基于树状图的电力光纤通信网安全风险模型

文章提出了基于树状图的电力光纤通信网安全风险的量化模型,详细分析了风险与其各个要素资产、威胁、脆弱性和安全措施之间的关系,并用公式具体解释了它们是如何构成风险的,结合电力通信网对各个因素的概念分类进行了阐述.通过建立树状图模型,得出各个因素之间的对应关系,对其合理赋值,通过计算得出了风险值,最后通过实例对模型进行了验证.     

基于模糊AHP的无线通信链路安全风险评估

为准确客观地评估无线通信链路安全风险,通过对其安全性的分析,构建了资产、威胁、脆弱性评估的指标体系,并提出了用于无线通信链路安全风险评模糊AHP算法的综合方法,最后结合矩阵法完成系统风险值的计算。实验表明,算法提高了无线通信链路安全风险评估的科学性和准确性。     

信息安全风险评估的模糊多准则决策方法

基于ISO/IEC17799标准建立了一个综合的信息系统风险分析框架,并运用模糊多准则决策(FMCDM)方法计算信息安全风险,根据风险等级矩阵(RLM)对信息资产风险进行级别划分,最终建立评估信息资产相关风险的完整模型。     

基于风险矩阵的电力公司信息安全风险评估

随着信息化的发展,电力企业信息安全风险管理日益凸显出其重要性.基于某电力公司八个信息安全风险要素分析,运用风险矩阵法对信息安全风险进行评估.建立了包含了专家二维矩阵、运用Borda序值法和层次分析法的评估模型.运用实例计算信息安全风险等级并找出主要安全风险要素,证明了模型的有效性和合理性.研究结果对电力公司加强信息安全风险管理有一定的参考价值.     

基于AHP的通信网风险评估

基于风险管理模型构建的通信网风险评估量化模型是合理调配安全防护资源的重要基础,借鉴层次分析法对信息资产安全价值,信息安全特性,各种威胁影响,关键资产这一递阶层次结构进行资产赋值,并通过风险事件发生可能性的定量计算完成了威胁风险分析。     

公共场所人脸识别应用风险分级方法及治理研究

在人脸识别为人们生活、工作带来便利的同时,也出现了技术滥用、侵犯隐私等问题,其中以公共场所的人脸识别应用问题最为突出。在对人脸识别技术特征、公共场所分类方法、人脸识别应用治理现状进行深入分析的基础上,提出从使用主体角度划分公共场所分类的新方法。并综合应用目的、底库规模、覆盖密度、管理水平和网络环境等5方面风险影响要素,结合层次分析赋权法,给出了“人脸识别应用综合风险值”的量化计算方法。进而使用风险评估矩阵方法,综合考虑“人脸识别应用综合风险值”和“公共场所分类”2大维度,将公共场所人脸识别应用风险等级划分为5级,并从事前评估、通用要求和分级要求等3个方面提出开展人脸识别应用治理的具体建议。     

信息系统安全风险评估若干问题的探讨

信息安全风险评估规范以及相关指南的发布指导了评估工作的开展,但在实际评估过程中存在一些操作性不强或容易混淆的评估方法.本文首先回顾了目前的信息安全风险评估方法,分析了其存在的不足;然后提出了一套新的信息系统的资产分类、威胁分类和系统总体风险评估方法,并概述了建议方法的实用效果.     

基于IAHP和信息熵组合赋权的空域运行风险评估

针对传统空域运行安全风险评估方法中存在的点值评估随意性和间断性等问题,该文提出基于区间层次分析法(IAHP)和信息熵法结合的空域运行风险评估方法。通过广泛采集空域内航空器运行产生的告警信息,深入分析并挖掘出对空域运行产生影响的风险因子,构建一套新的基于"人、机、环"分类思路的风险评估多层指标体系。所提方法主要采用IAHP和信息熵方法分别对评估指标赋权,同时给出主客观权重组合模型,既保证了评估数据的连续性,也兼顾到评估要素的客观性,并在风险隶属度矩阵基础上进行模糊综合评价。最后对某飞行情报区一段时间的运行状态进行实例评估,结果表明,该模型在空域运行风险方面具有良好的适用性和有效性,为空中交通安全风险管理提供理论上的决策支持。     

灰色预测模型背景值赋值不合理性的证明及改进

文章根据灰色预测模型的建模机理,针对灰色预测模型中背景值的赋值过程,结合拉格朗日中值定理从数学上证明了灰色预测模型中背景值的赋值是不合理的。针对其不合理性,提出了一种模型改进的方法。并以重庆市农村用电量进行了实证分析,验证了模型改进的效果。     

基于PSO-LightGBM的网络资产脆弱性评估模型

随着网络空间资产探测技术的不断发展,越来越多的资产脆弱面暴露在公众面前,在一定程度上增加了网络资产的安全风险。对网络资产进行脆弱性评估,可以及时发现脆弱性较强的高危资产,在安全事件未发生时主动对脆弱的网络资产进行保护和修复,从而有效降低网络安全事件发生的概率。现有研究主要集中在网络资产漏洞评估及网络系统脆弱性评估上,对网络资产脆弱性评估方法的研究还比较匮乏。为了更好地保护网络资产安全,提出了一种基于粒子群优化算法轻型梯度提升机(particle swarm optimization-light gradientboosting machine, PSO-LightGBM)的网络资产脆弱性评估模型。首先,依据行业标准和专家经验,提出针对网络资产脆弱性的评估指标体系,并根据从网络中爬取的网络资产数据,经预处理后构建了具有12个属性特征、11类标签值的网络资产脆弱性评估数据集;其次,将PSO 算法与LightGBM 模型相结合,利用机器学习方法实现网络资产脆弱性的自动化评估;最后,通过实验对比了几种机器学习模型在数据集上的表现,结果表明,基于PSO-LightGBM的网络资产脆弱性评估模型的评估准确率可以达到91.24%,充分验证了该模型的有效性。     

