一、我国自己的安全评估标准——《计算机信息系统安全保护等级划分准则》(论文文献综述)
孔斌[1](2021)在《高安全等级信息系统的风险评估研究》文中进行了进一步梳理随着信息社会的迅猛发展,信息系统已经被广泛应用到各个领域,与此同时,在党政机关、军工单位等重点领域部署了很多高安全等级的信息系统。信息系统发挥着支撑、保障、服务、监管等重要的作用,一旦出现安全保密隐患,会对国家的安全和利益,乃至于社会稳定产生严重影响。确保高安全等级信息系统的安全、稳定、可靠运行成为了一个不容忽视的问题,所以,高安全等级信息系统的风险评估成为了研究重点和难点。信息系统风险评估根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五个安全保护等级[1]。本文的研究对象为高安全等级信息系统,特指第三级、第四级和和第五级信息系统。本文系统地研究了信息系统风险评估的理论及方法,根据国家相关法律法规和标准,结合高安全等级信息系统的特点,融合了十几年的风险评估经验和案例,优化了评估指标体系和评估模型,改进了评估过程中每个阶段的具体操作步骤,保证了风险评估结果的可信度和实用性,提出了切实可行的高安全等级信息系统安全防护和管理的合理建议,为深入高效的开展高安全等级信息系统风险评估提供有力支撑,为国家相关行政部门对高安全等级信息系统的管理决策提供关键依据。主要研究内容和成果如下:(1)优化了高安全等级信息系统风险评估模型依据高安全等级信息系统的特点及防护要求,选取了风险评估指标,并构建了多层次指标体系。然后基于该指标体系,将博弈理论引入到风险评估中,把评估人员的防御方法与攻击人员的攻击方法作为攻防博弈的基础,通过构建攻防博弈模型,分析了评估人员及攻击人员在攻防过程中获得的收益及付出的开销,并结合高安全等级信息系统的安全等级,计算得到信息系统的风险值,使得风险评估过程更加科学合理。(2)提出了应用虚拟化技术的高安全等级信息系统风险评估模型从虚拟化体系结构入手,全面分析了虚拟化系统在高安全等级网络环境中存在的脆弱性和引入的安全威胁,在传统矩阵法的基础上融入了序值法、层次分析法,利用基于风险矩阵的信息安全风险模型将分析结果进行量化,引入了合理的权重分配策略,得到虚拟化系统在高安全等级网络环境中的定量安全评估结果,为虚拟化系统在高安全等级网络环境中的定量安全评估提供有力参考[2]。(3)提出了面向网络互联互通环境的风险评估模型分析了网络互联互通采用的安全防护技术以及存在的安全问题,在高安全等级信息系统风险评估以及虚拟化系统风险评估的基础上,研究了高安全等级信息系统之间、高安全等级信息系统与虚拟化系统、高安全等级信息系统与工业控制系统等互联互通的风险评估,提出了不同互联互通情况下的风险评估模型,极大地提高了网络互联互通环境的风险控制能力。(4)设计并实现了高安全等级信息系统风险评估系统基于优化完善的高安全等级信息系统风险评估指标体系以及风险评估模型,设计并实现了高安全等级信息系统风险评估的原型系统,从关键评估项入手,量化了不同关键评估项扣分的频次,定位了频繁扣分的关键评估项及其对应的安全隐患。通过多维度的有效的网络特征,实现了同类网络安全隐患的预测。同时,基于采集数据,从常见评估问题入手,采用统计分析的方法,分析了出现这些评估问题的原因,对于指导评估人员工作,简化评估人员的业务量提供理论支持。另外,依据信息系统安全级别、风险等级以及影响程度,划分风险控制区域,制定对应的风险控制策略。
李莉,魏巨升[2](2020)在《信息安全评估评测体系研究及ISMS审核实践》文中进行了进一步梳理本文研究了信息安全评估评测的不同体系,包括风险评估、等级保护和信息安全管理体系审核,对各个体系进行了比较,分析了各个评估评价体系的不同应用场景,最后针对ISMS的审核提出了具体建议。
蔡跃[3](2020)在《海事信息系统安全评估模型构建与应用研究》文中研究指明于20世纪50年代开始90年代兴起的网路技术在社会、经济、文化和人民生活中扮演了越来越重要的角色,特别是1994年中国互联网进入国际互联网这个国际大家庭后,中国互联网发展方式和规模堪称翘楚。特别是伴随改革开放后经济迅猛发展之势,我国不断提升互联网基础建设水平,网民规模基数和年龄跨度增大,互联网应用形式多样,新技术新功能深刻改变生产生活方式等。网络在深刻改变人民生活的同时也带来了许多安全隐患,个人信息泄露、网络诈骗等网络安全事件花样翻新、防不胜防。一方面给个人或机构损害了个人隐私、商业机密,也带来了巨大的经济利益损失;另一方面也影响了国家政治、经济和社会的平稳运行。习近平总书记曾说过,“没有网络安全就没有国家安全”。因此,科学有效应对网络安全问题已成为了国际社会的共同课题。交通运输行业的海事单位,其重要性更是举足轻重,特别是随着“海洋强国”、“一带一路”、“21世纪海上丝绸之路”等国家战略的提出,海上的政治经济竞争也日趋白热化。当前我国在信息安全风险评估方面多是模型和方法研究,等级保护更多的是关于测评系统和项目控制的研究,关于安全评估和等级保护相结合的研究还不甚多。本文在总结现有研究成果的基础上,结合现有海事信息系统特点和安全需求,提出AHP、信息熵与模糊综合评价法相结合的海事信息安全风险评估指标体系和评价模型。首先,论文详细的阐述了信息安全评估模型和等级保护的研究现状,确定了海事信息安全风险评估的研究方向;其次,依据海事信息系统建设内容和安全特点,从安全通信网络、安全区域边界、安全计算环境、安全管理制度、安全建设管理、安全运维管理等六个方面,构建基于等保2.0包含5个准则层18个指标的海事信息安全评估指标体系;然后,结合海事信息系统安全需求,及网络安全等级保护2.0相关标准,通过调查问卷获取安全评估指标初始数据,AHP法分配主观权重,信息熵调整客观权重,模糊综合评价方法核定最终权重,构建适合海事信息系统特点的安全风险评估模型;最后,应用T海事潮流预报系统实例验证该指标体系和评估模型,分析出影响该信息系统风险值,指导等保安全建设。综上所述,本文将理论研究与实例应用相结合,构造信息安全风险评估指标体系和模型,识别出影响信息系统安全运行因素并提出改进措施,为今后海事信息系统等级保护建设与运营提供理论依据和方法参考。
