本书主要研究大数据环境下的信息安全风险管理,首先介绍了信息安全风险管理的概念和信息安全风险管理的主要国际标准和国内标准;然后介绍了信息安全风险评估方法——随机博弈网模型;最后将随机博弈网应用于多种不同的场景,验证方法的 可行性和有效性,为大数据环境下信息安全风险评估提供指导。随机博弈网的基本思想是识别信息安全风险。这些风险都可以通过风险场景进行描述,将随机Petri网的图形化模型方法和相关理论与博弈论的思想和均衡求解方法有机结合,建立攻防模型。通过仿真,模拟风险事件实际发生过程中的博弈行为,实现企业信息安全风险评估。本书将这一方法应用于普通的信息安全风险场景、大数据环境下的数字供应链以及云服务风险场景。
本书以随机博弈网模型方法及博弈论相关理论为基础,通过仿真模拟风险事件实际发生过程中的博弈行为,建立攻防模型,并将其运用于实际应用场景中,实现信息安全风险评估。
前言
大数据在我国乃至世界范围内都蓬勃发展,而且大数据的产生催生出“互联网+”、在线物流、在线广告、云计算等新的领域,大数据的发展虽然为我国信息安全产业提供了很多数据资源和技术支持,但同时也带来了很多挑战。在大数据环境下,探寻科学、合理、实用的网络信息安全风险评估和风险管理方法已经成为信息安全领域研究的热点之一。
与信息安全风险管理相关的国际标准,为政府、企业安全工程的实施提供了一些通用方法。我国也在国际标准的基础上,结合本国国情,制定了安全评估和认证的相关标准,这些标准比较全面地罗列了信息安全风险评估的实施细则和认证重点。
传统的通用标准和研究方法在处理大数据不确定性和复杂性所带来的特有风险时,也面临着更多的挑战。随机博弈网模型分析方法为网络安全性评价提供了可行的新思路和新技术,这将是一个重要且充满前景的研究方向。本书着重介绍了基于随机博弈网的信息安全风险评估模型,说明博弈论的基本构架,使读者进一步理解风险事件实际发生过程中的博弈行为。本书通过随机博弈网研究的整体框架来描述网络安全行为过程,并在此基础上提出了随机博弈网的一系列建模和分析方法。随机博弈网模型分析方法具体应用于网络的典型案例,证实了模型理论研究成果的实用性。随机博弈网模型分析方法还应用于大数据环境下数字供应链信息安全风险评估和企业云服务信息安全风险评估中。
全书共分为9章,第1章介绍了大数据的基本概念和大数据环境下我国的信息安全现状。第2章对信息安全风险管理的流程进行介绍,并详细说明各风险要素及属性间的关系,继而开展信息安全风险评估和管理。第3章介绍了七个国内外具有代表性的信息安全风险评估标准和方法。通过对国内外主要标准的详细介绍,读者可初步了解信息安全风险评估的主要过程和参照标准。第4章介绍了博弈论的基本构架,主要涉及博弈的构成要素、博弈的表示方法以及博弈的分类等。第5章分析风险事件实际发生过程中的博弈行为,通过随机博弈网研究的整体框架来描述网络安全行为过程,并在此基础上提出了随机博弈网的一系列建模和分析方法。第6章针对网络系统安全评测的具体需求,构建基于攻防模型的网络攻防实验环境,提出基于攻防模型的安全分析技术,并将其应用于实例,实现了对目标网络的快速建模及量化计算,以及对攻防过程的推演和分析。第7章将本书提出的随机博弈网模型分析方法具体应用于网络的典型案例中,来检验模型理论研究成果的实用性,证实本书提出的分析方法可以被用于指导网络系统以及设计与配置防御机制。第8章将随机博弈网模型分析方法应用于大数据环境下的数字供应链信息安全风险评估。第9章提出利用随机博弈网模型分析方法对企业云服务信息安全风险进行评估。
在本书的编写和出版过程中,我得到了很多专家和学者的指导与帮助,在此表示由衷的感谢!感谢杨浩雄教授和孙永波教授促成了本书的出版。感谢北京工商大学电商与物流学院物流管理系的同事们给予了我大力的支持和帮助,并提出了很多宝贵的建议。感谢我的研究生们,赵宸、荣聚岭、王铜、王子辰、杨如钰等,在文献整理、数值分析等方面付出了辛勤的劳动。同时,感谢中国财富出版社有限公司的张茜编辑、黄正丽编辑、于名珏编辑和相关工作人员,为本书的出版付出了大量的劳动。
本书的编写参考了大量的相关文献,包括国内外专家、学者的著作和论文等,我将这些文献尽可能地列在了书后的参考文献中,但难免会有遗漏,在此特向所有的作者表示最诚挚的感谢。
作者
吕俊杰,博士,北京工商大学教授,博士生导师。主要研究方向:信息安全风险管理、供应链与物流管理、在线消费网络分析等。在国内外期刊上发表了30余篇论文,多篇文章被SCI 收录;承担并参与了省部级以上项目10余项、企事业单位委托课题10余项。
王元卓,博士,中国科学院计算技术研究所研究员,博士生导师,中科大数据研究院院长,中国科普作家协会副理事长,中国计算机学会常务理事。国家科技进步二等奖获得者,被誉为2019年度“中国十大科学传播人物”。
