的设置,满足动态网络安全的需求和发展。系统重点实现了基于PMDR模型分析和ERP模型分析的风险评估功能模块。通过PERIVOR模型引入的多种风险漏洞(Vulnerability)因数和其它风险因数等多种因素的综合,实现信息系统风险的定性和定量评估。 本研究课题的重要意义在于提出的PERIVOR模型结构合理,开发的RAS系统可实际应用于ERP的信息安全风险评估。该系统对于监控企业的信息网络安全和风险评估能收到较好的效果,对企业的信息网络安全起到一定的促进作用。

目录

文摘

英文文摘

声明

第1章 绪论

1.1 选题依据及研究意义

1.2 国内外文献综述

1.2.1信息安全风险评估的起源及发展历程

1.2.2信息安全风险评估理论技术

1.2.3信息安全风险评估标准

1.3 相关领域的研究进展

1.3.1信息安全评估日益得到重视

1.3.2相关领域的影响

1.4 本研究课题的来源及主要研究内容

第2章 网络安全模型及风险评估模型分析

2.1 动态网络安全模型的提出

2.1.1传统的系统安全模型分析

2.1.2传统网络安全解决方案的局限性

2.1.3改进型动态网络安全模型PMDR

2.2 信息安全风险评估模型分析

2.2.1基于标准的信息安全风险评估模型

2.2.2信息安全风险评估模型分析

2.2.3风险评估工具

2.2.4风险评估过程

2.3 动态网络安全和信息安全评估发展趋势

2.3.1网络安全技术和企业应用的融合

2.3.2动态加密技术

2.3.3抗毁性和仿真

2.3.4动态网络安全模型的评估体系将逐步完善

2.3.5信息安全风险评估发展趋势

2.3.6基于ERP的风险评估体系的逐步完善

2.4 本章小节

第3章 基于ERP的企业信息安全风险评估分析

3.1 ERP概述

3.2 基于ERP的信息安全风险评估研究进展

3.3 基于ERP的企业信息安全风险评估分析

3.3.1企业信息化安全现状

3.3.2风险评估问题分析

3.3.3已实施ERP的企业信息安全风险评估的需求

3.4 本章小节

第4章 一种新的信息安全风险评估模型

4.1 总体设计思路

4.2 PERIVOR模型的定义

4.2.1模型的定义

4.2.2模型的系统结构

4.2.3模型的形式化语言描述

4.3 PERIVOR模型的系统分析

4.3.1基于动态网络安全模型的分析

4.3.2基于分层评估的分析

4.3.3基于具体的网络设备和应用系统的分析

4.3.4基于管理策略的ERP企业网安全和风险权值分析

4.4 PERIVOR模型的优势及与其它模型的不同之处

4.5 本章小节

第5章PERIVOR模型的应用

5.1 PERIVOR模型在企业ERP的应用

5.2 需要重点解决的技术问题

5.3 系统用例模型

5.4 系统主要功能模块

5.5 系统实现

5.6 RAS系统的应用

5.7 本章小节

结论

参考文献

附录：有关术语定义

攻读硕士学位期间所发表的论文和取得的成果

致谢