面向数据中心安全风险评估信息系统设计与实现.pdf

分类号：T P 3 1 1密级： ⑧∥户单位代码：1 0 4 2 2学号：2 0 1 2 2 2 2 9 0 7蒙只番 S H A N D O N GU N I V E R S I T Y 硕士学位论文T h e s i sf o rM a s t e rD e g r e e( 专业学位)论文题目：面向数据中心的安全风险评估信息系统的设计与实现D a t ac e n t e rr i s ka s s e s s m e n ts y s t e m sD e s i g na n dI m p l e m e n t a t i o n作者培养专业指导合作姓名单位名称教师导师孙煜程软件学院软件工程孟祥旭教授2 0 14 年4 月2 0 日原创性声明本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究所取得的成果除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的科研成果对本文的研究作出重要贡献的个人和集体，均己在文中以明确方式标明本声明的法律责任由本人承担论文作者签名：鱼：望笙E t关于学位论文使用授权的声明本人完全了解山东大学有关保留、使用学位论文的规定，同意学校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段保存论文和汇编本学位论文。

保密论文在解密后应遵守此规定)论文作者签名：垫：望叠垒导师签名：山东大学硕士学位论文目录摘要⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯IA 】[ ≥S T R A C T ⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．I I第1 章绪论⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯11 ．1 引言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯11 ．2 论文的背景与意义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．21 ．3 国内外研究与应用概况综述⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．31 ．4 研究内容与论文结构⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．4第2 章信息安全风险评估系统需求分析⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯62 ．1 系统需求获取活动⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯62 ．2 系统功能需求分析⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯62 ．2 ．1 功能要求⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．62 ．2 ．2 系统功能总体需求⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯72 ．2 ．3 各子模块功能需求⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯82 ．3 系统性能需求分析⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯92 ．3 ．1 系统易维护性需求⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯92 ．3 ．2 系统实用性需求⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯92 ．3 ．3 系统其它需求⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯92 ．4 小结⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．1 0第3 章系统实现关键理论与技术⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯1 13 ．1 信息安全风险评估概述⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．113 ．1 ．1 信息安全风险评估概念⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．1 13 ．1 ．2 信息安全风险评估形式⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．1 13 ．2 信息安全风险评估模型⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．1 23 ．2 ．1 风险要素关系模型⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．1 23 ．2 ．2 改进的风险要素关系模型⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．1 33 ．2 ．3 数据中心信息安全风险评估系统模型实现⋯⋯⋯⋯⋯⋯⋯⋯⋯．．1 53 ．3 信息安全风险评估方法⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯2 0山东大学硕士学位论文3 ．3 ．1 风险识别方法⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯⋯⋯⋯⋯⋯⋯⋯⋯2 03 ．3 ．2 风险评估方法分类⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．2 33 ．3 ．3 典型评估方法对比⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．2 43 ．3 ．4 风险分析计算与评估过程⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．2 53 ．3 ．5 改进的故障树分析法与故障模式影响及危害性分析方法⋯⋯⋯．．2 73 ．4 小结⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．3 1第4 章信息安全风险评估系统设计⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯3 24 ．1 系统设计原则与技术架构⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．3 24 ．1 ．1 系统设计原则⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．3 24 ．1 ．2 系统技术架构⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．3 34 ．2 系统总体设计⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．3 34 ．3 系统模块设计⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．3 64 ．4 数据库设计⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．3 84 ．4 ．1 系统E ．R 图⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．3 84 ．4 ．2 数据表结构设计⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．4 14 ．5 小结⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．4 3第5 章信息安全风险评估系统实现⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯4 45 ．】系统开发工具与开发环境⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯。

4 45 ．2 系统数据库配置、自动备份与恢复实现⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．4 45 ．3 系统关键模块实现⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．．⋯⋯⋯⋯⋯⋯⋯4 55 ．3 ．1 用户登录模块⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．4 55 ．3 ．2 评估项目模块⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．4 65 ．3 ．3 客户信息录入模块⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一4 65 ．3 ．4 业务管理模块⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．4 65 ．3 ．5 部门信息管理模块⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．4 75 ．3 ．6 资产识别模块⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．4 85 ．3 ．7 威胁识别模块⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．4 95 ．4 小结⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．5 0第6 章信息安全风险评估系统测试⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯5 1——．山东大学硕士学位论文 ——————————————————————————————————————= —二二_ —一．6 ．1 系统测试环境部署⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．5 16 ．2 功能测试⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．5 16 ．3 性能测试⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．5 36 ．4 小结⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．5 3结论。

．．．．．．．．．．．．．．．．．．．⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯5 4参考文献⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯5 5致谢⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯5 8．一些奎奎堂堡主堂垡鲨茎．一—————————————————————————————————————————————————————————一C O N T E N T SC H I N E S EA B S T R A C T ⋯⋯⋯．．⋯．．⋯．．⋯．．⋯．．⋯．．．⋯．⋯⋯．．．．．．⋯．⋯．．⋯．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．IE N G L I S HA B S T R A C T ⋯⋯⋯．⋯⋯⋯⋯⋯．⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．I IC h a p t e r1P r e f a c e ⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯11 ．1I n t r o d u c t i o n ⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．11 ．2B a c k g r o u n da n ds i g n i f i c a n c eo f t h i sp a p e r ⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．21 ．3O v e r v i e wo f i n v e s t i g a t i o na n da p p l i c a t i o n ⋯⋯⋯⋯⋯⋯．⋯⋯⋯．⋯．⋯⋯．⋯．．⋯⋯⋯．31 ．4C o n t e n ta n ds t r u c t u r eo f t h i sp a p e r ．⋯⋯⋯⋯⋯⋯⋯．⋯⋯⋯⋯．．⋯．⋯．⋯⋯．⋯．．⋯。

⋯．．4C h a p t e r2R e q u i r e m e n ta n a l y s i s ⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．62 ．1R e q u i r e m e n td e f i n i t i o n ⋯．．⋯⋯⋯⋯．⋯．⋯．⋯⋯⋯⋯．⋯⋯．⋯⋯⋯⋯．⋯．⋯．．⋯．⋯．．⋯．⋯．62 ．2F u n c t i o nr e q u i r e m e n to f t h es y s t e m ⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯62 ．2 ．1F u n c t i o nm q u i r e m e m ⋯⋯．．⋯．⋯．⋯⋯．⋯．⋯⋯⋯．⋯．⋯．⋯⋯．⋯⋯⋯⋯⋯．．．⋯⋯．．62 ．2 ．2G e n e r a lf u n c t i o nr e q u i r e m e n t ⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．72 ．2 ．3F u n c t i o nr e q u i r e m e n to f e a c hc o m p o n e n t ．⋯⋯⋯．⋯．⋯⋯⋯．．⋯．⋯．⋯⋯⋯⋯．82 ．3P e r f o r m a n c er e q u i r e m e n to f t h es y s t e m ⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯⋯⋯．92 ．3 ．1M a i n t a i n a n c er e q u i r e m e n t ⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．92 ．3 。

2P r a c t i c a l i t yr e q u i r e m e n t ⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯⋯⋯．92 ．3 ．3O t h e rr e q u i r e m e n t ⋯⋯．．工⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．92 ．4S u m m a r y ⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯1 0C h a p t e r3C r i t i c a lt h e o r ya n dt e c h n o l o g yo ft h es y s t e mi m p l e m e n t a t i o n ．．．．．．1 13 ．1O v e r v i e wo f I n f o r m a t i o nS e c u r i t yR i s ka s s 。