风险评估量化分析

文章介绍了风险评估量化模型及量化模型的算法改进,并对智能风险评估方法进行了介绍。文章简要介绍了风险的3要素（资产、弱点、威胁）的风险矩阵分析方法和变精度粗糙的方法,为有效地进行风险评估提供了可行的方法。     

基于攻击树与CVSS的工业控制系统风险量化评估

针对如何进行工业控制系统(ICS)全面客观的风险量化评估与分析,提出了一种新的ICS风险量化评估方法。该方法首先建立系统攻击树与攻击者模型,然后根据ICS的安全特性利用CVSS对攻击树叶子节点进行综合客观的量化,并给出资产价值损失的复数表达式,结合概率风险评估方法分别计算得到攻击序列、目标节点的风险概率与风险值。最后通过攻击者模型综合攻击序列与攻防两端的分析,提取系统最大风险环节与组件。案例分析表明该方法能减少风险要素量化过程中人为主观因素的影响,得到风险的综合定量描述,并找到系统最大风险环节和最需要防护的组件,从而采取有针对性的防护措施实现合理高效的风险消除和规避,验证了该方法的有效性与可行性。     

面向任务的量化风险评估方法

将管理层面的评估与技术层面的评估相结合,提出了一种基于任务模型的风险量化评估方法。与传统的风险评估量化方法相比,该模型以组织的任务目标为核心,避免主观偏见,排除与任务无关的资产、弱点、威胁的影响。提出的基于关键状态建立评估要素之间关联关系的方法,减小了无关联威胁及弱点对评估结果的误导,更贴近客观现实。     

复杂产品研制费用风险量化管理信息系统研究

复杂产品研制项目周期长,技术要求高,系统复杂度高,由此带来了高投入、高风险等显著特点。在绝大多数情况下,费用风险并非容易识别,在项目管理中引入费用风险管理对项目的成功具有重要意义。在研究了费用风险量化评估理论的基础上,提出了复杂产品研制项目的费用风险量化评估方法,建立了费用风险量化评估步骤,结合信息技术给出了费用风险量化评估信息系统的架构,并设计开发了费用风险量化评估信息系统。     

基于贝叶斯网络的多属性信息安全风险评估

对基于贝叶斯网络的多属性信息安全风险评估方法研究,结合历史上发生的安全事件资料,评估安全威胁和脆弱性的概率,计算出各安全要素的风险值。对信息系统风险评估进行量化,使评估结果更加科学和客观。     

基于GTST-MLD的复杂网络风险评估方法

针对复杂信息系统复杂程度高、互影响性与互依赖性强,现有风险评估方法难以适应大规模网络安全风险评估与应用实践的需要的问题,研究了基于GTST-MLD的适合复杂信息系统的风险要素分析方法和整体风险评估方法,包括研究事故互依赖关系模型,进行风险要素建模以及风险传导分析,以提高针对复杂信息系统的风险评估能力和分析水平。结果证明,模型对复杂信息系统安全特性的目标、功能、结构、行为等因素予以综合,实现在更高的系统功能层面上对系统安全性的分析研究,为复杂信息系统的量化风险评估提供了可靠的量化分析手段。     

配线标识管理工具应用效果评估

针对调度自动化机房接线质量和标识管理不规范的情况,自主研发了一套配线标识管理工具.管理工具的绘图功能解决了机房配线"无图可依"的局面;其高级应用功能提高了配线维护效率和标签标识的规范性.为了研究机房配线管理工具对自动化系统运行风险降低的可行性和有效性,引用了设备状态评价模型对自动化系统进行风险量化评估.根据标识管理要素对风险量化评估结果的影响,从数据上论证了机房标识管理工具应用效果和推广价值.     

基于网络分析与 D-S 证据理论的信息安全风险评估磁

针对现有研究成果在关联性、客观性等方面的不足,考虑到风险评估要素之间的关联影响及评估过程中所产生的不确定性,提出了基于决策试验和评价实验室网络分析法（DEMATEL-ANP）,并结合 D-S 证据理论的混合信息安全风险评价模型。根据待评估系统的实际运行情况,构建网络结构模型,运用 DEMATEL-ANP 方法对该模型中的关联关系进行量化分析。对于评价数据的主观性及不确定性,结合 D-S 证据理论进行数据融合处理,得出风险等级可信度,找出需要完善的相关控制措施,最终将风险降低在可接受范围内。通过与相关风险评估模型的实例对比分析表明,该模型不仅权衡到实际评估系统中各评估要素之间的关联影响,降低评价主观性;而且能够有效减少专家评估的不确定性,是一种有效的评估方法。     

基于熵权系数法的信息安全模糊风险评估

信息安全风险分析中存在大量模糊、不确定性影响因素,以往的信息安全风险综合分析方法如PRA分析法需要收集到精确全面的评估数据,通过故障树分析信息系统被攻击的原因,建立风险计算模型定量计算系统风险,此方法过于繁琐,不易对信息系统风险进行准确的量化.针对此问题,文中通过对信息系统风险影响因素的识别与分析,构建反映信息安全风险影响因素及它们相互关系的风险评估指标体系,并应用多级模糊综合评判法对风险评估指标进行多层量化评估,同时利用信息熵定量计算各风险影响因素的权重,克服了直接赋值的主观性.该方法能较好地量化评估信息系统风险,方便计算出信息系统总的风险值.     

