| 摘要 | 第1-4页 |
| ABSTRACT | 第4-7页 |
| 1 绪论 | 第7-12页 |
| ·研究目的和意义 | 第7-8页 |
| ·国内外风险评估现状 | 第8-10页 |
| ·国外的研究历程和现状 | 第8-9页 |
| ·国内的研究历程和现状 | 第9-10页 |
| ·本文的研究内容和论文主要框架 | 第10-12页 |
| ·本文的研究内容 | 第10-11页 |
| ·全文结构简介 | 第11-12页 |
| 2 信息安全风险评估相关理论 | 第12-23页 |
| ·信息安全风险评估概述 | 第12-13页 |
| ·风险评估的概念和目的 | 第12页 |
| ·风险评估的要素 | 第12-13页 |
| ·风险评估的重要标准 | 第13-19页 |
| ·BS7799 | 第14-16页 |
| ·ISO/IEC 13335(IT 安全管理指南) | 第16-17页 |
| ·GB/T 18336-2001(信息技术安全性评估准则) | 第17-18页 |
| ·信息安全风险评估指南 | 第18页 |
| ·其它标准 | 第18-19页 |
| ·风险评估的方法 | 第19-22页 |
| ·风险评估的工作流程 | 第19页 |
| ·风险评估的方法 | 第19-22页 |
| ·国内风险评估现状 | 第22页 |
| ·小结 | 第22-23页 |
| 3 面向业务的风险评估模型 | 第23-37页 |
| ·信息安全风险评估模型存在的问题 | 第23-24页 |
| ·面向业务的风险评估模型 | 第24-27页 |
| ·业务模型 | 第24-25页 |
| ·信息资产、威胁和脆弱性相互关系 | 第25-26页 |
| ·业务模型事件描述 | 第26-27页 |
| ·资产评估 | 第27-32页 |
| ·资产识别 | 第28-30页 |
| ·资产赋值 | 第30-32页 |
| ·脆弱性评估 | 第32-34页 |
| ·脆弱性识别 | 第32-33页 |
| ·脆弱性赋值 | 第33-34页 |
| ·威胁评估 | 第34-36页 |
| ·威胁识别 | 第34-35页 |
| ·威胁赋值 | 第35-36页 |
| ·小结 | 第36-37页 |
| 4 面向业务的量化分析方法 | 第37-45页 |
| ·传统分析方法存在的问题 | 第37-39页 |
| ·故障树分析法 | 第37页 |
| ·失效模式、后果与严重度分析法 | 第37页 |
| ·模糊分析法 | 第37-38页 |
| ·事件数分析法 | 第38页 |
| ·存在的问题 | 第38-39页 |
| ·面向业务的量化信息安全风险分析方法 | 第39-44页 |
| ·层次化系统特征描述模型 | 第39-42页 |
| ·风险计算模型 | 第42-43页 |
| ·风险计算步骤 | 第43-44页 |
| ·小结 | 第44-45页 |
| 5 风险评估辅助软件的设计与实现 | 第45-64页 |
| ·风险评估辅助软件的系统分析 | 第45-49页 |
| ·辅助软件的目标和内容 | 第45页 |
| ·系统建模 | 第45-49页 |
| ·软件系统设计 | 第49-60页 |
| ·系统结构 | 第50-51页 |
| ·详细设计 | 第51-52页 |
| ·数据库设计 | 第52-60页 |
| ·软件实现 | 第60-63页 |
| ·小结 | 第63-64页 |
| 6 结论 | 第64-66页 |
| ·本文工作总结 | 第64页 |
| ·进一步工作及研究展望 | 第64-66页 |
| 致谢 | 第66-67页 |
| 参考文献 | 第67-69页 |
| 附录 | 第69页 |