信息安全风险评估模型及方法研究

信息安全风险评估模型及方法研究作者：杨继华学位授予单位：西安电子科技大学参考文献(44条)1.公安部公共信息网络安全监察局2005年信息网络安全与病毒疫情调查分析报告2.中国金融认证中心2006中国网上银行调查报告3.ChristopherAlberts.AudreyDorofee.吴唏信息安全管理20034.ErikJohansson.PontusJohnsonAssessmentofenterpriseinformationsecurity-anarchitecturetheorydiagramdefinition5.冯登国.张阳.张玉清信息安全风险评估综述2004(07)6.中国信息安全产品测评认证中心信息安全工程与管理20037.于勇常用的信息安全标准研究2003(07)8.闫强.陈钟.段云所信息安全评估标准技术及其进展2003(06)9.谭良.佘堃.周明天信息安全评估标准研究2006(04)10.陈雷霆.文立玉.李志刚信息安全评估研究2005(03)11.U.S.DoD5200.282STD.Trustedcomputersystemsevaluaioncriteria198512.ISO17799-2005.InformationSecuritytechniques-Codeofpracticeforinformationsecuritymanagement13.ISO13335.Informationtechnology-Securitytechniques-GuidelinesforthemanagementofITsecurity(GMITS)-Part1:ConceptsandmodelsforITSecurity(revision)200114.CTCPECCanadiantrustedcomputerproductevaluationcriteria,version3.0199315.FCFederalcriteriaforinformationtechnologysecurity,draftversion1.0,(VolumesⅠandⅡ)199316.ITSECInformationtechnologysecurityevaluationcriteria,version1.2199117.中国信息安全产品测评认证中心信息安全标准及法律法规200318.ISO15408-1-1999.Theinternationalorganizationforstandardizationandtheinternationalelectrotechnicalcommission199919.蔡昱.张玉清.孙铁安全评估标准综述2004(02)20.GB17859-1999.计算机信息安全保护等级划分标准199921.GB/T18336-2001.信息技术-安全技术一信息技术安全性评估准则200122.RommelfangerHJMulticriteria.DecisionMakingUsingFuzzyLogic199823.HanseongS.PoonghyunSASoftwareSafetyEvaluationMethodBasedonFuzzyColoredPetriNets199924.周曦民.魏忠.陈长松一种基于IATF的信息系统安全性评价模型的研究2004(07)25.朱岩.杨永田.张玉清.冯登国基于层次结构的信息安全评估模型研究2004(06)26.魏忠系统性信息安全综合集成量化评估体系的研究2005(08)27.傅立灰色系统理论及其应用199228.曹鸿兴.郑耀文.顾今灰色系统理论浅述198829.易德生.郭萍灰色理论与方法199230.汪应洛系统工程200331.王标.胡勇.戴宗坤风险评估要素关系模型的改进2005(03)32.MichaelEWhitman.HerbertJMattord.徐焱信息安全原理200433.林则夫信息技术投资的风险评估及投资决策研究[学位论文]博士200434.BS7799-2.Informationsecuritymanagementspecificationforinformationsecuritymanagementsystems200235.孙强.陈伟.王东红信息安全管理200436.黄训江.侯光明投资项目风险管理优先度评价研究2005(01)37.陈德泉.林则夫.黄敏基于Poisson分布的信息安全风险评估2003(11)38.王连强.吕述望.张剑组合对象信息安全风险评估研究2006(26)39.刘小茂.田立VaR与CVaR的对比研究及实证分析2005(10)40.刘志东Downside-Risk风险度量方法研究200641.徐元铖国外风险价值模型研究现状2005(06)42.盛骤.谢式千.潘承毅概率论与数理统计198943.张卓奎.陈慧婵随机过程200344.FotiosHarmantzis.ManuMalekSecurityriskanalysisandevaluationl2004相似文献(10条)1.期刊论文李明高.LiMinggao信息安全风险评估在信息安全体系建设中的应用分析-电脑与电信2009,(1)计算机网络和信息系统存在大量的安全隐患,通过风险评估及早发现安全隐患并采取相应的加固方案成为信息安全保障建设必不可少的一部分.本文介绍了开展风险评估的必要性、时机的选择,以及风险评估的内容和开展风险评估应遵循的原则.2.期刊论文张孙蓉.ZHANGSun-rong乌江公司本部信息安全风险评估探讨-贵州水力发电2009,23(1)随着企业对信息系统的依赖性日益增长,信息安全的风险也在逐步加大.风险评估是信息安全建设的起点,它可以帮助信息系统用户了解当前的安全现状,为控制和降低信息安全风险、改善信息安全状况、实施信息系统的风险管理以及为信息系统的规划和建设提供依据.