基于DS证据推理的信息安全风险评估方法研究

在分析影响信息安全风险要素的基础上,构造了信息安全风险评估的层次结构模型,提出了基于Dempster-Shafer证据推理的信息安全风险评估方法。该方法可充分利用信息安全风险评估过程中专家的认知判断信息,处理评估过程中专家认知判断信息的不确定性问题,从而有效地提高风险评估的合理性。     

安全措施延迟对信息安全风险的影响研究

现有绝大多数风险评估模型均是基于静态模型指导下的统计学方法,并未考虑到网络空间要素间的动态作用,已知的风险评估工具也不支持在风险分析和评估过程中考虑安全措施的延迟问题。针对上述问题,分析了安全防护措施延迟的原因,提出了一个考虑了延迟因素的信息安全风险评估动态模型,为基于时滞非线性模型所得的统计数据和定性评估所得的结果创建更为灵活的风险评估工具提供了可能。利用模型对安全措施延迟对信息安全风险的影响进行了仿真研究,结果表明,针对威胁及时采取安全措施能有效地降低信息安全风险。     

基于免疫网络的信息安全风险评估模型

风险评估是评价网络信息系统安全的有效措施之一。该文基于免疫网络可动态实时诊断的特性,提出一种新的信息安全风险评估模型,给出模型中各项指标的定量计算方法,以评估整个信息系统的风险值。该模型能够综合考虑评估要素的相互关联,针对风险动态更新,进行实时监控。实验验证了其评估信息系统安全状态的有效性。     

基于评判矩阵的网络信息安全风险评估

针对传统网络信息安全风险评估方法实用性较低的问题,笔者进行了基于评判矩阵的网络信息安全风险评估研究。笔者根据网络信息安全风险评估的原则选取了具有全面性、可比性以及稳定性等具有代表的评估指标,根据评估指标的特点建立评判矩阵,运用1-9标度法对指标权重进行求解,根据指标权重将网络信息安全风险分为5个级别,并分别构建网络信息安全风险评估函数,以此建立了基于评判矩阵的网络信息安全风险评估模型,并对网络信息安全风险进行逐层评估,经过试验验证了该模型具有良好的实用性。     

基于贝叶斯网络的多属性信息安全风险评估

对基于贝叶斯网络的多属性信息安全风险评估方法研究,结合历史上发生的安全事件资料,评估安全威胁和脆弱性的概率,计算出各安全要素的风险值。对信息系统风险评估进行量化,使评估结果更加科学和客观。     

一种面向业务的风险评估模型

当前主流的信息安全风险评估关注于资产损失,而忽视了时业务的影响.提出了一种面向业务的风险评估模型.该模型从业务安全需求出发,将机密性、完整性和可用性等安全属性引入风险评估过程中,通过评估对业务过程的影响来量化风险.将传统风险评估的资产要素视为业务的支撑,采用层次化方法依次分析资产风险、业务过程风险和业务风险.各风险要素采用面向属性归纳和聚类方法进行概化分析,并采用Markov模型描述业务过程的风险传导.最后以某网上银行交易系统风险进行模型验证.理论分析和实验结果表明,该模型能够将传统的资产风险转化为业务风险,从机密性、完整性和可用性3个安全属性进行度量,从而体现业务安全需求.     

信息安全风险评估关键技术研究与实现

信息安全问题是全球信息化发展最关注的问题,随着各机构逐渐进入信息化办公时代,机构的信息资产几乎全部保存在信息系统中,一旦面临威胁和遭遇攻击,造成的危害和损失将难以想象。信息安全风险评估理论最早由国外提出,目前广泛应用于信息安全领域。文章首先研究风险评估的基础理论和流程,对风险评估的定义、风险评估要素之间的关联关系、安全风险模型和常见的风险评估方法进行介绍。然后对风险评估与控制软件进行架构设计和功能模块设计,该软件涉及资产识别、威胁分析、脆弱性分析、现有安全策略的确认与评估、综合风险评估、评估报告输出等多个环节。接下来结合SQL Server数据库和Tomcat中间件技术完成系统的实现,并在测试平台上对其进行测试。文章在评估软件的设计过程中加入了漏洞检测功能,为评估工作的准确性提供了进一步的保障。系统模块结构简洁清晰,评估功能完善强大,效果突出。     

基于WOWA的信息安全风险模糊评估

从信息安全风险评估的原理和研究现状入手,将加权整理加权平均（WOWA）算子与模糊层次分析法进行合成,提出基于WOWA的信息安全风险模糊评估方法。通过实例分析可知,该方法可以有效地用于信息安全风险评估。     

一种基于攻击树的4G网络安全风险评估方法

针对4G网络的安全风险评估问题,提出一种基于攻击树模型的评估方法,以分析网络的风险状况,评估系统的风险程度和安全等级。对4G网络的安全威胁进行分类,通过梳理攻击行为和分解攻击流程来构造攻击树模型,利用多属性理论赋予叶节点3个安全属性并通过等级评分进行量化,结合模糊层次分析法和模糊矩阵计算叶节点的风险概率,根据节点间的依赖关系得到根节点的风险概率,最终得到4G网络的安全风险等级。实验结果表明,该方法能够准确评估4G网络的风险因素,预测可能的攻击路径,为安全防护策略选择提供依据。     

