论文信息安全风险评估综合管理系统设计,该文是风险评估方面硕士论文范文和风险评估和信息安全和综合管理相关自考开题报告范文.
曾志廉1,黄丹凤2
(1.广州大学数学与信息科学学院,广东广州510006;
2.广州市轻工技师学院,广东广州510230)
摘 要:本文分析了信息安全风险评估业务的工作流程,在此基础上设计了以安全知识库为支撑,以业务系统及其相关信息资产的信息安全风险评估要素为对象,以风险评估过程为主要业务流程的信息安全风险评估管理系统的模型.
关键词:信息安全;风险评估;系统设计
中图分类号:G647 文献标志码:A 文章编号:1674-9324(2016)23-0249-02
作者简介:曾志廉,男,硕士,实验师,研究方向:信息安全、软件工程;黄丹凤,女,硕士,讲师,研究方向:软件工程.
一、引言
信息时代为国家和个人提供了全新的发展机遇和生活空间,但也带来了新的安全威胁.信息安全的威胁可能来自内部的破坏、外部的攻击、内外勾结的破坏和信息系统自身的意外事故等,因此我们应按照风险管理的思想,对可能的威胁和需要保护的信息资源进行风险分析,以便采取安全措施,妥善应对可能发生的安全风险.信息安全风险评估是依据国家信息安全风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程.根据ISO27001 的管理思想,信息安全风险评估在信息安全管理的PDCA 环中是一个很重要的过程,如何处理信息安全风险评估所产生的数据,是每一个信息安全管理者都非常迫切需要解决的一个问题.最好的解决方法是开发出一套实用性强、可操作性高的系统安全风险评估管理工具.
二、风险评估过程
信息安全风险评估系统的设计是针对组织开展信息安全风险评估的过程.这个过程包括对信息系统中的安全风险识别、信息收集、评估和报告等.风险评估的实施过程如下页图1.
1.评估前准备.在风险评估实施前,需要对以下工作进行确定:确定风险评估的目标、确定风险评估的范围、组建风险评估团队、进行系统调研、确定评估依据和方法、制定评估计划和评估方案、获得最高管理者对工作的支持.
2.资产识别.资产识别过程分为资产分类和资产评价两个阶段.资产分类是将单位的信息资产分为实物资产、软件资产、数据资产、人员资产、服务资产和无形资产六类资产进行识别;资产评价是对资产的三个安全属性保密性、可用性及完整性分别等级评价及赋值,经综合评定后,得出资产的价值.
3.威胁识别.威胁识别主要工作是评估者需要从每项识别出的资产出发,找到可能遭受的威胁.识别威胁之后,还需要确定威胁发生的可能性.
4.脆弱性识别.评估者需要从每项识别出的资产和对应的威胁出发,找到可能被利用的脆弱性.识别脆弱性之后,还需要确定弱点可被利用的严重性.
5.已有安全措施确认.在识别脆弱性的同时,评估人员将对已采取的安全措施的有效性进行确认,评估其是否真正地降低了系统的脆弱性,抵御了威胁.
6.风险分析.风险评估中完成资产赋值、威胁评估、脆弱性评估后,在考虑已有安全措施的情况下,利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响得出信息资产的风险.
三、系统设计
1.用角色设计.系统角色分为三种类型,各用户在登录后自动转入各自的操作页面.A.超级管理员:拥有系统所有权限;B.评估项目管理员:可以对所负责的评估项目进行管理,对评估人员进行分工和权限管理;C.评估人员:负责由项目管理员分配的测评工作,将评估数据导入系统.
2.系统模型.根据信息安全风险评估管理的业务需求,我们构建了以安全知识库为支撑,以风险评估流程为系统主要业务流,以受测业务系统及其相关信息资产的风险评估要素为对象的信息安全风险评估综合管理系统模型,系统模型如图2 所示.
