信息安全风险评估工具的设计与实现

文章基于典型的风险评估流程给出了一个有效的风险评估辅助工具的设计方案。该方案中,根据风险评估涉及要素多、过程复杂、不易实施等特点设计了内容丰富的信息库,包括了资产、威胁和脆弱点的分类及分级等重要信息,使用户可有效地对要素进行识别和赋值。同时,方案的设计能够为识别出的威胁提供控制措施,并在评估的最后,按照矩阵法对系统风险值进行计算,使用户清晰地了解信息系统安全状况,并采取有效的控制措施。     

内网安全风险评估模型

针对内网安全评估问题构建了内网安全风险评估的系统模型。该模型采用的是基于模糊综合评价的评估方法,并在此基础上重点讨论了基于聚类分析的风险分类方法,其摒弃了传统标准分类的主观方法,对大量客观实验数据进行聚类分析,使风险的分类更具客观性。同时,在评估过程中利用信息熵原理确定各风险因素的权重系数,避免直接赋值的主观性,从而使风险评估的整个过程更加客观,评估结果更加准确。     

基于改进灰色关联度的风险评估方法

为解决信息系统风险评估中资产、威胁、脆弱之间的复杂和不确定性关系,提出一种基于资产的改进灰色关联度的风险评估方法。该方法以资产为核心,以关联资产为基础识别、量化威胁-脆弱性对,再运用结合相容矩阵法计算权重的改进算法对信息系统进行风险分析。对某税务局网站系统的实际应用结果表明,该方法能直观、有效地评估系统,评估结果与实际符合程度较高,为决策和实施保障信息系统的安全措施提供可靠的依据。     

基于威胁传播采样的复杂信息系统风险评估

互联网时代的信息安全已成为全社会关注的问题之一。信息系统是信息的载体,为有效评估大规模分布式复杂信息系统的风险,构建了一种基于威胁传播采样的复杂信息系统风险评估方法。该方法考虑到威胁在复杂信息系统中传播时,对资产结点的转移状态以及资产结点发出的威胁传播边进行采样来生成威胁传播树（threat propagation trees ,TPT ）,然后通过计算威胁传播树中各资产结点的期望损失以及威胁传播树的概率来对整个复杂信息系统进行风险评估。实验分析表明,基于威胁传播采样的复杂信息系统风险评估方法,在生成威胁传播树时具有高效的时间效率,能够对复杂信息系统进行客观准确的风险评估,且在对复杂信息系统资产结点制定安全防护策略时,能够为安全风险管理者提供较为合理的安全指导建议。     

基于信息熵的软件攻击面威胁评估方法研究

随着网络科技的不断进步,传统的软件攻击面威胁评估方法,在面对层出不穷的软件攻击方式时对攻击面威胁的评估与处理分离,因此威胁评估效率低,无法实现对软件攻击面威胁的精准评估.针对这一问题,进行基于信息熵的软件攻击面威胁评估方法研究.通过确定软件攻击面的威胁评估指标,建立软件攻击面二级威胁指标赋值矩阵,基于信息熵计算软件攻击面威胁权值,评估软件攻击面威胁.通过对比实验证明基于信息熵的软件攻击面威胁评估方法可以提高软件攻击面威胁评估的威胁评估效率.     

基于OCTAVE的一个电子政务外网等级测评风险计算模型设计

风险评估包含资产、威胁、脆弱性的赋值以及风险的计算等。该文以OCTAVE评估模型为基础对风险计算三元组识别与赋值进行研究,提出综合使用头脑风暴、德尔菲法、用群体决策方法进行资产、威胁、脆弱性的识别与赋值,对资产风险价值的加权计算参数采用专家咨询法等;采用马尔可夫方法计算动态信息系统威胁发生概率;对风险的计算模型进行研究,增加安全防护措施一个元组,把风险计算的三元组改进为四元组。     

