信息安全风险评估方法的比较分析

近年来,国内外信息安全风险评估的研究工作取得突飞猛进的进展,各种评估方法层出不穷,大大缩短了评估所花费的时间、资源,提高了评估的效率,改善了评估的效果。然而无论何种方法,基本上都遵循了风险评估流程,只是在具体实施手段和风险计算方面有所不同,其共同的目标都是找出组织信息资产面临的风险,并确定主要安全风险,从而分析其影响,以及目前安全水平与组织安全需求之间的差距。本文重点剖析了九种常见的信息安全风险评估方法及其优缺点。     

信息安全风险评估模型及其应用

信息安全风险评估是信息系统安全防御中的一项重要技术,作为自然科学与社会科学的交叉学科分支,信息安全测评和风险评估具有自身的特殊规律。为了识别风险的大小就必须进行风险评估,根据风险评估采取相应的风险防范措施来进行风险控制,风险评估中采用层次分析法与模糊数学计算结合起来的评估方法能使的评估结果更科学、合理。     

基于知识库的信息安全风险评估方法Crisk及其工具实现

在GB/T 20984-2007以及ISO/IEC27005:2011等标准的基础上,结合国内信息安全的状况,提出了一种新的基于知识库的信息安全风险评估方法,即Crisk风险评估方法及其辅助工具。Crisk利用知识库实现了对专家经验的利用,从而解决了评估过程主观化的问题,利用软件开发过程,实现了评估自动化的问题。     

基于熵的图书馆网络信息安全的风险评估

介绍了熵的概念与性质,分析了图书馆网络信息安全的风险因素,给出了图书馆网络信息安全风险评估的具体方法。     

基于熵权模糊集理论的电网信息安全风险评估

为保证电网企业信息安全,在传统评估对象资产、脆弱性和威胁3个要素的基础上增加了安全防控措施要素.借助模糊集理论对4个要素进行分析,并构造对应评判集的隶属度矩阵.为减小主观赋权的偏差,采用熵权理论计算权重,集成综合风险值并判定所属安全等级.通过实例计算证明了模型的合理性和有效性.     

基于协议树分析的概率风险评估方法研究

本文采用概率风险分析方法,对网络协议所引发的风险进行定量化分析。通过协议树模型对网络各协议进行分层处理,并建立了网络协议风险评估定量化评估模型。此模型的提出为网络安全风险评估提供了一种新思路和新的计算方法。     

基于密码学理论的私密信息安全风险评估方法

为了解决传统方法没有考虑针对私密信息的防控措施,得到评估结果不准确的问题,通过密码学理论研究了私密信息安全风险评估方法。在将资产-威胁-脆弱性作为核心对风险值进行计算的基础上,引入安全防控措施功能进行分析。按照相关原则,建立阶梯层次式私密信息安全风险评估指标体系,通过熵系数对各评估指标的权重进行计算。在不考虑防控措施的情况下计算风险值,通过密码学理论对私密信息安全性进行保护后风险值进行计算,将二者结合在一起,获取考虑密码学理论下防控措施后,私密信息风险值,实现私密信息安全风险评估。结果表明：所提方法可有效实现私密信息安全风险评估;所提方法风险评估结果准确合理。可见所提方法评估性能准确。     

基于决策树的智能信息安全风险评估方法

为了解决信息安全风险评估方法主观性大、建模时间长、分类正确率低的问题,提出了基于决策树的智能信息安全风险评估方法。该方法利用层次分析法对信息安全风险评估因素进行层次分解,利用机器学习中的决策树分类算法对数据进行分类。实例分析表明：与基于支持向量机的信息安全风险评估方法相比,在处理央企、银行、政府等单位风险评估过程中得到...     

基于协议树分析的概率风险评估方法研究

本文采用概率风险分析方法,对网络协议所引发的风险进行定量化分析.通过协议树模型对网络各协议进行分层处理,并建立了网络协议风险评估定量化评估模型.此模型的提出为网络安全风险评估提供了一种新思路和新的计算方法.     

基于危险理论的信息安全风险评估模型

为了解决目前信息安全风险评估系统中存在的主观性强、静态评估等问题,该文提出了一种基于生物免疫学危险理论的信息安全风险评估模型DT-RA,采用危险信号触发机制,能够应对不断变化的信息系统和网络环境,然后给出了一种基于DT-RA模型的安全事件发生可能性风险的计算方法,最后根据国标计算得出整个信息系统的风险值。本文在假设一定...     

信息安全风险评估中若干操作问题的研究

信息安全风险评估是一项复杂的、实践性强的系统工程,本文在分析信息安全风险评估相关标准、方法和技术体系以及总结实践经验的基础上,对信息安全风险评估过程的出发点、威胁和脆弱性的识别依据、影响威胁可能性的判断因素以及风险评估中的影响分析等四个操作层面的问题进行了分析和研究,并同时提出了许多可操作性的结论和建议.     

