广深铁路运营信息系统安全风险评估及策略研究
发布时间:2021-04-21 12:10
铁路部门与国计民生息息相关,而且对信息系统的依赖性非常高,一旦出现故障和意外,将导致整个铁路运输生产受到严重影响,并将造成严重的社会影响和后果,因此铁路信息系统的风险管理至关重要。本文详细介绍了铁路的信息系统安全现状和课题的研究背景,阐述了信息安全风险管理的原理,研究了国内外风险评估的标准和方法,其中重点研究了BS7799标准和基于该标准的根据信息系统资产、脆弱性和威胁进行赋值对信息系统进行量化的风险自评估的方法和构建信息安全管理体系的过程。针对广深铁路现有的重要信息系统案例使用以上方法进行了风险自评估,对广深铁路各重要信息系统的资产、脆弱性和威胁进行赋值,并计算出广深铁路信息系统面临的15种常见风险的估算值。结合广深铁路信息系统的风险现状,提出了构建广深铁路信息安全管理体系的构想,并参考BS7799-1提出的的十一个控制点,针对各控制点研究了风险管理的策略和风险应对的措施,并最终形成了广深铁路风险管理策略指导性文件。
【文章来源】:上海交通大学上海市 211工程院校 985工程院校 教育部直属院校
【文章页数】:108 页
【学位级别】:硕士
【文章目录】:
摘要
ABSTRACT
第1章 绪论
1.1 研究背景
1.2 国内外研究现状
1.2.1 信息安全标准的现状
1.2.2 风险评估方法的现状
1.3 论文研究的内容和意义
1.4 论文结构安排
第2章 信息系统风险管理
2.1 信息系统风险管理
2.1.1 基本概念
2.1.2 信息安全风险管理的目的和意义
2.1.3 信息安全风险管理的范围和对象
2.1.4 信息安全风险管理的内容和过程
第3章 对 BS7799 标准及其评估方法的研究
3.1 BS7799 标准的发展历程
3.2 基于 BS7799 的风险评估过程
3.2.1 信息安全风险评估框架和流程
3.2.1.1 风险要素关系
3.2.1.2 风险分析
3.3 基于 BS7799 的风险自评估实施
3.3.1 风险评估准备
3.3.1.1 确定目标
3.3.1.2 确定范围
3.3.1.3 组建团队
3.3.1.4 系统调研
3.3.1.5 确定依据
3.3.1.6 制定方案
3.3.1.7 获得高层支持
3.3.2 资产识别
3.3.2.1 资产分类
3.3.2.2 资产赋值
3.3.3 威胁识别
3.3.3.1 威胁分类
3.3.3.2 威胁赋值
3.3.4 脆弱性识别
3.3.4.1 脆弱性识别内容
3.3.4.2 脆弱性赋值
3.3.5 已有安全措施的确认
3.4 风险计算
3.5 风险控制
3.6 信息安全管理体系的建立和完善
3.6.1 建立ISMS
3.6.2 运行ISMS
3.6.3 监视和评审ISMS
3.6.4 保持和改进ISMS
第4章 广深铁路运营信息系统的风险评估实例
4.1 项目准备
4.2 项目实施
4.2.1 评估目的
4.2.2 评估范围
4.2.3 评估内容
4.2.4 评估方法
4.2.5 评估过程
4.2.6 风险分析和风险计算
第5章 广深铁路信息安全管理体系的构建设想
5.1 广深铁路信息安全现状
5.2 基于 BS7799-1 制定信息系统管理策略
第6章 结束与展望
6.1 研究总结
6.2 研究的不足和展望
第7章 致谢
参考文献
攻读学位期间发表或录用的论文目录
附件1
【参考文献】:
期刊论文
[1]铁路系统基于风险的定量安全评估方法[J]. 刘敬辉,戴贤春,郭湛,王阳. 中国铁道科学. 2009(05)
[2]基于ISO27001的企业信息安全保障体系的构建设想[J]. 春增军. 情报杂志. 2009(05)
[3]信息系统审计问题研究[J]. 吴晓东. 科技情报开发与经济. 2009(02)
[4]基于层次分析法的信息安全风险评估研究[J]. 华光. 现代计算机(专业版). 2008(09)
[5]基于ISO/IEC 27001标准的信息安全管理体系建设[J]. 王志强,李建刚,颜立. 浙江电力. 2008(04)
[6]ISMS信息安全管理体系建设初探[J]. 单宁. 信息网络安全. 2008(02)
[7]ISMS概念模型探索[J]. 姚轶崭,江常青,张利,李建彬. 计算机工程. 2008(02)
