电力信息系统动态风险评估方法研究

信息系统风险评估是对信息系统的资产面临的威胁、存在的弱点、造成的影响,以及三者总和作用而带来风险的可能性的评估,是实施信息系统风险管理的基础。为了对电力信息系统的安全性能进行动态评价,结合实体行为对系统风险的影响,对现有的静态风险评估算法进行了改进,给出了基于电力信息系统的一种动态风险计算方法,理论分析和结果表明,改进方法提高了评估结果的可靠性和时效性。     

基于数据挖掘的信息系统安全态势估计

针对当前信息系统安全态势估计存在实时性差、误差高等问题,提出数据挖掘的信息系统安全态势估计方法。将数据发现和预处理输出的资产列表以及威胁列表反馈到安全态势分析评估阶段,在对安全态势进行分析评价时,先采集引发风险的各类威胁因子,采用泊松分布方法运算威胁产生的频率,对系统资产的脆弱性进行赋值,最后获取威胁频率,采用模糊数学方法得到信息系统安全态势估计的多因素以及单因素风险决策,分析风险的损耗程度,获取综合安全态势评估值。实验结果表明所提方法可对信息系统安全态势进行精准评估。     

一种基于STRIDE威胁模型的风险评估方法

信息系统风险评估是信息安全保障机制建立过程中的重要评价方法和决策机制,已成为国际上考察信息系统安全性的一个重要环节.文中针对信息系统风险评估提出了一种基于威胁模型的评估方法,通过对信息系统中涉及关键资产的数据流构建STRIDE威胁模型来识别威胁,并量化威胁发生的可能性和严重程度,从而进一步评估信息系统的安全风险.     

信息安全风险评估研究和实践

风险评估研究现状从2000年开始,我国一些信息安全研究机构、大学和企业开展了网络风险评估工作,提出了一些风险分析和评估的实施方法。这些方法基本上都是基于BS7799或ISO13335对用户进行问卷调查和对信息系统进行漏洞扫描、日志分析的。目前,自动化程度高的风险评估工具比较匮乏。总体而言,风险评估研究正在由技术评估向整体评估发展,关联性分析更加复杂,资产、风险分析的定量比例越来越大。风险评估模型在国际上的典型风险评估模型,如ISO13336、ISO15408风险评估模型中,清晰地阐述了资产、脆弱点、威胁、风险几大要素的关系。在参考…     

一种用于信息系统风险评估的资产风险计算方法

对信息系统风险评估是实施系统安全建设、运行的前提。对资产风险的计算应首先识别该资产与机密性、完整性、可用性的关系，构造信息安全特性系数；在识别资产的威胁及其影响的基础上，依据规则计算该资产所有威胁的风险系数，并基于资产价值进行风险量化评估。     

基于信息资产的风险评估方法的研究与实现

介绍了基于信息资产的信息安全风险评估方法,并设计了风险评估工具。通过使用该工具,可以完成对系统的资产、威胁、脆弱点等风险识别以及后续处置措施的跟踪,并能输出风险评估报表和统计风险发生趋势。该方法可以保证风险评估的全面性和完整性,能够有效发现、评估信息风险并加以处置。     

一个灰色信息安全风险评估应用模型

在信息系统安全风险评估研究方面,现有不少方法是非定量的或者抽象的,它们对系统安全风险只做出定性描述。目前缺乏能够对系统安全风险作出定量描述的评估模型。基于灰色层次模型提出了一个定量的信息系统安全风险评估模型,并结合熵权理论给出了相应的风险值计算方法,以消减主观因素的影响,提高评估结果实用性。最后通过一个应用实例对该模型的实用价值进行验证。     

信息系统安全风险评估若干问题的探讨

信息安全风险评估规范以及相关指南的发布指导了评估工作的开展,但在实际评估过程中存在一些操作性不强或容易混淆的评估方法.本文首先回顾了目前的信息安全风险评估方法,分析了其存在的不足;然后提出了一套新的信息系统的资产分类、威胁分类和系统总体风险评估方法,并概述了建议方法的实用效果.     

基于模糊综合和AHP的内联网信息安全风险评估

随着信息化建设步伐的加快,信息安全面临的风险日益增加。为了对信息安全风险进行评估,提出一种基于模糊综合评判和AHP的信息系统安全风险评估方法,分析了系统面临的风险威胁,建立了评估指标体系,通过AHP确定指标权重,对某单位局域网信息系统安全进行了风险评估,确定了风险等级,指出了风险来源,结果表明,该方法能较好地量化评估信息系统安全风险。     

广播电视光缆干线传输网传输安全风险评估方法研究

本文依据信息安全风险评估标准,针对广播电视光缆干线网资产识别、威胁识别、脆弱性识别、风险计算进行了研究,提出了广播电视光缆干线网传输安全风险评估方法,为对光缆干线网传输安全进行风险评估和自评估提供了参考。