風(fēng)險(xiǎn)管理在信息系統(tǒng)安全中的應(yīng)用研究.pdf

1、隨著社會(huì)信息化的推進(jìn),信息安全越來越受到人們的重視.縱觀國內(nèi)外,信息安全問題不容樂觀,仍困擾著信息化社會(huì).信息安全領(lǐng)域的研究從六十年代的密碼學(xué)理論到今天的信息安全保障體系得到了質(zhì)的發(fā)展.近年來,人們對(duì)用風(fēng)險(xiǎn)管理的思想構(gòu)建安全信息系統(tǒng)給予充分的重視.安全風(fēng)險(xiǎn)管理是一種理性的對(duì)待信息安全的方法.安全不是絕對(duì)的,只要安全對(duì)策能夠滿足系統(tǒng)的需要就已經(jīng)足夠了.實(shí)施風(fēng)險(xiǎn)管理不能夠完全消滅風(fēng)險(xiǎn),它的目的是平衡安全控制成本與風(fēng)險(xiǎn)評(píng)估額的關(guān)系.如果安全控

2、制不能抵御系統(tǒng)的安全風(fēng)險(xiǎn),則系統(tǒng)是不安全的;如果安全控制成本大于系統(tǒng)的安全風(fēng)險(xiǎn)額,將造成不必要的浪費(fèi).實(shí)施風(fēng)險(xiǎn)管理是對(duì)系統(tǒng)的現(xiàn)有安全風(fēng)險(xiǎn)進(jìn)行辨識(shí)、評(píng)估,在此基礎(chǔ)上實(shí)施控制,目的是構(gòu)建一個(gè)安全的信息系統(tǒng).該論文基于這一點(diǎn),對(duì)信息安全風(fēng)險(xiǎn)管理的思想、方法、過程進(jìn)行了論述.共分六章.第一章信息系統(tǒng)安全概述對(duì)安全問題的現(xiàn)狀、安全體系結(jié)構(gòu)與國內(nèi)外的研究現(xiàn)狀作以分析,從風(fēng)險(xiǎn)管理的角度提出構(gòu)建安全信息系統(tǒng)的方法.并介紹了該文的研究路線與撰寫結(jié)構(gòu).第二

3、章風(fēng)險(xiǎn)管理概述從風(fēng)險(xiǎn)的本質(zhì)開始,論述了信息安全風(fēng)險(xiǎn)的定義、特性與分類,論述了風(fēng)險(xiǎn)管理的目的、原則與過程,然后研究了基于生存力的風(fēng)險(xiǎn)管理思想.基于生存力的風(fēng)險(xiǎn)管理思想是將信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生存力理論相結(jié)合的產(chǎn)物,是信息系統(tǒng)安全風(fēng)險(xiǎn)管理的基本思想.第三章和第四章詳細(xì)論述了風(fēng)險(xiǎn)管理的整個(gè)過程:系統(tǒng)描述——風(fēng)險(xiǎn)辨識(shí)——風(fēng)險(xiǎn)評(píng)估——風(fēng)險(xiǎn)分析報(bào)告——現(xiàn)有控制識(shí)別——識(shí)別控制點(diǎn)——控制成本估算——制定安全風(fēng)險(xiǎn)防范與控制策略——策略實(shí)施與評(píng)價(jià).

4、第三章風(fēng)險(xiǎn)分析從系統(tǒng)描述、風(fēng)險(xiǎn)辨識(shí)、風(fēng)險(xiǎn)評(píng)估到風(fēng)險(xiǎn)分析報(bào)告對(duì)這一過程及方法進(jìn)行了論述.第四章風(fēng)險(xiǎn)控制首先研究了安全機(jī)制與安全服務(wù),然后研究了安全風(fēng)險(xiǎn)控制的類型,它們是構(gòu)成安全風(fēng)險(xiǎn)控制模型的主要內(nèi)容.安全風(fēng)險(xiǎn)控制模型是一個(gè)三維的模型,解決的是如何運(yùn)用這個(gè)模型控制安全風(fēng)險(xiǎn)實(shí)現(xiàn)安全服務(wù)的問題.在此基礎(chǔ)上論述了集成的安全風(fēng)險(xiǎn)控制策略的制定方法與實(shí)施步驟.在第三、四章中,結(jié)合了一個(gè)國外的遠(yuǎn)程醫(yī)療信息系統(tǒng)的安全風(fēng)險(xiǎn)管理與控制的成功案例來進(jìn)行論述.第