[8]主成分分析法在信息资产安全价值识别上的应用[J]. 双海军,王冰,武鹏飞. 兵工自动化. 2007(06)
[9]信息安全管理体系中的资产管理[J]. 韩硕祥,张洪光. 中国标准化. 2007(04)
[10]基于BP神经网络和专家系统的信息系统风险评估方法研究[J]. 段金利,张岐山. 现代管理科学. 2006(07)
本文编号:3151730
【文章来源】:上海交通大学上海市 211工程院校 985工程院校 教育部直属院校
【文章页数】:108 页
【学位级别】:硕士
【文章目录】:
摘要
ABSTRACT
第1章 绪论
1.1 研究背景
1.2 国内外研究现状
1.2.1 信息安全标准的现状
1.2.2 风险评估方法的现状
1.3 论文研究的内容和意义
1.4 论文结构安排
第2章 信息系统风险管理
2.1 信息系统风险管理
2.1.1 基本概念
2.1.2 信息安全风险管理的目的和意义
2.1.3 信息安全风险管理的范围和对象
2.1.4 信息安全风险管理的内容和过程
第3章 对 BS7799 标准及其评估方法的研究
3.1 BS7799 标准的发展历程
3.2 基于 BS7799 的风险评估过程
3.2.1 信息安全风险评估框架和流程
3.2.1.1 风险要素关系
3.2.1.2 风险分析
3.3 基于 BS7799 的风险自评估实施
3.3.1 风险评估准备
3.3.1.1 确定目标
3.3.1.2 确定范围
3.3.1.3 组建团队
3.3.1.4 系统调研
3.3.1.5 确定依据
3.3.1.6 制定方案
3.3.1.7 获得高层支持
3.3.2 资产识别
3.3.2.1 资产分类
3.3.2.2 资产赋值
3.3.3 威胁识别
3.3.3.1 威胁分类
3.3.3.2 威胁赋值
3.3.4 脆弱性识别
3.3.4.1 脆弱性识别内容
3.3.4.2 脆弱性赋值
3.3.5 已有安全措施的确认
3.4 风险计算
3.5 风险控制
3.6 信息安全管理体系的建立和完善
3.6.1 建立ISMS
3.6.2 运行ISMS
3.6.3 监视和评审ISMS
3.6.4 保持和改进ISMS
第4章 广深铁路运营信息系统的风险评估实例
4.1 项目准备
4.2 项目实施
4.2.1 评估目的
4.2.2 评估范围
4.2.3 评估内容
4.2.4 评估方法
4.2.5 评估过程
4.2.6 风险分析和风险计算
第5章 广深铁路信息安全管理体系的构建设想
5.1 广深铁路信息安全现状
5.2 基于 BS7799-1 制定信息系统管理策略
第6章 结束与展望
6.1 研究总结
6.2 研究的不足和展望
第7章 致谢
参考文献
攻读学位期间发表或录用的论文目录
附件1
【参考文献】:
期刊论文
[1]铁路系统基于风险的定量安全评估方法[J]. 刘敬辉,戴贤春,郭湛,王阳. 中国铁道科学. 2009(05)
[2]基于ISO27001的企业信息安全保障体系的构建设想[J]. 春增军. 情报杂志. 2009(05)
[3]信息系统审计问题研究[J]. 吴晓东. 科技情报开发与经济. 2009(02)
[4]基于层次分析法的信息安全风险评估研究[J]. 华光. 现代计算机(专业版). 2008(09)
[5]基于ISO/IEC 27001标准的信息安全管理体系建设[J]. 王志强,李建刚,颜立. 浙江电力. 2008(04)
[6]ISMS信息安全管理体系建设初探[J]. 单宁. 信息网络安全. 2008(02)
[7]ISMS概念模型探索[J]. 姚轶崭,江常青,张利,李建彬. 计算机工程. 2008(02)
[8]主成分分析法在信息资产安全价值识别上的应用[J]. 双海军,王冰,武鹏飞. 兵工自动化. 2007(06)
[9]信息安全管理体系中的资产管理[J]. 韩硕祥,张洪光. 中国标准化. 2007(04)
[10]基于BP神经网络和专家系统的信息系统风险评估方法研究[J]. 段金利,张岐山. 现代管理科学. 2006(07)
本文编号:3151730
本文链接:https://www.wllwen.com/jingjilunwen/jtysjj/3151730.html
