工业控制系统风险评估要素量化方法

风险评估是保障工业控制系统安全的重要手段之一,在风险分析原理的基础上,对其中的资产、安全措施、威胁、脆弱性等关键要素给出了相应的量化方法。通过对相关风险要素进行细致的量化,有利于降低风险评估过程中的主观性,提高评估结果的合理性、准确性。     

一种主机系统安全的量化风险评估方法

随着信息技术安全问题的日益突出,信息安全产品的开发者纷纷寻求可信的第三方的安全评估,而目前针对主机软件系统的评估方法都存在着一定的缺点。该文结合软件系统的弱点信息,提出了一种主机系统安全的量化风险评估方法,并以评估实例分析了评估算法,最后阐明了本评估方法的优势。     

电网二次设备量化风险评估研究

分别从面向保护系统的可靠性评估和面向实时调度的运行风险评估两个方面总结并评述了电网二次设备量化风险评估的研究现状,并介绍了故障树分析法、事件树法和马尔科夫过程等主要模型和方法。     

信息安全风险评估量化模型的研究

对信息和信息处理设施的威胁、影响及信息和信息处理设施自身的脆弱性以及它们出现的可能性进行评估，这就是信息安全风险评估的过程。风险评估的结果将帮助指导和确定合适的管理行动，以及管理信息安全风险和实现所选择控制的优先级，以防范这些风险。     

基于威胁分析的信息系统风险评估方法

对信息系统风险评估的方法有多种,该文提出了基于威胁分析的量化风险评估方法。包括其评估的步骤、量化的不同实现方式——绝对量化方式和相对量化方式、两种量化方式的优缺点分析以及两种量化方式评估的举例说明。     

一种支持可重构硬件任务布局的碎片量化方法

可重构计算中硬件任务布局产生的碎片是影响任务成功布局和系统资源利用率的关键因素之一.本文提出一种针对布局碎片的量化方法QFTD,核心是先将碎片进行三维抽象,再对其三维量化得到待布局任务的碎片量化值.仿真结果表明,将该方法运用于布局器可明显降低任务拒绝率和提高硬件资源利用率.     

基于国家信息安全风险评估指南的量化模型研究

以2005年颁布的国标草案《信息安全风险评估指南》为主要指导,并参考NISTSP800—30的管理控制思想、评估方法以及威胁发生可能性的计算方法,给出了一个具有可操作性的信息安全风险评估量化模型。     

基于国家信息安全风险评估指南的量化模型研究

以2005年颁布的国标草案《信息安全风险评估指南》为主要指导,并参考NIST SP800-30的管理控制思想、评估方法以及威胁发生可能性的计算方法,给出了一个具有可操作性的信息安全风险评估量化模型。     

电信网络运维阶段风险评估方法研究

安全风险评估是电信网运维阶段安全防护的重要内容,为了深入了解全网的安全状态、控制运行过程中的安全风险,需要建立一套有效的风险评估方法。本文对电信网运维阶段风险评估方法进行研究,提出了一套量化的风险计算方法。该方法不仅可以定量分析网络存在的内在脆弱性和面临的外部威胁,而且可对风险高低情况进行梳理,找出网络运行中的薄弱点,提出安全需求,从而为实施合适的安全防范措施、制定有效的风险控制策略提供理论基础。     

面向嵌入式系统的威胁建模与风险评估*

为提高嵌入式系统可靠性,开发安全可信的系统,需要在软件开发设计阶段尽早考虑安全问题。提出一种面向嵌入式系统的威胁建模方法,该方法分析了嵌入式系统可能存在的威胁漏洞,以威胁树的形式建立了嵌入式系统威胁模型;根据该模型,以量化的方式从下到上迭代地计算各个节点的威胁值,然后根据各个节点的威胁值对嵌入式系统进行风险评估。为更好地说明威胁模型及其各节点威胁值的计算方法,以智能电表中用户电表账单信息受到的威胁为例,说明了整个建模和量化过程。通过具体实例验证了该方法的实用性和有效性。     

Of critical importance: Toward a quantitative probabilistic risk assessment framework for critical infrastructure

Critical comments can be made to the current risk assessment framework for critical infrastructure used in The Netherlands: the Dutch National Risk Assessment (DNRA). The DNRA uses a qualitative approach to risk assessment, based on, for example, ordinal risk scoring and the risk matrix. Even though qualitative risk assessment methods are internationally popular, there is no scientific evidence that a qualitative approach to risk assessment actually works. In the case of the DNRA, the main points of criticisms relate to the usage of a subjective concept of risk, dependency on subjective risk experts, the use of risk matrices and the absence of decision rules. To combat these criticisms, this article proposes a quantitative probabilistic risk assessment framework for critical infrastructure based upon four design principles, that a methodologically justified risk assessment method for critical infrastructure should meet. The proposal made for the quantitative risk assessment framework uses a Bayesian approach, a standardized measure for negligible risk in the form of a yearly mortality probability of 10⁻⁶, and Disability Adjusted Life Years to quantify human life years for social cost–benefit analysis. Finally, the proposed quantitative method is demonstrated in a case study.     

