共查询到20条相似文献,搜索用时 15 毫秒
1.
在信息安全领域,对信息系统进行风险评估十分重要,其最终目的是要指导决策者在"投资成本"和"安全级别"这两者之间找到平衡,从而为等级化资产风险制定保护策略和缓和计划。随着信息安全风险评估方法的不断发展,由于传统的风险评估方法对数据处理比较单一,对于系统总体风险评估较为薄弱.文中提出一种基于数据融合和隐马尔可夫模型的概率风险评估方法。使用数据融合技术,将多种安全工具提供的信息加以智能化分析、综合,产生比单一信息源更精确、完全和可靠的数据。基于数据融合模型的输出,使用隐马尔可夫模型进行风险评估,可以预测信息系统未来的安全状态,并通过用户的视角探索可能的安全状态,动态地量化企业信息系统资产,通过整合不同来源的信息,利用专家给出的概率信息确定动态变化资产未来的风险级别。 相似文献
2.
3.
桂若柏 《信息安全与通信保密》2009,(9):110-112
论文针对信息安全评估过程中风险值的计算问题,在风险评估的概念基础上,提出了以风险管理为核心的评估模型。具体分析了该模型中资产、脆弱性、威胁等关键因素的属性、评估方式、赋值计算方法,然后根据评估模型的风险增减关系得出风险值的计算公式,并提供了形象的计算示例。由于在赋值计算过程中大量依赖评估者的经验,风险值的具体数额未必完全精确反映风险状况,论文遵循先定量后定性的理念,提出了半量化的风险分类矩阵,将风险值对照矩阵的区间值得出信息资产风险严重程度的分类评价,以便归类处置。 相似文献
4.
银行业数据大集中导致风险大集中,一旦发生信息安全事件,可能导致银行一夜关门。通过开展信息科技风险评估工作,提前发现和消除风险隐患显得尤为重要。简要总结ISO 27001、ISO 15408、ISO 13335、NIST风险管理框架、GB/T 20984这5个国内外风险评估标准,介绍了基线风险评估、重要系统风险评估、流程风险评估、资产风险评估的评估方法和管理类、技术类、辅助类风险评估工具,希望能推动银行业风险评估工作。 相似文献
5.
信息安全风险评估研究和实践 总被引:1,自引:0,他引:1
邹茂扬 《信息安全与通信保密》2005,23(6):21-23
风险评估研究现状从2000年开始,我国一些信息安全研究机构、大学和企业开展了网络风险评估工作,提出了一些风险分析和评估的实施方法。这些方法基本上都是基于BS7799或ISO13335对用户进行问卷调查和对信息系统进行漏洞扫描、日志分析的。目前,自动化程度高的风险评估工具比较匮乏。总体而言,风险评估研究正在由技术评估向整体评估发展,关联性分析更加复杂,资产、风险分析的定量比例越来越大。风险评估模型在国际上的典型风险评估模型,如ISO13336、ISO15408风险评估模型中,清晰地阐述了资产、脆弱点、威胁、风险几大要素的关系。在参考… 相似文献
6.
井光山 《信息安全与通信保密》2001,(7)
3.进行信息安全风险评估:信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应与组织对信息资产风险的保护需求相一致。在组织进行信息安全风险评估时,具体有三种风险评估方法可供选择。 基本风险评估:仅参照标准所列举的风险对组织资产进行风险评估的方法。基本风险评估所需要的人 相似文献
7.
张本群 《微电子学与计算机》2012,29(9):71-73,78
为了电子政务系统安全信息评估精度,依据资产、脆弱性、威胁等风险评估基本要素,提出一种基于危险理论的电子政务系统信息安全风险评估方法.该方法以威胁为核心,通过威胁分析、梯形模糊数、层次分析法,结合多属性决策理论得到威胁发生的概率、后果属性以及属性值,得到电子政务系统信息安全威胁指数,最后利用威胁指数对风险进行排序,得到系统信息安全的风险等级.仿真结果表明,该方法能够很好地量化电子政务系统信息安全风险指标,有效地提高了风险评估准确性,是一种有效的电子政务系统信息安全评估方法. 相似文献
8.
井光山 《信息安全与通信保密》2001,(7):59
3.进行信息安全风险评估:信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应与组织对信息资产风险的保护需求相一致.在组织进行信息安全风险评估时,具体有三种风险评估方法可供选择. 相似文献
9.
对网络系统进行安全风险评估,是一种获取并掌握网络信息系统目前及未来安全状态的重要方法,对保障网络安全运行具有重要意义。提出了一种优化的基于Markov博弈理论的网络风险评估方法,不同于已有方法单纯地将网络资产的风险状态分为固定类别的方式,该方法依据攻击威胁与修复漏洞的博弈关系得到资产的具体风险情况,刻画更加细致,贴近网络实际;并且将攻击威胁以及漏洞信息进行了归类处理,减小了状态空间,使得模型输入规模大大降低,提高了对大规模网络进行评估的效率。此外,通过引入节点相关性,考虑节点之间风险状况的相互影响,解决了网络安全风险量化过程中普遍存在的忽视网络节点相关性的问题,提高了风险评估的准确性。仿真实验验证了该方法的可行性及有效性。 相似文献
10.
