信息系统风险评估方法的研究

在信息安全领域,风险评估是建立信息系统安全体系的基础和前提,而风险评估方法对评估的有效性起着举足轻重的作用.风险评估方法有很多种,每种方法都有其不足之处.设计的风险评估方法采用威胁树模型和层次分析法相结合的方式,利用两种评估方法的优势,弥补了单一风险评估方法的不足,旨在探讨一种更有效、更合理、更准确的风险评估方法.     

信息系统风险灰色评估方法

信息系统风险评估的数据不够充分,传统的风险评估方法难以采纳。为评估信息系统风险,通过分析风险与安全事件的关系,以安全事件的组成元素构建信息系统风险的评估指标,并依据标准进行风险的分级量化。在此基础上,运用灰色评估方法,建立信息系统风险多层灰色评估模型,描述了信息系统的风险灰色综合评估过程,并进行了实例计算。该方法是信息系统风险评估的一种有效方法。     

机载系统安保风险评估方法

针对影响民用飞机机载系统安全的信息安保威胁问题,通过研究ISO27005和航空工业标准,提出了一种适用于机载系统的安保风险评估方法。该方法基于威胁条件和威胁场景进行系统脆弱性分析,并结合传统的飞机安全性分析方法与安保风险评估方法,提出一套可量化的风险值计算方法。通过关系矩阵在安全性与安保等级间建立了相关性,为系统需求和架构设计提供了依据。实例验证结果表明,该方法能提供正确与可信的机载系统安保风险评估数据。     

面向对象的安全风险评估系统设计与开发

为提高通信保密系统安全风险评估的智能化水平,在论述通信保密系统安全风险评估的特点及其评估方法的基础上,设计并开发了面向对象的安全风险评估系统.针对系统需求分析与系统工具选择开展研究,给出了安全风险评估系统的总体结构,从系统工作流程和原理、系统概念模型框架、评估方法模型库的实现和管理、工程设计要求及系统实现步骤等5个方面进行了系统详细设计.     

A fuzzy-probabilistic earthquake risk assessment system

This paper presents an outline of a risk assessment system for evaluating the expected damage of structures and the consequent financial losses and casualties due to a likely earthquake under elevated uncertain conditions; namely where neither the statistical data nor the seismological and engineering knowledge required for such evaluations are sufficient. In such cases, we should consider extra dimensions of uncertainty, in addition to probability that is usually sufficient for expressing the risk of losses and casualties due to an earthquake where such knowledge and data is available. In the present paper, the uncertainties caused by the insufficient knowledge about the interdependency of various parameters have been considered by means of fuzzy relations. Moreover, the uncertainties in eliciting the likelihood of the seismic hazard have been expressed by fuzzy probability in the form of possibility-probability distributions (PPDs). In other words, fuzzy set theory is employed to complement the standard probability theory with a second dimension of uncertainty. By composition of the fuzzy probability of the seismic hazard and fuzzy vulnerability relation of target structure, the fuzzy probability of damage can be derived. The proposed approach has also been compared with an alternative approach for obtaining a PPD of the hazard. As a case study, the risk assessment system has been tested on a sample structure in the Istanbul metropolitan area.     

专用园区网络系统安全风险评估研究

对网络安全的风险评估不仅是专用网络系统建设的重要内容,也是其园区单位进行网络安全规划、实施与管理的基础.结合园区网络系统安全的现状,阐述了对专用园区网络信息安全风险评估问题的认识,通过构建风险评估模型及量化方法,结合评估过程实例,分析了目前用于专用园区网络系统安全风险评估的主要过程,并针对网络信息安全风险评估结果中存在的问题,研究了相应可行的方法对策.     

An adaptive neuro-fuzzy inference system for bridge risk assessment

Bridge risks are often evaluated periodically so that the bridges with high risks can be maintained timely. This paper develops an adaptive neuro-fuzzy system (ANFIS) using 506 bridge maintenance projects for bridge risk assessment, which can help Highways Agency to determine the maintenance priority ranking of bridge structures more systematically, more efficiently and more economically in comparison with the existing bridge risk assessment methodologies which require a large number of subjective judgments from bridge experts to build the complicated nonlinear relationships between bridge risk score and risk ratings. The ANFIS proves to be very effective in modelling bridge risks and performs better than artificial neural networks (ANN) and multiple regression analysis (MRA).     

基于AHP和模糊综合评判的信息安全风险评估

从信息安全风险评估的原理和研究现状入手,提出了基于层次分析法（AHP）和模糊综合评判的信息安全风险评估的方法,解决了风险评估中定性指标定量评估的难点。最后给出实例,证明该方法能有效地应用于信息安全风险评估。     

风险管理模式下的数据保护影响评估制度

伴随大数据时代个人信息保护领域风险管理理论的广泛应用,数据保护影响评估已经成为推动个人数据保护的重要制度。运用文献研究、实证分析的方法,以2016年欧盟《一般数据保护条例》（GDPR）对数据保护影响评估的规定为样本,深入分析数据保护影响评估的理论背景、兴起与演变、含义、适用范围等内容,以期搭建规范、明确的影响评估制度,加强个人信息保护。数据保护影响评估内容不限于隐私风险评估,还包括数据安全、数据质量、非歧视等内容;对于容易带来高风险的数据处理行为,应设定数据保护影响评估为强制性义务;评估过程应听取利益相关者的意见,反映其利益需求;加强外部监督并适度公开评估报告。     

基于本体和语义规则的信息系统安全域划分

伴随着信息化全面建设,越来越多的信息化系统运用于各行各业,为广大的人民群众和国家带来信息化时代的便捷性与优越性,但是同时随之产生一系列复杂的安全问题也亟待解决。因此针对于信息系统领域的安全域划分方法及评估指标体系研究显得尤为重要。为此,提出了基于语义万维网技术和本体论技术的安全域划分方法,并在此基础上设计了针对于信息系统安全领域的本体,并且运用于实际案例中,完成技术方案的实际运用效果测试,实现为安全测评人员提供更方便的信息系统评级划域方法。     

