基于ssecmm的重庆市电子政务安全风险评估与信息安全保障体系的构建与实现

重庆大学硕士学位论文基于SSE-CMM的重庆市电子政务安全风险评估与信息安全保障体系的构建与实现姓名：宋丽丽申请学位级别：硕士专业：软件工程指导教师：向宏20041101基于SSE-CMM的重庆市电子政务安全风险评估与信息安全保障体系的构建与实现作者：宋丽丽学位授予单位：重庆大学参考文献(26条)1.沈昌祥信息安全工程导论20032.景乾元我国计算机信息系统安全保护标准体系的构成和建设[期刊论文]-网络安全技术与应用2002(6)3.FrequentlyAskedQuestions20034.信息安全风险评估标准编制工作情况汇报20045.胡涵景我国电子政务标准体系结构的研究[期刊论文]-中国标准化2003(4)6.范红信息安全风险评估与风险管理20047.李金库.张德运.张勇身份认证机制研究及其安全性分析[期刊论文]-计算机应用研究2001(2)8.吴世忠.BSchneier网络信息安全的真相20019.寇日明.高盛公司风险管理务实200110.查看详情11.吴世忠基于风险管理的信息安全保障的研究200212.李新生信息安全与国家安全[期刊论文]-网络安全技术与应用2002(6)13.宋如顺.钱钢.于冷基于SSE-CMM的信息安全管理与控制[期刊论文]-计算机工程与应用2000(12)14.查看详情15.Commoncriteriaeditionboard,commoncriteriaforinformationtechnologysecurityevaluation,cceb-96/011,version1.0199616.关振胜公钥基础设施PKI与认证机构CA200217.EEugeneSchultz.RussellShumwayIncidentResponse:AStrategicGuidetoHandlingSystemandNetworkSecurityBreaches200218.WarrenWang.Byung-HakKimN-PatrolSystemManagedSecurityService200019.李津生.洪佩琳下一代Internet的网络技术200120.电子政务安全研究200221.MarySchankenNSA,SSE-CMMPilotResults22.RickHefnerPhDAProcessStandardforSystemSecurityEngineering:DevelopmentExperiencesandPilotResult23.张锋岭基于JAVA2的身份认证数字签名和SSL实现技术2002(04)24.于泽源.雷晓川.刘美如基于中间件的C/S模式下的身份认证[期刊论文]-计算机工程与设计2002(2)25.裴继奎.李大兴X.509中身份认证协议的安全性描述[期刊论文]-计算机应用2001(10)26.左晓栋.刘毅对信息安全风险评估中几个重要问题的认识[期刊论文]-计算机安全2004(7)相似文献(10条)1.期刊论文孙树静.刘明生.杜玮.尹晓华.SUNSHUJING.LIUMINGSHENG.DUWEI.YINXIAOHUA熵理论应用于电子政务网络安全风险评估-微计算机信息2008,24(9)采用模糊逻辑方法对电子政务网络系统进行风险评估,对各风险因素从风险概率和风险影响两方面评判,并应用熵权系数法,客观地计算出每个风险因素的权重.通过实例说明该方法能很方便地求出电子政务网络系统的风险度,实际结果符合实际.2.期刊论文周伟良.朱方洲电子政务系统安全风险评估研究-电子政务2007,(9)通过研究提出了电子政务系统安全风险评估的模型、分析方法,以及具有很强逻辑性和可操作性的评估流程.3.期刊论文汤志伟.高天鹏.TANGZhi-wei.GAOTian-peng采用OCTAVE模型的电子政务信息系统风险评估-电子科技大学学报2009,38(1)电子政务信息系统风险评估是各级政府部门制定有效、可靠的安全防护措施的必要前提.该文采用可操作的关键威胁、资产和弱点评估模型作为理论依据,构造出采用模型的电子政务信息系统风险评估指标体系.利用层次分析法确定权数,以主观概率来描述指标的隶属度,从而建立了电子政务信息系统风险的模糊综合评估方法.结合实例分析,实现了对电子政务信息系统风险的科学评估.4.学位论文余洋电子政务系统风险评估模型设计与研究2008电子政务系统是政府有效决策、管理、服务的重要手段，涉及国家秘密信息和高敏感度的核心政务信息，必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。另外，电子政务系统是基于互联网的，存在诸多安全隐患，使电子政务系统安全面临着严峻的挑战。建立电子政务信息安全保障体系已成为目前电子政务安全建设的首要任务。而信息安全管理是其中的关键环节之一，风险评估作为信息安全管理的重要内容，在信息安全管理体系建设的各个阶段发挥着重要的作用。风险评估是一个综合评价过程，建立简化有效的评估模型是顺利完成风险评估的基础。本文论述了国内外信息安全评估标准的研究历史及现状。介绍信息系统安全风险分析的各种流行方法，如OCTAVE、SSE-CMM、层次分析法、RMECA法等。然后分析了电子政务系统的安全需求，着重分析了电子政务系统与一般信息系统的特殊性安全需求。从系统结构、应用层面和网络结构分析了电子政务系统，在此基础上分析电子政务系统在物理安全、网络结构、系统结构、应用安全、管理方面存在的风险。基于上述的理论研究，利用系统科学的理论和方法建立了一个基于模糊数学理论的结合OCTAVE的电子政务系统安全评估模型。