论文部分内容阅读
信息正在成为越来越重要的资源,同时信息面临的各种风险也越来越多。在当前以信息技术为基本工具的社会生产活动中,机构为了保证信息系统资产不受侵害,而投入的资金和人员力量也越来越大。信息系统风险是人为或自然的威胁利用系统存在的脆弱性引发的安全事件,并由于受损信息资产的重要性而对机构造成的影响。开展信息系统风险评估是企业管理发展的需要,也是信息技术发展的需要。从20世纪90年代已来,英国、美国等国家及国际标准化组织相继推出了一系列有关信息系统风险评估的标准,研究出一些实现方法并积累了大量的实践经验。目前信息系统风险评估的一个重要问题是对各类与安全相关的数据的分析处理。本文建立了一个基于数据挖掘技术的信息系统风险评估理论框架,在该框架的指导下,采用定量和定性研究的方法,对数据挖掘技术应用于信息系统风险评估的理论进行了研究并给出了实例分析。本论文除引言外共分为6章:第一章主要对信息系统风险评估的概念及其产生缘由进行溯源,并探讨其发展过程中的主要理论基础、方法基础、模型及应用。第二章在数据挖掘技术的基础上,建立了基于数据挖掘技术的信息系统风险评估理论框架。总体来说,信息系统风险评估是对一些不确定的事件所做的估计和分析。这些事件主要包括信息系统资产、系统脆弱性、威胁等。信息系统的资产包括系统内部和网络互联外部的信息,所以也可以看作资产属性分布在一个更大、更复杂、分布式的数据库中。数据挖掘技术运用于风险评估,首要的目标是确定风险评估的应用主题,并对挖掘目标建立恰当的模型;其次是围绕信息系统风险评估主题收集数据源。本文将信息系统风险评估的数据源分为资产属性数据、威胁数据、Web资源数据三类,将这三类数据分别交给预处理模块处理,得出资产、威胁赋值列表。信息系统风险因素可分为系统安全风险、数据信息风险、执行风险、人为因素风险、物理因素风险和管理因素风险等。本文在对风险因素进行分析评价时,先将引发风险的各类威胁因子提取出来,利用Poisson分布的方法计算威胁发生的频率,对系统资产的脆弱性进行赋值;然后对威胁(包括频率和分布)赋值表、资产(包括脆弱性)赋值表进行提取、分解、合并,转化,成为适合进行数据挖掘的数据格式;最后借鉴金融风险管理VaR方法进行风险损失度量,得出对风险评估的等级。本文在进行信息系统风险防范措施决策时,首先根据有限状态机模型来计算信息生存性的指标(可抵抗性、可识别性和可恢复性),以作为信息风险防范措施投入和采取与否的依据;接着对风险防范措施的有效性、灵敏度等方面做出评估,从而对风险防范措施进行排序;最后借用粗糙集理论建立组合风险防范措施效果预测模型,利用模型计算出预测值后,将结果通过决策支持工具提交给决策者,用于信息系统风险评估的风险防范措施决策和相关技术处理。第三章提出了资产安全属性动态空间应力计算方法。由于信息资产之间的安全性是相互关联的,因此本文通过对信息资产完整性、机密性、可用性、等级和资产位置等属性进行空间转化,以B-Spline函数为基础,经过改进构造出信息资产安全属性空间,提出了资产属性相互关系动态应力计算方法。根据描述的资产所在安全属性空间曲面中的曲率变化,表现出资产安全属性之间的相互影响关系,并能动态地调整和计算资产安全属性值。这个资产安全属性动态空间应力计算方法,能够帮助系统动态地完成风险防范措施决策的修改。第四章构建了基于经常性事件原则的优化决策量化模型。每项风险控制措施的重要性有所不同,对信息系统整体安全性的影响也有所不同。企业往往会根据自身的条件,集中注意力于技术条件的可行性约束优化和资金投入约束优化。但是对于选择应该加强哪些方面的投入,则往往凭经验行事。对于信息系统面临的风险而言,有不可接受的风险和在有限防范措施下可接受的风险两类,信息系统资产也按对系统影响的重要性分为五个等级。本文在分析基于投资约束和风险防范需求约束的风险防范措施优化决策方法的基础上,将不可接受的风险、重要性较大的资产和自定义的重要风险防范措施作为经常性事件,依据Amdahl定律构建了基于经常性事件原则的优化决策量化模型。这个模型可以直接得出某项风险防范措施对整体系统安全性的影响,以及加强这项措施对整体系统安全性的贡献值,从而为建立信息系统风险评估的优化决策自动化系统提供了科学计算手段。第五章用本文所提出的基于数据挖掘的风险评估框架,针对一个企业所面临的风险情况,对其进行风险评估,从而验证了本文所提出的风险评估框架的合理性。第六章对论文的整体作了总结,并对并对未来信息系统风险评估的发展趋势进行了展望。本文的创新之处体现在:建立了基于数据挖掘技术的信息系统风险评估理论框架;在B- Spline函数的基础上经过改进,提出了信息资产安全属性的动态空间应力计算方法;在Amdahl定律的基础上经过改进,构建了加强经常性事件的风险防范措施优化决策模型。本论文是2005年度教育部哲学社会科学研究重大课题攻关项目(05JZD00024)“数字信息资源的规划、管理与利用研究”的研究成果之一,也是国家自然科学基金项目(70473068)“我国数字化信息资源管理的可视化模型研究”的研究成果之一