面向任务的量化风险评估方法

将管理层面的评估与技术层面的评估相结合,提出了一种基于任务模型的风险量化评估方法。与传统的风险评估量化方法相比,该模型以组织的任务目标为核心,避免主观偏见,排除与任务无关的资产、弱点、威胁的影响。提出的基于关键状态建立评估要素之间关联关系的方法,减小了无关联威胁及弱点对评估结果的误导,更贴近客观现实。     

电网二次设备量化风险评估研究

分别从面向保护系统的可靠性评估和面向实时调度的运行风险评估两个方面总结并评述了电网二次设备量化风险评估的研究现状,并介绍了故障树分析法、事件树法和马尔科夫过程等主要模型和方法。     

工业控制系统风险评估要素量化方法

风险评估是保障工业控制系统安全的重要手段之一,在风险分析原理的基础上,对其中的资产、安全措施、威胁、脆弱性等关键要素给出了相应的量化方法。通过对相关风险要素进行细致的量化,有利于降低风险评估过程中的主观性,提高评估结果的合理性、准确性。     

一种量化的网络安全态势评估方法

本文根据网络中系统运行信息和系统配置信息,运用故障树模型对网络安全态势进行分层量化评估.经实验证实该评估方法能够较准确的反映网络安全运行态势.     

一种优化的实时网络安全风险量化方法

准确地评估网络安全风险是提高网络安全性的关键.基于隐马尔卡夫模型的实时网络安全风险量化方法,以入侵检测系统的告警作为输入,能够实时量化网络风险值,有效评估网络受到的威胁,但仍然存在配置复杂、评估容易出现误差等问题.该文提出了优化的方法,利用参数矩阵自动生成代替手工设置,提高了准确性,简化了配置复杂度.首先将IDS告警和主机的漏洞、状态结合起来,定义攻击的威胁度来更好地体现攻击的风险,并对攻击进行分类,简化隐马尔卡夫模型的输入.其次,提出了利用遗传算法来自动求解隐马尔卡夫模型中的矩阵,定义风险描述规则作为求解的优化目标,解决隐马尔卡夫模型难以配置的问题.风险描述规则为描述网络安全风险提供了形式化的方法,利用这种规则建立的规则库可以作为风险评估方法的通用测试标准.最后,通过比较实验和DARPA 2000数据实际测试,证明文中方法能够很好地反映网络风险,量化网络面临的威胁.     

信息系统安全等级保护的一种量化定级方法

国内的政策及发展近年来,随着我国信息化发展的逐步深入,各行各业对信息系统的依赖越来越强,国家信息基础设施和重要信息系统能否安全正常地运行直接关系     

一种主机和网络相结合的安全评估系统

提出了一种主机和网络相结合的安全评估系统模型，讨论了安全评估系统中的关键技术及其原理，并分析了评估系统所采用的控制台／代理的体系结构。最后给出了安全评估的一种模糊数学综合评价方法，可以对目标安全状况进行分析评估。     

网络安全评估的量化研究

从安全管理制度、物理安全、主机和应用系统安全、网络和通信系统安全、安全和保障措施等方面,结合日志和统计信息、渗透性测试获取信息,建立网络安全评估模型;引入风险管理的理念,设计风险评分模型;尝试对网络安全进行量化评估。     

美国联邦政府网络安全风险评估特点分析

文章介绍了美国联邦政府网络安全风险评估法律基础、技术框架和标准体系,对美国联邦信息安全管理法案及相关标准项目的提出、发展和演变进行了跟踪。通过对美国联邦政府多年的网络安全报告进行分析研究,总结并提出了美国联邦政府网络安全评估的特点。     

基于攻击检测的网络安全风险评估方法

为了实时评估网络安全风险,建立了用于描述主机安全状态的隐马尔可夫模型,以入侵检测系统的报警信息作为模型输入,计算主机处于被攻击状态的概率.针对攻击报警,提出了一种新的攻击成功概率计算方法,然后结合攻击威胁度计算主机节点的风险指数.最后利用主机节点重要性权重与节点风险指数量化计算网络风险.实例分析表明,该方法能够动态绘制网络安全风险态势曲线,有利于指导安全管理员及时调整安全策略.     

