信息安全风险评估风险分析方法浅谈

在信息安全领域,对信息系统进行风险评估十分重要,其最终目的就是要指导决策者在"投资成本"和"安全级别"这两者之间找到平衡,从而为等级化的资产风险制定保护策略和缓和计划。本文简要介绍了信息安全风险评估的基本概念、工作过程和风险评估阶段的分析对象等,重点介绍了目前几种常见的风险分析方法的各自优缺点,并对定性分析方法的风险计算方式进行了详细的分析。     

基于免疫网络的信息安全风险评估模型

风险评估是评价网络信息系统安全的有效措施之一。该文基于免疫网络可动态实时诊断的特性,提出一种新的信息安全风险评估模型,给出模型中各项指标的定量计算方法,以评估整个信息系统的风险值。该模型能够综合考虑评估要素的相互关联,针对风险动态更新,进行实时监控。实验验证了其评估信息系统安全状态的有效性。     

多因素分层模糊综合风险评估方法的应用研究

针对电子档案信息安全指标体系中的指标属性冗余的问题,提出了基于相关分析的指标属性检测方法。该方法采用量化指标属性的原则,根据指标属性的平均值和标准差,度量指标属性间的相关性;针对信息安全风险评估准确度不高的问题,提出了多因素分层模糊综合评估模型,该算法采用了层次分析法和模糊数学理论。某单位的电子档案信息系统的实际应用结果表明,该方法能直观、有效地评估系统,评估结果与实际吻合程度较高,为信息安全风险决策提供可靠的依据。     

一种实时的信息安全风险评估方法

信息安全风险评估是信息系统风险管理的重要组成部分,是建立信息系统安全体系的前提和基础。论文简要介绍了信息安全风险评估,进而提出了一种定性、定量评估相结合的实时的信息安全风险评估方法。该方法通过分析系统的资产、弱点和威胁,根据安全设备产生的安全事件,实时地评估信息系统的风险。     

一种基于威胁分析的信息安全风险评估方法

在信息安全领域中,信息风险评估是风险管理和控制的核心组成部分,是建立信息系统安全体系的基础和前提。分析了信息安全风险评估的标准及流程,提出一种基于威胁分析的量化风险评估方法ISSREM。该方法采用多属性决策理论,计算信息系统相对威胁程度,有利于评估者进行比较和选择,通过对威胁频率的灵敏度分析,使评估结果更具客观性和准确性。给出ISSREM的计算模型及用该方法进行风险评估的主要步骤,并结合实例对该定量评估方法进行分析,验证了该方法的合理性与有效性。     

基于FAHP的信息安全风险群组决策评估方法*

结合当前信息安全风险评估的特点和发展现状,提出一种结合FAHP和群组决策的风险量化评估方法。该方法利用FAHP处理主观评估判断结果,实现了综合考虑风险发生概率和风险损失的偏好排序;在评估过程中引入群组决策,建立群组偏好排序的线性规划模型,以降低个体评估决策的不确定性。以某政务公开信息系统脆弱性评估为例,验证了评估方法的合理性和可行性,结果表明该评估模型计算简单且排序稳定性好。     

基于改进模糊综合评价方法的信息系统安全风险评估

针对信息系统安全风险分析的准确性问题,提出一种基于改进模糊综合评价方法的信息系统安全风险分析方法。该方法结合一种模糊一致矩阵来求得各风险因素的权重。并在此基础上采用多级模糊方法对风险进行评估,通过风险评估模型的指标数据,得到风险评估安全级别,为今后信息系统安全风险评估提供了一定的帮助。     

