基于生存力的电子政务系统风险控制研究
发布时间:2020-08-15 22:29
【摘要】:电子政务系统是实现电子政务各项目标与功能的基础和平台,它对于促进改革和发展,加快现代化建设具有重要意义。随着网络技术的发展,电子政务系统面临越来越多的风险:一方面网络的发展本身增加了电子政务系统面临的风险;另一方面网络的发达为各种黑客联盟的兴起和网上攻击软件的交流提供了有效平台,使得在攻击复杂度直线上升的同时,对攻击者的知识要求却在呈指数下降,目前的风险控制理论与模型越来越难以适应新形式下电子政务系统对风险控制的要求。 本文提出了一种基于生存力的电子政务系统风险控制的系统架构,该架构以确保系统应对风险的生存力为核心,从攻击识别、攻击抵抗、攻击恢复和攻击自适应四个方面构建了一个可以多阶段抵御风险的风险控制系统。 本文的主要创新点在于:(一)提出了基于生存力的电子政务系统风险控制的系统架构。该架构由攻击识别系统、攻击抵抗系统、攻击恢复系统和攻击自适应系统这四个子系统组成,它注重的是系统面对风险的生存能力,采用的是一种主动的风险控制策略,改变了目前风险控制理论中采用的被动的风险控制方法的局面。(二)采用了形式化的方法对风险控制架构的四个子系统进行了严格、无二义的描述,确保了系统的实用性,保证了对电子政务系统风险控制的有效性。(三)在构建攻击识别系统时,将模糊理论引入系统,提出了基于模糊关联规则挖掘的攻击识别方法,并且在运用的模糊集函数中用模糊集{BELOW,AVERAGE,ABOVE}取代了传统的模糊集{LOW,MEDIUM,HIGH},进一步提高了攻击识别的精度。 本文的结构如下:首先介绍文章的研究背景、研究目的、意义与方法以及文章的结构和创新点。然后对有关电子政务风险控制的理论与模型进行了综述,并对其进行简要评价。接着构建了基于生存力的电子政务系统风险控制的系统架构中的四个子系统,即攻击识别系统、攻击抵抗系统、攻击恢复系统和攻击自适应系统,然后给出了基于生存力的电子政务系统风险控制的整体的系统架构图,并且结合案例论证了该风险控制的系统架构的有效性,最后对文章进行了总结和展望。
【学位授予单位】:同济大学
【学位级别】:博士
【学位授予年份】:2006
【分类号】:D035
【图文】:
型的基于过程的方法:③加强了对风险评估过程、控制选择和适用性声明与相互关系的阐述;④进一步说明了对isMS持续过程改进的重要性;⑤楚地描述了文档和记录方面的需求;⑥对风险评估和管理过程进行了改进新版本使用提供了指南的附录。新版本在介绍信息安全管理体系的建立、实施和改进的过程中引用了甲D型,按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执全管理和再评估四个子过程,特别介绍了基于PD以模型的过程管理方在附录中为解释或采用新版标准提供了指南,如图2.2所示。组织通过持行这些过程而使自身的信息安全水平得到不断的提高。PDCA模型的主要下[l9l:①计划(PLAN):定义信息安全管理体系的范围,鉴别和评估业务风实施(DO):实施同意的风险治理活动以及适当的控制;③检查(CHEC均控制的绩效,审查变化中环境的风险水平,执行内部信息安全管理体系审改进(^CTIO哟:在信息安全管理体系过程方面实行改进,并对控制进行改进,以满足环境的变化。PDCA棋型应用与信思安全管理体系过程
一30]息及相关技术的控制目标(eontrolobjeetivesforbformationandogy,COB助,是rr治理的一个开放性标准,是一个由美国负责信与控制参考架构的组织IsA以(hifon卫ationsystemsAuditandcotion)在19%年所公布的业界标准,目前己经更新至第四版,是最先进、最权威的安全与信息技术管理和控制的标准。COBrr归项相关的来源,形成了一套专供企业经营者、使用者、rr专家、安全控制人员来强化和评估rr管理和控制的规范。仃业务流程是焦点,对每一个rr业务流程,COBrr提出了一系列的控制目标、些控制目标的控制程序,评价这些控制程序是否存在,并被有效执计程序。该标准为n’的治理、安全与控制提供了一个普遍适用的辅助管理层进行仃治理。目前己在世界一百多个国家的重要组织,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。图2.3所示。
