网站地图>收藏本站>设为首页
定做流程>服务项目>价格参考>付款方式>诚邀加盟>关于本站>联系我们
当前位置:5173毕业设计论文网文章资讯综合频道计算机其他类

基于ISO27000的信息安全评价系统分析与设计

减小字体 增大字体 作者:佚名  来源:本站整理  发布时间:2015-07-02 10:17:00
QQ交谈在线咨询详情 5173论文网竭诚为您服务 本站永久域名:www.lw5173.com

   一、背景开发:

人们对信息安全的认识不断加深,由只关注外部安全问题到进行内部防御,如今人们已经把注意力放在应用信息安全管理系统方面。在信息安全管理系统发展的初期,人们根据干扰计算机的威胁制定相应措施;随着信息安全问题越来越复杂,威胁种类越来越多,人们把静止孤立的安全产品连接成一个预警、监控、维护、改进的整体防御系统;但这两者都属于事后弥补措施,不具有免疫能力,于是为了使信息产品具备各种相应的安全属性,人们开始建立起一系列新的信息安全管理体系。ISO 27000起源于英国的BS 7799标准系列,是在组织内部建立信息安全管理体系的一套规范,其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求,其最终目的就是通过规范的过程以建立适合组织实际要求的信息安全管理体系。

    二、选题意义:

为了更好地开展信息安全管理,可以选取目前国际上通用的具有代表性的信息安全管理标准ISO27000系列,以该系列下的ISO27001标准和ISO27002标准所提出的风险评估方法和信息安全管理控制措施等为指导实施信息安全风险评估,为开展风险管理做好准备。ISO 27001是“信息安全管理体系要求”,是在组织内部建立信息安全管理体系的一套规范,其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求;ISO 27002则提出了在组织内部启动、实施、保持和改进信息安全管理的指南和一般原则,包括11个要素,39个控制目标和133种控制措施。ISO 27000系列标准是以保证组织业务的连续性,缩减业务风险,最大化投资收益为目的,可以保证组织的业务安全。

由此可见,开发基于ISO27000的信息安全评价系统可以更好地实现安全目标。

    三、毕业设计思路框架:

开发基于ISO27000的信息安全评价系统,就是以ISO27000的相关评价准则为基准开发一个信息系统,系统开发过程要遵守开发系统的生命周期流程。

(一)系统分析

1、系统调查

通过上网查看资料并进行分析,很多单位已经意识到将ISO27000系列标准纳入信息安全管理体系可以降低风险,更大程度地保证安全,但还没有一个全面的基于ISO27000的信息安全评价系统。每个单位都会根据自身具体的情况采用ISO27000系列标准中的一部分,但如果能开发一个基于ISO27000的信息安全评价系统肯定可以用于找出各单位信息安全管理体系的不足以促进其改正,也有利于审计人员在审计时发现各单位的风险和漏洞并进行评级。人们正面临新的挑战,数字信息资源急剧增加,新的业务不断涌现,网络服务方式也日益兴起。正因如此,如何保证信息资源准确无误的为用户服务、如何各项业务持续稳定的开展、如何有效避免网络威胁对应用系统的侵害等,都对信息安全提出了更高的要求。我们有必要开发基于ISO27000的信息安全评价系统。

    2、系统目标

(1)系统的总目标是建成一款基于ISO27000的软件工具,在不改变现有技术条件的前提下,以完备有效的信息安全管理体系解决信息安全问题,使信息安全管理和国际信息安全管理标准和规范接轨。

(2)参照ISO27000的相关标准制定相应指标,实现信息安全风险的自动化评估,有效的减少企业的人力物力,提高评估效率及准确性。增强员工风范防范意识及素质,降低风险发生的概率。

(3)根据得出的评价结果确定保护等级和对应的措施,并与各单位已采用的措施作对比,评价各单位所采用的措施是否得当,风险是否在可接受的安全水平下。以促进各单位改进信息安全管理体系为最终目标。

(4)总结各单位信息安全管理系统的成功或失误之处。

(5)推动ISO27000在我国的实施,提升我国信息安全管理水准,同时,对我国信息安全领域乃至相关行业产生一定的社会效益。

3、系统要求

管理信息系统的开发是一项系统工程,为了保证系统的质量,设计人员必须遵循共同设计原则,尽可能地提高系统的各项指标,包括:系统可变性、可靠性、工作质量、工作效率、经济效率、经济性等。本系统作为管理信息系统的一种,同样需要遵循这个原则。

(1)具有可操作性,要设计出良好的界面,方便用户去操作使用。

(2)具有模块性,可方便的增加和裁减,具有较强的扩展性,包括具体业务内容的可扩展以及系统设计的可扩展。

(3)显示应尽量直观、逼真一般来说,应将数据的录入、修改、查询等操作集成在一起,这样,当后台人员需要维护某些数据的时候,就可以很方便地进行操作了。

(4)安全、较强的检错和容错能力:管理人员在实际操作时,经常发生一些误操作,这就要求在设计时要多考虑一些可能出错的因素及时提示和建议,以增强系统检错和容错提示的能力。

