企业信息系统安全技术选择与配置优化策略研究
本文关键词:企业信息系统安全技术选择与配置优化策略研究
更多相关文章: 信息系统安全 安全技术组合 安全技术配置 脆弱性水平 风险偏好
【摘要】:随着信息系统在各类企业中的使用日趋广泛和深入,信息系统安全问题成为信息系统研究人员和实践人员共同关注的重要问题。从2013年爆发的美国“棱镜门”事件到2014年发生的马来西亚MH370航班失联折射出的机场安检漏洞问题,无一不反映了目前世界范围内信息系统安全问题的严峻性以及信息系统安全防御的迫切性。信息系统安全是指在既定的密级条件下,网络与信息系统抵御意外事件或恶意行为的能力。在信息系统安全防御过程中,企业通常选择各种安全技术对相应的信息系统安全威胁加以防范,形成信息系统安全技术策略。企业信息系统安全技术策略涉及安全资源投入与分配、安全技术选择与运用、安全效益分析等诸多方面,不仅是一个技术问题,也是一个管理问题。目前学术界从管理视角有关企业信息系统安全技术选择与配置等问题的研究还存在明显不足。本文在对国内外相关研究进行归纳分析,对相关理论进行概述的基础上,运用博弈论、优化理论、决策理论与仿真方法等从五个方面对信息系统安全技术选择与配置优化策略进行了深入研究。首先,研究了企业信息系统安全技术类型与数量的优化选择策略。利用博弈论将安全技术类型选择与信息系统安全威胁类型相联系,将威胁类型设为模型参数之一,构建攻击防御博弈模型,模型分析表明,安全技术类型选择及其选择概率决定于威胁发生概率和该安全技术处理各种威胁的效率;信息系统安全资源最优分配比例取决于威胁发生概率和安全技术选择概率。同时,利用博弈论将安全技术数量的选择同信息系统安全技术的功能与特性相联系,针对入侵检测系统与人工调查技术组合,构建企业与入侵者博弈模型,研究发现,部署多个入侵检测系统,一是可以提高入侵检测率,降低企业人工调查概率;二是人工调查概率在警报情形下的降低幅度由大趋小,非警报情形下反之;三是部署多个入侵检测系统时的期望收益并不总是高于部署单个入侵检测系统。其次,分别研究了考虑脆弱性水平和安全等级的企业信息系统安全技术配置优化策略。首先,研究考虑脆弱性水平的企业信息系统安全技术配置优化策略,针对入侵检测系统与脆弱性管理技术组合,构建了企业和入侵者博弈模型,研究显示,当企业信息系统脆弱性水平较低时,人工调查策略为对入侵检测系统警报事件进行部分调查,对非警报事件均不调查;当脆弱性水平较高时,调查策略为对所有警报事件调查,对部分非警报事件调查;还有,入侵者选择入侵的概率并不总是随着脆弱性水平的提高而提高。其次,研究考虑信息系统安全等级的企业信息系统安全技术配置优化策略,以防火墙和入侵检测系统组合为例,构建企业与入侵者博弈模型,并将未考虑安全等级与考虑安全等级时的技术配置策略相比较,研究认为,一是无论入侵检测系统检测率配置高低,企业信息系统安全等级越高,遭遇入侵的概率越小;二是企业信息系统安全等级对其人工调查概率无直接影响;三是未考虑安全等级时的均衡策略只是考虑安全等级时的一个边界,且这个边界特例在现实中通常无法或无需达到。接着,研究了考虑风险偏好的企业信息系统安全技术选择与配置优化策略。分别针对入侵检测系统和蜜罐技术组合、入侵检测系统和人工调查技术组合构建博弈模型,模型分析发现,风险偏好对不同信息系统安全技术组合及其配置既具有相同影响也具有不同影响。相同影响为企业在入侵者期望收益很低时对风险厌恶型入侵者的人工调查率高,在入侵者期望收益很高时其对风险中立型入侵者的调查率高,入侵者在企业人工调查成本较低时更倾向于入侵风险中立型企业,在人工调查成本很高时更愿意入侵风险厌恶型企业。这样,企业应加强对自身风险偏好的隐藏和对入侵者风险偏好的甄别。不同影响则因安全技术组合类型不同而异,如风险厌恶型企业配置蜜罐的数量并不总是高于风险中立型企业,企业选择多入侵检测系统或单入侵检测系统与人工调查技术相组合时并不受其风险偏好的直接影响。随后,研究了企业信息系统安全技术策略实施优化问题。企业信息系统安全技术策略实施不仅可以考虑自主防御还可以考虑外包,两者之间存在选择边界。假定企业选择信息系统安全技术外包和选择自主防御时所达到的安全水平是一致的,从而可对两种方式下的期望收益展开比较,构建了博弈模型和数学优化模型,研究认为,企业外包信息系统安全技术的成本之和总是高于其自主防御时各种安全技术成本之和;企业外包各种信息系统安全技术的成本之和与其自主防御时各种技术成本之和的差值在临界值及以下,企业可选择外包。最后,论文研究分析了与模型分析密切相关的三个案例,以体现理论研究结论的实际应用价值。
【学位授予单位】:东南大学
【学位级别】:博士
【学位授予年份】:2016
【分类号】:TP309;F270.7
【相似文献】
中国期刊全文数据库 前10条
1 史东;截击系统安全隐患[J];中国计算机用户;2000年22期
2 李一军,曹荣增,于洋;系统安全工程能力成熟模型简介[J];计算机应用研究;2001年10期
3 黄国辉;防火墙与系统安全[J];计算机时代;2001年03期
4 ;中国国际计算器信息系统安全展览会即将召开[J];通讯世界;2002年02期