一种面向可信决策的风险信任平衡模型研究

在不确定环境中,风险和信任是影响可信决策的关键因素。对于风险和信任的相互关系尚未达成共识,而已有的信任模型或者风险管理手段或多或少存在一些不足。本文在分析已有研究成果的基础上,论述了风险和信任在可信决策中的相互关系,并基于主观逻辑建立了一个风险信任平衡模型。该模型将风险和信任量化为风险观点和信任观点,通过安全策略定义事务重要性和可信决策的相关参数,基于信任关系优先准则进行可信决策。本文提出的风险信任平衡模型可以对分析风险和信任相互关系进行量化,也可以应用于基于信任和风险的安全模型和安全决策中。     

A fuzzy reasoning and fuzzy-analytical hierarchy process based approach to the process of railway risk information: A railway risk management system

Risk management is becoming increasingly important for railway companies in order to safeguard their passengers and employees while improving safety and reducing maintenance costs. However, in many circumstances, the application of probabilistic risk analysis tools may not give satisfactory results because the risk data are incomplete or there is a high level of uncertainty involved in the risk data. This article presents the development of a risk management system for railway risk analysis using fuzzy reasoning approach and fuzzy analytical hierarchy decision making process. In the system, fuzzy reasoning approach (FRA) is employed to estimate the risk level of each hazardous event in terms of failure frequency, consequence severity and consequence probability. This allows imprecision or approximate information in the risk analysis process. Fuzzy analytical hierarchy process (fuzzy-AHP) technique is then incorporated into the risk model to use its advantage in determining the relative importance of the risk contributions so that the risk assessment can be progressed from hazardous event level to hazard group level and finally to railway system level. This risk assessment system can evaluate both qualitative and quantitative risk data and information associated with a railway system effectively and efficiently, which will provide railway risk analysts, managers and engineers with a method and tool to improve their safety management of railway systems and set safety standards. A case study on risk assessment of shunting at Hammersmith depot is used to illustrate the application of the proposed risk assessment system.     

信息安全风险评估方法研究——基于"资产-威胁"评价指数矩阵风险分析方法研究

信息安全风险评估是组织信息安全的基础和前提,也是信息安全保障的重要内容。该文介绍了信息安全及其信息安全风险评估概念,然后对信息安全风险评估因素、方法进行了分析,并提出基于"资产—威胁/脆弱性"评价指数矩阵风险分析方法。     

基于威胁分析的信息安全风险评估方法研究

提出一种基于威胁分析的量化风险评估方法,采用多属性决策理论,结合实例,对信息系统的安全风险进行定量分析,为建立信息系统安全保障体系提供科学依据。     

一种基于灰色关联分析的信息安全风险评估方法研究

随着信息化进程的快速发展,保障信息系统的安全性和降低信息系统潜在的风险,一直是国内外学者关注的焦点,而风险评估正是解决该问题的有效方法之一,但是在风险评估过程中存在评估指标难以量化、风险值难以界定等困难,因此文章提出了一种基于灰色关联分析的信息安全风险评估方法,该方法首先建立了信息系统的风险评估指标体系,其次将评估的信息系统与最优信息系统进行关联度分析,最后得出信息系统风险的准确度量。该方法可以使信息系统的评估过程简单化,标准化。     

基于GQM模型的工业控制系统风险评估方法

风险评估是保证工业控制系统安全的重要机制，当前，信息安全和功能安全的耦合越来越紧密，考虑到不同组织的业务目标和运营环境多样化程度高，工控系统信息安全风险评估应紧密结合业务目标。基于目标-问题-度量（GQM）模型，从目标确定、问题描述、度量指标定义工控系统风险评估流程，以工控系统所承载的业务目标为指引，基于风险场景模型提出问题，围绕提出的问题收集信息，根据收集的信息和数据对度量指标进行关联分析和评价。最后，以PLC风险评估为实例，具体说明和验证了基于GQM模型的工业控制系统风险评估方法的有效性。     

妥协率法在信息安全风险评估中的应用

针对信息安全风险评估指标及决策者权重均未知的信息安全风险评估值排序问题,提出一种基于妥协率法的信息安全风险评估方法。提出一种新的根据距离测度求权重的方法来确定指标权重;构建了基于决策者相互评价和群体意见一致性下的主客观综合赋权模型确定决策者权重;运用妥协率法对信息安全风险进行排序。案例分析及对比分析说明该方法的有效可行性。     