罗茗会[4](2018)在《中美信息安全法律保护比较研究 ——以ISO/IEC 27032:2012为逻辑起点》文中研究指明我国现行的《网络安全法》对于信息安全和网络安全的概念界定存在一定的混淆。本文从ISO/IEC 27032:2012技术标准中对于“信息安全”的定义出发,重新构建网络安全法律保护的逻辑框架。该标准对于“信息安全”的保护重点在于保密性、完整性和可用性。作为信息化程度最高的国家,美国拥有全世界最领先的信息管理系统,对信息安全的保护也十分完善。本文将借鉴美国对于“信息安全”法律保护的相关理念与措施,分析我国和美国在“信息安全”法律保护领域的发展历程、主要内容以及存在的问题并进行比较研究,最终提出关于构建和完善我国“信息安全”法律保护的相关要求和具体措施。
尚邦治[5](2012)在《做好信息安全等级保护工作》文中指出卫生部于2011年底发文,要求医疗机构做好信息系统安全等级保护工作。本文在落实和执行这个文件的基础上,根据一般医院对信息系统安全等级保护了解情况:首先,介绍了信息系统安全等级保护的一些概念;其次,针对卫生部文件中提出的"重要卫生信息系统"一词,提出了作者的理解;最后,对涉及信息系统安全等级保护的三个国家标准做了最简单的介绍。
蔡晓熙[6](2012)在《基于风险分析的信息系统安全定级方法》文中研究表明随着我国国民经济和社会信息化进程全面加快,信息网络资源已经成为了我们生活中最为活跃的因素。然而,信息网络系统固有的缺陷使得信息系统安全面临严重的威胁,并成为影响整个社会信息技术前进的重要方面。鉴于此,我国提出了对信息系统进行安全等级保护的要求,并将等级保护作为国家信息系统安全保障工作的基本制度。等级保护工作主要分为信息系统定级、等级保护实施、等级测评、系统安全运维等几个环节。在整个实施流程中,对信息系统的定级尤为重要,它是等级保护各项工作开展的基础,是后续工作顺利进行的关键。然而,从等级保护工作实际施行情况来看,对信息系统安全的定级还不够细致,偏于主观决断,不能准确地反映信息系统的实际情况。因此,为了解决定级环节存在的问题,本文引入了风险分析的方法对定级过程做了更细致深入的工作。论文首先对国内外信息安全保护标准的发展流程做了简要介绍,并根据我国等级保护制度的具体要求,详细阐述了信息系统安全定级的划分、计算步骤及其计算框架。随后根据信息系统安全定级综合评价的要求,结合基于风险分析的信息系统安全定级方法,设计并实现了基于风险分析的定级原型系统。该原型系统通过对信息系统各子系统的业务信息和系统服务功能进行资产识别、威胁识别以及脆弱性识别来计算资产的风险值,然后通过AHP (Analytic Hierarchy Process)方法构建资产风险对于客体综合侵害程度的层次结构模型来获取资产风险的权重值,再结合对应客体和资产风险值得到子系统的业务信息以及系统服务安全等级,从而可以方便地获得子系统安全等级,并可进一步得到信息系统安全的最终等级。最后,论文利用该定级原型系统进行了实例分析,通过对电子政务信息系统进行安全定级,阐述了该定级原型系统的工作流程并验证了其可用性和可操作性。
朱广廷[7](2012)在《信息系统安全评估管理系统》文中提出如今,随着信息技术在全球的全面普及,信息技术方便了我们的生活、学习、工作和娱乐,但是,与此同时,信息系统也面临着越来越多的安全问题。据有关报导显示,世界平均每5秒钟就有一个网页被病毒感染,每20秒就会发生一起黑客事件,可见信息系统安全正在承受着很大的压力。通过对信息系统进行安全评估可以得到该信息系统的实际安全性能,帮助用户清楚的认识信息系统的安全现状并对信息系统的薄弱环节给出对应的改进措施和加固方案。本文在对国内外信息系统安全评估标准研究的基础上,提出设计了信息系统安全评估管理系统的方案,最后应用SSH的开发架构开发了基于J2EE的信息系统安全评估管理系统各层的实验方法,开发了原型系统。1、信息系统安全评估指标权重和专家权重分析。利用层次分析法和群组AHP聚类分析的方法对评估指标权重和专家权重进行分析计算。2、信息系统安全评估管理系统的设计。本着实用性、安全可靠性、伸缩性和易用性四个原则,采用B/S体系结构,运用J2EE和SSH技术,利用生命周期的瀑布模型的方法,对信息系统安全评估管理系统进行设计。3、信息系统安全评估管理系统的实现。使用My eclipse,Tomcat, Oracle等软件对系统设计进行实现。总而言之,信息系统安全评估采用层次分析法与模糊统计相结合的方法,让安全评估系统具有较高的灵活性,较强的可操作性,使得综合评估的结果更加的客观、准确。并通过评估实例来验证系统是切实可行的。