政府开放数据的国家安全风险评估模型研究

政府开放数据作为国家和社会发展重要战略资源,蕴含着巨大价值,但我国在政府开放数据的安全风险评估方面缺乏标准,国家数据安全面临风险。借鉴信息安全风险评估理论,以国家安全资产、开放数据脆弱性和安全威胁作为主要安全风险要素,构建政府开放数据的安全风险评估模型,利用层次分析法和模糊综合评价法对政府开放数据的安全风险进行量化评估,并通过实例验证模型的有效性。     

企业信息化项目的风险管理

信息化项目的风险管理决定了整个项目甚至整个企业信息化建设的成败,本文对信息化项目所面临的风险进行分析调研,并提出行之有效的风险管理措施,旨在帮助企业正确合理地应对信息化项目所面临的风险,从而保障企业信息化建设的顺利开展。     

软件项目风险管理中风险分析方法的研究

对软件项目风险分析中的定性分析方法和定量分析方法进行了讨论，提出了定性分析与定量分析相结合的方式对软件项目中已识别的风险进行分析的方法，并且在分析过程中考虑了风险偏好性的影响。     

医院计算机网络风险防范与对策

计算机网络技术在卫生系统的广泛应用,使得卫生系统的电子化水平得到了不断提高。随着医院管理系统、办公系统大量地投入使用,计算机及网络风险防范问题日益突出。该文结合作者所在医院的实际情况,总结了该院计算机网络风险防范与对策。     

商业银行信息科技风险量化与管理研究

商业银行信息科技风险,包括来自银行自身的操作风险、技术风险、信息孤岛效应、系统闲置风险等内部风险和来自客户、供应商和服务商以及非特定侵害者的外部风险。这些风险固然难度量、易扩散、影响大,但从本质特征看首先是可防可控的管理风险,外在表现为信誉下降风险。银行信息科技风险可尝试用均值方差模型和CAPM度量。商业银行可通过全面风险管理及制度化管理措施强化科技风险防控。     

信息系统的风险评估方法研究

本文在分析信息系统事故的基础上,对信息系统的风险评估模型以及信息系统风险评估程序进行了系统描述。同时,在对我国信息系统风险评估工具进行简要介绍的基础上,重点介绍了适用于企业日常安全管理的定性定量的信息系统评估方法,并对评估方法进行了对比分析,从而有利于信息系统评估工作在我国的推广应用。     

软件项目风险评估实践

论文旨在说明软件风险评估在软件项目管理中所起的重要作用以及软件风险评估的具体方法。结合笔者的实践经验,从风险管理引出风险评估,并详细描述了风险识别、风险分析以及确定风险优先级的步骤和方法。     

银行信贷风险的测量与控制

信贷风险是银行资产业务中最直接、经常性的风险．本文分析了目前金融风险测量 的主流技术VAR模型及其在信贷风险控制上的不足,从信贷风险产生的根源——企业破产深 层次角度,对企业破产风险状态的识别及破产概率进行了研究,提出基于生存函数的信贷风 险控制模型,并给出仿真计算案例．     

商业银行研发风险管控体系研究

依据国家监管要求．结合国家信息系统等级保护要求和业界先进实践,按照“主动防御、分级保护、同步建设、动态调整”的风险管控原则,结合商业银行研发过程风险管理实际情况,提出了覆盖软件研发领域全生命周期的研发风险管控体系,实现了信息系统研发风险的体系化与标准化管理,全面提升信息系统安全性。     

论项目的风险管理

风险就是一种不确定的事件或条件,一旦发生,会对项目目标产生某种正面或负面的影响。在多年的项目实践中,我亲身体会到风险管理,为了按照既定的进度、成本和质量完成项目的目标,必须充分重视风险管理。     

软件项目风险管理研究

进行大型的软件项目开发过程中,由于种种难以预见的不确定性因素,会给软件项目带来造成失败的风险.首先介绍了软件风险的基本概念,分析了软件项目风险的特点,以及如何识别软件风险.对项目管理中的风险分析、风险管理进行了详细地探讨,提出对风险进行量化管理.最后对软件开发过程中各阶段的风险进行了分析和研究,给出了减轻或防止风险发生的几种方法.研究软件项目风险管理对于软件开发、软件项目管理及软件产品质量都具有重要意义.