freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

試論利用ea建模加強機構(gòu)信息安全風(fēng)險管理(編輯修改稿)

2025-07-21 22:09 本頁面
 

【文章內(nèi)容簡介】 些因素對信息系統(tǒng)的安全目標(biāo)分析和安全需求分類也有作用,但是這些因素缺少一個系統(tǒng)的分類和模型。因此本文要用EA這個管理工具,將來自于各部門、各種利益相關(guān)者的業(yè)務(wù)管理性因素都納入到框架之中,同時,這個框架本身也是建立在對信息系統(tǒng)清晰了解的基礎(chǔ)之上的。目前EA作為一種在機構(gòu)級信息系統(tǒng)管理和改進領(lǐng)域中應(yīng)用較廣的工具,也逐步被用于信息安全管理領(lǐng)域。2006年Ruth Breu等人[12]提出了利用UML建模的方法將EA用于風(fēng)險管理過程中。這種方法是基于元模型定義了風(fēng)險管理過程中所有必要的基本概念和相互關(guān)系。他們將風(fēng)險管理作為考慮重點,希望通過EA的不同層次來從業(yè)務(wù)視角分析風(fēng)險的可能性、潛在威脅和影響等因素。2008年Ruth Breu等人繼續(xù)這方面的研究,并細化為利用EA對機構(gòu)信息系統(tǒng)的安全性進行量化評估[13],以及用于對醫(yī)療衛(wèi)生信息系統(tǒng)進行安全分析[14]。在研究過程中,本文在一定程度上借鑒了Ruth Breu的EA元模型,將EA用于SDLC,同時,也對RuthBreu所提出的元模型驅(qū)動的方法做出了一定改進。在風(fēng)險評估和威脅分類方向, ,很難為安全評估和安全投資做出有力的數(shù)據(jù)支持[15]。因此,他們提出利用事件鏈/業(yè)務(wù)流程將威脅和財務(wù)損失聯(lián)系起來,從而進行有效的威脅分類與評估。在研究工作中,本文也參考了這一方法,在SDLC的漏洞分析、威脅建模和風(fēng)險評估等環(huán)節(jié)中,以業(yè)務(wù)流程為研究對象進行安全分析和考慮。2 EA視角與信息安全元模型正如第1章所述,為解決安全目標(biāo)分析、安全需求分類和風(fēng)險管理過程中的相關(guān)問題,目前已有多位研究者提出各種方法,但都有其優(yōu)劣勢所在。為了較好地解決這些問題,本文在研究中采用了將EA應(yīng)用于信息系統(tǒng)安全開發(fā)生命周期和風(fēng)險管理過程的這一研究思路。選擇EA,主要基于以下幾點考慮:1) EA是目前一種廣泛應(yīng)用于機構(gòu)信息系統(tǒng)革新和改進的方法,也是機構(gòu)設(shè)計信息系統(tǒng)的指南,同時也是對機構(gòu)內(nèi)部架構(gòu)進行梳理的一種工具。在很多機構(gòu),實現(xiàn)EA架構(gòu)的過程是機構(gòu)內(nèi)部信息系統(tǒng)的重構(gòu)過程,由首席信息官(chief information officer, CIO)來負責(zé),這一實際設(shè)計有助于考慮信息安全的技術(shù)與管理問題,以及業(yè)務(wù)與安全的整合。通過這一方法,能對機構(gòu)所需的信息系統(tǒng)及改進過程有清晰的了解,有助于構(gòu)建和開發(fā)出符合機構(gòu)發(fā)展目標(biāo)和業(yè)務(wù)要求的信息系統(tǒng)。EA的多重視角能從機構(gòu)層面認識信息系統(tǒng)安全,使得對信息系統(tǒng)有整體性認識[16]。2) EA有獨特的框架,具有綜合了業(yè)務(wù)角度和技術(shù)角度的4種層次架構(gòu),可作為溝通工具,將機構(gòu)業(yè)務(wù)目標(biāo)轉(zhuǎn)化為在安全方面的要求,并清晰地用技術(shù)人員能夠理解的框架和模型語言表達出來,從而建立起管理人員與技術(shù)人員之間溝通的橋梁,以便于管理人員和技術(shù)人員達成對機構(gòu)的安全目標(biāo)和安全需求的共識。3)在風(fēng)險管理過程中,安全控制的應(yīng)用和安全技術(shù)的選擇是一個很重要的問題。而安全控制是否有效與安全需求分類有很大關(guān)聯(lián)。利用EA的4個視角,就能把安全需求從另一個角度來進行分類,而不僅局限于CIA安全屬性。4)目前已有很多機構(gòu)采用EA進行機構(gòu)級信息系統(tǒng)更新和改進。信息系統(tǒng)的安全實現(xiàn),不僅僅是要符合統(tǒng)一的安全標(biāo)準,采用規(guī)范的安全技術(shù),還需要在安全架構(gòu)設(shè)計上實現(xiàn)標(biāo)準化。因此在進行信息系統(tǒng)開發(fā)時也應(yīng)利用EA這一管理工具,便于建立起安全規(guī)范統(tǒng)一的信息系統(tǒng)。利用EA建模的模型,還能對機構(gòu)和信息系統(tǒng)進行持續(xù)性監(jiān)控,實現(xiàn)信息系統(tǒng)安全的可持續(xù)性。EA所包括內(nèi)容非常多,但在研究中,本文主要是利用EA的4種視角或者架構(gòu)進行分析和建模,EA的多種框架在研究中暫未涉及?!A視角EA既是大型機構(gòu)進行改革的一種系統(tǒng)性過程,也是管理工具, EA包含4層架構(gòu),這4層體系結(jié)構(gòu)也可視為對機構(gòu)信息化4種視角或者層次,具體如下[5]:1)業(yè)務(wù)體系結(jié)構(gòu)(business architecture):是對業(yè)務(wù)功能的架構(gòu)性描述,定義了機構(gòu)內(nèi)部所有業(yè)務(wù)系統(tǒng)的結(jié)構(gòu)和內(nèi)容,包括系統(tǒng)處理的信息、提供的服務(wù)功能和主要的業(yè)務(wù)流程。2)信息體系結(jié)構(gòu)(information architecture):是對通過數(shù)據(jù)模型實現(xiàn)信息功能的架構(gòu)性描述,定義了機構(gòu)內(nèi)部所需要和使用的信息結(jié)構(gòu)(包括相互依賴關(guān)系),涉及到機構(gòu)信息的結(jié)構(gòu)和用途。機構(gòu)的信息功能包括了機構(gòu)內(nèi)所有信息、信息流的確定、信息的分析處理、存儲、傳輸、記錄和控制等等。信息功能為業(yè)務(wù)功能的實現(xiàn)提供支持。根據(jù)機構(gòu)的戰(zhàn)略、戰(zhàn)術(shù)和業(yè)務(wù)方面的要求,機構(gòu)可對信息體系結(jié)構(gòu)加以調(diào)整。3)解決方案體
點擊復(fù)制文檔內(nèi)容
環(huán)評公示相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1