信息系统风险管理论及关键技术研究.pdf

北京邮IU人学傅I论立 摘篓 信息系统风险管理理论与关键技术研究 摘要 信息化的不断深入，使得国民经济和社会发展对信息系统的依赖程度 提高，信息系统的安全问题受到更广泛的关注。研究与实践表明：仅仅 依靠安全技术和安全产品不能解决所有安全问题，必须将风险管理理论 引入系统安全解决方案中。因此，开展信息系统风险管理理论与关键技 术的研究具有非常重要的理论意义和实用价值。 本文在对国内外标准、方法、工具和安全体系研究现状分析的基础上， 针对信息系统风险管理中存在的主要问题，采用周期性管理的思想，对 信息系统风险管理理论与关键技术进行了研究。具体内容分为以下五个 方面： (1)提出一种较为完善的信息系统风险管理方法TPlsRM 提出的TPISRM风险管理方法是一种模块化的管理方法，便于风险管 理软件的开发，它适用于具有不同体系结构和安全等级需求的企业。在 TPISRM管理方法中，增加了风险管理预算和风险控制(状态监控和事件 响应等)阶段。 (2)提出一种信息系统风险管理工程预算模型 在软件开发预算模型COCOM0．II的基础上，提出基于贝叶斯信念网 企业财政预算提供依据。本文给出了BBSMBM模型风险管理工程预算表 达式以及各参数的估计方法，给出BBSMBM模型的构建方法，然后采用 MonteCado模拟法估计管理工程预算值。 (3)提出一种基于贝叶斯理论的概率风险分析方法 提出贝叶斯概率风险分析模型，解决风险量化过程中的不确定性问 题，包括风险发生概率和造成损失的不确定性，为有效实施风险管理提 供依据。 (4)模糊多属性理论与群体评价方法在风险管理中的运用 提出综合权重确定算法和风险排序算法，运用到模糊多属性风险排序 方法中。在安全方案选择阶段，将成本效益法、多维安全保障策略以及 群体评价方法相结合，提出基于多属性群体决策方法的安全方案选择模 摘要 型。模糊多属性群体决策理论提高了决策结果的准确性和风险管理的有 效性。 (5)提出一种基于因果关系图的自动事件响应方法 在认知图理论的基础上，扩充关系运算法则并且给出反复推理规则， 提出一种基于因果关系图和成本效益相结合的自动事件响应方法。 本文的研究意义在于通过对信息系统风险管理框架、管理流程、关键 技术的研究，将信息安全、概率论、模糊理论、决策理论、经济学、认 知推理等多学科方法相融合，不仅拓宽了信息系统风险管理的研究领域 和内容，而且为提高风险管理的准确性和有效性奠定了坚实的理论基础， 具有重要的现实意义。 关键词：信息系统风险管理，风险管理工程预算，贝叶斯概率风险分析， 模糊多属性群体决策，因果关系图，自动事件响应 北京邮In人学傅f。论文 ABSTRACT 0NTHEORY RESEARCH ANDKEYTECHNOLOGI ES0F I NFORMAT1 0NSYSTEMRl SKMANAGEMENT ABSTRACT of Asthe informationnational deepIydeVelopment system，the economic andsocial aremoreandmore oninformation development depending system． info加ationhasbeen The concemedabout issueS． system