针对资产价值的网站风险评估研究与分析开题报告

1、毕业设计（论文）开题报告题 目针对资产价值的网站风险评估研究与分析学 院通信工程学院专 业信息安全姓 名班 级学 号指导教师一、综述本课题国内外研究动态，说明选题的依据和意义随着网络的发展和普及，网络资源的数字化和共享化成为互联网发展的必然趋势。网站资源，是利用电子网络获取信息与知识的一种方式，也可以理解为“是通过互联网连接起来的数字资源库群，是实行分布式管理的信息和知识共享的计算机系统”，反映了网站资源的本质，即网络化和信息利用。信息技术的飞速发展以及人们对信息需求的急剧增加，推动了网站资源共享的兴起。同时，也为文化信息资源共享提供了数据保障。正如我们所知，网站资源数字化和共享化的同时，带来

2、了机遇，同时也增加了网站风险。那么在网络安全领域，对计算机系统进行风险评估显得格外重要。广泛的共建共享空间就意味着信息资源共享系统必须能够应对更为复杂的市场环境和技术更新的挑战，并不断培养适应能力和竞争优势。这也意味着，在对网站资源建设高投入的背后，高风险始终伴随着网站资源建设和利用的过程。那么如何消除或者降低风险，解决网站资源共享带来的问题，关键之一在于明白网站面临的风险所在。利用风险评估来识别可能存在的风险和威胁，对暴露出的问题进行有针对性的防护，这样才能保证网站资源稳定高效地为广大网友服务。关键之二在于分析网站资源的普遍特征，对其功能框架中的重要信息资产实施风险评估，建立通用的网站资源信

3、息资产风险评估实施模版，可作为大多数网站开展风险评估、风险管理、建立信息安全管理体系的基础。2、 研究的基本内容，拟解决的主要问题：研究的基本内容：1. 研究资产价值在网站风险评估中的应用（包括研究背景和研究现状）。资产，即对组织具有价值的信息或资源，是安全策略保护的对象。资产价值，则是资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。在网站风险评估过程中，首先要明确它的资产是这个网站的信息系统及其相关的管理体系等。那么定性、定量地识别网站信息系统和管理体系的过程即资产识别的过程。资产识别是科学顶级的主要依据。对网站资源的资产进行分类，建立具体资产列表，可以从资

4、源建设、资源管理、资源服务三大主体业务出发，按照每个业务的流程来对影响到业务持续性发展的信息资产加以识别；也可以结构为单位，针对不同结构涉及的关键业务进行资产识别。2. 研究如今对网站进行的各种安全攻击及最致命的安全问题。安全攻击分为内部攻击和外部攻击。根据网站的特点，分析该网站所面对的各种安全攻击，出现该安全问题的相应漏洞，以及该安全问题对网站资产的威胁大小。3. 研究适合的风险评估方法及资产价值分析。在整个风险评估过程中，将采用定性方法划分等级，给出评判准则，以打分形式计算风险大小，采用的公式为：风险大小=资产价值*威胁发生的可能性*薄弱点大小。识别资产后的资产价值评估将分别从保密性、完整

5、性、可用性3个方面考虑进行赋值，资产面临的威胁和存在的薄弱点的取值也有相应的评判准则。4. 针对资产价值，结合风险评估方法，对网站的风险进行评估和分析，最终目的就是要指导系统管理员在提供服务和保证安全这两者之间找到平衡。3、 研究步骤、方法及措施：（1） 主要方法及措施在风险评估的识别、分析和评价过程中，需要利用适当且有效的评估方法和评估工具。定性评估方法和定量评估方法，专家系统和过程式算法，基本评估方法、非常评估方法、详细评估方法和综合评估方法等。在本次研究中，我们采用定性评估方法。定性分析方法是被广泛使用的一种风险分析方法，也是出现在大部分标准中的一种方法。它对风险产生的可能性和风险产生的

6、后果基于“低/中/高”这种表达方式，而不是准确的可能性和损失量。该方法通常只关注威胁事件所带来的损失（Loss），而忽略事件发生的概率（Probability）。多数定性风险分析方法依据组织面临的威胁、脆弱点以及控制措施等元素来决定安全风险等级。在定性评估时并不使用具体的数据，而是指定期望值，如设定每种风险的影响值和概率值为“高”、“中”、“低”。有时单纯使用期望值，并不能明显区别风险值之间的差别。可以考虑为定性数据指定数值。例如，设“高”的值为3，“中”的值为2，“低”的值为1。但是要注意的是，这里考虑的只是风险的相对等级，并不能说明该风险到底有多大。所以，不要赋予相对等级太多的意义，否则将