图2.6NISTSP800一30风险控制的流程2.2.5OC异戊E件2书]OC口浑E(OPerationallyCriticalTreat,Asset,andVulnerabilityEvaiuation),即可操作的关键威胁、资产和薄弱点评估,是由美国卡耐基·梅隆大学软件工程研究所下属的CERT协调中心开发的用以定义一种系统的、组织范围内的评估信息安全风险的方法。OC口浑E的核心是自主原则,即由组织内部的人员管理和指导该组织的信息安全风险评估。信息安全是组织内每个人的职责,而不只是汀部门的职责。
本文编号:2794749
【学位授予单位】:同济大学
【学位级别】:博士
【学位授予年份】:2006
【分类号】:D035
【图文】:
型的基于过程的方法:③加强了对风险评估过程、控制选择和适用性声明与相互关系的阐述;④进一步说明了对isMS持续过程改进的重要性;⑤楚地描述了文档和记录方面的需求;⑥对风险评估和管理过程进行了改进新版本使用提供了指南的附录。新版本在介绍信息安全管理体系的建立、实施和改进的过程中引用了甲D型,按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执全管理和再评估四个子过程,特别介绍了基于PD以模型的过程管理方在附录中为解释或采用新版标准提供了指南,如图2.2所示。组织通过持行这些过程而使自身的信息安全水平得到不断的提高。PDCA模型的主要下[l9l:①计划(PLAN):定义信息安全管理体系的范围,鉴别和评估业务风实施(DO):实施同意的风险治理活动以及适当的控制;③检查(CHEC均控制的绩效,审查变化中环境的风险水平,执行内部信息安全管理体系审改进(^CTIO哟:在信息安全管理体系过程方面实行改进,并对控制进行改进,以满足环境的变化。PDCA棋型应用与信思安全管理体系过程
一30]息及相关技术的控制目标(eontrolobjeetivesforbformationandogy,COB助,是rr治理的一个开放性标准,是一个由美国负责信与控制参考架构的组织IsA以(hifon卫ationsystemsAuditandcotion)在19%年所公布的业界标准,目前己经更新至第四版,是最先进、最权威的安全与信息技术管理和控制的标准。COBrr归项相关的来源,形成了一套专供企业经营者、使用者、rr专家、安全控制人员来强化和评估rr管理和控制的规范。仃业务流程是焦点,对每一个rr业务流程,COBrr提出了一系列的控制目标、些控制目标的控制程序,评价这些控制程序是否存在,并被有效执计程序。该标准为n’的治理、安全与控制提供了一个普遍适用的辅助管理层进行仃治理。目前己在世界一百多个国家的重要组织,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。图2.3所示。
图2.6NISTSP800一30风险控制的流程2.2.5OC异戊E件2书]OC口浑E(OPerationallyCriticalTreat,Asset,andVulnerabilityEvaiuation),即可操作的关键威胁、资产和薄弱点评估,是由美国卡耐基·梅隆大学软件工程研究所下属的CERT协调中心开发的用以定义一种系统的、组织范围内的评估信息安全风险的方法。OC口浑E的核心是自主原则,即由组织内部的人员管理和指导该组织的信息安全风险评估。信息安全是组织内每个人的职责,而不只是汀部门的职责。
【参考文献】
相关期刊论文 前10条
1 忻尚芝,桂海峰,陈世平;基层政府电子政务系统的开发与应用[J];上海电力学院学报;2002年03期
2 王国海;电子政务系统的研究[J];福建电脑;2003年06期
3 任相花,王培东,杨向东;生物免疫原理在网络入侵检测中的应用[J];哈尔滨理工大学学报;2005年02期
4 聂方彦,傅光轩,许淑华,蔡坚;一种基于费歇(Fisher)判别法的异常检测模型设计[J];计算机应用;2004年12期
5 郭顺利,杨小虎;COBIT控制目标体系研究及在电子政务中的应用[J];计算机工程与设计;2004年03期
6 郝晓玲;信息系统审计与控制框架初探[J];上海管理科学;2003年04期
7 高翔,王敏,于枫;基于数据挖掘的自适应入侵检测系统[J];西安工业学院学报;2005年02期
8 熊平,朱天清,黄天戍;模糊关联规则挖掘算法及其在异常检测中的应用[J];武汉大学学报(信息科学版);2005年09期
9 朱天清,熊平;模糊关联规则挖掘及其算法研究[J];武汉工业学院学报;2005年01期
10 吴伟,王浣尘,陈明义;电子政务系统环境下的技术扩散[J];系统工程理论方法应用;2005年05期
本文编号:2794749
本文链接:https://www.wllwen.com/shekelunwen/zhengzx/2794749.html
