通用安全局同评估系统(CVSS)简介及应用建议

对CVSS进行了简要介绍,并对用户如何对CVSS环境评估指标进行相应的扩充和自定义,以及如何在组织中采用CVSS标准,提高安全漏洞管理能力进行了探讨.     

一种融合CVSS的信息安全终端安全评估模型

针对目前电力行业对于安全防护较弱、可控性较低的桌面终端、操作终端没有能够反映电力行业信息安全终端特征的评估方法,论文根据电力行业信息系统安全要求,以及桌面终端、操作终端所面临的安全威胁,提出一种融入CVSS的信息安全终端安全评估模型,对安全评估体系和评分标准进行了研究和探讨。该模型能够满足电力行业桌面终端安全评估的需求和目标,包括详细的评估项目以及可量化的评价体系;最后在该评估模型的基础上实现了对电力行业信息安全终端进行自动化安全评估的工具。     

基于攻击树和CVSS的网络攻击效果评估方法

为有效解决网络攻击效果评估中对指标数据的过度依赖性,提高网络攻击效果评估的准确性,提出了一种基于攻击树和CVSS的网络攻击效果评估方法 。首先,采用攻击树模型描述系统可能存在的攻击路径,并利用模糊层次分析法对各叶节点的发生概率进行求解;然后,基于CVSS漏洞信息建立网络攻击效果量化评估模型;最后,采用实例进行验证分析说明。该方法能够充分利用己有的攻击行为研究成果,评估结果较为客观,且思路清晰,算法简单,具有较强的通用性和工程应用价值。     

基于攻击树与CVSS的工业控制系统风险量化评估

针对如何进行工业控制系统(ICS)全面客观的风险量化评估与分析,提出了一种新的ICS风险量化评估方法。该方法首先建立系统攻击树与攻击者模型,然后根据ICS的安全特性利用CVSS对攻击树叶子节点进行综合客观的量化,并给出资产价值损失的复数表达式,结合概率风险评估方法分别计算得到攻击序列、目标节点的风险概率与风险值。最后通过攻击者模型综合攻击序列与攻防两端的分析,提取系统最大风险环节与组件。案例分析表明该方法能减少风险要素量化过程中人为主观因素的影响,得到风险的综合定量描述,并找到系统最大风险环节和最需要防护的组件,从而采取有针对性的防护措施实现合理高效的风险消除和规避,验证了该方法的有效性与可行性。     

CVSS环境指标变量对系统安全的影响研究

通用漏洞评分体系(CVSS)分三个层次对漏洞的威胁进行评估,特定系统的安全性反映在最终的环境分层面上。在CVSS的三组指标变量中,仅环境指标变量取决于特定组织机构、特定系统,难以自动获取,是用户实施安全风险管理和控制策略中关键的和最困难的环节。在分析CVSS计算方法基础上,研究环境指标变量对最终CVSS总分的影响,给出了环境指标向量对CVSS环境分影响的总体估计式,同时给出了环境向量各分量单独影响的估计式。实验表明,本文在CVSS环境指标变量的总体影响和分项指标影响两方面,实现了精度提升,进入了实际标准完全可接受的范围。     

基于关系数据库策略驱动的网络安全评估系统

在归纳网络安全漏洞特点的基础上,提出了基于关系数据库策略驱动的漏洞探测方法,提高了网络安全评估系统的效率,增强了漏洞探测准确性,并使系统的整体分析能力大大提高,论文从原理、实现上对该方法进行了阐述,并分析了其性能。     

Web前端常见安全问题及对策

介绍了近些年在Web安全方面常见的一些案例,然后介绍了Web前端安全方面常见的几种漏洞,以及在开发过程中采用何种策略规避这些Web漏洞,降低和避免Web网站受到攻击。     

基于依赖关系图和通用漏洞评分系统的网络安全度量

管理人员通常使用一些网络安全指标作为度量网络安全的重要依据。通用漏洞评分系统（CVSS）是目前人们普遍认同的网络度量方式之一。针对现有的基于CVSS的网络安全度量无法精确测量网络受到攻击的概率和影响两方面得分的问题，提出一种基于依赖关系图和CVSS的改进基础度量算法。首先发掘攻击图中漏洞节点的依赖关系，构建依赖关系图；然后根据依赖关系修改CVSS中漏洞的基础度量算法；最后聚合整个攻击图中的漏洞得分，得到网络受到攻击的概率及影响两方面的得分。采用模拟攻击者进行仿真实验，结果表明，该算法在算法精确度和可信度方面明显优于汇总CVSS分数算法，更加接近实际仿真结果。     

通用准则评估综述

在介绍CC国内外发展现状的基础上,系统地分析了通用准则CC的基本概念、主要思想以及CC评估角色和类型等主要问题,并对CC评估配套方法——CEM及其评估流程进行了深入探讨,最后在总结CC评估现状的基础上,指出了CC评估所存在的问题及其未来的发展趋势。     

密码安全应用及新技术(下)

