当今社会,人们正经历着一场对人类具有深远影响的信息革命,信息系统正在成为国家建设的关键基础设施。信息系统的安全问题已从单纯的技术性问题变成事关国家安全的全球性问题,开展信息系统安全评估理论及其关键技术的研究具有极为重要的理论意义和实用价值。 本文在对国内外相关研究进行研究的基础上,针对信息系统安全评估中存在的主要问题,给出了一个信息系统安全评估研究的概念框架,并在该框架的指导下,采用定量与定性相结合的方法,对信息系统安全评估理论及其关键技术进行了研究。 (1)提出了一种实用的信息系统安全评估方法ISSUE; 通过对信息系统安全评估理论和方法的深入研究,提出的信息系统安全评估方法ISSUE(Information System SecUrity Evaluation),与同类研究相比,具有可操作性较强,独立、实用、评估结果具有可比性等特点。在此基础上,本文设计并实现了基于ISSUE方法的安全评估辅助系统,为用户提供了一个直观而简洁的评估界面,简化了信息系统安全评估的工作量。 (2)提出了一种新的安全风险概率预测技术; 本文针对信息系统自身的特点,基于统计学和机器学习原理,提出的信息安全风险概率预测模型,可以有效的提高安全风险评价结果的客观性与准确性。 (3)提出了一种基于模糊多属性群体决策的信息系统安全决策方法; 本文针对信息系统安全问题的不确定性、复杂性,将模糊数学、多属性决策和群体决策的理论和方法引入信息系统安全决策问题中,有助于进一步提高信息系统安全评估结果的准确性。在此基础上,设计并实现了基于模糊信息的交互式群体安全决策辅助系统。目前还未见到信息系统安全评估辅助决策支持系统的相关研究成果报道,该成果拓广和深化了信息系统安全评估决策的研究内容。 (4)对信息系统安全量化评估中的关键技术进行了研究。 本文分别提出了基于概率统计的信息系统安全定量评估方法和基于模糊数算术运算的信息系统安全定量评估方法,并对安全性的多维属性进行了研究,提出了一种基于多维安全度的信息系统安全性定量评估模型。 本文的意义在于通过信息安全、经济学、机器学习、决策科学、模糊数学等多学科交叉研究的方法,构建了信息系统安全评估的理论框架,并对其关键技术进行了深入研究。为信息系统安全评估研究引入新的思想,探索了提高信息系统安全评估效果的新途径,拓广和深化了信息系统安全评估的研究内容,对于提高安全评估的准确性和有效性有重要的理论和实践意义。