王欢欢[8](2011)在《基于分区的信息安全风险评估研究》文中指出随着我国社会信息化进程的不断推进和发展,信息系统广泛的应用于各行各业,企业运营对信息化依赖程度越来越高,信息系统的重要性愈显突出。由于信息系统的重要性、网络的开放性和信息系统组成部分的脆弱性等原因,使得企业的信息安全面临着巨大的风险,信息安全问题逐渐受到人们的关注和重视。对信息系统进行有效的风险评估,通过风险评估及早发现信息系统中存在的安全问题,采取有针对性的信息安全保障措施,是解决信息安全问题不可或缺的手段。但是我国信息安全风险评估研究和实施工作起步较晚,再加上信息系统的复杂性,目前面临着许多亟待解决的问题,因此需要对风险评估进行深入研究。基于我国风险评估工作中存在的问题,论文深入研究国内外信息安全风险评估的发展状况,针对一些由于企业信息系统比较庞大,造成评估重点不明确、评估成本和信息安全建设成本过高、安全保障措施针对性不强等问题提出了基于分区的信息安全风险评估方法。通过把企业的全部信息系统和信息网络分为不同的评估区域,对不同的区域内的评估对象采用不同侧重的分析方法,提高了风险评估的效率和针对性;同时利用信息安全等级保护的思想,对不同的分区进行安全定级,根据分区的安全保护等级采取不同保护强度的安全措施,能有效的保护关键的信息资产。论文首先概述了信息安全和信息安全风险评估的发展状况,对风险评估的基础理论进行了介绍;其次,通过借鉴风险评估的相关研究,提出了信息系统分区的划分方法,构建了基于分区的信息安全风险评估流程;最后,以对某地区电信公司进行风险评估为实例,验证了论文提出的基于分区的信息安全风险评估方法的可行性和可用性。
梁永谦[9](2010)在《电子政务信息安全风险评估技术研究及应用》文中指出随着我国信息化进程的不断深化,信息安全问题也日益突出,信息安全已上升为国家安全的组成部分。电子政务信息系统作为国家行政机关办公的载体和公众服务的窗口,其可靠性和安全性与国计民生息息相关。信息安全风险评估则是保障电子政务信息安全的重要措施,直接影响到国家各级行政机关的正常运行。目前我国信息安全风险评估工作尚处起步阶段,标准和规范略显宏观和抽象,文献研究深度有限多为基础理论,非常缺乏技术框架模型、实施体系和实施经验的研究。根据国家电子政务信息安全保障建设的需要和部署,第三方测评机构迫切需要开展针对电子政务信息安全风险评估技术和应用的课题研究。本论文通过大量的国内外标准、政策法规和技术文献的研究,深刻理解技术理论和发展现状,对比分析了国内外各标准规范和技术方法的特点和优劣。理清了风险评估、等级保护和安全测评的异同,建立了三者关系模型,确立了风险评估技术路线。归纳总结我国电子政务发展现状和存在的突出风险,融合国内外风险评估体系优势,同时参考三者关系模型构建“电子政务信息安全风险评估技术框架模型”,基于“相乘法”和“层次分析法”建立风险评估计算和分析体系。技术框架模型具有过程简洁、针对性强、指导性高、可执行性强、定性和定量相结合的特点。在技术框架模型的基础上,重点构建了“电子政务信息安全风险评估实施体系”,详细制定了实施原则、技术路线、实施流程、工作内容、评估方法和输出成果等,为具体风险评估项目提供有效的指导,弥补了普通评估人员对于风险评估技术理解和掌握的不足,统一了风险评估具体实施过程和方法,提高效率保证质量。最后开展实施体系的应用研究,通过典型案例实践和分析评估过程和评估结果,印证实施体系的可用性和可执行性,总结电子政务信息安全风险评估项目成败关键因素和经验教训,提出风险评估工作有待解决的问题。本次论文亮点:构建针对电子政务的信息安全风险评估的技术框架模型和实施体系。论文成果:建立了风险评估、等级保护和安全测评三者关系模型,建立电子政务信息安全风险评估技术框架模型,建立基于“相乘法”和“层次分析法”的风险评估分析体系,重点建立电子政务信息安全风险评估实施体系,通过案例分析研究实施体系的应用过程和效果,总结应用关键因素、经验教训和有待解决的问题。
王闪闪[10](2010)在《ISO27000与等级保护系列标准对比研究》文中认为信息安全是国家安全的重要组成部分,为国家政治安全、经济安全、文化安全、军事安全提供重要保障。信息技术的蓬勃发展和互联网的广泛应用促进了全球信息化的发展,同时也带来了很多问题,威胁着国家、社会和公共网络的信息安全。我国在加速发展信息化的同时,也高度重视信息安全问题,信息安全战略已经成为国家安全战略的基石与核心。信息安全标准在规范信息安全建设以及促进信息安全防护措施的实施方面起了很大的作用。从1983年美国制定第一个信息安全评估标准(TCSEC)以来,信息安全相关标准经过二十多年的发展,在技术与工程、安全与控制等方面都有不同的标准出现,促进了信息安全工作的规范和发展。鉴于信息安全涉及国家保密信息,影响重大,在信息安全标准的制定方面应该在学习和借鉴国外先进标准的基础上自主研制。我国的信息安全标准研究起步较晚,主要是吸收和转化几个国际通用标准,在此基础上也开发了包括等级保护系列标准在内的信息安全标准,但是与国际信息安全标准的发展和研究相比还存在一定的差距。ISO/IEC27001作为国际知名的信息安全管理标准,已在全球多个国家应用和实施,国际标准化组织也已将其纳入IS027000系列标准族并作为主要的标准之一。本文对IS027000系列标准与我国等级保护系列标准进行对比研究并为其相互补充提供借鉴意义,有利于我国自主制定信息安全标准研究工作的进展和等级保护系列标准的进一步完善。本文主要依据ISO/IEC27001、ISO/IEC27002以及ISO/IEC27005进行对比研究,等级保护系列标准包括计算机等级保护划分准则、定级指南、实施指南、测评准则等。