代号10701
分类号TP309学号0423421496
密级公开
帚普它手辩毅兜警硕士学位论文
题c中、英文,目…………一一信息寰全风险谔估燕型承直沏}究…………一………!_he尽esearchof__Info_rma_“on—Ses_n_rity_盹k-……一.AssessmentModeIandMethod
作者姓名…一扬继华…一指导教师姓名、职务……许蠢蚕.熬援….一学科门类…筻理学…学科、专业………筻理科堂皇王程……….
提交论文日期……………………三99主圭-旦……………………摘要信息系统安全管理是一项复杂的系统工程管理,在这项系统工程中,信息系统安全风险评估具有核心的地位,它是信息系统安全的基础和前提。论文从整体上可分为三部分:第一部分,论文概述了信息安全以及信息安全风险评估相关标准(包括技术性标准和管理性标准)的基础知识;第二部分,论文利用系统工程的理论和方法建立了一个基于层次结构的信息安全评估模型:第三部分,论文着重研究了一种基于资产、威胁和弱点的信息安全风险评估量化模型。三部分紧密相连,逐层深入的对信息安全风险评估过程中如何量化风险进行了科学的研究。论文对于信息安全风险评估方法进行了以下两个方面创新性的研究:一方面,借鉴灰色理论特性和评估方法,将该理论应用到信息安全风险评价模型的建立上,综合运用层次分析法、灰色评价方法及模糊评价方法,同时考虑安全要素间的相互关系和相对重要度,为信息安全评价体系提供了一种简单、实用、高效的量化评价模型。另一方面,论文在基于资产、威胁、弱点的信息安全风险评估模型中引入金融风险度量领域常用的风险价值模型,即VaR、CVaR模型,采用Poisson分布和正态分布模拟信息安全威胁发生频率。讨论了在一定历史时期威胁发生频率较高时Poisson分布难于计算的情况下,采用正态分布模拟威胁发生频率,并利用CVaR模型对风险的尾部进行分析。模型采用实际资产损失值表示信息安全风险值,依据模型所计算的信息安全风险损失值可直接作为企业决策者关于信息安全风险投资决策的依据。
关键词;信息安全风险评估灰色理论VaRCVaRAbstraet5AbstractTheinformationsecuritymanagementiscomplicatedsystemengineering,andtheinformationsecurityriskassessment,whichisthefoundationandpremiseofthe
informationsecurity,playsanimportantroleinthissystemengineering.Thispaperis
madeupofthreeparts:Inftrstpart,thepaperintroducesthebasicknowledgeoftheinformationsecurityandthecommonstandard(includethetechniquestandardandmanagementstandard)relatestoinformationsecurityriskevaluate;Inthesecondpart,a
multilevelsynthesisquantificationevaluationmodelofinformationsecurityis
recommendedbased
onlayerstructurewimthetheoriesandmethodsofthesystem
engineering;Inthethirdpart,thepaperemphasizesthestudyofinformationsecurity
riskquantificationassessmentmodelbasedonassets,threatsandweaknesses.Thesethreepartsrelateeachothercloselyandtheinformationsecurityrisk
quantification
assessmentmodelisresearcheddeeply.
Theereativitiesofthispaperaboutthemethodofinformationsecurityriskevaluationlieinthefollowingtwofactors:
Ononehand,thegraytheoryisappliedinthisquantificationevaluationmodelandtheproposedmodelisestablishedapplyingAHP,掣ayevaluationmethodandfuzzy
evaluationmethodsynthetically,whileconsideringaboutrelativeimportanceandinterrelationamongsecurityfactors.Asaresult,theproposedmodeloffersasimple,
reliableandeffectivequantificationmodelforinformation
securityevaluationsystem.