基于OCTAVE的一个电子政务外网等级测评风险计算模型设计

风险评估包含资产、威胁、脆弱性的赋值以及风险的计算等。该文以OCTAVE评估模型为基础对风险计算三元组识别与赋值进行研究,提出综合使用头脑风暴、德尔菲法、用群体决策方法进行资产、威胁、脆弱性的识别与赋值,对资产风险价值的加权计算参数采用专家咨询法等;采用马尔可夫方法计算动态信息系统威胁发生概率;对风险的计算模型进行研究,增加安全防护措施一个元组,把风险计算的三元组改进为四元组。     

一种基于威胁分析的信息安全风险评估方法

在信息安全领域中,信息风险评估是风险管理和控制的核心组成部分,是建立信息系统安全体系的基础和前提。分析了信息安全风险评估的标准及流程,提出一种基于威胁分析的量化风险评估方法ISSREM。该方法采用多属性决策理论,计算信息系统相对威胁程度,有利于评估者进行比较和选择,通过对威胁频率的灵敏度分析,使评估结果更具客观性和准确性。给出ISSREM的计算模型及用该方法进行风险评估的主要步骤,并结合实例对该定量评估方法进行分析,验证了该方法的合理性与有效性。     

风险评估中威胁发生可能性的定量分析方法

信息系统面临着大量的威胁,各种威胁发生的可能性是不一样的。为了对信息系统采取有效的安全策略和安全措施,就要对信息系统进行风险评估,就要对威胁发生的可能性做评价。本文首先对信息系统受到威胁的指标体系作了介绍,然后提出一种综合运用层次分析法和模糊综合评判法来对信息安全风险评估中威胁发生可能性作定量分析的方法。本文最后以一个应用实例来阐述该方法在实践中的应用。     

基于威胁分析的多属性信息安全风险评估方法研究

根据信息系统风险评估模型中资产、威胁和脆弱性等基本要素,提出基于威胁分析的多属性定量风险评估方法.建立以威胁为核心的风险计算模型,通过威胁识别,威胁后果属性计算及威胁指数计算等多个步骤对信息系统的安全风险进行定量分析和评估.基于威胁的多属性风险计算模型利用多属性决策理论和方法,计算安全威胁的概率以及各种威胁后果属性值及其权重,对安全风险进行排序,提高信息系统风险评估的客观性和可度量性,为建立信息系统安全保障体系提供科学依据.     

基于改进模糊综合评价方法的信息系统安全风险评估

针对信息系统安全风险分析的准确性问题,提出一种基于改进模糊综合评价方法的信息系统安全风险分析方法。该方法结合一种模糊一致矩阵来求得各风险因素的权重。并在此基础上采用多级模糊方法对风险进行评估,通过风险评估模型的指标数据,得到风险评估安全级别,为今后信息系统安全风险评估提供了一定的帮助。     

基于改进小波神经网络的信息安全风险评估

由于信息安全风险评估具有非线性、不确定性等特点,采用传统的数学模型进行信息安全的风险评估存在一定的局限性。将人工神经网络(ANN)理论、小波分析及粒子群优化算法有机结合,提出了粒子群-小波神经网络(PWNN)的信息安全风险评估方法。首先,采用模糊评价法对信息安全的风险因素的指标进行量化,对神经网络的输入进行模糊预处理;其次,采用粒子群优化算法对小波神经网络进行训练。仿真结果表明,提出的改进的小波神经网络模型可实现对信息系统的风险因素级别的量化评估,克服现有的评估方法所存在的主观随意性大、结论模糊等缺陷,具有更强的学习能力、更快的收敛速度。     

基于层次分析涉密信息系统风险评估

信息技术的发展使得政府和军队相关部门对信息系统安全问题提出更高要求。涉密信息系统安全有其独特性,风险评估区别于普通信息安全系统。文章以涉密信息系统为研究对象,首先阐述涉密信息系统的特点,针对其独特性对现有信息安全风险评估方法进行分析评价。然后将基于层析分析法的评估模型引入到涉密信息系统安全风险评估中。为涉密信息系统进行风险评估提供一种新的技术思路。最后通过实例分析,所提模型在处理涉密信息系统评估过程中对得到的离散数据分布无要求,与德菲尔法以及 BP 神经网络相比,该模型具有一定实用性和可扩张性,适合用于实际地涉密信息系统风险评估中。     

