论文部分内容阅读
计算机技术、网络技术等信息技术的迅速发展,加速和深化了社会信息化的进程,也使得组织与信息系统的关系日趋密切。然而信息系统在提高组织信息资源共享性和业务运行效率的同时,也带来信息安全问题。因此,全面系统地对组织信息系统进行信息安全风险评估,作为信息系统建设和安全管理的基础,具有极为重要的现实意义,而有关的安全标准、安全风险评估模型、评估方法的研究,以及相应的评估辅助工具的开发,则成为当前理论和科研实践的热点。本文的研究以山东省教育厅国家助学贷款管理信息系统为背景,在对信息安全风险评估计算模型研究的基础上,对信息安全和安全风险评估的相关发展概况、研究背景、风险理论相关的概念和方法进行了深入研究。本文具体内容分为以下几方面:(1)提出一种基于模糊概率的风险分析方法贝叶斯概率风险分析模型能有效的解决风险量化过程中的不确定性问题,包括风险发生概率和造成损失的不确定性,为有效实施风险管理提供依据。在改进其计算所得的较粗粒度的风险分析值所产生的度量结果的不确定性的基础上提出了一种基于模糊概率区间的评估模型,提高了分析结果的准确性和风险评估的有效性。(2)使用进化算法对风险评估模型进行优化针对评估过程中出现的似然值,建立了信息安全风险分析的模糊多目标优化模型及该模型的求解框架,使用进化算法对风险评估模型进行优化;该算法基于模糊算子进行约束处理,小生境技术和优秀解培育过程的操作保证了解的多样性,加速了解的收敛过程。最后给出了在模型解集合中求解最满意安全方案的模糊多属性决策方法。基于信息系统安全评估整体框架,可以最终求解出一个整合所有安全决策人员意见、充分考虑多个决策目标且能将信息安全风险控制在可接受范围之内的理想安全方案。(3)本文设计并实现了一个基于模糊概率的动态信息风险评估模型并且将该模型成功的引入山东省教育厅助学代理信息管理系统中。实验证明,该模块能够及时、合理地分析系统存在的风险威胁并根据威胁等级进行不同的响应预警,减小了风险威胁,达到了设计的目标,取得了满意的效果。针对目前研究工作中还存在不少的缺憾和不足,仍有许多可扩展的后续工作可作,信息安全风险模型和评估方法还有待于进一步的发展和完善。虽然目前己经有很多的安全模型提出,但是关于风险评估方面的模型还不多,而且目前的评估方法适应性不强。我国已经提出实施信息安全等级保护制度,研究和提出适合安全等级保护制度的风险评估模型和风险评估方法对信息安全和风险评估的发展将具有重要的意义。