Ontheotherhand,thepaperappliestheValueatRisk(vag)model
and
ConditionalValueatRisk(CVaR)model,usuallyusedinthefinanceriskanalysisfield,
intoinformationsecurityriskassessment.Atthesametime,thetkreatenoccurrence
frequenciesaresimulatedbyPoissondistributionandnormaldistributioninthispaper.BecausePoissondistributionishardtocalculatewhenthreatenOccursfrequently,the
Paperusenormaldistributionsimulatesthethreatenoccurrencefrequencies
insteadof
Poissondistribution.SothetailrisksareanalyzedusingCVaRmethod.Theproposed
modelusestherealvaluetomeasurethelossofsecurityrisk,andtheresultCanbeusedintheinformationsecurityriskinvestmentsdecision
directly.
Keywords:InformationSecurityRiskAssessmentGrayTheoryVaRCVaR西安电子科技大学学位论文创新性声明秉承学校严谨的学风和优良的科学道德,本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢中所罗列的内容以外,论文中不包含其他人已经发表或撰写过的研究成果;也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。申请学位论文与资料若有不实之处,本人承担一切的法律责任。本人龋磕必
、1
日期:竺Z:!:望一
西安电子科技大学关于论文使用授权的说明本人完全了解西安电子科技大学有关保留和使用学位论文的规定,即:研究生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。学校有权保留送交论文的复印件,允许查阅和借阅论文;学校可以公布论文的全部或部分内容,可以允许采用影印、缩印或其它复制手段保存论文。同时本人保证,毕业后结合学位论文研究课题再攥写的文章一律署名单位为西安电子科技大学。(保密的论文在解密后遵守此规定)本学位论文属于保密,在年解密后适用本授权书。17
本人签名/弛趁车
日期:三聋:::望
l7一之一
导师签名:丛犟(吠、)
日期:三::Z:!:羔第一章绪论第一章绪论1.1论文研究背景在当今全球一体化的商业环境中,随着整个社会信息化程度的不断提高,信息的重要性被广泛接受,信息系统在商业和政府组织中得到了真正广泛的应用,计算机网络和信息系统已经成为社会经济发展和人们日常生活中不可或缺的动力和工具。信息网络技术为人们带来惊喜的同时,也为各类社会组织带来了前所未有的威胁。这些网络和信息系统自身的开放性决定了它们的发展和应用必将遭受网络黑客、木马、病毒、恶意代码、物理故障、人为破坏等各方面的威胁,信息安全所导致的问题日益突出且逐渐开始被重视。据美国计算机紧急事件响应小组协调中心CERT/C的统计,2003年报告的安全事件(securityincident)数量达到137529件,远远高于2001年的52658件和2002年的82094件。2005年信息网络安全与病毒疫情调查分析报告【1】结果表明,信息网络使用单位信息化程度与2004年相比有较大提高,但是信息网络安全管理人员缺乏培训、相关安全信息难以及时掌握、安全防范技术措施和投入不足等问题比较突出,信息网络安全管理工作仍需要进一步重视和加强。中国金融认证中心(cFcA)发布的2006中国网上银行调查报告【2J显示,虽然在过去的一年中网上银行快速发展,但超过60%的受访者仍然不敢使用网上银行,安全问题仍然是非网银用户最担心的事情。信息安全管理是一个过程,而不是一个产品,不能期望通过一个安全产品就能把所有的安全问题都解决。安全管理的本质是风险管理,这是因为安全与风险是一对与生俱来又密不可分的矛盾因素,没有绝对的安全,也没有彻底的危险。需要基于风险管理来建立信息安全战略,最适宜的信息安全战略实际上就是最优的风险管理对策。信息安全的风险管理可以看成是一个不断降低安全风险的过程,其最终目的是使安全风险降低到一个可接受的程度,使用户和决策者可以接受剩余的风险,而风险评估则是风险管理的基础。对企业来说,解决信息安全的首要问题就是要识别企业自身信息系统所面临的风险,包括这些风险可能带来的安全威胁与影响的程度,进行最充分的分析与评估。面对日益尖锐的信息安全矛盾,人们在不断的探索和研究防范信息系统威胁的手段和方法,并且在杀毒软件、防火墙和入侵检测技术等方面取得了迅猛的发展。然而,这没有从根本上解决信息系统的安全问题,来自计算机网络的威胁更