基于层次分析涉密信息系统风险评估

信息技术的发展使得政府和军队相关部门对信息系统安全问题提出更高要求。涉密信息系统安全有其独特性,风险评估区别于普通信息安全系统。文章以涉密信息系统为研究对象,首先阐述涉密信息系统的特点,针对其独特性对现有信息安全风险评估方法进行分析评价。然后将基于层析分析法的评估模型引入到涉密信息系统安全风险评估中。为涉密信息系统进行风险评估提供一种新的技术思路。最后通过实例分析,所提模型在处理涉密信息系统评估过程中对得到的离散数据分布无要求,与德菲尔法以及 BP 神经网络相比,该模型具有一定实用性和可扩张性,适合用于实际地涉密信息系统风险评估中。     

信息系统的风险评估方法研究

本文在分析信息系统事故的基础上,对信息系统的风险评估模型以及信息系统风险评估程序进行了系统描述。同时,在对我国信息系统风险评估工具进行简要介绍的基础上,重点介绍了适用于企业日常安全管理的定性定量的信息系统评估方法,并对评估方法进行了对比分析,从而有利于信息系统评估工作在我国的推广应用。     

信息系统安全风险评估技术分析

信息系统安全的风险评估是建立信息系统安全体系的基础和前提。在对国内外现有的信息安全风险评估方法与技术进行归纳和较系统的介绍的基础上,指出了目前信息安全风险评估需要解决的问题,对未来信息系统安全风险评估的发展前景进行了分析。     

一种实时的信息安全风险评估方法

信息安全风险评估是信息系统风险管理的重要组成部分,是建立信息系统安全体系的前提和基础。论文简要介绍了信息安全风险评估,进而提出了一种定性、定量评估相结合的实时的信息安全风险评估方法。该方法通过分析系统的资产、弱点和威胁,根据安全设备产生的安全事件,实时地评估信息系统的风险。     

告别管理的困惑

通过TopSEC Manager的应用,企业可达到对整个系统中的网络设备、系统及应用服务的集中策略配置和监控管理。可以对操作系统和网络设备的漏洞进行全风险评估,确保企业信息系统中关键数据的安全保护和备份。     

告别管理的困惑

通过TopSEC Manager的应用，企业可以达到对整个系统中的网络设备、系统及应用服务的集中策略配置和监控管理。可以对操作系统和网络设备的漏洞进行安全风险评估，确保企业信息系统中关键数据的安全保护和备份。     

基于GTST-MLD的复杂网络风险评估方法

针对复杂信息系统复杂程度高、互影响性与互依赖性强,现有风险评估方法难以适应大规模网络安全风险评估与应用实践的需要的问题,研究了基于GTST-MLD的适合复杂信息系统的风险要素分析方法和整体风险评估方法,包括研究事故互依赖关系模型,进行风险要素建模以及风险传导分析,以提高针对复杂信息系统的风险评估能力和分析水平。结果证明,模型对复杂信息系统安全特性的目标、功能、结构、行为等因素予以综合,实现在更高的系统功能层面上对系统安全性的分析研究,为复杂信息系统的量化风险评估提供了可靠的量化分析手段。     

内蒙古电力信息系统风险评估的探索与启示

本文探讨了电力信息系统风险评估的相关内容,并根据信息系统风险评估的基本方法,介绍了内蒙古电力公司电力信息系统在风险评估方面做出的探索和给我们的启示,为电力信息系统风险评估工作做出了有益的探索。     

基于改进灰色关联度的风险评估方法

为解决信息系统风险评估中资产、威胁、脆弱之间的复杂和不确定性关系,提出一种基于资产的改进灰色关联度的风险评估方法。该方法以资产为核心,以关联资产为基础识别、量化威胁-脆弱性对,再运用结合相容矩阵法计算权重的改进算法对信息系统进行风险分析。对某税务局网站系统的实际应用结果表明,该方法能直观、有效地评估系统,评估结果与实际符合程度较高,为决策和实施保障信息系统的安全措施提供可靠的依据。     

商业银行信息系统风险评估模型的研究与实现

随着商业银行信息化程度的不断提高,怎样控制和评估由此带来的系统风险,是商业银行目前急需解决的问题.本文分析商业银行信息系统的特征和风险,研究信息系统风险评估的理论、技术,提出风险评估的方法和过程,建立商业银行信息系统的风险控制与评估的模型.     