鲁小凡,中国科学院大学经济与管理学院博士,北京市海淀区教育科学研究院教师,北京市骨干教师,北京市教育学会中小学教育文献信息研究分会副理事长,中国发明创造协会教育分会常务理事。曾独立承担北京市规划课题2项、海淀区规划课题3项,并发表文章40余篇。
目录
第一部分基本概念
1大数据环境下的信息安全
11大数据介绍
12大数据催生新应用
13大数据环境下我国信息安全现状
14本章小结
2信息安全风险管理流程
21基本概念
22信息安全风险管理的流程
23本章小结
第二部分信息安全风险评估标准
3信息安全风险评估标准
31ISO/IEC 27001 & ISO/IEC 27002
32ISO/IEC 15408(CC)
33OCTAVE
34SSE-CMM
35GB/T 20984
36GB/Z 24364
37GB/T 18336
38本章小结
第三部分信息安全风险评估模型
4博弈与随机博弈
41博弈
42随机博弈
43本章小结
5随机博弈网
51基本概念与性质
52模型建立方法
53效用描述方法
54均衡策略计算方法
55层次化分析方法
56基于随机博弈网的安全性评价
57本章小结
6基于随机博弈网的信息安全风险评估
61引言
62相关工作
63基于攻防模型的网络攻防实验环境
64网络安全攻防模型
65基于攻防模型的安全分析技术
66应用实例与分析
67本章小结
第四部分应用案例
7基于随机博弈网模型的网络安全分析
71企业网机密性与完整性分析
72企业网防御机制分析
73电子商务中的安全分析
74网上银行中的安全分析
75本章小结
8大数据环境下数字供应链信息安全风险评估
81数字供应链基本概念介绍
82数字供应链风险识别
83数字供应链风险场景
84数字供应链风险评估
85数字供应链风险管理
86本章小结
9大数据环境下企业云服务信息安全风险评估
91企业云服务基本概念介绍
92企业云服务风险识别
93企业云服务虚拟化安全风险场景
94企业云服务虚拟化安全风险评估
95企业云服务隐私风险场景
96企业云服务隐私风险评估
97本章小结
参考文献
创新点主要体现在以下几个方面。
(1)介绍了大数据环境下我国信息安全现状,描述了目前大数据的发展情况。不仅指出了由大数据的产生而催生出的“互联网+”、在线物流、在线广告、云计算等新的应用领域,同时本书还对我国近几年的大数据发展政策、信息安全发展情况及存在的信息安全问题进行了收集整理,明确了大数据在我国总体信息安全方面的重要性并认识了其带来的挑战,进一步分析了大数据环境下我国的信息安全发展总体情况。
(2)对信息安全风险管理的流程进行介绍,并详细说明各风险要素及属性间的关系,继而开展信息安全风险评估和管理。最后提出信息安全风险管理一般包括对象确立、风险评估、风险控制、审核批准四个基本内容,其思路充分体现了过程方法和持续改进方法的特点,达成事前、事中、事后全程控制。
(3)介绍了七个国内外具有代表性的信息安全风险评估标准和方法。国际标准有ISO/IEC 27001、ISO/IEC 27002、ISO/IEC 15408(CC)等。国内标准有GB/T 20984、GB/Z 24364和GB/T 18336。通过对国内外主要标准的详细介绍,读者可对信息安全风险评估的主要过程和参照标准有一个初步的了解。
(4)介绍博弈论的基本构架,主要涉及博弈的构成要素、博弈的表示方法以及博弈的分类等。从而使读者进一步了解风险事件实际发生过程中的博弈行为,并通过随机博弈网研究的整体框架来描述网络安全行为过程,在此基础上提出了随机博弈网的一系列建模和分析方法。基于随机博弈网模型的计算结果,提出了通过网络安全性的评价方法来分析网络中的安全隐患,该结果为网络信息系统中的容侵机制、策略的分析、设计与评估提供了科学的理论依据和指导。
(5)针对网络系统安全评测的具体需求,构建基于攻防模型的网络攻防实验环境,提出基于攻防模型的安全分析技术,并将其应用于实例,实现了对目标网络的快速建模及量化计算,以及对攻防过程的推演和分析。本书提出的随机博弈网模型分析方法将具体应用于网络的典型案例中,从而检验模型理论研究成果的实用性,证实本书提出的分析方法可以被用于指导网络系统以及设计与配置防御机制。
(6)将随机博弈网方法应用于大数据环境下的数字供应链信息安全风险评估。总结数字供应链的特点和风险因素,对数字供应链进行风险识别,并以网络拓扑的方式进行数字供应链风险场景虚拟,利用随机博弈网的方法构建数字供应链风险攻防模型,根据模型模拟结果及数字供应链评价体系完成数字供应链的风险评估工作。
(7)提出利用随机博弈网方法对企业云服务信息安全风险进行评估。在介绍云服务等基本概念的基础上,结合企业云服务的应用场景,给出企业云服务的应用流程并进行风险识别。对虚拟化安全风险和隐私风险这两种主要风险因素进行分析,并分别刻画其风险场景,建立企业云服务虚拟化安全风险攻防模型和企业云服务隐私风险攻防模型。
书单推荐