首先研究了两大系列标准的内容及其实施流程:IS027000系列标准的实施是ISMS建立、实施运行、监视和评审、保持和改进的过程,其中关键的流程有ISMS方针和目标的确定、资产识别、威胁和脆弱性识别、风险评估、选择控制措施、内部审核、持续改进等。等级保护系列标准的实施流程包括信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、安全测评、信息系统终止等。通过两大系列标准在产生背景、标准体系、实施流程、涵盖范围、应用现状等方面的差异,最终为标准的互相借鉴提出思路。研究发现,IS027000系列标准最初是为了建立贸易伙伴间彼此信任的认证要求而产生的,等级保护系列标准则是出于国家整体信息安全需求。IS027000系列标准目前的标准体系比较完善,但是有几个相关的标准还不是很成熟,如指南类标准ISO/IEC27003、测量类标准ISO/IEC 27004还处于草案或在研阶段,应用较广泛的还是ISO/IEC27001与ISO/IEC27002两个标准。等级保护系列标准已形成完善的标准体系,包括划分准则、定级指南、基本要求、实施指南、测评准则以及与之配套的详细技术要求类标准。在实施流程方面,二者的差异主要体现在信息安全需求分析方面:IS027000系列标准主要通过风险评估来确定安全需求,等级保护则主要通过信息系统遭到破坏所造成的影响来确定信息系统安全等级,再结合各等级基本要求来确定信息系统的安全需求。结论得出:ISO27000系列标准在风险评估、最佳控制实践、全面安全管理等方面具有优势,等级保护系列标准则在信息安全实施过程中突出重点、体现重点保护原则等方面有借鉴意义。二者可以在标准内容、标准实施流程方面进行融合。
二、我国自己的安全评估标准——《计算机信息系统安全保护等级划分准则》(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、我国自己的安全评估标准——《计算机信息系统安全保护等级划分准则》(论文提纲范文)
(1)高安全等级信息系统的风险评估研究(论文提纲范文)
| 致谢 |
| 摘要 |
| ABSTRACT |
| 1 引言 |
| 1.1 论文背景及意义 |
| 1.1.1 研究背景 |
| 1.1.2 研究意义 |
| 1.2 国内外研究现状 |
| 1.2.1 风险评估标准及方法研究现状 |
| 1.2.2 虚拟化系统风险评估研究现状 |
| 1.2.3 工业控制系统风险评估研究现状 |
| 1.3 研究内容及方法 |
| 1.3.1 研究内容及技术路线 |
| 1.3.2 研究方法 |
| 1.4 研究框架 |
| 2 基础理论及方法 |
| 2.1 相关概念 |
| 2.1.1 高安全等级信息系统 |
| 2.1.2 虚拟化技术 |
| 2.1.3 工业控制系统 |
| 2.2 方法理论概述 |
| 2.2.1 层次分析法 |
| 2.2.2 模糊综合评判法 |
| 2.2.3 博弈理论 |
| 2.3 本章小结 |
| 3 传统高安全等级信息系统风险评估的挑战 |
| 3.1 传统的高安全等级信息系统风险评估 |
| 3.1.1 风险评估基本原理 |
| 3.1.2 存在的不足之处 |
| 3.2 虚拟化技术带来的变化 |
| 3.2.1 虚拟化技术对传统信息系统的影响 |
| 3.2.2 虚拟化技术带来的安全风险 |
| 3.2.3 虚拟化技术对风险评估的影响 |
| 3.3 互联互通带来的变化 |
| 3.3.1 互联互通对网络结构的影响 |
| 3.3.2 互联互通带来的安全风险 |
| 3.3.3 互联互通对风险评估的影响 |
| 3.4 研究问题及解决办法 |
| 3.5 本章小结 |
| 4 基于博弈论的高安全等级信息系统风险评估模型构建 |
| 4.1 高安全等级信息系统风险评估的界定及特点 |
| 4.1.1 高安全等级信息系统风险评估的界定 |
| 4.1.2 高安全等级信息系统风险评估的特点 |
| 4.1.3 高安全等级信息系统风险评估的防护要求 |
| 4.2 高安全等级信息系统风险评估指标选取 |
| 4.2.1 风险评估指标的选取及优化原则 |
| 4.2.2 风险评估指标的选取步骤 |
| 4.2.3 风险评估指标的合理性分析 |
| 4.3 基于博弈论的风险评估模型构建 |
| 4.3.1 风险评估流程 |
| 4.3.2 风险评估模型构建 |
| 4.3.3 风险评估模型分析 |
| 4.3.4 信息系统风险计算 |
| 4.3.5 风险评估模型对比 |
| 4.3.6 实验与分析 |
| 4.4 高安全等级信息系统评估结果判定 |
| 4.4.1 检测结果判定 |
| 4.4.2 专家评估意见 |
| 4.4.3 评估结论判定 |
| 4.5 本章小结 |
| 5 基于虚拟化技术的高安全等级信息系统风险评估模型构建 |
| 5.1 虚拟化系统风险评估相关工作 |
| 5.2 虚拟化系统脆弱性分析 |
| 5.2.1 虚拟机及内部系统 |
| 5.2.2 虚拟机监控器 |
| 5.2.3 虚拟网络 |
| 5.2.4 虚拟化资源管理系统 |
| 5.3 虚拟化系统威胁分析 |
| 5.4 虚拟化系统的风险评估过程 |
| 5.4.1 确定风险评估指标 |
| 5.4.2 构建专家二维矩阵 |
| 5.4.3 风险等级的确定 |
| 5.4.4 风险量化模型 |
| 5.5 虚拟化系统评估结果判定 |
| 5.6 本章小结 |