信息安全风险评估策略研究

风险评估是当前企事业单位信息化工作的迫切需要和客观的需求,在此结合当前风险评估发展的现状,通过构造风险评估模型,提出了一种以定量方式为主的结构化的风险评估分析方法。该方法通过分析信息资产价值、威胁值、弱点值,合理地计算出风险值后构造出一种结构化的风险评估体系,提高了信息系统的安全防护能力。     

改进的FAHP信息安全风险评估方法

结合当前信息安全风险评估的特点和发展现状,将模糊数学的相关优选理论、模糊一致矩阵、变权法、二次评判有机结合,提出了一种基于FAHP的信息安全风险评估模型的改进方案。首先,模糊一致矩阵的引入,保证了判断矩阵的一致性。其次,将变权法引入到权重向量的计算过程中,促使综合指标增大,使评估因素的权重能更好地体现相应因素在决策中的作用。最后,通过引入二次评判,提高了风险评估的准确性。通过实例分析,证明了该方法可以有效的应用到信息系统安全风险评估中去,实验结果符合实际。     

基于改进DS证据理论和BN的信息安全风险评估

针对信息安全风险评估过程中专家评价意见的多样性以及不确定信息难以量化处理的问题,提出了一种基于改进的DS证据理论与贝叶斯网络(BN)结合的风险评估方法.首先,在充分研究信息安全风险评估流程和要素的基础上,建立了风险评估模型,确定风险影响因素;其次,根据评估模型并结合专家知识构建相应的贝叶斯网络模型,确定贝叶斯网络模型中的条件概率表;再次,利用基于权值分配和矩阵分析的改进DS证据理论融合多位专家对风险影响因素的评价意见;最后,根据贝叶斯网络模型的推理算法,计算被测信息系统处于不同风险等级的概率值,并对结果进行有效性分析.分析表明,将改进后的DS证据理论与贝叶斯网络应用到风险评估过程中,在一定程度上能够提高评估结果的可信度和直观性.     

基于业务流程的ERP信息安全进化熵的风险评估

ERP内部安全漏洞与业务流程紧密结合,与业务流程呈现共生性,使信息资产的价值具有了动态属性并难以确定,因此此类安全问题不易被及时捕捉和评估。通过对ERP系统与其他信息系统在信息安全方面的区别,提出基于业务流程的ERP系统信息安全进化熵的概念,并建立了适应ERP系统特点的风险评估模型,为ERP系统的信息安全风险评估提出了新的思路。     

信息安全风险评估ASMI方法论的应用研究

基于信息安全风险评估工作的发展现状,为进一步提高其科学性和实践价值,通过综合分析信息安全风险评估相关标准和实践方法,建立以追求信息安全客观风险为目标的信息安全风险评估思想,并构建了由安全现状（Aactuality）、参考基准（Standard）、测量模型（Model）和工程实施（Implementing）4个方面组成的信息安全风险评估方法论（简称ASMI方法论）。同时,还深入分析了ASMI方法论的组成要素、相互关系、应用方法和实践价值。该方法论有望对信息安全风险评估业务、信息安全保障体系建设和信息安全标准体系的协调发展起到积极的促进作用。     

基于模糊Petri网的网络风险评估模型

针对网络安全风险评估过程中存在的复杂性,以资产、脆弱性和威胁为安全评估的关键因素,建立安全分析的层次化评估指标体系。引入可信度概念,提出了一种基于模糊Petri网的安全风险评估模型以及模糊推理算法,同时结合层次分析法,采取定性与定量分析相结合的方法进行安全评估。实例分析表明：与传统的综合风险评估方法相比,基于模糊Petri网的风险评估方法给出的结果更加准确和科学。因此,该方法更适合应用于实际的网络系统风险评估中。     

信息系统的模糊风险评估模型

提出了一种信息系统的综合风险评估模型。首先采用AHP（analytic hierarchy process）与模糊逻辑法相结合的方法进行风险评估，并根据信息系统风险评估的实际情况对2种方法进行了改造。应用模糊逻辑法对各个风险因素从概率方面、影响方面、不可控制性方面分别评价其重要度，利用AHP求出各个风险因素的风险值，通过比较各个因素的风险值，指出哪些风险需要采取措施加以控制。其次通过引进信息熵，求出各个风险因素在系统风险评估中所占的比例，可以计算整个系统的风险度，由此决定系统的总体风险水平。通过实例分析可知，该模型可以方便地用于信息系统风险评估，实验结果符合实际。     

商业银行信息科技风险评估研究与实施

银行业数据大集中导致风险大集中,一旦发生信息安全事件,可能导致银行一夜关门。通过开展信息科技风险评估工作,提前发现和消除风险隐患显得尤为重要。简要总结ISO 27001、ISO 15408、ISO 13335、NIST风险管理框架、GB/T 20984这5个国内外风险评估标准,介绍了基线风险评估、重要系统风险评估、流程风险评估、资产风险评估的评估方法和管理类、技术类、辅助类风险评估工具,希望能推动银行业风险评估工作。