信息安全风险评估模型与应用研究——以微信支付为例

论文总字数：28550字

目 录

摘要 i

Abstract ii

1 绪论 1

1.1 研究背景及意义 1

1.2 国内外研究现状 2

1.2.1 国外研究现状 2

1.2.2 国内研究现状 2

1.3 研究思路 3

1.4 研究方法 4

2 信息安全风险评估基础理论 4

2.1 信息安全概述 4

2.2 风险评估概述 5

3 信息安全风险评估模型 6

3.1 风险来源及分类 6

3.1.1 风险来源分析 6

3.1.2 风险因素分类 7

3.2 信息安全风险评估方法 7

3.2.1 威胁树模型 7

3.2.2 风险矩阵法 8

3.2.3 层次分析法 8

3.2.4 模糊综合评价法 10

4 信息安全风险评估应用实例分析 10

4.1 案例背景 10

4.2 基于威胁树的风险评估模型 12

4.2.1建立威胁树 12

4.2.2 评估结果 14

4.3 基于业务流程的风险矩阵模型 14

4.3.1 微信支付业务流程风险分析 14

4.3.2 风险值的计算 15

4.3.3评估结果 17

4.4 基于AHP的模糊综合评价模型 17

4.4.1 多层次模糊综合评价 17

4.4.2 评估结果 22

4.5 小结 23

5针对微信支付的风险防范对策 23

5.1 威胁与脆弱点 23

5.2 风险防范对策 24

5.2.1 加强服务器的维护和监管 24

5.2.2 改进身份认证和加密技术 24

5.2.3 加强内部人员管理 25

5.2.4 加强用户隐私意识 25

6 总结与展望 26

6.1 总结 26

6.2 展望 26

参考文献 26

致谢 29

信息安全风险评估模型与应用研究

——以微信支付为例

卓方媛

, China

Abstract: Information technology has penetrated into many aspects of society, with the rapid development of information technology. The rapid development of the Internet and continue to widely used, but also brought a lot of information security problems. In the current network environment, when information security incidents occur, the impact on individuals, businesses, government, etc. can not be ignored, security has become a major challenge facing information technology. Information security risk assessment model variety, choose the appropriate model of information system risk assessment is very important.

This paper firstly introduces the concept and the relationship between elements of risk assessment of information security, which laid the theoretical foundation; analysis of the current environment of information security problems and sources of risk, and the risk factors for classification, several information security risk assessment method is introduced, comparing the advantages and disadvantages of these methods in the application; the WeChat payment system as an example, the characteristics and process of the combination of WeChat payment business, analysis of the application using the threat tree model, risk matrix model and multi-level fuzzy comprehensive evaluation model for information security risk assessment, different characteristics of the three models; finally the results of risk assessment, comprehensive analysis from different angles WeChat payment the sources of risk and vulnerabilities, and based on this, put forward several points of risk prevention countermeasures for WeChat payment.

Key words: information security; risk assessment; WeChat payment

1 绪论

1.1 研究背景及意义

在信息技术飞速发展的今天，信息化建设已经渗透到社会的各方各面。许多企业和组织都开始广泛地应用互联网技术，运用数据分析的结果来影响决策。而信息技术发展越快，信息安全的问题就受到越多的关注。

根据《第37次中国互联网发展状况报告》^[1]（2016），中国网民规模达到6.88亿，互联网普及率为50.3%，这其中，90.1%的网民是使用手机上网的，移动互联网已经成为互联网的主要形式；中国企业使用计算机办公的比例达到95.2%，使用互联网的比例为89.0%。企业广泛使用多种互联网工具开展交流沟通、信息获取与发布、内部管理、商务服务等活动，并且大部分企业已经将系统化、集成化的互联网工具应用到生产研发、采购销售、财务管理、客户关系、人力资源等业务流程中，将互联网从单一的辅助工具，转变为企业管理方法、转型思路，实现“互联网 ”的融合发展。在这些使用互联网办公的企业中，有91.4%的企业安装了杀毒软件、防火墙软件，基本具备了基础网络安全的防护意识。有8.9%的企业部署了网络安全硬件防护系统，另有17.1%的企业部署了软硬件集成防护系统。

网络信息安全已经成为中国互联网发展的重大课题：一方面，先进技术、创新应用在推动互联网行业快速发展的同时，也会被用来危害网络安全。除了传统的病毒木马、钓鱼仿冒网站、系统漏洞等，针对移动互联网、工业互联网以及大型服务器、智能设备等的恶意程序攻击、智能硬件蠕虫等也频繁出现，整体网络安全形势日渐紧迫。另一方面，我国网络安全技术防护能力较弱，网络信息安全产业产品研发与服务能力仍有提升空间。

2015年，42.7%的网民遭遇过网络信息安全问题。在安全事件中，电脑或手机中病毒或木马情况最为严重，发生率为24.2%，其次是账号或密码被盗，发生率为22.9%，这两类安全事件的发生率与2014年底相比均有所下降。同时，随着网络购物群体的不断增大，网络消费安全问题明显上升。

图1-1 网络信息安全事件发生比例

数据来源：中国网民信息安全状况研究报告^[2]

信息安全管理实际就是风险管理的过程，风险管理的首要工作就是进行风险评估。解决信息安全问题，减少信息安全事件的首要问题就是对风险进行识别，以有针对性地采取风险防范对策。必须按照一定的信息安全风险评估标准对信息系统进行信息安全风险评估，选择合适的方法和风险评估模型对企业和组织来说是十分重要的，这样才能有效规避风险。

1.2 国内外研究现状

1.2.1 国外研究现状

国外关于信息安全结构理论体系与技术的研究从很早以前就开始。最早的风险评估对象主要是针对操作系统和网络环境，也就是对信息系统的基础设施进行评估。后来随着人们对信息资产的理解不断扩大，信息安全的范围扩展到数据信息以及网络的更多传输载体，研究者逐渐将信息安全风险评估和组织的管理体系相结合，风险评估的重心也从数据和系统发展到整个管理体系。

美国是最早制定信息安全风险评估标准的国家，对信息安全的研究也最为久远；上个世纪90年代，欧洲国家也联合发布了CC这样的国际信息安全标准，是信息安全风险评估发展的重要里程碑。近年来，国外许多研究者在原有的评估标准基础上设计出不同的风险评估模型，从不同的建模方法出发，针对企业或系统提出新的风险评估方法和模型。Kumar等在《A strategic modeling technique for information security risk assessment》^[3]从风险结构起源分析，提出一种新的概念建模方法，注重系统活动的过程；《A causal model for information security risk assessment》^[4]一文提出了一种用概率来量化威胁和脆弱性之间的关系的信息安全风险评估方法；Karabey等将威胁树模型应用到风险管理中，设计出适用于企业管理的评估方法^[5]；Derakhshandeh等在《New Framework for Comparing Information Security Risk Assessment Methodologies》^[6]中重点研究了风险评估的方法，探讨了目前风险评估技术的适用性。信息安全风险评估在不同的领域如企业管理、信息系统管理等所针对的重点不同，使用的评估模型也不同，研究者就是从不同的系统入手从风险管理的角度进行评估模型和方法的研究改进。

1.2.2 国内研究现状

剩余内容已隐藏，请支付后下载全文，论文总字数：28550字