适用于软件成本估计及风险评估的混合方法

论文提出了一种用于软件成本估计以及风险评估的方法。该方法将基于算法模型与基于经验的两种成本估计方法相结合,一方面以软件项目基础数据作为评估基础,另一方面则利用了专家知识。另外,该方法还可应用于软件风险评估。为了说明该方法以及证明其可行性,文中提供了一个案例研究。该案例详细说明如何构建成本费用估计模型以及如何利用该方法进行软件风险评估。     

信息系统风险评估方法的研究

在信息安全领域,风险评估是建立信息系统安全体系的基础和前提,而风险评估方法对评估的有效性起着举足轻重的作用.风险评估方法有很多种,每种方法都有其不足之处.设计的风险评估方法采用威胁树模型和层次分析法相结合的方式,利用两种评估方法的优势,弥补了单一风险评估方法的不足,旨在探讨一种更有效、更合理、更准确的风险评估方法.     

基于实时告警的层次化网络安全风险评估方法

为了准确地评估网络安全风险,提高网络的整体安全性,提出了基于实时告警的层次化网络安全风险评估方法.提出了一种包含服务、主机和网络3级的网络分层风险评估模型.在此基础上以IDS (intrusion detection system)作为数据源,以威胁对象价值、脆弱性严重程度和威胁出现的频率作为核心变量,针对威胁攻击对象的不同进行分类计算,通过加权的方式计算网络各层的安全风险值.分别以实验室网络环境及校园网环境为实例,表明了该方法的准确性和有效性.     

基于风险因子的信息安全风险评估方法研究

为了减少主观性和客观性因素对于信息安全风险评估的影响,研究了信息安全风险评估的一些主流方法.参考风险评估的基本要素的定义,提出了风险因子的概念和基本要素.对风险因子的基本要素进行了定义和解释说明,设计了一种基于风险因子的风险评估模型.该模型将系统风险分解为若干风险因子,由专家对风险因子的基本要素进行评价,计算出风险因子的风险度.对风险度进行二次模糊化后构造隶属举证,并运用熵系数法求出各个风险因子的权重,进而计算出风险等级.最后给出一个实例证明了模型的科学性和合理性.     

网络安全风险评估的云决策

为了更合理地评估网络安全风险,利用云模型集成随机性和模糊性的优点,提出一种基于云模型的网络安全风险评估和决策方法。首先,通过采样系统正常状态信息,构造标准概念云;在进行风险评估时,采样处于风险状态时的信息,计算其云数字特征;然后利用改进的基于云滴距离的云相似度算法,计算与标准概念云的相似度,相似度最大的即为最终输出结果。最后,通过Kddcup99数据集进行模拟攻击及性能采样仿真实验。结果表明,该方法最大限度地保留了风险评估过程中固有的不确定性和模糊性,提高了评估结果的可信性。     

Application of a quantitative risk assessment method to emergency response planning

Transportation-related hazardous materials releases pose obvious hazards to the general public and response personnel. Statistical risk assessment techniques are valuable in quantifying these hazards and evaluating methods to reduce the risk. In this paper, we describe a quantitative risk assessment approach for hazardous materials transportation that has a strong emphasis on consequence modeling and employs considerable statistical data from past incidents. We illustrate application of this method to evaluating distances to which the public should be protected immediately following an accidental release of toxic materials that pose an inhalation hazard. While this paper focuses on emergency response aspects of the problem, the framework we describe has applications to societal risk estimation and routing optimization for a wide variety of hazardous materials.     

灰色聚类法在软件项目风险评价中的应用

软件风险的控制在当今软件开发过程中显得越来越重要,而软件项目风险评价的好坏直接影响到风险的管理。目前,大多数软件项目风险评估技术本质上都是基于主观的,而客观地依赖于度量技术进行软件项目风险分析的研究还很少。针对软件项目风险管理的要求,建立了评价指标体系,提出了基于灰色聚类的软件项目风险评价方法。文中案例分析证明了该方法的科学性、客观性与合理性。     

企业信息化风险评估

本文介绍了基于原始风险矩阵的Borda序值法和AHP(层次分析法),进而融合运用两种方法对企业信息化进程中的风险进行评估,以期对企业的信息化进程起到一定的指导作用。     

赛博空间安全框架设计及风险评估方法

从赛博空间的安全需求出发,通过安全引擎和移动安全中间件技术,解决移动终端的异构性与安全性的难题,提出一个赛博空间抽象层面的安全体系结构并进行了技术描述。该体系结合风险管理技术,集成多种不同的安全技术和安全层次,实现了赛博空间环境下的有效防护。同时,基于隐马尔科夫理论,提出了基于隐马尔科夫模型的信息安全风险评估方法,计算机仿真实验结果表明,该方法实现了对赛博空间安全风险的定量评估,有一定的可行性。