基于半定量的A重工集团信息安全应用-工商管理专业论文.docxVIP

东华大学学位论文版权使用授权书 东华大学学位论文版权使用授权书 万方数据 万方数据 东华大学学位论文版权使用授权书 学位论文作者完全了解学校有关保留、使用学位论文的规 定，同意学校保留并向国家有关部门或机构送交论文的复印件 和电子版，允许论文被查阅或借阅。本人授权东华大学可以将 本学位论文的全部或部分内容编入有关数据库进行检索，可以 采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密□，在 年解密后适用本版权书。 本学位论文属于 不保密□。 学位论文作者签名： 指导教师签名： 日期： 年 月 日 摘要 摘要 摘 要 随着互联网的飞速发展，信息技术在人们日常生活、国家政治、教育、 经济等领域得以广泛运用。同时，现代企业运作也不可避免地更加依赖信 息和信息处理系统。但是在这网络信息共享的时代，网络安全风险必然存 在，信息系统的安全性受到来自许多方面的威胁，信息安全问题有可能会 影响企业的发展前程以及在行业中的竞争力。信息安全评估能够识别系统 中的威胁及安全漏洞，评估系统中的安全状况，使得企业采取有效的管理 措施主动将信息风险控制在可接受的范围内。因此，作为一项企业管理者 不得不掌握的管理技能，信息安全评估被提上了研究议程，至今一直是国 内外信息安全领域的研究热点，国内外已建立了一系列信息安全风险评估 标准，学术界也有一些相关的研究成果，但存在问题有待解决。 本论文概述信息安全管理的常用方法和相关的国际安全标准，并分析 信息安全问题产生的来源。本文的主体重点是以 2006 年国务院信息化工 作办公室颁布的《信息安全风险评估指南》为指导，参考相关的国内外评 估方法、管理控制思想及风险计算方法，设计一套具有可操作性的半定量 信息安全风险评估模型。此半定量模型是实现定量分析非常困难时采取的 一种则中办法，对一些可以明确赋予数值的要素采用定量方法直接赋予数 值，对难以赋值的要素使用定性方法，并针对信息安全风险评估的不确定 性和当前评估手段的主观性，将模糊综合分析法与层次分析法有机结合， 以实现对风险因素的主、客观评估的要求。这样在清晰地分析重要资产的 风险情况，同时简化分析的计算过程，提高分析结果的客观性和准确度。 本文结合实例，针对 A 重工企业较高的信息安全管理需求，详细设计了一 种具体的信息安全风险评估流程。在本文的最后提出了 A 重工企业信息安 I 全深度发展的对策。通过案例分析，描述了风险评估方法在实际问题中的 应用，并在实践过程中得到了认证。 关键词:风险评估 半定量风险模型 风险计算 管理控制风险 II Abstr Abstract Abstract With the rapid development of Internet, information technology has been widely applied in peoples daily life, the national political, educational, economic and other fields.At the same time, the modern enterprise operation is inevitably more dependent on information and information processing system. But in the network information era, network security risks inevitably exist, the security of information system is suffer the threats from many aspects, the information security problems may affect the development and competitiveness in the industry of enterprises. Information security assessment can identify the threat and vulnerability of system, and assess the safety status of system, so that the enterprise can take effective measures tocontrol the information risk in an acceptable range. Therefore, as the management skills of enterprise managers, information safety assessment has been put