信息系统安全风险评估方法的研究

本文根据信息系统风险评估的基本要素, 通过对信息系统的现状分析, 提出了一种基于脆弱性和威胁分析相结合的定量风险评估方法. 该方法建立了相应的风险计算模型, 通过脆弱性分析, 威胁识别, 后果属性及其权重计算等多个步骤对信息系统的安全风险进行定量分析计算得到信息系统安全评估风险值, 提高了信息系统风险评估的客观性和可度量性.     

基于贝叶斯网络的HAZOP-LOPA集成分析与应用

针对事件树、故障树等风险分析存在一定局限性的问题,提出了基于贝叶斯网络的HAZOP-LOPA集成风险评估新思路.编制系统故障树,利用GeNIe软件将其映射成贝叶斯网络,运用贝叶斯网络双向推理进行故障预测和诊断,快速识别系统薄弱环节并确定为风险贝叶斯故障节点,结合HAZOP与LOPA对其进行风险集成分析,提出相应的独立防护层,根据防护层失效概率并参照半定量风险矩阵确定剩余风险等级.该风险评估模型在辽河石化公司催化裂化装置的反应再生系统中进行应用,结果证实该模型在复杂工艺信息不确定条件下,能有效提高风险评估的针对性、客观性与准确性.     

复合型工艺风险评估模型的研究及其现场应用

充分考虑石化装置的复杂工艺特点,建立了基于贝叶斯网络的危险与可操作性研究(HAZOP)、保护层分析(LOPA)、领结分析(Bow-Tie分析)于一体的复合型工艺风险评估模型.首先编制系统故障树,将其映射成对应贝叶斯网络,利用Ge NIe软件实现贝叶斯双向推理进行故障预测和诊断,找出最容易导致事故的风险贝叶斯故障节点;然后运用HAZOP-LOPA集成分析研究该节点参数出现偏差的原因及后果,通过独立保护层失效概率评估风险等级;最后对剩余风险等级较高的事件进行Bow-Tie分析,辨识出使保护层持续有效的关键活动,进而控制后果严重的工艺安全事故.以辽河石化公司的延迟焦化装置为例对该风险评估模型进行了现场应用.     

基于风险矩阵的软件项目的风险评估

在对国内外常用软件开发项目风险的评估方法进行分析比较后,将风险矩阵方法应用在软件项目的风险评估中,首先分析软件项目的 47种风险因素,采用定性和定量相结合的方法,确定了风险因素影响程度、风险等级和风险因素权重,构建了用于软件项目风险评估的风险矩阵,给出了利用风险矩阵进行风险评估的基本流程.结果表明,该方法操作简便、评估客观,同时还可识别出具体的关键风险因素,提高了风险评估的效率.     

基于熵权系数法的信息系统安全模糊风险评估

以SSE-CMM为基础识别信息系统的安全风险因素,利用模糊综合评判法对信息系统安全进行风险评估.采用熵权系数法确定风险因素的权重,从而克服专家评判的主观影响.应用实例分析结果表明该方法是有效和实用的.     

高新技术项目技术风险评估体系构建研究

选取我国97个高新技术项目案例进行研究,利用案例分析、专家访谈等方法,从技术环境、技术特征和项目组织三个维度识别技术风险因素;应用粗糙集方法,构建高新技术项目技术风险评估体系。为全面、系统地识别高新技术项目技术风险因素和客观、有效地评估高新技术项目技术风险提供理论依据和方法支持,具有理论意义和实用价值。     

考虑应急救援的危化品泄露事故后果风险评估

采用层次分析法(AHP)和案例分析相结合的方法,建立了基于事故后果评价的危化品风险评估模型。模型综合考虑了事故直接后果、次生衍生事故、以及应急救援等因素,并提出了应急救援的风险抵消作用的建模方法。利用该模型对危化品泄漏事故进行了风险评估,采用实际案例对评估结果进行了验证。基于该模型分析了应急救援对事故后果风险的抵消作用。研究表明:所建立的风险评估模型能较好地反映实际事故后果情况,应急救援力量对减低事故后果风险具有重要作用,在风险评估中应予充分考虑。     

