信息安全风险评估技术在人口信息系统的应用.pdf

分类号 密级
1UDC 编号 10386
硕士研究生学位论
信息安全风险评估技术在人口信息系统的应用
工程领域名称: 电子与通信
研究生姓名 陈龙海
学号040921093
指导教师姓名 陈传峰
蔡春水
2010 年 6 月
I
福州大学工程硕士毕业论文
独创性声明
本人声明所呈交的论文是我个人在导师指导下进行的
研究工作及取得的研究成果。尽我所知，除了文中特别加
以标注和致谢的地方外，论文中不包含其他人已经发表或
撰写过的研究成果。与我一同工作的同志对本研究所做的
任何贡献均已在论文中作了明确的说明并表示了谢意。
论文作者签名： 日期：
Ⅲ
信息安全风险评估技术在人口信息系统的应用
摘要
随着以计算机和网络为代表的信息技术的迅猛发展，现代政府
部门、金融机构、企事业单位和商业组织对信息系统的依赖日益加
深，信息技术几乎渗透到了世界各地和社会生活的方方面面。人口
信息系统是电子政务建设中对人口进行社会化管理最基本的数据
库，同时也是一项复杂的工程，其中作为信息系统建设的重要组成
部分之一的信息系统风险评估在整个体系建设中起着举足轻重的
作用，它是保障信息系统安全的基础和前提。由于引起信息安全风
险的各种因素的复杂性和不确定性，如何对其进行定量的、科学的
评估等问题的存在，信息安全评估也一直是信息安全研究领域的一
个难点。本研究将信息风险评估的理论和方法引入到人口信息系统
系统的管理中，以期为系统的安全运行提供参考，并为进一步的整
改提出建议。
论文在国内外现行的信息安全评估标准与规范的基础上，从目
前信息安全学术研究领域的发展趋势出发，借鉴风险评估理论和相
关模型、方法、评估工具等，构建能适应特定系统的可操作性强、
灵活的风险评估应用模型。利用所构建的应用模型，以地市级人口
信息系统为研究对象，组建合适的评估团队，结合人口信息系统的
网络拓扑图及特点，选择适当的评估标准及规范，在对系统已有的
安全设施进行确认。参考构建的应用模型，对信息的资产、威胁和
脆弱性进行识别，对资产的价值、威胁出现的频率及具体资产的脆
弱性的严重程度进行赋值，根据威胁及威胁利用脆弱性的难易程度
判断安全事件发生的可能性，根据脆弱性的严重程度及安全事件所
作用的资产的价值计算安全事件造成的损失，最后根据安全事件发
生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对
组织的影响，即风险值。风险计算采用定性与定量相结合的分析方
法，使评估结果更加客观、公正。在对该地市人口信息系统系统进
行风险评估后，得出风险评估等级，该系统中重要资产风险值高的
有 1 个，占 %；风险值属于中等的有 13个，占 %；属于低
的有 9 个，占 %。最后结合评估结果，针对系统存在的风险提
出处理建议，并对所构建的模型的可行性进行探讨，对论文中存在
的不足及进一步的研究工作进行了总结。
关键词：信息安全，风险评估，人口信息系统，风险值
1
福州大学工程硕士毕业论文
Application of Information Security Risk
Assessment in Population Foundation
Database
Abstract
With the rapid development