共查询到20条相似文献,搜索用时 15 毫秒
1.
对CVSS进行了简要介绍,并对用户如何对CVSS环境评估指标进行相应的扩充和自定义,以及如何在组织中采用CVSS标准,提高安全漏洞管理能力进行了探讨. 相似文献
2.
针对目前电力行业对于安全防护较弱、可控性较低的桌面终端、操作终端没有能够反映电力行业信息安全终端特征的评估方法,论文根据电力行业信息系统安全要求,以及桌面终端、操作终端所面临的安全威胁,提出一种融入CVSS的信息安全终端安全评估模型,对安全评估体系和评分标准进行了研究和探讨。该模型能够满足电力行业桌面终端安全评估的需求和目标,包括详细的评估项目以及可量化的评价体系;最后在该评估模型的基础上实现了对电力行业信息安全终端进行自动化安全评估的工具。 相似文献
3.
4.
针对如何进行工业控制系统(ICS)全面客观的风险量化评估与分析,提出了一种新的ICS风险量化评估方法。该方法首先建立系统攻击树与攻击者模型,然后根据ICS的安全特性利用CVSS对攻击树叶子节点进行综合客观的量化,并给出资产价值损失的复数表达式,结合概率风险评估方法分别计算得到攻击序列、目标节点的风险概率与风险值。最后通过攻击者模型综合攻击序列与攻防两端的分析,提取系统最大风险环节与组件。案例分析表明该方法能减少风险要素量化过程中人为主观因素的影响,得到风险的综合定量描述,并找到系统最大风险环节和最需要防护的组件,从而采取有针对性的防护措施实现合理高效的风险消除和规避,验证了该方法的有效性与可行性。 相似文献
5.
通用漏洞评分体系(CVSS)分三个层次对漏洞的威胁进行评估,特定系统的安全性反映在最终的环境分层面上。在CVSS的三组指标变量中,仅环境指标变量取决于特定组织机构、特定系统,难以自动获取,是用户实施安全风险管理和控制策略中关键的和最困难的环节。在分析CVSS计算方法基础上,研究环境指标变量对最终CVSS总分的影响,给出了环境指标向量对CVSS环境分影响的总体估计式,同时给出了环境向量各分量单独影响的估计式。实验表明,本文在CVSS环境指标变量的总体影响和分项指标影响两方面,实现了精度提升,进入了实际标准完全可接受的范围。 相似文献
6.
基于关系数据库策略驱动的网络安全评估系统 总被引:1,自引:0,他引:1
在归纳网络安全漏洞特点的基础上,提出了基于关系数据库策略驱动的漏洞探测方法,提高了网络安全评估系统的效率,增强了漏洞探测准确性,并使系统的整体分析能力大大提高,论文从原理、实现上对该方法进行了阐述,并分析了其性能。 相似文献
7.
陈忠菊 《电脑编程技巧与维护》2016,(19):90-91
介绍了近些年在Web安全方面常见的一些案例,然后介绍了Web前端安全方面常见的几种漏洞,以及在开发过程中采用何种策略规避这些Web漏洞,降低和避免Web网站受到攻击。 相似文献
8.
管理人员通常使用一些网络安全指标作为度量网络安全的重要依据。通用漏洞评分系统(CVSS)是目前人们普遍认同的网络度量方式之一。针对现有的基于CVSS的网络安全度量无法精确测量网络受到攻击的概率和影响两方面得分的问题,提出一种基于依赖关系图和CVSS的改进基础度量算法。首先发掘攻击图中漏洞节点的依赖关系,构建依赖关系图;然后根据依赖关系修改CVSS中漏洞的基础度量算法;最后聚合整个攻击图中的漏洞得分,得到网络受到攻击的概率及影响两方面的得分。采用模拟攻击者进行仿真实验,结果表明,该算法在算法精确度和可信度方面明显优于汇总CVSS分数算法,更加接近实际仿真结果。 相似文献
9.
10.
11.
当今我国的网络安全形势严峻,政府网站成为不法分子重点攻击的目标,加强政府网站安全建设刻不容缓。本文以武汉市为例,分析了政府网站的安全现状;通过在线安全漏洞扫描,对各部门政府网站存在的安全漏洞进行了分析总结;最后针对监测中发现的安全漏洞,以及各单位的漏洞修复情况,从安全技术、安全管理两个层面提出防范措施。 相似文献
12.
依据相关IEC和API标准,对空分装置三大机组(蒸汽透平、空压机和增压机)的安全联锁系统(SIS)做了安全完整性等级(SIL)技术评估,确定了空分三大机组安全联锁系统中的安全联锁功能(SIF),给出了各安全联锁功能(SIF)所需达到的安全完整性等级(SIL),提出并分析了空分三大机组安全联锁系统中存在的多个典型问题,最后针对问题分别给出了相应的改进建议。研究结果对空分装置三大机组和类似机组的安全、稳定、长周期运行有借鉴意义。 相似文献
13.
14.
15.
浅析Web应用软件开发安全 总被引:1,自引:1,他引:0
Web应用软件的安全问题日益突出, 提高软件代码自身安全和在软件开过程中控制安全风险成为亟需解决的问题. 本文首先剖析了Web应用常见的安全漏洞, 分析其表现形式、形成原因、规避措施, 并提出了在软件开发生命周期全过程中预防安全漏洞的措施和方法. 通过从软件开发过程管理和技术手段两个方面系统性地预防Web应用安全风险, 有效地提高了交付Web应用软件的安全性. 相似文献
16.
随着信息安全等级保护工作在国内的推进,信息安全测评技术趋向成熟,测试床在测评机构建设过程中已成为硬实力和软实力的象征。如何对目标信息系统进行深层次安全评估,如何对关键基础设施进行安全评估,安全防护措施是否真的起到应有的防护效用,系统安全防护是否在攻防博弈中占据优势是等级保护测评、建设、整改需要解决的关键问题。文章从信息安全评估的角度出发,在对已有软硬件资源整合的基础上,采用流程用例、算法用例、数据处理用例、测试用例的规约进行评估业务流程的规范和整合,提出了基于测试床模拟的通用安全评估框架,为深度安全评估、关键基础设施模拟、安全防护技术验证、安全攻防实验提供灵活的可扩展的解决方案。 相似文献
17.
随着信息安全等级保护工作在国内的推进,信息安全测评技术趋向成熟,测试床在测评机构建设过程中已成为硬实力和软实力的象征。如何对目标信息系统进行深层次安全评估,如何对关键基础设施进行安全评估,安全防护措施是否真的起到应有的防护效用,系统安全防护是否在攻防博弈中占据优势是等级保护测评、建设、整改需要解决的关键问题。文章从信息安全评估的角度出发,在对已有软硬件资源整合的基础上,采用流程用例、算法用例、数据处理用例、测试用例的规约进行评估业务流程的规范和整合,提出了基于测试床模拟的通用安全评估框架,为深度安全评估、关键基础设施模拟、安全防护技术验证、安全攻防实验提供灵活的可扩展的解决方案。 相似文献
18.
19.
介绍了网上招标系统(NIPBS)的基本流程,并描述了招标系统的网络传输安全机制.利用Interceptor技术;结合目前流行的CA认证、数字签名等技术,较好地解决了网络上数据传输的安全性问题. 相似文献
20.
文章综合分析了不同类型网络钓鱼攻击的方式、特点,提出一种“事前-事中-事后”循序改进的防护思路,采取不同阶段多种控制手段、多种方式相结合的监测及控制方式,建立一个立足技术监控,覆盖立法监管、培训和教育、举报和反馈等多个层面的反钓鱼体系. 相似文献