(5)可维护性:设计的系统应易于理解,修改和扩充。为能适应系统使用环境的变化,系统各部分独立性强容易进行变动,提高系统性能。

4、系统可行性分析

(1)技术可行性分析

开发系统的软件是Microsoft公司的Microsoft Visual Studio 2008为开发平台,SQL Server 2008作为后台数据库, 利用其提供的各种面向对象的开发工具和数据库的结合比较方便,开发基于ISO27000的信息安全评价系统。ASP.NET是ASP的全新版本。ASP.NET是一个用于Web开发的全新框架,其中包含了许多新的特性。ASP.NET提供了更易于编写,结构更清晰的代码,这些代码很容易进行再利用和共享;ASP.NET使用编译后的语言,从而提升性能和伸缩性;ASP.NET使用Web表单使开发更直观,利用面向对象技术促进组件的再利用。另外,ASP.NET中还包括有页面事件、Web控件、缓冲技术以及服务器控件和对数据捆绑的改进。系统对计算机的硬件环境有一定的要求,但一般企业的电脑均已经达到此要求。因此,开发该系统在技术方面是可行的。 

(2)经济可行性分析

基于ISO27000的信息安全评价系统可以是一款具有商用价值的软件工具,在不改变现有技术条件的前提下,以完备有效的信息安全管理体系解决信息安全问题,实现信息安全风险的自动化评估,有效的减少企业的人力物力,提高评估效率及准确性;并增强员工风范防范意识及素质,降低风险发生的概率。可以很大程度地减少用于信息安全防范的支出。

(3)运行可行性

系统是基于Microsoft Visual Studio 2008平台开发的,易于操作。而且系统还采用了可视化面向对象的工具开发,其窗口、界面简洁易懂,所以系统在操作上是可行的。而且随着计算机知识的普及和推广,越来越多的人掌握了计算机的基本原理和基本使用方法。管理员以及使用该系统的员工不需要进行特殊的培训就可使用该系统。

(4)法律可行性

新系统的研制和开发,将不会侵犯他人,集体和国家的利益,不会违反国家政策和法律。

综上所述,本系统的开发目标明确,技术上、经济上、运行上以及法律上都是可行的,可以评价各单位信息安全管理措施是否到位以及提供改进建议。因此,该系统的开发是完全可行的。

(二)系统总体设计

本系统模拟实现的功能模块主要有:

根据系统设计的目标,最终将系统划分为六个模块。这六个模块分别为:登录模块、原始数据采集模块、漏洞检测与评估模块、风险值计算模块、事件处理模块、报告生成模块。

(1)登录设计: 系统登录就是使用系统的用户通过身份验证的过程。根据用户名和密码判断能否进入系统;根据用户类型决定用户拥有的权限。

(2)原始数据采集模块:数据采集模块是基于ISO27000的信息安全评价系统的基础模块。其主要作用是采集原始数据,方式有多种,如:直接从各单位采集,通过让各单位员工填写问卷调查的方式采集,直接找员工谈话的方式采集等其他方式。并对原始数据进行预处理,然后插入到数据库相应的表中。

(3)漏洞检测与评估模块:该模块对采集来的原始数据进行挖掘,并根据用户设定的阈值触发一个安全管理事件或是对比制定的相应关键性能指标。评估模型则参照ISO27000的相关准则。

(4)风险值计算模块:该模块依据ISO 27000的评估思想,按照预先设定的风险计算模型,计算得出信息资产的当日风险与历史累计风险。

(5)事件处理模块:根据风险值确定应对措施,并对比判断该单位是否有安全应对措施或措施是否到位,提出改进意见。

(6)报告生成模块:报告生成模块根据风险评估模块和漏洞检测与评估模块的结果生成报告,报告包括建议采取的安全措施、解决方案建议、对系统相关的各类风险进行分析排序、对风险给系

统带来的影响分析、风险与潜在影响的联系分析。

(三)系统详细设计

1、数据库设计:包括概念模型设计(用ER图描述各实体及试题之间的逻辑关系)、逻辑模型设计(给出数据库中各张表或关系的具体表结构,包括主外键的确定)和物理模型设计(主要为有关索引关键字的确立和索引类型的确定)。

2、主要用户界面设计:包括用户登录界面、原始数据采集模块界面、漏洞检测与评估模块界面、风险值计算模块界面、事件处理模块界面、报告生成模块界面等。

(四)系统的具体实现

1、系统开发工具及运行环境:开发工具选择Microsoft visual studio 2008,操作系统为Windows 7。 开发语言为C#。

2、数据库结构的具体实现:在Microsoft SQL Server数据库系统上实现数据库的建立。

3、利用选定的开发工具完成各个用户界面的具体设计。

4、系统调试和测试。

5、系统试运行。

6、系统验收。


以上内容只是毕业设计作品的部分资料介绍,如果了解更多详情请联系客服QQ:57510459
     购买帮助>>

Tags:

作者:佚名

文章评论评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论