组合对象信息安全风险评估研究

风险评估已经成为信息安全管理的重要组成部分,其方法的选择直接影响着风险结果的准确性和客观性,进而会影响到组织的整体信息安全水平。目前很多评估方法仅能对单个资产的威胁和脆弱性进行分析,并直接采用调查问卷或矩阵的方式得到风险,而没有从面向对象的角度给出威胁相对于系统的客观的整体风险值。论文提出了一种针对组合对象的定性与定量相结合的风险评估方法,有效解决了上述问题,并给出了合理的风险计算公式。     

基于博弈论的综合赋权法的信息安全风险评估

为了合理确定风险评估中风险因素的权重,对信息安全风险进行科学的评价,在确定风险因素权重时,本文应用基于博弈论的综合赋权法将主、客观权重集成为风险因素的综合权重。并利用该方法对信息系统进行了实例分析,说明了该方法所得的评估结果科学合理,为信息系统风险评估提供了一个新的思路。     

一种基于风险矩阵法的信息安全风险评估模型

信息安全风险等级的评定在信息安全风险管理中至关重要,量化风险数值依旧是当前评估领域的热点。将风险矩阵法引入信息安全风险评估,构建了以专家二维矩阵、Borda排序和层次分析法为评估流程的风险评估模型,将定性的过程定量化,提高了评估的客观性。最后以校控制与网络实验室为评估对象进行实例计算。     

基于模糊集和DS证据理论的信息安全风险评估方法*

在信息安全风险评估过程中,存在着很多不确定和模糊的因素,针对专家评价意见的不确定性和主观性问题,提出了一种将模糊集理论与DS证据理论进行结合的的风险评估方法。首先,根据信息安全风险评估的流程和要素,建立风险评估指标体系,确定风险影响因素;其次,通过高斯隶属度函数,求出专家对各影响因素的评价意见隶属于各个不同评价等级的程度;再次,将其作为DS理论所需的基本概率分配,引入基于矩阵分析和权值分配的融合算法综合多位专家的评价意见;最后,结合贝叶斯网络模型的推理算法,得出被测信息系统所面临的风险大小,并对其进行分析。结果显示,将模糊集理论和DS证据理论应用到传统贝叶斯网络风险评估的方法,在一定程度上能够提高评估结果的客观性。     

基于风险因子的信息安全风险评估方法研究

为了减少主观性和客观性因素对于信息安全风险评估的影响,研究了信息安全风险评估的一些主流方法.参考风险评估的基本要素的定义,提出了风险因子的概念和基本要素.对风险因子的基本要素进行了定义和解释说明,设计了一种基于风险因子的风险评估模型.该模型将系统风险分解为若干风险因子,由专家对风险因子的基本要素进行评价,计算出风险因子的风险度.对风险度进行二次模糊化后构造隶属举证,并运用熵系数法求出各个风险因子的权重,进而计算出风险等级.最后给出一个实例证明了模型的科学性和合理性.     

基于云计算模式的信息安全风险评估研究

该文介绍了云计算的概况和面临的安全威胁,结合传统信息安全风险评估工作,分析了云计算信息安全风险评估中需要考虑的评估指标,重点论述了信息资产评估识别过程,给出了基于云计算的信息安全风险定量计算方法。     

妥协率法在信息安全风险评估中的应用

针对信息安全风险评估指标及决策者权重均未知的信息安全风险评估值排序问题,提出一种基于妥协率法的信息安全风险评估方法。提出一种新的根据距离测度求权重的方法来确定指标权重;构建了基于决策者相互评价和群体意见一致性下的主客观综合赋权模型确定决策者权重;运用妥协率法对信息安全风险进行排序。案例分析及对比分析说明该方法的有效可行性。