5 马红静;;提高企业安全“免疫力”[J];每周电脑报;2002年18期
6 陆波;铁路信息系统安全体系的构建[J];铁路计算机应用;2003年05期
7 支晓繁,张世永;信息系统安全量化评价要素研究[J];计算机工程;2004年10期
8 密钥;巧设系统安全的第一防线[J];网络与信息;2004年10期
9 成自强;加强系统安全之另类怪招[J];电脑爱好者;2004年21期
10 ;细微做起 全面打造您的电脑系统安全[J];计算机与网络;2006年Z1期
中国重要会议论文全文数据库 前10条
1 刘卓军;;系统安全探讨[A];新观点新学说学术沙龙文集35:现代社会危机管理与风险决策[C];2009年
2 李小玲;;系统安全理论在原油外销计量管理中应用[A];江苏省计量测试学术论文集(2011)[C];2011年
3 潘振宇;;浅谈医院信息系统安全[A];2009年浙江省医学工程学术年会论文汇编[C];2009年
4 武俊芳;郑秋生;;重要信息系统安全测评工具的研究与设计[A];计算机研究新进展(2010)——河南省计算机学会2010年学术年会论文集[C];2010年
5 刘海峰;张晓梅;李嵩;孙铁;;信息系统安全测评工具的设计与实现[A];全国网络与信息安全技术研讨会'2005论文集(上册)[C];2005年
6 叶明芷;刘相坤;;铁路客票预订与发售系统安全技术的应用与发展[A];第十六次全国计算机安全学术交流会论文集[C];2001年
7 王晓程;;系统安全工程模型概述[A];第十六次全国计算机安全学术交流会论文集[C];2001年
8 万峻;戴云;;北京市血液中心信息系统安全解决方案[A];中国输血协会第五届输血大会论文专集(摘要篇)[C];2010年
9 李飞;罗珊;;我军信息系统安全与防护能力分析[A];开创新世纪的通信技术——第七届全国青年通信学术会议论文集[C];2001年
10 周泽岩;姚洪磊;祝咏升;张彦;;铁路信息系统安全仿真平台的研究[A];Proceedings of 14th Chinese Conference on System Simulation Technology & Application(CCSSTA’2012)[C];2012年
中国重要报纸全文数据库 前10条
1 吴华;商务系统安全督查月活动启动[N];大同日报;2008年
2 记者 李婧;我省展开教育系统安全大检查[N];发展导报;2006年
3 记者 原亮亮;全市教育系统安全稳定工作会召开[N];汉中日报;2010年
4 本报记者 高超;系统安全是信息化建设的重中之重[N];中国信息化周报;2013年
5 赵晓辉 高亢 张辛欣;安卓系统安全隐患令人忧[N];国际商报;2014年
6 本报记者 张苗苗;六安烟草:大力加强信息系统安全“免疫”[N];中国信息化周报;2014年
7 向衍荪(作者系中国职业安全健康协会原秘书长);安全评价要重视“系统安全”[N];中国安全生产报;2005年
8 秦洋;省政府召开教育系统安全稳定工作电视电话会[N];山西日报;2004年
9 刘权永;甘孜国税五强化促信息系统安全[N];甘孜日报(汉文);2009年
10 曹斌;企业系统安全的基本要素[N];网络世界;2001年
中国博士学位论文全文数据库 前7条
1 张兵;RFID系统安全体系架构与关键技术研究[D];电子科技大学;2014年
2 方玲;企业信息系统安全技术选择与配置优化策略研究[D];东南大学;2016年
3 余志伟;面向业务过程的信息系统安全需求识别方法及其关键技术研究[D];浙江大学;2006年
4 陈辰;VANET系统安全的关键问题研究[D];复旦大学;2011年
5 王欣;WEB应用系统安全检测关键技术研究[D];北京邮电大学;2011年
6 罗景峰;基于可变模糊集的系统安全理论研究[D];东北大学;2012年
7 高汉军;虚拟计算环境下系统安全增强方法研究[D];武汉大学;2012年
中国硕士学位论文全文数据库 前10条
1 黄义夫;RFID系统安全检测关键技术研究[D];电子科技大学;2014年
2 安沛;企业OA系统安全机制的研究与应用[D];西安工程大学;2015年
3 杨琪;地铁车站静态导引标识系统安全功效评价研究[D];北京交通大学;2016年
4 李凤强;齐鲁乙烯系统安全管理模式研究[D];大连理工大学;2001年
5 张振远;系统安全工程在系统开发阶段的应用研究[D];哈尔滨工业大学;2007年
6 曹学民;城市通卡系统安全体系研究与设计[D];电子科技大学;2005年
7 高娅玲;中国航天科工集团公司网络财务系统安全方案研究及实现[D];四川大学;2003年
8 林忠泽;金融企业信息系统安全解决方案的设计与实现[D];东北大学;2009年
9 刘果生;保障网上电子报税系统安全的PKI/CA体系的研究与实现[D];同济大学;2006年
10 庞智;Web系统安全渗透测试方案的分析与设计[D];北京邮电大学;2011年
,本文编号:1297663
本文链接:https://www.wllwen.com/shoufeilunwen/xxkjbs/1297663.html
