基于风险管理的信息安全保障的研究

发布时间：2020-05-01 22:01

【摘要】： 实用、完善的信息安全保障体系是进入信息时代的主权国家捍卫自身安全的重要基础设施，也是维护自身利益的主要手段。国家的信息化程度越高，面临的信息安全挑战就越多。我国已将信息化作为国家发展的重要战略，信息安全保障体系的建设也已纳入国家“十五”发展规划，信息安全问题得到了空前重视。但是我国信息安全保障体系的研究刚刚起步，适合我国国情的信息安全保障体系的研究和实践是当务之急。本论文将信息安全研究纳入人类集体安全的范畴来考虑，在结合分析其普遍性、特殊性的基础上，引入信息安全效用性考虑，从政治、经济与技术结合的角度，以风险管理的安全范式研究信息安全保障体系，指出最佳的信息安全保障实际上就是最优的风险管理方式。本文结合我国信息化程度与信息技术发展水平提出了基于风险管理的信息安全保障模型，并围绕这一模型对信息安全保障体系进行了理论上的研究和实践上的探讨。首先我们简要回顾了信息安全概念的历史发展，从人类集体安全的角度对信息安全保障的内涵及意义进行了理论探讨。在对安全模型与安全性质形式化阐述的基础上，提出了基于风险管理的信息安全保障模型，在上述理论研究的基础上，论文的后半部分从实践的角度对基于风险管理的信息安全保障模型进行了进一步探讨，给出了反映信息本质特征的复杂性理论的风险分析方法，实时主动的安全控制机制，并结合信息安全测评认证的工作实际四川大学博士学位论文阐述了测评与效用分析的重要性，并给出了一系列测评方法与实践。本文的主要创新点有： 1、理论分析：对安全模型与安全性质进行了形式化研究；针训找图头阿，促囱ids丁八尴官埋们怕。包文主1禾降件永帜型；给出了基于复杂性的信息安全风险分析方法；提出了生动实时的安全保障措施框架。 2、测评认证：本文采用了测评认证分析方法研究信息安全保障的有效性，并把安全风险分析与措施选择与效用的测评认证作为信息安全保障的重要组成部分。 3、实践结合：本文强调信息安全保障的理论技术与实践结合的重要性，，并紧密联系实际，阐述基于风险管理的信息安全保障的理论与技术。
【图文】：

信息安全保障体系,安全风险,安全风险分析

基于风险管理的信息安全保障体系的实施，着重强调“可靠的”安全风险分析，“可用的”安全控制措施，与“可行的”安全效用评测验证，使信息安全保障体系的建立具有可操作性，如图4.3所示。针对特定的系统安全环境，选择多种安全风险分析方法，有针对性的给出安全威胁、系统脆弱性，作为安全风险管理的可靠基础，安全保障实施的焦点是它们的交集，即针对特定的安全风险针对性地选择可用的安全措施，并分别对确定的风险与选择的措施效用做出测评与验证。图4.3信息安全保障体系的实施关键基于风险管理的信息安全保障体系，将安全风险管理的思想全面应用于信息安全保障的各个重要环节，下面我们介绍安全风险管理框架与安全保障度量方法，并从理论上介绍安全风险分析方法、可用的安全控制措施和针对风险与控制措施的效用评估

示例,信息安全保障

当部分保护层次或保护机制被攻击穿透后，其它保护层次和技术仍然能提供附加的保护功能，防止导致整个信息基础设施的失效情形出现。深度保护策略原则上适用于任伺信息系统或网络，而与具体的系统组织形式无关。另外，采用分层保护机制并不意味着信息安全保障机制必须在网络体系结构的所有层次上或信息系统的所有层次上都得到实现，基于风险分析的信息安全保障的基本原则是针对不同的信息重要性采用不同的保障级别。深度保护的分层战略完全一致于基于风险分析的信息安全保障的思想，有利于根据保障级别的高低采用不同成本的分层保护措施，信息系统的组织者可以根据实际需要对层次技术进行取舍，关键敏感信息区域实现高级别的保护，普通信息区域实现低级别保护或不采取保护措施。
【学位授予单位】：四川大学
【学位级别】：博士
【学位授予年份】：2002
【分类号】：G203

【引证文献】