| 6 面向互联互通的高安全等级信息系统风险评估 |
| 6.1 互联互通系统架构及防护要求 |
| 6.1.1 互联互通系统架构 |
| 6.1.2 互联互通防护要求 |
| 6.2 互联互通的安全分析 |
| 6.2.1 互联互通的风险点 |
| 6.2.2 互联互通的应用场景 |
| 6.3 不同应用场景的互联互通风险评估 |
| 6.3.1 多个高安全等级信息系统互联互通 |
| 6.3.2 高安全等级信息系统与虚拟化系统互联互通 |
| 6.3.3 高安全等级信息系统与工业控制系统互联互通 |
| 6.3.4 风险评估策略及结果判定 |
| 6.4 本章小结 |
| 7 高安全等级信息系统安全保密风险评估系统的设计 |
| 7.1 信息系统评估内容的关联分析 |
| 7.1.1 模型构建 |
| 7.1.2 关联分析方法 |
| 7.1.3 关联分析结果 |
| 7.1.4 结论 |
| 7.2 评估团队能力评估 |
| 7.2.1 已有相关研究工作 |
| 7.2.2 模型构建 |
| 7.2.3 能力分析 |
| 7.2.4 结论 |
| 7.3 信息系统安全隐患的关联分析 |
| 7.3.1 关键评估项分析与感知 |
| 7.3.2 常见安全隐患的分析与感知 |
| 7.3.3 结论 |
| 7.4 高安全等级信息系统的风险控制建议 |
| 7.4.1 风险控制策略 |
| 7.4.2 风险控制应用实例 |
| 7.5 本章小结 |
| 8 总结与展望 |
| 8.1 研究总结 |
| 8.1.1 风险评估模型总结分析 |
| 8.1.2 研究结论 |
| 8.1.3 论文的主要创新点 |
| 8.2 研究展望 |
| 参考文献 |
| 附录 A 全国高安全等级信息系统安全保障评价指标体系 |
| 附录 B 全国高安全等级信息系统安全保障评价指标权重调查问卷 |
| 附录 C 高安全等级信息系统保密管理情况检查表 |
| 附录 D 评分对照表 |
| 索引 |
| 作者简历 |
| 学位论文数据集 |
(2)信息安全评估评测体系研究及ISMS审核实践(论文提纲范文)
| 0 引言 |
| 1 风险评估、等级保护与ISMS |
| 1.1 风险评估 |
| 1.2 等级保护 |
| 1.3 ISMS |
| 1.4 各种信息安全评测制度的对比 |
| 2 ISMS的第三方审核实践 |
| 3 结语 |
(3)海事信息系统安全评估模型构建与应用研究(论文提纲范文)
| 致谢 |
| 摘要 |
| ABSTRACT |
| 1 绪论 |
| 1.1 研究背景及意义 |
| 1.1.1 研究背景 |
| 1.1.2 研究意义 |
| 1.2 国内外研究现状 |
| 1.2.1 安全评估标准研究 |
| 1.2.2 等级保护标准研究 |
| 1.2.3 现有研究综述 |
| 1.3 研究方法、内容及路线 |
| 1.3.1 研究方法、内容 |
| 1.3.2 研究路线 |
| 2 相关理论及方法概述 |
| 2.1 相关理论基础 |
| 2.1.1 信息熵 |
| 2.1.2 等级保护 |
| 2.2 相关方法概述 |
| 2.2.1 安全评估方法 |
| 2.2.2 AHP法 |
| 2.2.3 模糊综合评价法 |
| 2.3 本章小结 |
| 3 基于等级保护的海事信息系统安全评估指标体系设计 |
| 3.1 设计原则 |
| 3.2 设计思路 |
| 3.3 设计过程 |
| 3.4 海事信息系统安全评估指标体系设计框架 |
| 3.5 本章小结 |
| 4 面向海事信息系统等级保护的安全评估模型构建 |
| 4.1 基于海事信息系统等级保护的安全评估方法的选择 |
| 4.2 AHP法确定主观权重 |
| 4.3 信息熵理论判断客观权重 |
| 4.4 模糊综合评判法确定最终评估结果 |
| 4.5 本章小结 |
| 5 T海事潮流预报系统实例应用 |
| 5.1 系统介绍 |
| 5.2 评估过程 |
| 5.3 问题及建议 |
| 5.3.1 存在的问题 |
| 5.3.2 提出的建议 |
| 5.4 本章小结 |
| 6 总结与展望 |
| 6.1 总结 |
| 6.2 展望 |
| 参考文献 |
| 附录 A 基于等级保护的海事信息系统安全综合评估调查问卷 |
| 索引 |
| 作者简历及攻读硕士/博士学位期间取得的研究成果 |
| 一、作者简历 |
| 二、发表论文 |
| 三、参与科研项目 |
| 四、专利 |
| 学位论文数据集 |
(4)中美信息安全法律保护比较研究 ——以ISO/IEC 27032:2012为逻辑起点(论文提纲范文)
| 摘要 |
| abstract |
| 引言 |
| 第一章 信息安全概述 |
| 第一节 ISO/IEC27032:2012 技术标准 |
| 一、选择ISO/IEC27032:2012 作为逻辑起点的意义 |
| 二、ISO/IEC27032:2012 中信息安全的定义 |
| 第二节 信息安全的特征 |
| 第三节 信息安全与相关概念之区分 |
| 第二章 我国信息安全法律保护体制 |
| 第一节 我国信息安全法律保护发展历程及现状 |
| 一、我国信息安全法律历史沿革 |
| 二、我国信息安全法律对三大主体的保护 |
| 第二节 组织机构的权责分析 |
| 一、信息安全管理机构体系的构建 |
| 二、机构权责划分不清晰 |
| 第三节 信息安全等级保护模式 |
| 一、信息安全等级保护主要发展阶段及内容 |
| 二、等级划分标准界定不明确 |