考虑应急救援的危险化学品泄漏事故后果风险评估

采用层次分析法(AHP)和案例分析相结合的方法,建立了基于事故后果评价的危验化学品风险评估模型。模型综合考虑了事故直接后果、次生衍生事故、以及应急救援等因素,并提出了应急救援的风险抵消作用的建模方法。利用该模型对危验化学品泄漏事故进行了风险评估,采用实际案例对评估结果进行了验证。基于该模型分析了应急救援对事故后果风险的抵消作用。研究表明:所建立的风险评估模型能较好地反映实际事故后果情况,应急救援力量对减低事故后果风险具有重要作用,在风险评估中应予充分考虑。     

基于后悔理论和COPRAS的 概率语言FMEA风险评估方法

针对传统故障模式和影响分析（FMEA）方法存在容易造成专家风险评估信息的丢失、忽略专家有限理性行为和风险指标之间的相对重要性等问题,提出了一种基于后悔理论和复杂比例评估（COPRAS）方法的概率语言FMEA风险评估方法. 首先采用概率语言术语集（PLTS）描述专家风险评估信息的不确定性和模糊性;然后运用概率语言连乘层次分析法（PL-MAHP）和最大偏差法相结合的综合赋权法获得风险因子综合权重;其次考虑到风险评估过程中专家的心理特征行为,利用后悔理论和COPRAS方法确定故障模式风险优先序;最后通过砂轮架故障风险评估案例来验证该方法的适用性和有效性. 灵敏度和对比分析结果表明：相比于现有其他方法,该方法得到的故障模式风险排序结果更合理可靠.     

基于攻击图的物理信息系统网络安全风险评估

在过去十年中,针对电力系统等典型物理信息系统的网络攻击事件数量有所增加。现有物理信息系统风险评估技术只对OT系统或IT系统一个物理信息系统层的影响进行评估,难以精确反应物理信息系统的真实风险程度。本文提出了一种基于攻击图的物理信息系统定量风险评估方法,首先,基于物理信息系统的实际双系统层架构,构建了物理信息系统风险评估模型;同时综合考虑攻击者的能力、攻击行为的特点和目标网络的特点,给出了分析攻击路径选择概率的方法;然后,分别从OT系统和IT系统两个层面综合分析物理信息系统的影响因子,量化系统的风险值。最后,构建物理信息系统评估模型并进行仿真,验证了所提方法的有效性和准确性。     

基于模糊集和改进DS证据理论的危化品道路运输体系贝叶斯网络风险分析

针对危化品道路运输体系中影响因素信息的不确定性和专家知识推断贝叶斯网络中条件概率表时存在的主观性,提出了一种将模糊集和改进Dempster/Shafer证据理论（DS证据理论）、贝叶斯网络结合在一起的危化品道路运输体系的风险评价方法。根据危化品道路运输体系的影响因素建立了相应的风险评价体系,确定各层级的评价指标。将专家对各评价指标的评价意见代入高斯型隶属度函数构造隶属度矩阵,进行改进DS证据理论数据融合,得到多位专家评价意见融合后的概率值分布。利用贝叶斯网络的推理功能,得出危化品道路运输体系的风险等级和其中各评价指标的概率值分布,找出体系薄弱环节并进行分析。以沈阳某危险货物托运有限公司为例进行研究,结果表明该公司中危化品道路运输体系的风险值为0.611 8,风险等级为较危险（V₂）,其中人员因素概率（60%）和管理因素概率（52%）所占权重较大,需要公司重点关注并加强管理。     

信息系统脆弱性被利用概率计算方法

针对现有信息系统风险评估工作中对脆弱性的评估未考虑各脆弱性间的相关性,评估结果受到较多人为主观因素的影响,提出"被利用难易程度"和"被选择概率"两个指标将现有对脆弱性的"被利用难易程度"评价转换为更为科学的"被利用概率"评价,并用贝叶斯网络的正向推理计算脆弱性节点的累积"被选择概率"。通过理论和实验分析,与相关的研究成果相比,提出的脆弱性被利用概率计算方法更准确、合理。     

基于本体的信息系统集成方法研究

信息系统集成是解决企业信息孤岛的有效方法.围绕信息系统集成的核心问题——知识集成展开研究,讨论基于本体的知识集成的相关内容,并以森林资源档案信息系统为例,使用OWL本体描述语言实现森林资源档案信息系统之间的集成.     