网络安全风险动态评估过程优化仿真

研究网络安全风险动态评估方法,提高评估的准确性.当前网络安全风险评估没有考虑不同入侵特征造成的网络指标变化,以入侵前后相同静态固定指标变化评估为主,缺少不同时段内动态可持续评估的方法.为解决上述问题,提出基于特征映射关联算法的网络安全风险动态评估方法.对网络中的操作特征进行加权优化处理,提取网络操作异常特征,计算异常特征提取误差,针对异常特征提取误差进行补偿.根据网络异常特征获取特征分类函数,并计算特征分类的约束条件,建立特征属性映射模型,获取特征映射关联性,实现网络异常特征的分类,完成网络安全风险动态评估.实验结果表明,利用改进算法进行网络安全风险动态评估,能够极大的提高评估的准确性,满足网络安全的实际需求.     

关于网络安全风险评估的讨论

正确有效地评估网络系统的安全状况,是实现网络安全的重要技术之一。本文通过对现有网络安全风险评估的主要评价准则及评估措施的讨论,指出了目前网络安全防范中存在的不足,并提出了对完善评估系统有利的方法及今后的发展方向。     

工业控制系统信息安全风险评估量化研究

为解决工控系统的信息安全风险量化评估问题,提出了基于模糊层次分析法的工业控制系统信息安全风险评估方法。结合工控系统特点,构造了层次结构模型,引入了模糊一致矩阵计算各要素相对重要性权值,克服了层次分析法需多次进行一次性检验问题;自下而上对工控系统风险进行模糊综合评判,并将评判结果反模糊化,得出了风险的精确值。实例表明,该方法能合理有效地量化控制系统风险,为工业控制系统风险管理决策提供了依据。     

基于PRA的网络安全风险评估模型

概率风险分析被广泛应用于社会各领域,如交通、能源、化工处理、航天、军事等。文章采用概率风险分析的方法,对网络的逻辑构成、网络攻击和攻击结果进行分析,通过故障树描述了网络系统被攻击的原因与途径,并建立了风险评估模型。     

基于模型的安全风险评估方法

网络信息安全的本质是风险的管理和控制,风险评估是风险管理和控制的核心组成部分.安全风险评估技术既需要有严密的理论、又需要与实践经验相结合,其可操作性成为安全风险评估成功的关键.针对当前安全风险评估中的实践问题,提出一种可操作的基于模型的安全风险评估方法.     

一种基于模型的信息安全风险评估方法

基于模型的评估方法对信息安全风险评估具有重要的意义。该文提出一种基于统一建模语言、攻击树分析事件树分析模型的信息安全风险评估方法,运用面向对象的、半形式化的方法分析和描述安全风险相关要素,基于ATA模型深入分析评估关键信息资产的安全风险,基于ETA分析安全事件对业务的影响,提高风险评估的精确性和客观性。基于模型的方法还有利于风险评估相关要素模式的抽象和复用,以及评估工具的开发和应用,提高风险评估的生产率。     

基于FAHP的信息安全风险评估方法

提出基于模糊层次分析法的信息安全风险综合评估模型,从主观评测和工具检测两方面对各个风险因素分别评价其重要程度。利用模糊偏好法求出各个风险因素在系统风险评估中的优先级排序,给出目标系统在不同安全侧面上的量化风险,增强评估准确性。实例分析表明,该模型可方便地应用于信息安全风险评估,具有实用性。     

系统安全风险评估数据库

描述了风险评估数据库的整体设计方案。对风险评估数据库的应用背景作了概要的介绍，结合数据的获取方式分析了数据库中用于风险评估的数据源的内容，分析了数据库的结构，给出了数据库表之间的关系，并介绍了系统中数据库管理工具的设计思想。     

网络安全风险评估关键技术研究

随着网络的快速发展,网络信息共享的同时也存在网络危险,网络安全问题是现代计算机研究中一大重要的模块。本文针对网络安全风险问题提出了定量评估法、定性评估法、综合评估法和模型评估法。然而,当今的网络系统都很复杂,在这种情况下应该采用综合评估方法。本文采用的是综合评估法对局域网攻击IDS这类案件进行解决,效果良好,该评估方法适合推广。