信息安全风险评估工具的设计与实现

研究了信息安全风险评估工具的分类方法与发展趋势,在参考国内外评估方法和评估工具的基础上,对风险评估工具进行了设计与实现。该工具是专家评估系统,根据自定义的安全策略和安全基线动态生成调查问卷表,运用定量和定性相结合的方法进行风险评估,为提高风险评估效率、确保评估结果的科学性提供了有力支持。     

基于模糊集和熵的工控系统灰色风险评估模型

为减少工业控制系统(ICS)风险评估中专家主观性的影响,使评估结果体现资产在可用性、完整性和机密性(AIC)3个方面不同的安全需求,提出一种基于模糊集和熵的灰色风险评估模型。结合威胁种类和安全目标,建立风险评估指标体系;引入模糊集和信息熵对权重的计算方法进行改进;将灰色理论用于风险评估,计算出ICS整体的风险、各设备风险以及设备在AIC这3方面面临的不同风险。对民航某ICS的应用结果表明,该模型能较为全面地评估系统的风险,为ICS防护提供重要依据。     

一种基于云模型的网络安全风险综合评价法

本文运用云理论,对传统的网络安全风险模糊综合评价法进行改进,首先用云模型建立风险等级评语集,再对各单个因素的评语用云模型描述,并对这些评语的期望值进行修正,最后求出系统综合风险云模型,通过与评语集对照确定风险级别。实例证明了该方法的可行性。本方法较模糊综合评价法更客观、本质地反映网络安全风险状况。     

城市埋地燃气管网风险模糊综合评价——系统设计及应用研究

实施燃气管网风险评价对城市公共安全与防灾减灾具有重大的意义。在建立模糊综合评价模型后,要实现计算机程序化,才能够高效地应用到工程领域中,介绍了模糊综合评价模型的程序化,并且结合计算机辅助设计技术,提出了基于WebGIS的燃气管网风险模糊综合评价系统的总体设计思路和方法,分析了系统的设计特点和技术特色。结合工程应用实例,展示系统设计开发的可行性和实际应用效果,它可成为燃气管网安全管理的一套可视化管理工具,可有效地提供辅助决策支持。     

辅助决策系统在城市快速公交专用道设置中的应用*

将GIS技术与专家系统相结合,先对城市地理空间数据进行表示,然后用与或树结构对公共交通领域知识进行表达,并采用深度优先搜索和回溯技术实现推理引擎.对GIS和ES之间的接口和其中所涉及到的空间知识进行了研究探讨.所构建的辅助决策系统能够很好地对城市公交线路进行指标评测和完成对公交专用道规划的选取.     

马尔科夫逻辑网在信息安全风险管理中的应用

针对现有的企业安全风险管理中,风险处理方案的制定和管理措施的选择缺乏量化手段、手动风险分析方式耗时过长等问题,提出了一种基于马尔科夫逻辑网的信息安全风险管理方法。首先利用马尔科夫逻辑网对被评估系统组件及服务间依赖关系进行描述,进而利用马尔科夫逻辑网的边际推理模型来预估不同安全管理措施情况下的系统可用性值,从而为管理措施的选择提供了量化依据。案例研究表明,该方法能够为企业信息系统安全风险管理措施的选择提供可靠的量化依据,且方法实施简单易行。     

School location methodology in urban areas of developing countries

This study is concerned with the location of primary public schools. The public system should have the capacity to satisfy all the demand, although students may choose between public and private schools if they can afford the corresponding costs. A number of factors, such as questionable education quality, limited capacity, poor location and social preferences, secure a participation of about 30% to the private school system. The purpose of this study is both the evaluation of the existing public school network and a relocation proposal. The result of the former was the identification of areas with shortage and excess in school offer. The latter suggests school relocation using capacitated and uncapacitated models. ArcView, a software of the geographic information system (GIS) family, was employed, allowing the efficient handling of large problems and improving the presentation and evaluation of the findings. This methodology was applied to the primary public school network in the area of Vitoria, a state capital located in the southeast region of Brazil with about 300,000 inhabitants. Finally, the practical use of this study and its importance for planning purposes are discussed.     

多因素分层模糊综合风险评估方法的应用研究

针对电子档案信息安全指标体系中的指标属性冗余的问题,提出了基于相关分析的指标属性检测方法。该方法采用量化指标属性的原则,根据指标属性的平均值和标准差,度量指标属性间的相关性;针对信息安全风险评估准确度不高的问题,提出了多因素分层模糊综合评估模型,该算法采用了层次分析法和模糊数学理论。某单位的电子档案信息系统的实际应用结果表明,该方法能直观、有效地评估系统,评估结果与实际吻合程度较高,为信息安全风险决策提供可靠的依据。     

税务信息系统风险分析方法研究

研究了税务信息系统的风险分析方法.首先识别对象系统的特征;然后给出完整的基于矩阵的相对量化风险分析方法和步骤;最后以陕西省国家税务局信息系统为实例,得到对象系统的风险分析结果.     

灰色聚类法在软件项目风险评价中的应用

软件风险的控制在当今软件开发过程中显得越来越重要,而软件项目风险评价的好坏直接影响到风险的管理。目前,大多数软件项目风险评估技术本质上都是基于主观的,而客观地依赖于度量技术进行软件项目风险分析的研究还很少。针对软件项目风险管理的要求,建立了评价指标体系,提出了基于灰色聚类的软件项目风险评价方法。文中案例分析证明了该方法的科学性、客观性与合理性。