论文部分内容阅读
随着经济全球化和信息技术的迅猛发展,信息系统在国家的政治、军事和经济等领域应用的日益广泛,整个社会对信息系统的依赖性越来越大,信息系统的安全问题已经成为一个关乎国家政治稳定、社会安定和经济健康有序运行的全局性重要问题。信息安全管理本质上是基于风险的管理。当前信息技术迅猛发展,信息安全管理理论和方法正经历一场重大的变革:从单一的技术手段到“技术与管理”并重的综合治理手段;从局部的工程管理到全局性的系统管理;从标准不完善的经验式管理到安全等级分明的科学管理;风险评估对象从综合评估到人因评估、从现状评估到趋势评估;评估方式从静态评估到动态评估;评估手段从手动评估到自动评估;评估方法从定性评估、定量评估到定性和定量相结合。结合信息系统实际情况,对相关科学的理论和方法进行完善与创新,是确保信息系统风险评估与管理工作不断完善的必要前提。本文遵循定性-定量-定性的分析研究思路,着眼于从技术层面和管理层面的有机结合,从信息系统风险评估与管理过程中的关键问题入手,结合安全管理、系统工程、信息安全、层次分析法(AHP)、灰色理论、模糊理论、决策理论多种学科的理论及相关方法开展了针对性的研究。主要研究工作有:(1)首先应用基于改进型AHP的模糊综合评价法和基于离差平方和的模糊综合评价法对信息系统进行综合评估。通过对信息系统的风险综合评估,掌握了信息系统风险整体状况、主要风险影响因素,为信息系统人因失误风险评估、风险态势评估以及风险管理模型与对策的研究提供了理论方法基础和依据。(2)基于交互式群决策的信息系统人因失误风险评估研究。运用Reason模型和SHEL模型对信息系统人因失误的风险进行分析,并建立信息系统人因失误风险评估指标体系,应用群决策技术对专家权重进行判断,可以有效地提高信息系统风险评估的合理性和准确性。并应用改进型AHP模糊综合方法进对信息系统人因失误进行风险评估,分析了人因失误风险因素的影响作用,并确定信息系统人因失误的风险等级,为探讨信息系统人因失误风险管理对策奠定了基础。(3)基于灰色理论的信息系统风险态势评估研究。在实际情况中,由于信息系统威胁的不确定性、动态性,同时由于风险因素的构成、因素之间的关系、因素发挥作用的时间和范围等在不断变化,从而导致信息系统所面临的风险呈现动态而复杂的演化趋势,静态风险评估很难预测或评估未来风险状况,因而对系统未来风险态势进行评估凸显其重要。论文将系统灰色理论方法引入信息系统安全风险态势感知的研究领域,提出一种风险态势感知评估模型,通过仿真实验,验证了该方法和模型的可行性和有效性。并提出基于态势评估的信息系统风险预警、防范与控制模型。(4)信息系统风险管理模式及对策研究。信息系统的安全建设不仅是一个技术问题,更是一个管理问题,管理是贯穿信息安全体系建设过程的生命线,风险管理是信息安全保障工作中的一项基础性工作。论文提出了适合未来智能化发展需要的信息系统动态风险管理模型和信息系统人因失误风险管理与控制模型,并提出具体的对策建议。