VaR法在信息安全风险评估中的应用探讨

目前风险分析方法以定性分析为主。但是定性分析方法有很大的局限性:首先,定性的分析方法不是用数学或统计的工具将风险模型化,因此一次风险评估的成败与执行者的经验有很大的关系。其次,由于没有对影响大小给出具体的定量度量,因此使得对控制措施进行成本效益分析变得很困难。但是很多时候,做这种分析往往是必要的。本文讨论风险的定量测量VaR法在信息安全风险评估中的应用。     

基于博弈论的综合赋权法的信息安全风险评估

为了合理确定风险评估中风险因素的权重,对信息安全风险进行科学的评价,在确定风险因素权重时,本文应用基于博弈论的综合赋权法将主、客观权重集成为风险因素的综合权重。并利用该方法对信息系统进行了实例分析,说明了该方法所得的评估结果科学合理,为信息系统风险评估提供了一个新的思路。     

故障树分析法在信息安全风险评估中的应用

信息安全成为人们关注的热点问题,如何定性地构建信息安全风险评估体系以及定量地分析出众多风险因素中的关键部分是关注的首要问题。通过故障树分析法构建了信息安全风险评估模型,然后通过定性分析和定量分析,寻找出导致安全风险爆发的主要因素。初步试验结果标明,该评估模型具有一定的实用性和扩展性。     

模糊综合评价法在风险评估中的应用

在风险评估过程中究竟使用何种方法来进行评估,对整个评估过程和评估结论起着举足轻重的作用。本文介绍了模糊综合评价的基本思想和方法,给出了模糊综合风险评估法的实施过程,并举例说明了该方法的应用。     

信息安全风险评估方法研究

在风险评估过程中究竟使用何种方法来进行评估,这对整个评估过程都起到举足轻重的作用。评估方法的选择直接影响到评估过程中的每个环节,甚至可以左右评估结果。本文在分析和比较了常用的几种风险评估法后,给出了模糊综合风险评估法。该方法采用模糊数学和加权平均法对系统中各个层次上的评估项进行综合处理,形成最终的系统评估结论。     

信息安全风险评估在构筑信息安全保障体系中的作用与地位

近年来,我国面临的信息安全形势十分严峻,对信息安全的保障需求日益提高,从而加大了对信息安全保障体系建设的迫切性。其中,作为衍生于信息安全保障体系建设过程中,又指导着信息安全保障工作开展的信息安全风险评估理论和实践,既是一个重要手段和补充,又是一个安全评估在信息技术领域应用的崭新领域。如何利用信息安全风险评估构筑信息安全保障体系,成为当前信息安全保障工作的重要课题。文章主要从信息安全需求、信息安全保障过程中实际存在的困难以及信息安全风险评估的理论等三个方面的论述,并针对信息安全风险评估在构筑信息安全保障体系中的作用与地位的问题展开探讨和研究,最后阐述了信息安全风险评估的实践理论对信息化安全保障工作的启示意义。     

信息安全风险评估在信息安全体系建设中的应用分析

计算机网络和信息系统存在大量的安全隐患,通过风险评估及早发现安全隐患并采取相应的加固方案成为信息安全保障建设必不可少的一部分。本文介绍了开展风险评估的必要性、时机的选择,以及风险评估的内容和开展风险评估应遵循的原则。     

云计算中的信息安全风险评估

云计算具有快速灵活、随需求而变、按使用付费、可扩展能力强等特点,其应用愈来愈广泛,如何评价云计算服务的安全风险是信息安全领域面临的新问题.由于云计算服务具有传统意义上的信息系统特点,结合云计算架构的三个服务层次:基础设施即服务、平台即服务和软件即服务.以信息系统安全风险评估的规范性动作为基本流程,从客户端和服务端两个角度,对如何实施信息安全风险评估加以阐述,为人们分析云计算服务中可能存在的安全风险和评价云计算的安全性提供参考.     

多层次模糊综合评判法在信息安全风险评估中的应用

从信息安全风险评估的原理和研究现状入手,提出了基于层次分析法（AHP）和模糊综合评判的信息安全风险评估的方法,解决了风险评估中定性指标定量评估的难点.最后给出实例,证明该方法能有效地应用于信息安全风险评估.     