基于攻防博弈的SCADA系统信息安全评估方法

信息安全评估是保障SCADA系统正常工作的基础性工作。现有各类评估方法都未考虑攻击者与防御者双方之间的相互影响及经济效益。为了解决这一问题,提出了一种基于攻击防御树和博弈论的评估方法。该方法以攻击防御树为基础,计算攻击者和防御者各自的期望收益函数,并建立系统的攻防博弈模型,求解该完全信息静态博弈模型的混合策略纳什均衡,得到攻防双方的策略选择概率分布结果。针对一个SCADA系统主从站的信息攻防实例进行计算分析,说明了该方法的具体应用。评估结果表明,该方法合理可行,能够帮助风险管理者评估现有系统信息安全防御措施的投资效益,有针对性地重点部署防御措施,实现收益最大化。     

基于不完全信息博弈模型的信息系统安全风险评估方法

博弈理论具有的目标对立性、关系非合作性和策略依存性等特征与网络攻防对抗过程保持一致，将博弈理论应用于网络信息安全已经成为研究热点，但目前已有的研究成果大都采用完全信息博弈模型，与网络攻防实际不符。基于此，为提高信息系统风险评估的准确性，本文构建不完全信息条件下的静态贝叶斯攻防博弈模型，将其应用于网络信息系统安全风险评估，构建相应的信息系统安全风险评估算法。通过仿真实验验证了本文模型和方法的有效性，能够对信息系统安全威胁进行科学、有效的评估。     

贯彻“三化六防”理念，保护水利关键信息基础设施安全

关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,水利作为关键信息基础设施重点行业之一,必须贯彻落实好《关键信息基础设施安全保护条例》要求。简要介绍水利关键信息基础设施的认定规则,分析水利关键信息基础设施的安全现状,提出加强体系化建设,构建水利关键信息基础设施安全综合防御体系;立足实战化,坚持以攻促防;实施常态化运营,提升日常防护能力。通过体系化建设、实战化攻防、常态化运营,实现动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控,保障水利关键信息基础设施安全。     

层次化的侧信道攻击风险量化评估模型

随着攻击的多元化发展,在多种泄露条件下,密码芯片的安全风险评估问题以及优化的攻防策略选择问题成为目前研究盲点。针对多种泄露,从信息泄露的角度出发,利用信息熵对密码芯片的信息进行量化,并将互信息作为安全风险的衡量指标,提出了一种基于层次化的风险评估模型。该模型采用“自下而上,先局部后整体”的分析方法,将不同类型的泄露和攻击方法进行划分,并将互信息作为泄露风险的量化指标,通过模糊综合分析方法对安全风险进行有效的评估。     

珠江委网络安全态势感知平台设计与应用

为进一步提升珠江委网络安全防护水平,打造全天候主动防御的网络安全防护体系,梳理当前珠江委网络安全防护的短板,从自动告警、攻击行为重塑、脆弱性分析等方面分析态势感知平台功能需求,依托数据融合、事件关联、态势预测等态势感知关键技术,设计一种符合珠江委网络安全防护需求的态势感知平台。平台架构设计为数据采集、存储分析、核心业务和 BI 展示 4 个层次,主要实现资产管理、风险感知、预警管理和安全态势信息专题展示等功能。基于网络安全态势感知平台,珠江委基本形成事先梳理、风险感知、安全监测、事件分析、事件处置的主动防御体系,安全监测和主动防御能力明显提升,重要信息系统防护均未失陷, 取得较好的应用效果。     

联合作战与信息安全防御研究

本文对联合作战和信息安全防御中关键的几个问题进行了研究,分析了联合作战信息安全防御指挥机构的现状和构建的设想,提出了联合作战信息安全防御力量的构成及编组方案,并对联合作战中信息安全防御的组织实施问题进行了初步探讨。     

机载系统安保风险评估方法

针对影响民用飞机机载系统安全的信息安保威胁问题,通过研究ISO27005和航空工业标准,提出了一种适用于机载系统的安保风险评估方法。该方法基于威胁条件和威胁场景进行系统脆弱性分析,并结合传统的飞机安全性分析方法与安保风险评估方法,提出一套可量化的风险值计算方法。通过关系矩阵在安全性与安保等级间建立了相关性,为系统需求和架构设计提供了依据。实例验证结果表明,该方法能提供正确与可信的机载系统安保风险评估数据。     

基于互信息博弈的侧信道攻击安全风险评估

侧信道攻击的攻防过程可以视为互信息博弈过程,博弈的双方分别为密码设备设计者(防御方)和攻击者。 防御方的博弈目标是通过制定相关的防御策略,减少由侧信道泄漏所引发的局部风险和全局风险;对攻击方而言,其 博弈目标正好与之相反。从制定安全策略、降低安全风险的角度出发,将互信息博弈理论引入密码芯片设计者(防御 方)和攻击者的决策过程,考察攻防策略的选择对安全风险的影响,并结合互信息的量化方法,给出了 Nash均衡条件 下攻防双方的优化策略选择方法及Nash均衡下攻防双方的互信息收益。     

基于视频信息的城市路段交通安全状态评估方法研究

城市道路交通安全状态实时评估是智能交系统的重要研究内容。针对现有交通安全状态实时评估方法的评估效果不理想的问题,建立了基于视频信息的城市路段交通安全状态评估方法。首先,分析了基于视频信息的交通流参数快速检测方法;然后,从车速离散度的角度提出了影响城市路段交通安全状态的路段车速离散度的概念;最后,建立了基于路段车速离散度的城市路段交通安全状态评估方法。实验表明,所提方法能够实时合理地对城市道路的安全状态水平进行评估,评估结果可以为交通管理部门制定有效的城市路段交通安全改进方案提供相应的依据。