| 第四节 我国信息安全法律保护存在的问题 |
| 第三章 美国信息安全法律保护机制 |
| 第一节 美国信息安全法律保护历史沿革及主要法案 |
| 一、美国信息安全法律发展历程 |
| 二、对信息安全“三性”的保护 |
| 第二节 信息安全组织机构的设立 |
| 一、美国信息安全领域组织体系 |
| 二、明确信息安全管理机构职责划分 |
| 第三节 信息安全等级保护 |
| 一、美国信息系统等级划分 |
| 二、以信息安全“三性”作为等级划分标准 |
| 第四节 美国信息安全法律保护的特征 |
| 第四章 完善我国信息安全法律保护的构思与设想 |
| 第一节 借鉴ISO/IEC27000 标准族保护信息安全的理念 |
| 第二节 我国信息安全法律保护体系的整体思路架构 |
| 一、保护信息的保密性 |
| 二、保护信息的完整性 |
| 三、保护信息的可用性 |
| 第三节 完善我国信息安全法律保护的建议及措施 |
| 一、确立注重保护信息安全“三性”的价值取向 |
| 二、建立统一完善的信息安全法律保护体系 |
| 三、信息安全立法自治与社会共治相结合 |
| 总结 |
| 参考文献 |
| 致谢 |
| 攻读学位期间发表的学术论文目录 |
(5)做好信息安全等级保护工作(论文提纲范文)
| 1 引言 |
| 2 信息系统安全等级保护的内涵 |
| 2.1 信息系统分类 |
| 2.2 信息系统安全等级保护制度的主要内容 |
| 2.3 为什么要搞信息系统安全等级保护 |
| 2.4 信息系统安全保护存在的主要问题 |
| 3 信息系统安全等级保护的内容 |
| 3.1 信息系统安全功能分级保护制度 |
| 3.2 事件分级响应与处置制度 |
| 3.3 信息系统安全等级保护原则 |
| 3.4 保护重点 |
| 4 信息系统安全等级保护实施步骤 |
| 4.1 信息安全等级保护责任制 |
| 4.2 确定信息安全保护等级 |
| 4.3 制定等级化建设和管理的解决方案和实施规范 |
| 4.4 检测评估 |
| 5 信息安全等级保护工作的依据 |
(6)基于风险分析的信息系统安全定级方法(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 目录 |
| 第一章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 国外研究现状 |
| 1.2.2 国内研究现状 |
| 1.3 论文主要工作与章节安排 |
| 第二章 信息系统安全等级保护及其定级方法 |
| 2.1 信息系统安全等级保护的定义 |
| 2.2 信息系统安全的定级评价因子及与保护等级的关系 |
| 2.3 信息系统安全定级的计算方法与流程 |
| 2.3.1 明确定级对象 |
| 2.3.2 明确受破坏客体 |
| 2.3.3 明确对客体的破坏程度 |
| 2.3.4 确定保护等级 |
| 2.4 本章小结 |
| 第三章 基于风险分析的信息系统安全定级模型 |
| 3.1 传统定级方法存在的问题 |
| 3.2 风险分析与等级保护的关系 |
| 3.3 基于风险分析的信息系统安全定级要素 |
| 3.3.1 资产识别 |
| 3.3.2 威胁识别 |
| 3.3.3 脆弱性识别 |
| 3.3.4 风险识别 |
| 3.4 基于AHP的信息系统安全等级评估模型 |
| 3.4.1 构建综合评估递阶层次结构模型 |
| 3.4.2 构建层次比较判断矩阵并赋值 |
| 3.4.3 层次排序及其检验 |
| 3.4.4 确定信息系统安全等级 |
| 3.5 本章小结 |
| 第四章 基于风险分析的定级原型系统的设计与实现 |
| 4.1 系统需求与总体设计 |
| 4.1.1 需求分析 |
| 4.1.2 总体设计 |
| 4.2 主要功能模块描述 |
| 4.2.1 系统识别模块 |
| 4.2.2 风险要素模块 |
| 4.2.3 风险计算模块 |
| 4.2.4 系统定级模块 |
| 4.3 主要功能模块详细设计 |
| 4.3.1 系统识别模块 |
| 4.3.2 风险要素模块 |
| 4.3.3 风险计算模块 |
| 4.3.4 系统定级模块 |
| 4.4 数据库设计 |
| 4.5 系统开发环境及关键算法实现 |
| 4.5.1 系统开发环境与工具 |
| 4.5.2 关键算法及系统实现 |
| 4.6 本章小结 |
| 第五章 电子政务信息系统安全定级案例分析 |
| 5.1 电子政务信息系统情况概述 |
| 5.2 子系统划分与客体识别 |
| 5.3 风险要素识别 |
| 5.3.1 资产识别与赋值 |
| 5.3.2 威胁识别与赋值 |
| 5.3.3 脆弱性识别与赋值 |
| 5.4 风险计算 |
| 5.5 子系统安全定级 |
| 5.6 电子政务信息系统安全定级 |
| 5.7 本章小结 |
| 第六章 总结与展望 |
| 6.1 本文总结 |
| 6.2 后续研究工作与展望 |
| 致谢 |
| 图表清单 |
| 附录 |
| 参考文献 |
(7)信息系统安全评估管理系统(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 课题的背景 |
| 1.2 课题研究的目的及意义 |
| 1.3 目前的状况和面临的困难 |
| 1.3.1 国内现状 |
| 1.3.2 国外现状 |
| 1.4 信息系统安全概述 |
