面向等级保护的大规模网络动态风险评估方法研究

大规模网络是一个开放的复杂巨系统,本文针对其风险评估中因风险要素的巨量处理和分析周期过长而导致不可操作性、非实时性和结果的非有效性等问题,提出了面向等级保护的大规模网络动态风险评估的模型,风险要素的自动识别、量化方法以及风险要素指标的动态维护机制。有效解决了等级保护定级可操作性以及大规模网络风险评估面临的问题。     

信息系统风险灰色评估方法

信息系统风险评估的数据不够充分,传统的风险评估方法难以采纳。为评估信息系统风险,通过分析风险与安全事件的关系,以安全事件的组成元素构建信息系统风险的评估指标,并依据标准进行风险的分级量化。在此基础上,运用灰色评估方法,建立信息系统风险多层灰色评估模型,描述了信息系统的风险灰色综合评估过程,并进行了实例计算。该方法是信息系统风险评估的一种有效方法。     

多属性群决策理论信息安全风险评估方法研究

信息安全风险评估是信息系统安全工程的重要组成部分,是建立信息系统安全体系的基础和前提。针对信息系统安全评估中风险值计算难以量化、主观因素影响大的问题,提出了一种基于多属性群决策理论OWGA（有序加权几何平均）算子和CWGA（组合加权几何平均）算子的评估方法。采用该方法,解决了风险评估中评估要素属性的权重赋值问题,同时群决策理论的引入提高了风险评估的准确性和客观性。实例分析表明,该方法合理有效,可为信息系统安全风险评估提供新思路。另外,该方法比较适合于指导安全工程实践与评估软件系统的开发。     

风险评估量化分析

文章介绍了风险评估量化模型及量化模型的算法改进,并对智能风险评估方法进行了介绍。文章简要介绍了风险的3要素（资产、弱点、威胁）的风险矩阵分析方法和变精度粗糙的方法,为有效地进行风险评估提供了可行的方法。     

基于模糊评估的等级保护风险评估模型

针对信息系统风险评估中模糊性、不确定性的问题,提出了一种基于模糊评估的等级保护风险评估模型.依据等级保护标准,建立起层次化评估体系,规范风险因素的选取.同时,考虑到评估值可能出现模糊值、残缺值等情况,重新定义了模糊评语集合,使模型能够应对更复杂的风险评估问题.在此基础上,引入基于证据理论的模糊评估方法对各风险因素进行合成,减小不确定性并量化评估结果.通过实例表明该模型的有效性和广泛的应用价值.     

一种信息系统安全风险的灰色模糊综合评估方法

针对信息系统安全风险因素的灰色性和模糊性,以及信息安全风险评估过程中存在的主观性,将灰色统计评估法、模糊综合评判法和层次分析法结合,建立一种信息系统安全风险的灰色模糊综合评估模型.通过灰色统计法建立模糊隶属度矩阵,层次分析法确定风险因素权重,以此来评估量化系统风险,该方法能较好地量化评估信息系统安全风险.     

基于免疫网络的信息安全风险评估模型

风险评估是评价网络信息系统安全的有效措施之一。该文基于免疫网络可动态实时诊断的特性,提出一种新的信息安全风险评估模型,给出模型中各项指标的定量计算方法,以评估整个信息系统的风险值。该模型能够综合考虑评估要素的相互关联,针对风险动态更新,进行实时监控。实验验证了其评估信息系统安全状态的有效性。     

基于贝叶斯网络的多属性信息安全风险评估

对基于贝叶斯网络的多属性信息安全风险评估方法研究,结合历史上发生的安全事件资料,评估安全威胁和脆弱性的概率,计算出各安全要素的风险值。对信息系统风险评估进行量化,使评估结果更加科学和客观。     

一种基于灰色关联分析的信息安全风险评估方法研究

随着信息化进程的快速发展,保障信息系统的安全性和降低信息系统潜在的风险,一直是国内外学者关注的焦点,而风险评估正是解决该问题的有效方法之一,但是在风险评估过程中存在评估指标难以量化、风险值难以界定等困难,因此文章提出了一种基于灰色关联分析的信息安全风险评估方法,该方法首先建立了信息系统的风险评估指标体系,其次将评估的信息系统与最优信息系统进行关联度分析,最后得出信息系统风险的准确度量。该方法可以使信息系统的评估过程简单化,标准化。     

基于攻击树与CVSS的工业控制系统风险量化评估

针对如何进行工业控制系统(ICS)全面客观的风险量化评估与分析,提出了一种新的ICS风险量化评估方法。该方法首先建立系统攻击树与攻击者模型,然后根据ICS的安全特性利用CVSS对攻击树叶子节点进行综合客观的量化,并给出资产价值损失的复数表达式,结合概率风险评估方法分别计算得到攻击序列、目标节点的风险概率与风险值。最后通过攻击者模型综合攻击序列与攻防两端的分析,提取系统最大风险环节与组件。案例分析表明该方法能减少风险要素量化过程中人为主观因素的影响,得到风险的综合定量描述,并找到系统最大风险环节和最需要防护的组件,从而采取有针对性的防护措施实现合理高效的风险消除和规避,验证了该方法的有效性与可行性。     

