一种基于威胁分析的信息安全风险评估方法

在信息安全领域中,信息风险评估是风险管理和控制的核心组成部分,是建立信息系统安全体系的基础和前提。分析了信息安全风险评估的标准及流程,提出一种基于威胁分析的量化风险评估方法ISSREM。该方法采用多属性决策理论,计算信息系统相对威胁程度,有利于评估者进行比较和选择,通过对威胁频率的灵敏度分析,使评估结果更具客观性和准确性。给出ISSREM的计算模型及用该方法进行风险评估的主要步骤,并结合实例对该定量评估方法进行分析,验证了该方法的合理性与有效性。     

一个信息安全风险评估系统的设计及应用

文章给出了信息安全风险评估的定义及研究现状,并在此基础上设计了一个信息安全评估系统的体系结构,给出风险评估过程和安全风险评估功能。同时将该安全风险评估系统进行了实际测试,结果表明该系统能确定受测系统存在的安全风险。     

一种实时的信息安全风险评估方法

信息安全风险评估是信息系统风险管理的重要组成部分,是建立信息系统安全体系的前提和基础。论文简要介绍了信息安全风险评估,进而提出了一种定性、定量评估相结合的实时的信息安全风险评估方法。该方法通过分析系统的资产、弱点和威胁,根据安全设备产生的安全事件,实时地评估信息系统的风险。     

信息安全风险评估技术在电力系统的研究与应用

信息系统在电力安全生产中发挥着越来越重要的作用,信息安全风险评估工作通过对信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,发现信息安全风险,并提出解决方案,以确保关键业务资产安全。本文介绍了信息安全风险评估在新疆电力公司实践经验,供广大电力员工参考和借鉴。     

基于灰色系统预测威胁赋值方法

资产、威胁、脆弱性是信息安全风险评估的三个基本要素,在风险评估过程中首先必须对这三个要素识别与赋值,赋值的准确度关系到评估结果的科学性和客观性。依据威胁的统计属性,提出用灰色系统预测给威胁赋值的方法,通过建立灰色系统预测模型、灰色微分方程计算、残差检验,用历史数据预测评估本期威胁出现的频率,再经过威胁频率等级化处理,进...     

基于云计算模式的信息安全风险评估研究

该文介绍了云计算的概况和面临的安全威胁,结合传统信息安全风险评估工作,分析了云计算信息安全风险评估中需要考虑的评估指标,重点论述了信息资产评估识别过程,给出了基于云计算的信息安全风险定量计算方法。     

高校信息安全评估的新策略

对信息安全评估的认识信息安全旨在保护信息资产免受威胁。信息安全评估就是对信息在产生、存储、传输等过程中其保密性、完整性、可用性遭到破坏的可能性以及由此产生的后果作一个估计或评价。信息安全评估是有效保证信息安全的前提条件,也是制定安全管理措施的依据之一。信息安全评估涉及四个主要因素:资产、威胁、弱点和风险。资产指对组织有价值的任何东西(信息资产、系统资产、软件资产、硬件资产、人员资产)。威胁指对组织或系统产生危害的有害事件的潜在原因(基于网络方式访问造成的威胁、基于物理方式访问造成的威胁、系统问题以及…     

组合对象信息安全风险评估研究

风险评估已经成为信息安全管理的重要组成部分,其方法的选择直接影响着风险结果的准确性和客观性,进而会影响到组织的整体信息安全水平。目前很多评估方法仅能对单个资产的威胁和脆弱性进行分析,并直接采用调查问卷或矩阵的方式得到风险,而没有从面向对象的角度给出威胁相对于系统的客观的整体风险值。论文提出了一种针对组合对象的定性与定量相结合的风险评估方法,有效解决了上述问题,并给出了合理的风险计算公式。     

信息安全的资产评估方法

信息安全风险评估过程，先是对资产、威胁、脆弱性、潜在影响和现有安全措施进行识别、分析和评价，然后综合这些风险要素的评估结果，得出风险的评估结果。资产是风险的第一评估要素，其他要素的评估都是以资产为前提的。也说就是，威胁评估是针对所关注资产面临的威胁，脆弱性评估是针对所关注资产自身的脆弱性，潜在影响评估是针对所关注资产失效时的负面影响，现有安全措施评估也是针对所关注资产已具备的安全措施。因此，资产评估的正确性和准确性对于后续的各风险要素及其综合评估的导向至关重要。信息安全的资产评估目的是为了明晰评估范围内与信息安全相关的资产清单、资产关系和资产价值。先是摸清家底，列出评估范围内关系到信息安全的所有资产。然后整理家底，针对资产的性质进行分类，针对资产的关系进行梳理，针对资产的价值进行分级。[编者按]     

智能充电桩信息安全风险评估流程研究

随着新能源汽车的普及,智能充电桩也越来越多地出现在人们的日常生活中。它们不仅具有充电功能,还可以与管理平台进行交互,从而实现用户的认证、充电计费、用户信息收集等功能。在这些信息交互的过程中,信息安全的问题也随之而来。如果不加以重视,会造成巨大的财产损失。信息安全问题的发现依靠周期性的风险评估。它是系统信息安全评估的重要环节之一,包括以下四个方面:资产评估、威胁评估、脆弱性评估和保障能力评估。在研究智能充电桩具体应用场景,并且参考大量风险评估相关的文献内容后,基于前述的四个方面,可以归纳出一种针对智能充电桩信息安全风险评估的实施方法。该研究旨在对智能充电桩信息安全风险评估流程提供一套切合实际应用场景、规范化的方法,对于推动智能充电桩应用场景下信息安全技术要求的落地具有重要意义。     