基于网络分析与 D-S 证据理论的信息安全风险评估磁

针对现有研究成果在关联性、客观性等方面的不足,考虑到风险评估要素之间的关联影响及评估过程中所产生的不确定性,提出了基于决策试验和评价实验室网络分析法（DEMATEL-ANP）,并结合 D-S 证据理论的混合信息安全风险评价模型。根据待评估系统的实际运行情况,构建网络结构模型,运用 DEMATEL-ANP 方法对该模型中的关联关系进行量化分析。对于评价数据的主观性及不确定性,结合 D-S 证据理论进行数据融合处理,得出风险等级可信度,找出需要完善的相关控制措施,最终将风险降低在可接受范围内。通过与相关风险评估模型的实例对比分析表明,该模型不仅权衡到实际评估系统中各评估要素之间的关联影响,降低评价主观性;而且能够有效减少专家评估的不确定性,是一种有效的评估方法。     

基于AHP移动终端系统的安全风险评估

随着移动通信和终端技术的发展,移动智能终端已经广泛应用于人们的日常生活,未来将更多地融合到各种信息系统中,因此对移动智能终端系统进行安全风险评估成为必要。本文结合相关标准和当前移动智能终端面临的主要安全威胁,提出智能终端系统安全风险评估的概念;针对移动智能终端系统安全评估缺乏必要的模型描述,提出了一种基于AHP算法的智能终端系统安全风险评估模型,利用AHP算法对其进行安全风险评估,计算出各评估要素的相对风险程度和整个智能终端的安全风险等级,有利于建立分级的风险评估机制。     

基于攻击图节点概率的网络安全度量方法

为了保护网络中关键信息资产, 评估分析网络的整体安全性, 提出了一种基于攻击图节点概率的网络安全度量方法。该方法改进了原子攻击节点自身概率的计算模型, 引入累积可达概率, 在此基础上, 研究了网络安全风险评估模型。实验结果表明, 所提评估方法能够准确地评估目标状态的安全级别和网络的整体风险。     

基于模糊理论的信息系统风险计算

针对信息系统安全评估提出了基于模糊理论的风险计算方法.在风险计算函数因子分析基础上,通过层次分析法和模糊综合评估模型解决风险因子的权重分配问题,提出了量化风险计算的方法、流程和计算实例.     

基于风险因子的信息安全风险评估方法研究

为了减少主观性和客观性因素对于信息安全风险评估的影响,研究了信息安全风险评估的一些主流方法.参考风险评估的基本要素的定义,提出了风险因子的概念和基本要素.对风险因子的基本要素进行了定义和解释说明,设计了一种基于风险因子的风险评估模型.该模型将系统风险分解为若干风险因子,由专家对风险因子的基本要素进行评价,计算出风险因子的风险度.对风险度进行二次模糊化后构造隶属举证,并运用熵系数法求出各个风险因子的权重,进而计算出风险等级.最后给出一个实例证明了模型的科学性和合理性.     

政府开放数据的国家安全风险评估模型研究

政府开放数据作为国家和社会发展重要战略资源,蕴含着巨大价值,但我国在政府开放数据的安全风险评估方面缺乏标准,国家数据安全面临风险。借鉴信息安全风险评估理论,以国家安全资产、开放数据脆弱性和安全威胁作为主要安全风险要素,构建政府开放数据的安全风险评估模型,利用层次分析法和模糊综合评价法对政府开放数据的安全风险进行量化评估,并通过实例验证模型的有效性。     

基于层次分析涉密信息系统风险评估

信息技术的发展使得政府和军队相关部门对信息系统安全问题提出更高要求。涉密信息系统安全有其独特性,风险评估区别于普通信息安全系统。文章以涉密信息系统为研究对象,首先阐述涉密信息系统的特点,针对其独特性对现有信息安全风险评估方法进行分析评价。然后将基于层析分析法的评估模型引入到涉密信息系统安全风险评估中。为涉密信息系统进行风险评估提供一种新的技术思路。最后通过实例分析,所提模型在处理涉密信息系统评估过程中对得到的离散数据分布无要求,与德菲尔法以及 BP 神经网络相比,该模型具有一定实用性和可扩张性,适合用于实际地涉密信息系统风险评估中。     

多属性群决策理论信息安全风险评估方法研究

信息安全风险评估是信息系统安全工程的重要组成部分,是建立信息系统安全体系的基础和前提。针对信息系统安全评估中风险值计算难以量化、主观因素影响大的问题,提出了一种基于多属性群决策理论OWGA（有序加权几何平均）算子和CWGA（组合加权几何平均）算子的评估方法。采用该方法,解决了风险评估中评估要素属性的权重赋值问题,同时群决策理论的引入提高了风险评估的准确性和客观性。实例分析表明,该方法合理有效,可为信息系统安全风险评估提供新思路。另外,该方法比较适合于指导安全工程实践与评估软件系统的开发。