三、密码新技术介绍，随着安全要求的不断提高，目前也有一些很实用的密码技术逐渐为人们所应用。     

政府网站安全漏洞分析及防范措施

当今我国的网络安全形势严峻,政府网站成为不法分子重点攻击的目标,加强政府网站安全建设刻不容缓。本文以武汉市为例,分析了政府网站的安全现状;通过在线安全漏洞扫描,对各部门政府网站存在的安全漏洞进行了分析总结;最后针对监测中发现的安全漏洞,以及各单位的漏洞修复情况,从安全技术、安全管理两个层面提出防范措施。     

空分压缩机组安全完整性技术等级(SIL)技术评估应用及分析

依据相关IEC和API标准,对空分装置三大机组(蒸汽透平、空压机和增压机)的安全联锁系统(SIS)做了安全完整性等级(SIL)技术评估,确定了空分三大机组安全联锁系统中的安全联锁功能(SIF),给出了各安全联锁功能(SIF)所需达到的安全完整性等级(SIL),提出并分析了空分三大机组安全联锁系统中存在的多个典型问题,最后针对问题分别给出了相应的改进建议。研究结果对空分装置三大机组和类似机组的安全、稳定、长周期运行有借鉴意义。     

审计评估系统(上)

大坝在轰的一声中,突然崩塌。大难当头的人们才发现大坝的内部已经被白蚁蛀空了。如果计算机网络存在漏洞而不为人所知,难道我们也要等到黑客登堂入室,肆掠一空后,才能够警醒？有没有办法可以防患于未然呢？     

审计评估系统(下)

Unix复杂的操作、命令行模式让大部分熟悉Windows蓝天白云的用户望而却步．但是在中高端市场Unix占据了绝对优势远远领先于Windows．这就给我们系统管理员带来了新的问题．熟练掌握Unix日志系统不仅有助于系统安全的增强．也有助于提高管理员自身的含金量．做到与Unix系统同步发展、与时俱进。     

浅析Web应用软件开发安全

Web应用软件的安全问题日益突出, 提高软件代码自身安全和在软件开过程中控制安全风险成为亟需解决的问题. 本文首先剖析了Web应用常见的安全漏洞, 分析其表现形式、形成原因、规避措施, 并提出了在软件开发生命周期全过程中预防安全漏洞的措施和方法. 通过从软件开发过程管理和技术手段两个方面系统性地预防Web应用安全风险, 有效地提高了交付Web应用软件的安全性.     

基于测试床模拟的通用安全评估框架

随着信息安全等级保护工作在国内的推进,信息安全测评技术趋向成熟,测试床在测评机构建设过程中已成为硬实力和软实力的象征。如何对目标信息系统进行深层次安全评估,如何对关键基础设施进行安全评估,安全防护措施是否真的起到应有的防护效用,系统安全防护是否在攻防博弈中占据优势是等级保护测评、建设、整改需要解决的关键问题。文章从信息安全评估的角度出发,在对已有软硬件资源整合的基础上,采用流程用例、算法用例、数据处理用例、测试用例的规约进行评估业务流程的规范和整合,提出了基于测试床模拟的通用安全评估框架,为深度安全评估、关键基础设施模拟、安全防护技术验证、安全攻防实验提供灵活的可扩展的解决方案。     

基于测试床模拟的通用安全评估框架

随着信息安全等级保护工作在国内的推进,信息安全测评技术趋向成熟,测试床在测评机构建设过程中已成为硬实力和软实力的象征。如何对目标信息系统进行深层次安全评估,如何对关键基础设施进行安全评估,安全防护措施是否真的起到应有的防护效用,系统安全防护是否在攻防博弈中占据优势是等级保护测评、建设、整改需要解决的关键问题。文章从信息安全评估的角度出发,在对已有软硬件资源整合的基础上,采用流程用例、算法用例、数据处理用例、测试用例的规约进行评估业务流程的规范和整合,提出了基于测试床模拟的通用安全评估框架,为深度安全评估、关键基础设施模拟、安全防护技术验证、安全攻防实验提供灵活的可扩展的解决方案。     

自评估系统研究与应用

随着国民经济和社会发展对电信网的依赖程度日益加深,对电信网的安全要求也日益提高,而安全风险评估是电信网安全建设的前提和基础,具有十分重要的意义。其重要性主要体现在两个方面:合规性和预防性。     

网上招标系统(NIPBS)及Interceptor技术在其中的应用

介绍了网上招标系统（ＮＩＰＢＳ）的基本流程,并描述了招标系统的网络传输安全机制．利用Ｉｎｔｅｒｃｅｐｔｏｒ技术;结合目前流行的ＣＡ认证、数字签名等技术,较好地解决了网络上数据传输的安全性问题．     

一种多阶段控制方法在对抗钓鱼攻击中的应用

文章综合分析了不同类型网络钓鱼攻击的方式、特点,提出一种“事前-事中-事后”循序改进的防护思路,采取不同阶段多种控制手段、多种方式相结合的监测及控制方式,建立一个立足技术监控,覆盖立法监管、培训和教育、举报和反馈等多个层面的反钓鱼体系.