Yet another cybersecurity risk assessment framework

IT systems pervade our society more and more, and we become heavily dependent on them. At the same time, these systems are increasingly targeted in cyberattacks, making us vulnerable. Enterprise and cybersecurity responsibles face the problem of defining techniques that raise the level of security. They need to decide which mechanism provides the most efficient defense with limited resources. Basically, the risks need to be assessed to determine the best cost-to-benefit ratio. One way to achieve this is through threat modeling; however, threat modeling is not commonly used in the enterprise IT risk domain. Furthermore, the existing threat modeling methods have shortcomings. This paper introduces a metamodel-based approach named Yet Another Cybersecurity Risk Assessment Framework (Yacraf). Yacraf aims to enable comprehensive risk assessment for organizations with more decision support. The paper includes a risk calculation formalization and also an example showing how an organization can use and benefit from Yacraf.

     

信息安全风险评估分析方法简述

随着信息化的发展,信息系统依赖程度日益增强,采用风险管理的理念去识别安全风险,解决信息安全问题得到了广泛的认识和应用。该文首先介绍了风险评估工作的操作模式,指出了风险评估的实施过程阶段,简要阐述了信息安全风险评估的主要分析方法。     

基于免疫的网络安全风险评估模型

风险评估是评价网络信息系统安全的有效措施之一,基于免疫网络安全风险评估较好的动态实时性,依据现有标准风险评估方程,设计了基于免疫机理的网络安全风险评估模型,提出了一种基于粗糙集的网络风险指标权重计算方法。实现层次化分析与动态评估,在保障动态实时性的同时,又能整体不孤立的对整个网络状况做出判断,增强了模型的健壮性。仿真实验结果表明了该模型的正确性和方法的有效性。     

A hybrid information security risk assessment procedure considering interdependences between controls

Risk assessment is the core process of information security risk management. Organizations use risk assessment to determine the risks within an information system and provide sufficient means to reduce these risks. In this paper, a hybrid procedure for evaluating risk levels of information security under various security controls is proposed. First, this procedure applies the Decision Making Trial and Evaluation Laboratory (DEMATEL) approach to construct interrelations among security control areas. Secondly, likelihood ratings are obtained through the Analytic Network Process (ANP) method; as a result, the proposed procedure can detect the interdependences and feedback between security control families and function in real world situations. Lastly, the Fuzzy Linguistic Quantifiers-guided Maximum Entropy Order-Weighted averaging (FLQ-MEOWA) operator is used to aggregate impact values assessed by experts, applied to diminish the influence of extreme evaluations such as personal views and drastic perspectives. A real world application in a branch office of the health insurance institute in Taiwan was examined to verify the proposed procedure. By analyzing the acquired data, we confirm the proposed procedure certainly detects the influential factors among security control areas. This procedure also evaluates risk levels more accurately by coping with the interdependencies among security control families and determines the information systems safeguards required for better security, therefore enabling organizations to accomplish their missions.     

基于PRA的网络安全风险评估模型

概率风险分析被广泛应用于社会各领域,如交通、能源、化工处理、航天、军事等。文章采用概率风险分析的方法,对网络的逻辑构成、网络攻击和攻击结果进行分析,通过故障树描述了网络系统被攻击的原因与途径,并建立了风险评估模型。     

用于评估网络信息系统的风险传播模型

为了评估网络信息系统的安全风险,提出了一个由风险网络和风险传播算法构成的风险传播模型,并以一个具有代表性的实例阐明了该模型在网络风险评估中的应用,验证了传播算法的正确性.实例分析表明,应用风险传播模型的评估方法较传统方法在评估结论的准确性和制定符合最优成本效应的安全建议等方面更具优势.