基于AHP-FCE的通信系统风险评估

通信网络是一个关联性很强的系统，每个风险的发生都可能会出现连锁反应。通信系统安全风险研究主要集中在移动终 端安全、应用程序安全以及网络信息安全方面，缺乏对移动通信系统的整体安全评估。针对此问题，本文基于层次分析法-模糊综 合评价法(AHP-FCE)方法进行通信系统的整体安全风险评估。将移动通信系统风险分为四大类一级指标，即:移动终端安全风 险、移动网络安全风险、环境风险和人为风险，并进一步细分得到十八个二级指标。为避免打分法所存在不同经历专家具有相同 权重的问题，采用基于模糊层次分析法(Fuzzy-AHP)的专家权重计算方法，并结合层次分析法确定指标权重。然后使用模糊评 价法建立风险因素综合评价矩阵，得出移动通信系统各个风险指标的隶属度和对应风险范围。最后，根据本文方法进行了实例的 风险评估，评估结果与人工研判结果一致。并针对各类风险制定了相应防控措施，为通信系统风险评估提供了新思路。     

基于生态风险的土壤重金属贝叶斯综合污染评价法

考虑到确定性土壤污染评价中较大的参数不确定性,将贝叶斯理论应用于土壤重金属污染评价中,并考虑到不同重金属在生态风险上的差异,建立了生态风险权重系数,提出了基于生态风险权重的土壤重金属污染贝叶斯评价法.将提出的贝叶斯综合污染评价法与现行的确定性方法、商权贝叶斯评价法和灰色评价法进行实例研究对比.研究表明,基于生态风险的土壤重金属贝叶斯综合污染评价结果分别为各采样点土壤环境质量隶属于各污染级别的概率,降低了常用评价法中人为主观因素的作用,构建的生态风险权重系数代替统计数理方法所得到的权重,使本方法更具土壤学意义,为土壤重金属污染防控决策提供了更科学的筛选级参考,具较高的评价分辨力.     

Application of Computer Integration Technology for Fire Safety Analysis

With the development of information technology, the fire safety assessment of whole structure or region based on the computer simulation has become a hot topic. However, traditionally, the concerned studies are performed separately for different objectives and difficult to perform an overall evaluation. A new multi-dimensional integration model and methodology for fire safety assessment were presented and two newly developed integrated systems were introduced to demonstrate the function of integration simulation technology in this paper. The first one is the analysis on the fire-resistant behaviors of whole structure under real fire loads. The second one is the study on fire evaluation and emergency rescue of campus based on geography information technology (GIS). Some practical examples are presented to illuminate the advantages of computer integration technology on fire safety assessment and emphasize some problems in the simulation. The results show that the multi-dimensional integration model offers a new way and platform for the integrating fire safety assessment of whole structure or region, and the integrated software developed is the useful engineering tools for cost-saving and safe design.     

面向对象企业集成化信息系统的开发

讨论了面向对象企业集成化信息系统的分析方法,在初步了解了企业的全局后,自上而下分解,分析各层次的信息需求和信息关联,建立信息流模型,进而标识对象、建立模块信息模型;然后研究了系统概念设计中,自下而上对分析模型进行横向和纵向集成的方法,建立整体集成化的模型,实现集成化信息系统的开发     

基于贝叶斯网络的非常规突发事件灾情评估

非常规突发事件的发生往往给人民生命财产和国民经济造成巨大损失,由于传统的突发事件评估系统大多是基于历史数据或专家经验的静态系统,使得应对非常规突发事件时无法动态地有效融合多源信息,而且大量的变量和数据往往造成评估系统计算效率偏低.因此,针对以上问题,提出了基于贝叶斯网络的非常规突发事件灾情评估方法,并且通过对贝叶斯网络模型的拓扑结构进行优化进一步提高了系统的计算效率.通过简化的核电站机组外部电网震后评估算例对所述方法进行了验证.结果表明,基于贝叶斯网络的非常规突发事件评估方法具有多源信息表示、融合以及全局更新的能力,并且可以有效地提高计算效率,适用于非常规突发事件的灾情评估.
     

基于异常值检验的Bayesian方法验前信息可信度计算

由于采用了验前信息,Bayesian方法为小子样条件下的装备试验与评价提供了可行的理论依据,从而在装备试验与评价领域得到了广泛的应用。然而,由于验前信息具有多源性及主观性,当采用其进行Bayesian统计推断时,可能会导致Bayesian统计推断的结果偏差较大,使得决策风险增加。因此,研究Bayesian方法中验前信息的可信度显得至关重要。在现场试验样本信息已知的前提下,给出了验前信息可信度的定义,提出一种基于异常值检验的验前信息可信度计算方法,并基于Matlab数学软件,通过仿真思路实现了算法求解。最后,以某雷达探测距离试验为例,证明方法具有科学合理性。