3.系统功能设计.信息安全风险评估综合管理系统的功能模块包括:①风险评估项目管理:评估项目管理模块包括评估项目的建立、项目列表、项目设置等功能.主要输入项:项目名称、评估时间、评估对象等;主要输出项:项目计划书.②信息安全需求调研管理:该模块用于用户填写安全调研问卷,为安全评估提供数据支持.主要输入项:用户ID、调查答案;主要输出项:问卷标题、调查题内容.③资产识别.系统提供的资产识别,包括:硬件、软件、数据等,根据业务系统对组织战略的影响程度,对相关资产的重要性进行评价;主要输入项:评估对象(信息资产)、赋值规则;主要输出项:资产识别汇总表、资产识别报告.④威胁识别.威胁识别:系统提供多种网络环境的威胁模板,支持和帮助用户进行威胁识别和分析,并提供资产、脆弱性、威胁自动关联功能:主要输入项:评估对象、赋值规则;主要输出项:威胁识别汇总表、威胁识别报告.⑤脆弱性识别.脆弱性识别:系统可提供多种系统的脆弱性识别功能,包括:主机、数据库、网络设备等对象的脆弱性识别.系统支持常用漏洞扫描软件扫描结果的导入,目前支持的扫描系统有:Nessus、NMap等,主机系统支持:Windows、Linux、Unix 等,数据库支持:MSSQL、Oracle 等:主要输入项:评估对象、漏洞扫描结果、赋值规则;主要输出项:漏洞扫描报告、脆弱性识别汇总表、脆弱性识别报告.⑥安全措施识别.安全措施识别:系统提供基于技术、管理等方面的安全措施检查功能,帮助用户了解目前的安全状况,找到安全管理问题,确定安全措施的有效性:主要输出项:安全措施识别汇总表、安全措施识别报告.⑦风险分析.系统通过资产评价、脆弱性评价、威胁评价、安全措施有效性评价、风险分析等工作,可自动生成安全风险评估分析报告.主要输入项:评估对象、资产值、脆弱性值、威胁值、安全措施值、计算规则;主要输出项:风险计算汇总表、风险分析报告.⑧评估结果管理.主要功能是对历史记录查询与分析.汇总所有的安全评估结果进行综合分析,并生成各阶段风险评估工作报告,主要包括如下:《资产识别报告》、《漏洞扫描报告》、《威胁识别报告》、《脆弱性识别报告》、《控制措施识别报告》、《风险分析报告》.并可对当期风险评估结果和原始数据进行转存或备份.在有需要时能调出评估历史数据进行查询及风险趋势分析.⑨信息安全知识库更新维护.信息安全知识库的更新维护主要对象有:系统漏洞库、安全威胁库、安全脆弱点库、控制措施库.为避免造成数据的冗余,系统将在各评估项目中需要反复使用的数据归入基础数据库进行管理,在进行评估活动时再从基础库提取有关数据,这样也能减少重复的输入工作.⑩数据接口.导入数据接口:资产库、脆弱点库、威胁库、控制措施库.支持以下常用的格式:如EXCEL 文件等;常用的漏洞扫描工具:如绿盟、启明星辰、NESSUS、NMAP等.
四、结束语
该系统设计是以信息安全风险评估工作流程为基础,进行信息安全评估项目管理、风险要素数据收集与辅助风险分析的系统,在实际风险管理过程中,可引入了质量管理理念———PDCA 循环,即通过监控每一阶段的信息系统风险情况,及时发现问题,不断调整风险控制工作计划,从而实现信息安全风险管理的工作目标.
参考文献
[1]GB/T 20984-2007,信息安全风险评估规范[S].信息安全技术.
[2]GBZ 24364-2009,信息安全风险管理指南[S].信息安全技术.
该文评论:本文是一篇关于经典风险评估专业范文可作为风险评估和信息安全和综合管理方面的大学硕士与本科毕业论文风险评估论文开题报告范文和职称论文论文写作参考文献.
参考文献:
1、 高校教师信息管理系统设计 摘要高校教育事业日益发展,教师教学、科研项目增多,教师管理模式转变、信息量扩充,对教师信息管理要求越来越高 分析目前高校教师信息管理存在的问题,以吉林大学教师业绩信息管理为例,初步探讨并设计满足教师以.
2、 社会公共安全风险评估和监测系统黄超殷建国张洪波刘蔚文张军王婷 黄 超,殷建国,张洪波,刘蔚文,张 军,王 婷(江苏警官学院,南京 210031)摘 要面对社会公共安全事件的高发态势,构建社会公共安全风险评估与监测系统,对于防止社会公共安全事件的发生、缩短事件发生.
3、 网络多媒体教学课件管理系统设计和实现 网络多媒体教学课件管理系统设计与实现陈玮婷(黑龙江省哈尔滨医科大学,黑龙江哈尔滨150001)摘 要计算机信息技术的发展为课堂教学模式提供了新的活力,在课堂教学中网络多媒体教学模式占据着越来越重要.
4、 精算逻辑下的风险评估和管理 在日常人际交往中,我们常常祝福对方万事如意,我们的愿望简单而朴素,预期每年薪酬福利增加、职位得到晋升、生活品质提高,憧憬着明天更美好,谈论风险并不是个讨喜的话题 事实上,生活往往由许多的不确定性组成 .
5、 基于URP教务数据的地方高校教材管理系统设计 摘要教材管理是教学管理的重要组成部分,全国500余所高校使用URP教务系统,但其教材管理模块数据关联过高、操作繁琐、实用性低 基于URP教务数据接口的地方高校教材管理系统设计,以教材预订、教材发放、教.
6、 高校OA系统和档案管理系统对接风险成因分析高校OA系统和档案管理系统对接风险成因分析 【摘要】本文以高校OA系统和档案管理系统对接工作为切入点,借鉴TOE研究框架,提出了影响对接工作的三大类风险成因,包括信息技术层面的风险成因、组织保障层面的风险成因和文化心理层面的风险成因,并且每大类.