7、会导致错误的决策。定性分析常用于：初始的筛选活动，以鉴定出需要更详细分析的风险；风险的程度不能证明要进行更充分的分析所需的时间和努力是合算的场合；数据不足以进行定量分析的场合。（2） 步骤一、定义组织的风险评估方法:识别适用干ISMS和已经识别的业务信息安全、法律和法规要求的风险评估方法;建立接受风险的准则并识别风险的可接受等级。二、识别风险：识别ISMS控制范围内的资产以及这些资产的所有者;识别对这些资产的威胁;识别可能被威胁利用的薄弱点;识别保密性、完整性和可用性损失可能对资产造成的影响。三、分析并评价风险:评估安全失效可能导致的组织业务影响,考虑因资产保密性、完整性、可用性的损失而导致的

8、后果;根据资产的主要威胁、薄弱点、有关的影响以及已经实施的安全控制,评估安全失效发生的现实可能性;评价风险的等级;根据己建立的准则,判断风险是否可接受或需要处理。1、资产识别信息资产是实施风险评估的对象,所以资产识别是进行评估的基础。评估小组在进行风险计算前,来自不同结构要对本结构的重要信息资产进行识别。识别的资产可能是有形的也可能是无形的,凤险评估中资产的价值要从保密性、完整性和可用性这3个方面来衡量。资产分类 针对网站资源的三大主业务,可以对信息资产分类资产赋值 识别信息资产后,要给资产进行赋值。评估小组的成员要按照本部门业务的特点,分别从资产的保密性、完整性、可用性2个方面评分。评分标谁

9、可根据资产性质设定。比如数字资源,其本身就是提供给用户使用的,它的保密程度相对较低,但应考虑其的可用性和完整性。2、 威胁识别某一信息资产可能面临多个威胁,不同的信息系统面临的安全威胁往往有其特殊性。网站在基础构架、网络拓扑等方面都类似于基于网络的信息系统,但它又有其自己的特殊之处,它支撑起一个数字化平台,网络是它依赖的大环境,对信息资源进行整合,为广大终端用户提供数字资源服务是它的宗旨;在进行威胁识别时,网站的平台安全、数据安全、网络安全、应用安全和实体安全等都需要重点关注。3、 薄弱点识别薄弱点识别包括软件、硬件、人员、环境、管理及通信设备等等,某个威胁可能利用多个薄弱点,一个弱点也可能被

10、多个威胁利用,它们之间存在着多对多的关系,弱点一旦被威胁利用就可能产生风险,从而影响到组织的业务持续性。在网站中,如果平台系统存在漏洞、如SMB(SeverMessageBlock)存在问题、数据转换格式标准不一、研发人员的弱口令、版权管理不完善等问题,都是薄弱点。4、 确定已有的安全措施在风险计算之前,风险评估小组应先评价一下馆内已采取的安全措施。保留有效措施,并避免重复,取消或者更换效果不佳的安全措施。网站在网络安全方面还是采取了一定的措施的,比如在用户访问环节安装了主动口令检查程序;获取资源信息时的身份认证;Unix系统在单用户模式下需要口令;保证不把安装介质放在工作站附近;强制所有用户

11、定期改变他们的密码，等等。5、 风险计算风险计算原理风险计算,就是利用资产价值、威胁发生的可能性、薄弱点被威胁利用的严重程度来确定风险的大小。计算公式前文已给出。四、研究工作进度：序号时间内容1明确任务，了解相关理论知识，查阅相关文献2准备开题报告，文献综述和外文翻译3开题报告会4深入学习风险评估5提出针对网站风险评估的具体方案并改进6依据方案步骤进行研究7整理资料，分析结果8撰写毕业论文9论文修改，毕业成果验收10毕业答辩5、 主要参考文献：1 黄水清,朱晓欢.基于ISO27001的数字图书馆信息资产风险评估.J.图书情报工作，第50卷第11期.2Sha Fu,Yezhi Xiao.An E

12、ffective Process of Information Security Risk AssessmentJEnergy Procedia, 2011, Vol.11 , pp.1050-10573李波，费耀平，李敏：常见数字签名简析. 计算机安全, 2009.07.4 唐洁，张月琳：PKI研究以及在数字化校园中的应用计算机技术与发展，2008.08. 159-162.5 张曙光：聊城师院图节馆与聊城市图书馆共建共享模式构建图书馆杂志，2002，21(5)：61-63.6 孙一钢，黄国彬：未来的图书馆该怎么建N. 中国文化报，2013-4-16：007.7 张艳丽：信息化时代下的图书馆转型J.图书情报，2013（5）：115.8 Hurdle EE, Bartlett LM, Andrews JD. Fault diagnostics of dynamic system oper