浅谈计算机企业中的风险管理

在目前不断扩展的工作环境中,风险管理和分析很容易被认为仅仅是一种时髦的趋势,而且占用了大量的时间和资源。然而对于一个公司来说,良好的风险管理策略能为公司提供很大的利益并能节省大量费用。     

浅谈计算机企业中的风险管理

在目前不断扩展的工作环境中，风险管理和分析很容易被认为仅仅是一种时髦的趋势，而且占用了大量的时间和资源。然而对于一个公司来说，良好的风险管理策略能为公司提供很大的利益并能节省大量费用。     

信息安全风险的分析和计算原理

研究信息安全风险评估的基本规律,完善其理论基础,从而根本上提高信息安全风险评估的实践水平是目前急需解决的课题。本文以清晰的信息安全风险的概念模型,导出信息安全风险的分析原理和计算原理,为信息安全风险评估提供理论指导。     

软件项目风险管理理论与方法研究综述

软件项目风险管理是软件工程的重要分支,也是项目管理和决策研究中的热点问题.为此,简要介绍了软件项目风险管理的相关基本概念,阐述了软件项目风险管理的框架体系和研究方法,并讨论了其各自的优缺点.据此对该学科的研究发展趋势作了展望.     

软件开发中的风险评估及其实践

在软件项目的开发过程中,准确地识别项目中存在的风险、对风险加以分析并采取有效的预防措施是保证项目成功的关键因素之一。风险评估是软件开发风险管理的重要组成部分,目前已经发展成为软件项目开发与控制的常用管理方法。文章叙述了Boehm关于风险评估的经典理论、SEI基于问卷调查的风险评估法、基于成本估算的风险评估法以及该领域的其它最新研究进展。最后对软件开发风险评估方法的发展方向提出了自己的观点。     

企业信息安全风险的自评估及其流程设计

首先分析了企业信息安全风险评估的两种模式,即自评估和他评估,指出了它们的优缺点,然后讨论企业自评估的评估要素和评估原则,最后为企业自评估设计了一个实施流程,对该流程的各个环节进行了较为深入的分析,同时对该流程进行评价。     

Value-at-Risk for country risk ratings

The country risk literature argues that country risk ratings have a direct impact on the cost of borrowings as they reflect the probability of debt default by a country. An improvement in country risk ratings, or country creditworthiness, will lower a country's cost of borrowing and debt servicing obligations, and vice versa. In this context, it is useful to analyse country risk ratings data, much like financial data, in terms of the time series patterns, as such an analysis would provide policy makers and the industry stakeholders with a more accurate method of forecasting future changes in the risks and returns of country risk ratings. This paper considered an extension of the Value-at-Risk (VaR) framework where both the upper and lower thresholds are considered. The purpose of the paper was to forecast the conditional variance and Country Risk Bounds (CRBs) for the rate of change of risk ratings for 10 countries. The conditional variance of composite risk returns for the 10 countries were forecasted using the Single Index (SI) and Portfolio Methods (PM) of McAleer and da Veiga [10] and [11]. The results suggested that the country risk ratings of Switzerland, Japan and Australia are much mode likely to remain close to current levels than the country risk ratings of Argentina, Brazil and Mexico. This type of analysis would be useful to lenders/investors evaluating the attractiveness of lending/investing in alternative countries.     

A security officer's workbench

The primary role of the security officer is to advise senior management on the optimal deployment of security resources. This is a task of considerable complexity and it is suggested that the security officer would be assisted by computer took that provide an effective security model of the system under consideration, so that the system risks may be identified and prioritized.The development of such a model, based upon a risk data repository, is described. It is also suggested that a countermeasure architecture may be used to relate external threats to the logical nodes of system platforms, and thence to physical and procedural realities of the organization.The effort of software development, data collection, encoding and entry for such a model could well prove to be excessive in terms of the expected benefits. It is therefore proposed, in this paper, that hypertext be employed to allow pre-existing data to be readily entered in its native form, and then manipulated by the security officer.This model has been used in a banking environment and the hypertext version has been employed in the study of a computerized university student admission system.     

概率风险评价系统

概率风险评价（ＰＲＡ）是定量地评价复杂系统风险的有效途径。讨论了ＰＲＡ的特点、实施步骤和存在问题,介绍了概率风险评价系统的结构和功能,对进一步的工作进行了展望。     

风险分析方法研究

风险分析是信息系统风险管理的重要组成部分,是建立信息系统安全管理体系的重要前提。试图探讨一套可用于定性及定量风险分析的模型,即用风险树分析法对信息系统安全事件发生概率以及导致安全事件的必要条件－－风险模式进行分析,进而用风险模式,影响及危害度分析法对风险模式的危害度及风险损失进行分析,最后用风险矩阵对风险作出最后的评估与决策。