建立了威胁发生的可能性的三层指标体系，从脆弱性对资产的影响程度和攻击的难易程度两个方面分析脆弱性的严重程度，利用模糊综合评价方法计算评估实体的隶属度以及相应的权重，计算风险事件的风险等级。此算法结合了OCTVAE方法的易操作性和模糊综合评判方法的准确性，为电子政务系统进行风险评估提供了有效的参考。最后以电子政务系统的实例，证明了此种风险评估模型的可行性。5.期刊论文孙树静.刘明生.尹晓华.SunShujing.LiuMingsheng.YinXiaohua小波神经网络应用于电子政务信息系统安全风险评估-石家庄铁道学院学报2007,20(3)针对电子政务信息系统风险评估的复杂性和不确定性,作者提出了小波神经网络评估方法,建立了小波神经网络评估模型,最后采用Matlab7.1工具进行了仿真实验,并分别从网络的收敛速度、训练精度和训练效果上与BP神经网络算法作了对比.结果证实该方法有效克服了传统方法中人为分配权重带来的主观性,使评价结果更科学,更合理.6.学位论文胡海波重庆市电子政务外网系统可生存性技术研究2004为全面推进重庆市的政务信息化建设，缩小与我国东部地区信息化的差距，实现将传统意义上的政府向“电子政府”过渡，重庆市党政职能部门加快了电子政务建设的步伐。但是电子政务系统给政府和社会带来便利的同时，也作为社会的关键信息基础设施，面临信息安全问题的严峻挑战。一旦政府机构的信息网络受到有组织的协同攻击和破坏，电子政务信息系统遭受严重打击，将会对国家安全、经济运转和社会稳定带来灾难性的后果。对于政务网络信息安全的研究，目前的重点主要放在“设防”上面，许多安全产品、安全技术多以安全防御为主，但仅仅从这个角度去处理政务网的安全问题还有一定的局限性。从某种角度上讲，处在全球网络互联的环境下，任何严密的防御措施都无法从根本上杜绝网络攻击事件的发生。既然政务网络被攻击乃至被入侵是不可避免的，那么与其站在系统之内进行防御，还不如站在系统之上来观察问题——着眼于系统的可生存能力。这种能力意味着网络可以被入侵，可以部件受损，乃至某些部件并不完全可靠，但只要系统能够在结构上合理配置资源，能在攻击下资源重组，具有自优化、自维护、自调节，就可以完成关键任务。信息安全技术及其它技术的研究和发展提高了系统的可生存能力，但其中任何一项单独的技术对于保护计算机免受攻击是远远不够的。可生存性研究为这些有利于系统生存的技术提供了一个安全整合框架。根据国家相关部门的要求，重要信息系统的安全保障需要实施等级保护的原则。作者首先对政务外网的信息系统进行了安全风险评估，并针对政务网络系统的可生存性进行分析。在研究中假设电子政务外网存在一定程度的安全风险和漏洞，政务信息系统可能因来自各方面的威胁而受到入侵或攻击。作者以服务漂移技术为核心，整合了当前主流的信息安全技术(入侵检测、网络诱骗、灾难恢复等)，针对电子政务外网重要的安全目标——完整性和可用性，构建了一个可生存性网络系统模型，为重庆市电子政务外网的应急响应策略提出了一种具体的解决案例。7.期刊论文张岩.潘静信息安全风险评估国家首次明确电子政务项目风险评估要求-信息网络安全2008,(12)政策发布及解读2008年8月,国家发展和改革委员会、公安部和国家保密局联合发布了关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号,以下简称通知).该通知首次对我国电子政务工程建设项目的信息安全风险评估工作做了明确的要求,文件正文共计11条,不足千字,但却字字珠玑.该通知用最直接的方式,明确了我国电子政务工程建设项目的信息安全风险评估工作的具体要求,解决了前期一直困扰电子政务工程建没项目单位关于信息安全风险评估的问题,具体都解决了哪些问题呢?下面我们以问答和评论的方式向大家一一解读.8.期刊论文达建华.彭庚基于相关者理论的电子政务风险评估框架-工业技术经济2008,27(3)本文针对电子政务项目建设的风险评估问题,从风险管理角度,引入相关者理论分析了电子政务项目风险,提出了一套基于相关者理论的电子政务评估框架,加强了对风险评估过程管理与控制,并提出了对电子政务项目风险评估的对策.9.学位论文王志刚信息系统安全等级评估模型研究与应用2008信息安全风险评估是当前信息安全领域研究的热点之一，目前国家也在大力推进开展信息安全风险评估工作。信息安全风险评估技术可以使人们了解信息系统目前与未来的安全状况，明确信息系统存在的风险，以便更好的采取相应的安全措施，将风险降低到可接受水平。目前国内外对信息安全风险评估研究主要包括信息安全风险评估相关标准的制定、自动化风险评估工具的研制、风险评估模型的研究等。其中，风险评估模型在风险评估过程中发挥重要的作用：风险评估需要依靠风险评估模型完成相应的评估功能、确保风险评估结果的准确性、全面性、可信性。本文基于对国内外等级保护标准和风险评估要求及内容的理解，结合在电子政务系统建设工作中的一些具体实践，在对访问路径中组件间依赖关系和关联关系进行分析的基础上，研究了一种形式化的评估模型，提出信息系统等级评估的准则，并给出相应的应用示例；同时针对模型中的安全要素，提出了评估模型和可应用的模型实例。10.会议论文陈友初信息安全风险评估的探讨与实践2006分析产生信息安全风险的原因,介绍了信息安全风险评估方法和评估工具,并尝试性地对广西自治区级电子政务网络平台进行安全风险评估.评估结果显示广西自治区级电子政务网络基本处于黄色预警等级,与网络信息系统的现状基本相符.引证文献(1条)1.束红基于CC的网站安全风险评估方法与实施[学位论文]硕士2006本文链接：：上海海事大学(wflshyxy)，授权号：57e2b10c-9a23-46f8-92d0-9e3400e18568下载时间：2010年11月20日