文章强调了信息安全风险评估的必要性和重要性,阐明了信息安全风险评估的范围、依据和流程,分析了信息安全风险评估的要素及风险分析原理,介绍了信息安全风险评估的方法.3.学位论文龙志宇保卫网信息安全风险评估与信息安全服务平台研究2006保卫网(SGNET)是我军一个重要的信息系统，随着时间的推移和军队信息化建设的深入，保卫网在信息安全方面存在不少风险和漏洞，面临着各种安全威胁，同时保卫网用户的信息安全知识匮乏，对信息安全服务有着迫切的需求。本文对信息安全的基本理论和概念作了简要的论述，对信息安全问题产生的基本原因进行了分析，并介绍了主要的信息安全模型，论文还对信息安全风险评估理论进行了系统地阐述，提出了基于SSE-CMM模型的风险评估的基本方法。某单位保卫网信息安全风险评估是论文的主要内容，风险评估过程采用基于SSE-CMM模型的模糊综合评判法，分为“前期准备”、“数据收集”、“风险分析”、“策略选择，”四个阶段，作者具体研究了每个阶段的操作步骤和运算方法，计算出保卫网风险评估量化结果。参考P2DR信息安全管理模型，构建了基于SSE-CMM模型的保卫网信息安全管理模型(SNISMM)，估算结果证明，该模型可以明显降低保卫网信息安全风险度。信息安全服务平台(ISSP)是保卫网信息安全管理模型的实际应用之一，该平台由十个分系统组成，分两个阶段进行建设，为保卫网用户提供各种信息安全服务。作者在实验系统中开发设计了补丁升级服务器、安全信息数据库和安全工具箱，对第一阶段其他分系统提出相应的解决方案。测试与仿真结果说明平台已完成部分的基本功能均能正常实现。本文中的理论与方法，既有理论性，又有实践性，可以应用到我军其他信息系统的信息安全解决方案中。本文的工作无论对我军信息安全研究还是信息安全建设都有重要的意义。4.期刊论文周权.雷芳华.李就好.ZHOUQuan.LEIFang-hua.LIliu-hao信息安全风险评估要素量化方法-信息安全与通信保密2009,(8)信息安全风险评估是保障信息系统安全的重要手段之一,也是信息系统安全体系建设的前提和基础.文中在分析信息安全风险评估要素和评估过程的基础上,结合实际经验针对定量风险评估讨论了定量风险评估要素的量化规则,量化方法和风险计算方法,该方法在定量风险评估过程中具有科学性,合理性和实用性特点.5.期刊论文杨永清.孙媛媛.YANGYong-qing.SUNYuan-yuan高校信息安全风险评估探索-科技情报开发与经济2006,16(17)通过对高校信息化现状的分析,结合我国即将推行的《信息安全风险评估指南》,指出高校进行信息安全风险评估的必要性,简要介绍了信息安全风险评估的概念,对高校信息安全风险评估过程进行了论述,并对高校如何实施信息安全风险评估提出了建议.6.学位论文赵坚数字图书馆信息安全风险评估辅助工具的开发与设计2008随着当代通信和网络技术、高密度存贮技术、计算机技术以及多媒体等先进技术的飞速发展，一个真正意义的信息资源空间--数字图书馆正在形成，这是21世纪世界各国图书馆发展的主旋律，也是实现经济全球一体化的必备条件之一.由于数字图书馆的信息安全直接影响到未来国家的经济、文化、教育、科学技术等事业的建设和发展，因此加强信息安全的研究和防范，营造信息安全氛围和环境已经成为数字图书馆的重中之重、当务之急.数字图书馆信息安全的管理是一个认识风险、评估风险、管理风险的过程，而风险评估则是了解数字图书馆的安全风险现状，采取技术与管理措施实施安全加固的前提.然而要对其进行风险评估仅仅依靠人工完成是不现实的，因为评估要素随着评估过程、沟通过程、监视和评审过程、重复的评估过程而不断变化，需要不断重复地进行大量的数据处理，因此为数字图书馆的安全管理设计一套风险评估辅助工具就显得尤为必要了。本文首先对国内外信息安全风险评估、评估标准与评估软件研究现状进行了深入分析，并介绍了信息安全与风险评估之间的关系；然后对信息安全风险评估中的相关概念、评估流程、模型和方法以及ISO27000标准进行了介绍；接着深入研究了信息安全评估软件在评估中的重要作用以及现在常用的三类风险评估软件.在此基础上，分析了实现基于ISO27000的数字图书馆风险评估软件的必要性和可行性，并结合数字图书馆信息安全管理的特点研究了基于ISO27000的数字图书馆信息安全风险评估辅助工具的流程.最后，在此流程基础上，设计并实现了基于ISO27000的数字图书馆信息安全风险评估辅助工具。本文是首次研究并开发了基于ISO27000的数字图书馆信息安全风险评估实验系统，解决了以往对其进行风险评估大量繁杂的手工操作，在一定程度上提高了工作效率，减少了数字图书馆的损失.同时本系统中提供的模板导入/导出等操作功能方便了不同的数字图书馆之间的交流，减少了重复劳动，并为那些业务流程规范、其相关资产、威胁和薄弱点易于归纳的组织进行风险评估提供了接口。7.期刊论文冯登国.张阳.张玉清信息安全风险评估综述-通信学报2004,25(7)信息安全风险评估是信息系统安全工程的重要组成部分,是建立信息系统安全体系的基础和前提.本文分析了信息安全风险评估所涉及的主要内容,包括国内外现状、评估体系模型、评估标准、评估方法、评估过程等,探讨了国内外测评体系,指出了目前信息安全风险评估需要解决的问题,展望了信息安全风险评估的发展前景.8.期刊论文任晓波.RENXiao-bo信息安全风险评估在贵州移动的应用-信息安全与通信保密2009,(9)论文通过对信息安全风险评估的概念及评估方法的介绍,并以贵州移动2008年网管系统的风险评估为例,结合风险评估在贵州移动的应用和成果,说明了风险评估对于贵州移动信息安全工作的重要性.同时,也希望对其他企事业单位进行信息安全建设提供一些有益的思路.9.学位论文赵冬梅信息安全风险评估量化方法研究2007随着信息技术的发展，信息系统在国家的政治、军事和经济领域的广泛应用，整个社会对信息系统的依赖性越来越大，信息系统的安全问题已成为关系经济稳定发展和国家安全的社会问题。对信息系统进行有效的风险评估，选择有效