RS UM信息系统安全保障评估模型

以GB/T20274信息系统安全保障评估框架为基础,介绍了信息系统安全保障模型及其评估指标体系,给出了评估方法的形式化描述和评估流程,提出了一种基于粗糙集（rough set,RS）和未确知测度（unascertained measure,UM）理论的信息安全评估模型。在标准处理阶段,模型采用粗糙集理论获取关键指标,简化评估指标体系;在综合评估阶段,采用未确知测度模型分析客观数据,实现了对信息系统安全保障能力的定量化综合评价。     

一种基于信息熵的聚类结果评价方法

文章基于信息熵理论,将模糊聚类评价方法和决策树分类算法联系起来,提出从信息熵角度用决策树分类算法来评价聚类算法结果的有效性,从而确定最佳的聚类个数;并将该方法应用到证券行业客户忠诚度分析模型的建立中.实验结果表明,该方法可以明显提高聚类的效果,并且使得聚类结果的可解释性强,具有良好的实用价值.     

改进型信息安全风险评估计算模型研究

介绍了信息系统安全风险评估概念、要素和基本评估方法,分析了典型的信息安全风险评估计算模型和计算步骤。针对传统的信息安全风险评估计算模型和方法,构建了改进型的信息安全风险评估计算模型,在原有计算方法的基础上提出了新的模型计算方法,克服了传统模型和计算的缺点,为信息安全风险评估提供了一种新的评估方法和计算思路。     

基于模糊判断的网络安全评价方法的研究

网络安全评估通常是根据网络体系结构和网络安全发展形势的具体情况来进行的。解决自身网络安全的首要问题就是掌握网络系统当前与未来可能存在的风险。对网络安全评价可以基于专家系统进行评价,但专家对网络安全状况的判定往往存在不确定性、模糊性。本文主要通过介绍应用模糊关系的建立,解决专家对网络安全评价过程中所存在的不确定性评价问题,结果表明本文所研究的方法能够适用于网络安全评价过程。     

基于不同粒度语言信息的ERP项目风险综合评价

为了对投资巨大、实施周期长的ERP项目风险进行综合评价,构建了基于不同粒度语言信息的群决策模型。将专家给出的语言评价信息用二元语义形式表示,从多个语言变量集合中选择一个基本语言术语集,并将不同粒度语言信息一致化,通过构造群决策的优化模型,得到ERP项目风险群体综合评价结果。利用算例说明此方法的有效性,对ERP项目风险评价具有一定的应用价值。     

基于信息熵的教学模糊综合评价研究

教学评价是一个结构复杂和影响因素众多的过程.针对一般教学评价方法的缺陷,引入信息熵的理论,结合模糊综合评价法,提出了基于熵的模糊综合评价法,克服了单一评价方法在权重确定方面的不足,并将之应用到教学评价过程中,表明运用该方法的评判结果更客观、科学、合理.     

城市轨道交通网络运营安全的综合评估

运营安全评估是保障轨道交通网络化安全运营的关键环节之一.基于熵权可拓物元模型提出了一种轨道交通线网运营安全评价的方法.该方法通过统计分析轨道交通线网历史运营情况,构建运营安全评价指标体系;利用数理统计划分评价指标的经典域;利用熵权模型计算指标权重;并利用可拓物元模型计算轨道交通线网的综合评价值和风险等级.研究结果表明,所构建的轨道交通线网运营风险评估的指标体系切实可行,基于熵权可拓物元模型提出的评价方法能客观有效地评估线网的运营风险.     

基于未确知测度模型的尾矿库溃坝风险评价

针对尾矿库溃坝风险分级预测评价中诸多因素不确定性问题,应用未确知测度理论与尾矿库溃坝风险评价标准并结合工程实际,根据尾矿库溃坝的特点及成因,选取防洪设计标准等16项未确知测度函数评价指标,建立尾矿库溃坝风险分级预测的未确知测度评价模型.根据广东省大宝山矿业有限公司槽对坑尾矿库的实际情况建立各评价因子的未确知测度函数,对其进行定量分析,并利用信息熵计算各评价指标的权重,依照置信度识别准则进行等级判定,最后得出尾矿库溃坝风险评价分级预测的评价结果.研究结果表明:该方法不仅能给出尾矿库运行期的安全等级,并且能够更客观地反映尾矿库工程运行危险源的情况,为尾矿库溃坝危险性的评价提供了一种新的评价方法.     

一种基于风险评价的无线传感器网络信任模型

针对现有无线传感器网络的信任模型未考虑风险因素,导致不能有效处理恶意节点攻击的问题,采用一种基于风险评价的信任模型(Risk evaluation basedtrust model,RBTM)。RBTM的框架由检测模块、信任计算模块和决策模块组成,并考虑上下文因素的影响。计算信任度时同时考虑推荐信誉值和风险值的影响;风险值的计算借用风险评估函数和风险信誉调节函数实现。研究结果表明：RBTM能够有效抵抗恶意节点的攻击,与已有的信任模型相比具有更大的灵敏性,较大程度地提高了对恶意行为的检测成功率,可以使节点之间更有效地建立信任关系。