风险评估是当前企事业单位信息化工作的迫切需要和客观的需求,在此结合当前风险评估发展的现状,通过构造风险评估模型,提出了一种以定量方式为主的结构化的风险评估分析方法。该方法通过分析信息资产价值、威胁值、弱点值,合理地计算出风险值后构造出一种结构化的风险评估体系,提高了信息系统的安全防护能力。 相似文献
11.
为保障关键信息系统的安全,明确系统内存在的安全隐患并采取风险控制措施,安全风险评估作为信息安全保障的重要环节,已经越来越受到各行业安全主管人员的重视。文中在广泛研究风险评估理论和实践基础上,设计实现了一个信息安全风险评估管理系统,该系统基于项目管理的形式,实现了风险评估的完整流程,包括问卷调查、资产识别、威胁识别、脆弱性识别、风险识别、统计与分析、风险控制建议等环节。在实际应用中取得了良好的效果。 相似文献
12.
信息安全风险评估工具及其应用分析 总被引:2,自引:1,他引:1
信息安全风险评估是信息安全保障工作中的一种科学的方法。要准确地评价信息系统中的薄弱点和风险状况,除依靠评估人员的技能外,评估工具也是一个重要的环节。文中对风险评估中常用的工具进行分析,分别介绍了主动型、被动型和管理型风险评估工具在风险评估工作中的工作机制与作用,并通过实例展示如何利用评估工具引导评估人员得到相对客观的结果。 相似文献
13.
赵力 《信息安全与通信保密》2004,(11):27-29
系统安全构建过程 信息安全可通过风险评估和风险管理来实现。风险评估是确定系统中各种资产,核实资产存在的安全风险,并确定其规模大小的过程;而风险管理是综合考虑各方面的因素形成系统的安全需求,根据安全需求选择安全控制来降低风险,并通过评估确定安全控制的有效性的过程。风险评估的对象可针对一个复杂的IT系统,也可以针对系统中一个部分。图1显示了包括风险评估和风险管理在内的系统安全实现过程。 相似文献
14.
文中结合信息系统存在的信息数据丢失、泄露等安全风险,应用模糊算法,提出了一种信息系统安全风险评估方法。首先,根据信息安全风险评估定义和风险度量方法,构建了信息系统安全风险分析模型和评估模型。其次,应用模糊算法,创建了基本概念赋值函数,并确定了基础指标与评估指标对应的模糊关系,确定了基本概率赋值函数。最后,以“电力信息系统风险评估”为例,验证该方法的有效性和可靠性。验证结果表明,该方法操作简单、有效、可行,不仅可以精确控制信息系统安全风险,还能提高信息系统的安全防御能力。 相似文献
15.
一种用于信息系统风险评估的资产风险计算方法 总被引:2,自引:0,他引:2
对信息系统风险评估是实施系统安全建设、运行的前提。对资产风险的计算应首先识别该资产与机密性、完整性、可用性的关系,构造信息安全特性系数;在识别资产的威胁及其影响的基础上,依据规则计算该资产所有威胁的风险系数,并基于资产价值进行风险量化评估。 相似文献
16.
信息系统风险评估是信息安全保障机制建立过程中的重要评价方法和决策机制,已成为国际上考察信息系统安全性的一个重要环节.文中针对信息系统风险评估提出了一种基于威胁模型的评估方法,通过对信息系统中涉及关键资产的数据流构建STRIDE威胁模型来识别威胁,并量化威胁发生的可能性和严重程度,从而进一步评估信息系统的安全风险. 相似文献
17.
信息安全风险管理研究 总被引:3,自引:0,他引:3
在信息时代,信息安全风险管理的实施目标就是指导决策者平衡"安全成本"和"安全级别",将风险控制在可接受程度,保护信息及相关资产。信息安全风险管理的两个重要方面和研究热点是风险评估和风险控制,文中阐述了信息安全风险管理的概念和通用的国际标准,介绍了目前在风险评估和风险控制领域的主要方法和需要进一步研究的方向。 相似文献
18.
19.
20.
信息系统的模糊风险评估模型 总被引:21,自引:0,他引:21
提出了一种信息系统的综合风险评估模型。首先采用AHP(analytic hierarchy process)与模糊逻辑法相结合的方法进行风险评估,并根据信息系统风险评估的实际情况对2种方法进行了改造。应用模糊逻辑法对各个风险因素从概率方面、影响方面、不可控制性方面分别评价其重要度,利用AHP求出各个风险因素的风险值,通过比较各个因素的风险值,指出哪些风险需要采取措施加以控制。其次通过引进信息熵,求出各个风险因素在系统风险评估中所占的比例,可以计算整个系统的风险度,由此决定系统的总体风险水平。通过实例分析可知,该模型可以方便地用于信息系统风险评估,实验结果符合实际。 相似文献