企业动态信息安全风险控制系统研究.pdf

摘要 摘要 当前，以计算机与通信技术为代表的信息技术已经成为推动社会发展的动力， 成为了企业重要的生产工具，但伴随而来的信息安全问题则成为信息技术有效 利用的重大障碍。各类由病毒、黑客攻击、内部人员犯罪、灾难等因素所引发 的信息安全事件，给企业造成了直接与间接的经济损失。企业通过信息安全风 险管理活动，预防信息安全事件的发生，减少信息安全事件的损失。由此提出 了两个重要的问题：(1)企业信息安全风险管理的机理是什么?(2)企业如何 提高信息安全风险管理的效益? 针对上述问题，本文从企业微观视角出发，将企业信息安全风险管理活动作 为一个系统进行研究，提出了企业信息安全风险控制活动的经济学目标，构建 了企业动态信息安全风险控制系统框架，并建立了系统动力学模型，对系统的 机理进行了深入分析。成果对于研究企业信息安全风险管理机理与效益问题， 指导企业开展信息安全风险管理实践具有重要意义。论文主要的研究内容如下： 首先从企业作为一个经济实体的角度出发，提出了企业信息安全风险总成本 是由信息安全风险造成的损失与信息安全风险控制成本之和的概念，从而得出 理性企业的信息安全风险控制的总目标是在一定的时间窗范围内，追求风险总 成本的最小化，也就是风险损失与风险控制成本总和最小化的结论。 其次根据企业管理系统三个层次的特点，基于控制论与分层递阶控制方法， 构建了企业动态信息安全风险控制系统框架，提出企业信息安全风险控制系统 是一个具有组织决策、风险管理与安全控制三个层次的递阶控制系统，在动态 环境下通过信息安全资源的投入实现对信息系统状态的控制，目标是降低企业 信息安全风险总成本。并得出企业可以在决策层与管理层通过对信息安全风险 的分析与预测工作，调整或引入新的控制措施，提高控制有效性，在操作层面 可以通过不断提高事件防范与控制能力，降低风险的实际影响，提高控制效率 降低成本，从而实现风险总成本最小化的目标。 最后根据系统框架中各要素的因果关系，结合企业信息安全风险控制的经济 目标，建立了系统动力学模型。通过系统动力学仿真，深入研究了企业信息安 全风险控制系统的机理，得到企业信息安全风险评估与改进对企业信息安全风 险控制系统的稳定性方面具有重要作用的结论。 摘要 本论文创新点如下： 1)论文提出了企业信息安全风险总成本(TRC)的概念，即风险总成本是风险 控制成本与风险损失的总和，并提出了企业信息安全风险控制的各层次目标， 并对目标进行了形式化的描述，为企业在信息安全风险量化管理方面提供了新 的思路。 2)论文根据企业信息安全风险管理活动的特点，以递阶控制方法为基础，提 出了企业动态信息安全风险控制系统框架，为企业开展信息安全风险管理活动， 分析问题，找出薄弱环节提供了系统性的工具。 3)论文以企业动态信息安全风险控制框架为基础，以控制风险总成本最低为 目标，采用定性与定量相结合的方法建立了系统动力学模型，对企业动态信息 安全风险控制系统的结构、机理及动态性进行了研究，并在企业信息安全风险 控制系统中进行了应用，为今后量化模型的建立打下了基础。 关键词：企业信息安全风险控制系统动力学模型 ABSTRACT and the development society Recent technologypromotes years，Inforrnaiton information tothe accompanied seclln够 becomesthe enterprise，but import枷tools