| 1.4.1 信息系统安全评估概述 |
| 1.4.2 信息系统安全评估等级保护概述 |
| 1.5 本文的主要内容和论文的组织结构 |
| 1.5.1 论文的研究内容 |
| 1.5.2 论文的组织结构 |
| 第二章 信息系统安全评估标准和方法的研究 |
| 2.1 引言 |
| 2.2 测评标准体系介绍 |
| 2.2.1 国外安全评估标准介绍 |
| 2.2.2 国内安全评估标准介绍 |
| 2.3 安全评估标准的特点和发展趋势 |
| 2.3.1 安全评估标准的特点 |
| 2.3.2 安全评估标准的发展趋势 |
| 2.4 安全评估流程和方法研究 |
| 2.4.1 安全评估的流程 |
| 2.4.2 基于层次分析法的安全评估方法 |
| 第三章 安全评估数学模型 |
| 3.1 层次分析法 |
| 3.2 信息系统安全评估指标权重分析 |
| 3.3 信息系统安全评估专家权重分析 |
| 第四章 信息系统安全评估管理系统的设计与实现 |
| 4.1 设计目标 |
| 4.2 设计原则 |
| 4.3 开发架构和系统开发 |
| 4.3.1 系统开发 |
| 4.3.2 系统开发架构 |
| 4.3.3 SSH三层系统结构的优点 |
| 4.4 系统框架设计 |
| 4.5 模块分析 |
| 4.5.1 规则库模块 |
| 4.5.2 综合分析模块 |
| 4.5.3 报告文档模块 |
| 4.5.4 系统维护模块 |
| 4.5.5 指标维护模块 |
| 第五章 信息系统安全评估管理系统的实现 |
| 5.1 信息系统安全评估管理系统的实现 |
| 5.1.1 登录界面 |
| 5.1.2 管理员界面 |
| 5.1.3 用户界面 |
| 第六章 结论 |
| 6.1 总结 |
| 6.2 展望 |
| 参考文献 |
| 附录:信息系统安全评估指标权重的详细计算 |
| 致谢 |
| 攻读硕士期间完成的论文 |
(8)基于分区的信息安全风险评估研究(论文提纲范文)
| 内容摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外风险评估研究概况 |
| 1.2.1 国外研究状况 |
| 1.2.2 国内研究状况 |
| 1.3 本文主要研究内容及结构安排 |
| 1.3.1 研究内容 |
| 1.3.2 本文主要结构 |
| 1.4 本章小结 |
| 第2章 信息安全风险评估相关理论 |
| 2.1 信息安全风险评估的概念 |
| 2.2 信息安全风险评估基本模型 |
| 2.2.1 风险评估要素关系 |
| 2.2.2 风险分析原理 |
| 2.2.3 风险评估实施流程 |
| 2.3 信息安全风险评估标准 |
| 2.3.1 国外标准 |
| 2.3.2 国内标准 |
| 2.4 信息安全风险评估方法 |
| 2.4.1 定性分析方法 |
| 2.4.2 定量分析方法 |
| 2.4.3 定性与定量相结合的分析方法 |
| 2.4.4 基于模型和基于知识的评估方法 |
| 2.5 信息安全等级保护与分区概述 |
| 2.5.1 信息安全等级保护 |
| 2.5.2 分区介绍 |
| 2.6 本章小结 |
| 第3章 信息系统分区算法设计 |
| 3.1 系统分区的基本特征 |
| 3.2 分区系统划分方法 |
| 3.3 信息系统分区计算模型 |
| 3.3.1 影响深度赋值 |
| 3.3.2 影响广度赋值 |
| 3.3.3 业务信息安全赋值 |
| 3.3.4 分区值计算 |
| 3.4 本章小结 |
| 第4章 基于系统分区风险评估模型的构建 |
| 4.1 基于分区的风险评估实施流程 |
| 4.1.1 流程示意图 |
| 4.1.2 实施流程说明 |
| 4.2 风险计算模型与方法 |
| 4.2.1 资产识别 |
| 4.2.2 威胁识别 |
| 4.2.3 脆弱性识别 |
| 4.2.4 已有安全措施的确认 |
| 4.2.5 风险分析 |
| 4.3 本章小结 |
| 第5章 信息安全风险评估实例 |
| 5.1 风险评估概述 |
| 5.1.1 背景介绍 |
| 5.1.2 评估范围 |
| 5.1.3 评估方式 |
| 5.1.4 评估标准 |
| 5.2 风险评估实施过程 |
| 5.2.1 系统分区计算 |
| 5.2.2 风险分析和风险计算 |
| 5.2.3 风险控制措施 |
| 5.3 本章小结 |
| 第6章 总结与展望 |
| 6.1 总结 |
| 6.2 工作展望 |
| 参考文献 |
| 后记 |
(9)电子政务信息安全风险评估技术研究及应用(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 国内外研究现状 |
| 1.2.1 国外发展现状 |
| 1.2.2 国内发展现状 |
| 1.3 研究意义 |
| 1.4 本章小结 |
| 第二章 理论研究综述 |
| 2.1 信息安全保障体系 |
| 2.2 信息安全风险管理体系 |
| 2.3 信息安全风险评估体系 |
| 2.3.1 信息安全风险评估 |
| 2.3.2 国外风险评估体系研究 |
| 2.3.3 我国风险评估体系研究 |
| 2.4 信息安全风险评估方法研究 |
| 2.5 本章小结 |
| 第三章 风险评估、等级保护及安全测评的关系分析 |
| 3.1 信息系统安全测评研究 |
| 3.2 信息安全等级保护研究 |
| 3.3 三者关系研究和分析 |