美国信息安全风险评估探析

本文介绍分析了美国信息安全风险评估,并阐述了其对我国信息安全风险评估的启示。     

基于AHP和模糊综合评判的信息安全风险评估

从信息安全风险评估的原理和研究现状入手,提出了基于层次分析法（AHP）和模糊综合评判的信息安全风险评估的方法,解决了风险评估中定性指标定量评估的难点。最后给出实例,证明该方法能有效地应用于信息安全风险评估。     

基于可拓集的信息安全风险评估

针对信息安全风险评估中风险要素关系复杂、评价因素难以准确度量的问题,以威胁为中心组织风险要素、建立风险评估模型并实现基于可拓集的风险评价方法。此模型应用资产、弱点和控制措施对威胁发生可能性和后果进行评估,并呈现系统风险的层次结构。基于此模型,可拓集方法将评价因素的定性表达区间化并利用区间关联函数实现定性向定量的转化,然后根据定量的风险关联度向量对系统风险做出定性的判决,从而实现系统风险的定性与定量相结合的评估。具体的实例分析表明了此方法的可行性和有效性。     

信息系统风险评估方法的研究

在信息安全领域,风险评估是建立信息系统安全体系的基础和前提,而风险评估方法对评估的有效性起着举足轻重的作用.风险评估方法有很多种,每种方法都有其不足之处.设计的风险评估方法采用威胁树模型和层次分析法相结合的方式,利用两种评估方法的优势,弥补了单一风险评估方法的不足,旨在探讨一种更有效、更合理、更准确的风险评估方法.     

基于评估流程的信息安全风险的综合评估

对信息安全风险评估提出了一种新的评估方式。根据风险评估流程,采用模糊综合评判法和AHP方法相结合的方法,对信息系统安全风险进行综合评估。采用模糊综合评判的方法,对资产、威胁、脆弱性进行评估,判断资产的风险等级,求出资产风险值,对系统风险进行定量评定。在评估资产时,对资产的安全特性：机密性、完整性、可用性,采用AHP的方法,构造比较判断矩阵,求出各因素的权重。通过实例验证,该方法操作方便,评估结果准确,具有一定的实际意义。     

信息安全风险控制的PROMETHEE决策方法研究

在成本效益分析的基础上,引入“级别高于关系”的PROMETHEE多属性偏好指数,提出了基于PROMETHEE方法的信息安全风险控制模型。该模型利用决策者给出的偏好,设置偏好函数、准则值和准则权重,从方案优劣程度入手,计算备选方案的“优势流”和“劣势流”,得到方案集的部分或完全排序,并基于此对安全控制措施的备选方案进行有效地筛选。还对该模型的灵敏度进行了分析和验证,最后结合实例分析了该风险控制模型的有效性。     

一种结合内容的网站信息安全风险评估系统

在目前使用的网站信息安全风险评估系统中,结合内容安全方面的评估是比较欠缺的。针对这一问题,提出了一种结合内容安全的评估方案,并提出了网页内容风险计算方法。同时很好地结合了问卷方式和自动扫描方式,实现了一个面向网站信息内容安全的风险评估系统,具有比较好的实际效果。     

基于实时告警的层次化网络安全风险评估方法

为了准确地评估网络安全风险,提高网络的整体安全性,提出了基于实时告警的层次化网络安全风险评估方法.提出了一种包含服务、主机和网络3级的网络分层风险评估模型.在此基础上以IDS (intrusion detection system)作为数据源,以威胁对象价值、脆弱性严重程度和威胁出现的频率作为核心变量,针对威胁攻击对象的不同进行分类计算,通过加权的方式计算网络各层的安全风险值.分别以实验室网络环境及校园网环境为实例,表明了该方法的准确性和有效性.     

基于模糊神经网络的信息安全风险评估模型

对信息系统进行有效的风险评估,选择有效的防范措施,主动防御信息威胁是解决信息系统安全问题的关键所在。将神经网络和模糊理论应用于信息安全的风险评估。首先针对信息安全风险评估的不确定性和复杂性,将神经网络理论应用到风险评估。其次,针对神经网络适合定量数据,对于定性指标的分析缺乏相应的处理能力,而风险因素的指标值具有很大的不易确定性等问题,采用模糊评价法对信息安全的风险因素的指标进行量化,对神经网络的输入进行模糊预处理,提出了基于模糊神经网络的风险评估方法。仿真结果表明：模糊神经网络经过训练,可以实时地估算风险因素的级别。     

基于梯形模糊AHP的信息安全风险综合评估

为提高风险评估的可信度,针对传统的层次分析法在确定因素权重方面存在的问题,引入梯形模糊数来确定权重,提出了基于梯形模糊层次分析法的综合评价方法,解决了风险评估中定性指标定量评估的难题。通过实例分析,验证了该方法的合理性和可行性。     

基于扩展攻击树的信息系统安全风险评估

在攻击树模型的基础上,对该模型进行扩展,提出了一种新的定量的风险评估方法.在对叶子节点(原子攻击)风险值的量化中,采用了多属性效用理论,使得评估更加客观;对该方法的每一步骤均给出了具体的算法,为实现自动化的评估工具建立了基础.