信息安全风险评估方法研究——基于"资产-威胁"评价指数矩阵风险分析方法研究

信息安全风险评估是组织信息安全的基础和前提,也是信息安全保障的重要内容。该文介绍了信息安全及其信息安全风险评估概念,然后对信息安全风险评估因素、方法进行了分析,并提出基于"资产—威胁/脆弱性"评价指数矩阵风险分析方法。     

基于烟草工控系统网络安全风险评估的研究与应用

随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。利用AHP方法从资产、威胁点和脆弱性进行风险评估与分析,结合采用工控安全工具对其进行检测得出该系统正处于高风险运行状态下,建议采取相应措施。     

基于威胁传播采样的复杂信息系统风险评估

互联网时代的信息安全已成为全社会关注的问题之一。信息系统是信息的载体,为有效评估大规模分布式复杂信息系统的风险,构建了一种基于威胁传播采样的复杂信息系统风险评估方法。该方法考虑到威胁在复杂信息系统中传播时,对资产结点的转移状态以及资产结点发出的威胁传播边进行采样来生成威胁传播树（threat propagation trees ,TPT ）,然后通过计算威胁传播树中各资产结点的期望损失以及威胁传播树的概率来对整个复杂信息系统进行风险评估。实验分析表明,基于威胁传播采样的复杂信息系统风险评估方法,在生成威胁传播树时具有高效的时间效率,能够对复杂信息系统进行客观准确的风险评估,且在对复杂信息系统资产结点制定安全防护策略时,能够为安全风险管理者提供较为合理的安全指导建议。     

基于XML的信息安全风险评估系统研究与开发

针对典型的信息安全风险评估要求,提出了综合的评估流程,完成了系统的设计和实现.系统信息库设计时除去了大量繁冗的信息;评估识别时,对资产、威胁和脆弱点的内容进行了详细地分类;评估赋值时,在单一的系统赋值基础上扩展了用户和专家同时参与的功能.同时,在风险矩阵计算的前期工作中加入了对系统、用户和专家赋值综合考量的处理思想.基于JavaEE及XML等上乘主流技术开发方案为该系统的安全性,多平台适应性提供了良好的条件.     

信息安全风险评估风险分析方法浅谈

信息安全风险评估能够运用科学的手段和分析方法来对信息化面临的威胁,以及信息化业务进行系统地分析,并对可能出现的安全事件进行评估,以便能够采取及时有效的措施来化解风险、防范风险,最大限度地控制残余风险,以此来确保信息安全、网络安全.     

基于信息流的资产识别及其重要性评估方法研究

信息资产识别及其重要性评估是信息安全风险评估过程中的一个重要环节。文章基于信息流来对以信息处理和信息传递为主的业务流程系统进行资产识别和重要性评估研究。文中首先利用Petri网来分析以信息为处理对象的业务流程系统,识别业务流程中所涉及的信息资产,通过信息传递将不同的信息资产连接起来,这样信息资产就被转化为一个相互连接的有向网络图,然后文章提出FrequencyRank算法并结合信息安全等级保护的内容来对有向网络图中所包含的信息资产节点的重要性进行评估。实验结果表明：文章提出的方案能够准确的计算出信息资产重要性,符合实际的情况。     

信息安全风险管理(三)风险评估(下)

风险评估是组织确定信息安全需求的过程．包括资产识别与评价、威胁和弱点评估、控制措施评估、风险认定在内的一系列活动。图1所示就是风险评估完整的过程模型。     

煤矿工业互联网信息安全风险评估

针对煤矿工业互联网信息安全防护手段多应用于较小区域、难以对整体信息安全风险进行评估的问题,提出了一种基于静态和动态2个维度的煤矿工业互联网信息安全风险评估方法。该方法根据《信息安全技术网络安全等级保护基本要求》及GB/T 34679—2017《智慧矿山信息系统通用技术规范》,对煤矿信息系统已实施的安全防护条例进行特征化转换,建立各系统中安全防护要求的关联系数矩阵,进而计算出系统实际实施的安全防护条例数量;再结合威胁发生数和发生更高级风险的概率,建立安全风险评估模型,进而对煤矿工业互联网进行信息安全风险评估。测试结果表明,该方法能有效评估煤矿工业互联网信息安全状况,指导煤矿企业进行信息安全风险分析、安全防护规划设计及实施,从而降低煤矿工业互联网信息安全风险。     

基于评估流程的信息安全风险的综合评估

对信息安全风险评估提出了一种新的评估方式。根据风险评估流程,采用模糊综合评判法和AHP方法相结合的方法,对信息系统安全风险进行综合评估。采用模糊综合评判的方法,对资产、威胁、脆弱性进行评估,判断资产的风险等级,求出资产风险值,对系统风险进行定量评定。在评估资产时,对资产的安全特性：机密性、完整性、可用性,采用AHP的方法,构造比较判断矩阵,求出各因素的权重。通过实例验证,该方法操作方便,评估结果准确,具有一定的实际意义。     

信息安全的资产评估方法

一、概述 信息安全风险评估过程,先是对资产、威胁、脆弱性、潜在影响和现有安全措施进行识别、分析和评价,然后综合这些风险要素的评估结果,得出风险的评估结果.资产是风险的第一评估要素,其他要素的评估都是以资产为前提的.也就是说,威胁评估是针对所关注资产面临的威胁,脆弱性评估是针对所关注资产自身的脆弱性,潜在影响评估是针对所关注资产失效时的负面影响,现有安全措施评估也是针对所关注资产已具备的安全措施.因此,资产评估的正确性和准确性对于后续的各风险要素及其综合评估的导向至关重要.换一种说法就是,资产评估的偏差会导致关键资产的误选或遗漏,进而导致风险评估的方向性或片面性错误.