| 3.3.1 风险评估与安全测评的关系分析 |
| 3.3.2 风险评估与等级保护的关系分析 |
| 3.3.3 风险评估、等级保护和安全测评的关系分析 |
| 3.4 建立三者关系模型 |
| 3.5 本章小结 |
| 第四章 电子政务信息安全风险评估技术框架构建 |
| 4.1 电子政务信息系统研究 |
| 4.1.1 电子政务现状分析 |
| 4.1.2 电子政务信息安全风险分析 |
| 4.2 建立技术框架模型 |
| 4.2.1 模型细化描述 |
| 4.2.2 风险评估程序 |
| 4.2.3 风险评估准备 |
| 4.2.4 风险评估实施 |
| 4.2.5 风险评估处理 |
| 4.3 风险评估分析体系 |
| 4.3.1 风险值计算 |
| 4.3.2 基于AHP 的资产、威胁和脆弱性计算 |
| 4.3.3 确定风险等级 |
| 4.4 本章小结 |
| 第五章 电子政务信息安全风险评估实施体系构建 |
| 5.1 风险评估实施原则 |
| 5.2 风险评估技术路线 |
| 5.3 风险评估实施流程 |
| 5.4 风险评估前期交流 |
| 5.5 风险评估实施准备 |
| 5.6 风险评估实施工作 |
| 5.6.1 资产分析与赋值 |
| 5.6.2 威胁分析与赋值 |
| 5.6.3 管理安全脆弱性评估 |
| 5.6.4 技术安全脆弱性评估 |
| 5.6.5 专项安全检测 |
| 5.6.6 评估重点分析及对应措施 |
| 5.7 风险计算与分析 |
| 5.8 风险评估报告 |
| 5.9 风险控制策略 |
| 5.10 评估过程文档 |
| 5.11 本章小结 |
| 第六章 电子政务信息安全风险评估实施体系应用 |
| 6.1 电子政务案例分析 |
| 6.1.1 某省级电子政务信息系统全面评估项目 |
| 6.1.2 某电子政务网络平台风险评估项目 |
| 6.2 信息安全风险评估的关键因素 |
| 6.3 信息安全风险评估经验总结 |
| 6.4 有待解决的问题 |
| 6.5 本章小结 |
| 第七章 总结与展望 |
| 致谢 |
| 参考文献 |
(10)ISO27000与等级保护系列标准对比研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 引言 |
| 1.2 研究意义 |
| 1.3 研究方法与研究内容 |
| 1.4 研究特色与创新之处 |
| 第2章 研究综述与基本理论 |
| 2.1 信息安全的研究阶段 |
| 2.2 信息安全相关标准介绍 |
| 2.2.1 互操作标准 |
| 2.2.2 技术与工程标准 |
| 2.2.3 信息安全管理与控制标准 |
| 2.2.4 我国信息安全相关标准的制定情况 |
| 2.3 信息安全相关标准国内外研究现状 |
| 第3章 ISO27000与等级保护系列标准内容解析 |
| 3.1 ISO/IEC27000系列标准的产生和发展 |
| 3.2 ISO27001实施流程 |
| 3.2.1 建立ISMS |
| 3.2.2 实施与运行ISMS |
| 3.2.3 监视与评审ISMS |
| 3.2.4 保持和改进ISMS |
| 3.3 等级保护系列标准的产生和发展 |
| 3.4 等级保护实施流程 |
| 3.4.1 信息系统定级 |
| 3.4.2 总体安全规划 |
| 3.4.3 安全设计与实施 |
| 3.4.4 安全运行与维护 |
| 3.4.5 信息系统终止 |
| 第4章 ISO/IEC27000系列标准与等级保护系列标准的对比分析 |
| 4.1 产生背景对比 |
| 4.2 标准体系对比 |
| 4.3 标准实施流程对比 |
| 4.4 标准涵盖范围与应用现状 |
| 第5章 ISO27000与等级保护系列标准的相互借鉴与融合 |
| 5.1 标准的相互借鉴 |
| 5.1.1 分级方法 |
| 5.1.2 风险评估方法 |
| 5.2 标准的融合 |
| 5.2.1 内容的融合 |
| 5.2.2 实施过程的融合 |
| 总结 |
| 参考文献 |
| 致谢 |
| 攻读硕士学位期间科研成果 |
四、我国自己的安全评估标准——《计算机信息系统安全保护等级划分准则》(论文参考文献)
- [1]高安全等级信息系统的风险评估研究[D]. 孔斌. 北京交通大学, 2021(06)
- [2]信息安全评估评测体系研究及ISMS审核实践[J]. 李莉,魏巨升. 电子产品世界, 2020(11)
- [3]海事信息系统安全评估模型构建与应用研究[D]. 蔡跃. 北京交通大学, 2020(03)
- [4]中美信息安全法律保护比较研究 ——以ISO/IEC 27032:2012为逻辑起点[D]. 罗茗会. 上海交通大学, 2018(06)
- [5]做好信息安全等级保护工作[J]. 尚邦治. 中国卫生信息管理杂志, 2012(05)
- [6]基于风险分析的信息系统安全定级方法[D]. 蔡晓熙. 南京邮电大学, 2012(03)
- [7]信息系统安全评估管理系统[D]. 朱广廷. 太原理工大学, 2012(09)
- [8]基于分区的信息安全风险评估研究[D]. 王欢欢. 天津财经大学, 2011(10)
- [9]电子政务信息安全风险评估技术研究及应用[D]. 梁永谦. 电子科技大学, 2010(02)
- [10]ISO27000与等级保护系列标准对比研究[D]. 王闪闪. 陕西师范大学, 2010(04)