區(qū)間值直覺模糊集相似性的信息安全風險評估方法研究

南京師范大學 碩士學位論文 基于模糊層次分析法的信息安全風險評估研究 姓名：潘宏偉 申請學位級別：碩士 專業(yè)：運籌學與控制論 指導教師：宋如順 20070301 基于模糊層次分析法的信息安全風險評估研究 作者：潘宏偉 學位授予單位：南京師范大學 本文鏈接：http://d.g.wanfangdata.com.cn/thesis_y1117758.aspx

信息安全風險評估及評估工具研究

簡要介紹國內(nèi)外信息安全風險評估工作的發(fā)展過程,指出各應用領(lǐng)域或各組織進行信息安全風險評估的重要性。闡述了信息安全風險評估需要解決的問題,介紹目前在信息安全風險評估領(lǐng)域所采取的主要方法,并對這些方法進行分析和評價。探討信息安全風險評估工作的流程,并展望了信息安全風險評估的發(fā)展前景。

詳細描述了區(qū)間直覺模糊集的含義與相似度量,并提出將區(qū)間直覺模糊集的相似度量方法應用于在機械設計方案決策中。區(qū)間直覺模糊集相似性測度是指備選設計方案數(shù)據(jù)集與期望設計數(shù)據(jù)集之間的相似性測度,用于評價方案的優(yōu)劣,相似性測度值越大,那么這種設計方案就越好。通過實例闡明本方法在機械設計方案決策中的應用是可行的,從而為解決方案決策問題提供了一種新方法。

□□□□□□□□□ 作者單位：100037北京北京信息安全測評中心1 一種基于模型的信息安全風險評估方法 李嵩孟亞平孫鐵劉海峰 [摘要]基于模型的評估方法對信息安全風險評估具有重要的意義。該文提出一種基于統(tǒng)一建模語言、攻擊樹分 析事件樹分析模型的信息安全風險評估方法，運用面向?qū)ο蟮?、半形式化的方法分析和描述安全風險相關(guān)要素， 基于ata模型深入分析評估關(guān)鍵信息資產(chǎn)的安全風險，基于eta分析安全事件對業(yè)務的影響，提高風險評估 的精確性和客觀性。基于模型的方法還有利于風險評估相關(guān)要素模式的抽象和復用，以及評估工具的開發(fā)和應 用，提高風險評估的生產(chǎn)率。 [關(guān)鍵詞]信息安全風險評估基于模型統(tǒng)一建模語言攻擊樹分析事件樹分析 amodeldriveninformationsecurity riskassessmentapproach lis

一種基于模型的信息安全風險評估方法

通過對支撐組織業(yè)務運轉(zhuǎn)的信息資產(chǎn)所處的位置和流動屬性的分析,將傳統(tǒng)的gb/t20984-2007中定義的五種主要資產(chǎn),即數(shù)據(jù)、軟件、硬件、人員和服務劃分為位置固定資產(chǎn)與位置變動資產(chǎn);引入業(yè)務流程風險模型以有效識別信息資產(chǎn)所在業(yè)務節(jié)點面對的風險;應用ahp方法對資產(chǎn)建立風險等級層次模型確定風險的大小,為后續(xù)的風險管理活動提供一個科學的風險等級劃分依據(jù)并通過實例驗證本方法的可用性。

信息安全風險評估是信息系統(tǒng)安全的前提和基礎。該文對風險評估方法進行了概括描述,在分析以層次分析法為代表的綜合評估方法不足的基礎上,對4種改進型的綜合評估方法進行了歸納,得出了4種有代表性的改進方法,并對這4種方法的優(yōu)點進行了比較分析。

現(xiàn)如今,我國社會現(xiàn)已進入全球信息化時代,各類企業(yè)發(fā)展的過程中會成立信息系統(tǒng),借此存儲信息、整合信息,但目前信息安全受到了一定威脅,進而會損失企業(yè)經(jīng)濟效益,資產(chǎn)信息的安全性、完整性得不到保障.從中能夠看出,應用綜合評估方法處理上述問題,這不僅能夠?qū)鹘y(tǒng)評估方法存在的不足全面彌補,而且還能全面保護信息安全,促進企業(yè)有序運行.文章首先對風險評估法具體介紹,然后分析了信息安全風險評估的重要性,接下來對比不同的評估方法,最后探究綜合評估方法.

核電行業(yè)工業(yè)控制系統(tǒng)中部分關(guān)鍵系統(tǒng)具有資產(chǎn)組成單一、整體結(jié)構(gòu)簡單等現(xiàn)狀,當使用傳統(tǒng)的以信息資產(chǎn)為對象的定性風險評估方式進行信息安全風險評估時,出現(xiàn)部分關(guān)鍵工業(yè)控制系統(tǒng)風險被低估的情況,進而導致難以全面、客觀地反映出核電站工業(yè)控制系統(tǒng)所面臨的信息安全風險.田灣核電站組織專項研究,通過對國內(nèi)外信息安全領(lǐng)域、工業(yè)控制領(lǐng)域以及電力行業(yè)的風險評估方法進行整合分析,并結(jié)合核電行業(yè)設備維修、維護管理方式的特點和特色,最終整合經(jīng)典的信息安全風險評估方式、可靠性維修管理(rcm)方式以及失效模式及影響分析(fmea)方法,形成更加適用于核電行業(yè)工業(yè)控制系統(tǒng)的信息安全風險評估方法.

一種基于威脅分析的信息安全風險評估方法

本文對某大型集團企業(yè)為有效提高信息安全的整體水平和安全管控效率,如何基于我國信息安全等級保護標準進行信息安全風險評估活動,進行了具體的分析和研究,總結(jié)歸納了該企業(yè)在日常信息安全管理工作中的等級保護和信息安全管理體系系列活動,通過效果評估確定等級保護標準已完全融入了該企業(yè)的日常信息安全風險評估活動,并發(fā)揮了關(guān)鍵作用。

基于等級保護的信息安全風險評估方法

隨著計算機技術(shù)、通信技術(shù)和控制技術(shù)在城市軌道交通列車運行控制系統(tǒng)中的應用,城市軌道交通的自動化和信息化程度不斷提升.然而,基于通信的列車運行控制(communication-basedtraincontrol,cbtc)技術(shù)采用的通用計算機設備和通信技術(shù)帶來的信息安全漏洞,給cbtc系統(tǒng)帶來了日益嚴峻的信息安全風險,因此,對cbtc系統(tǒng)的信息安全風險進行量化、動態(tài)評估具有重要意義.本文根據(jù)設備及通信鏈路的差異性構(gòu)建了cbtc網(wǎng)絡拓撲模型,結(jié)合信息安全風險下線路列車運行性能變化導致的運能損失,采用綜合表征信息域和物理域特征的二維結(jié)構(gòu)信息熵對cbtc系統(tǒng)信息安全風險進行建模分析.最后,基于城市軌道交通列控系統(tǒng)半實物仿真平臺對評估方法進行驗證,表明所提方法對cbtc系統(tǒng)信息安全量化評估的有效性和準確性.

1 00 表1： 基本信息調(diào)查 1.單位基本情況 單位名稱單位地址 （公章） 聯(lián)系人聯(lián)系電話 email填表時間 信息安全主管領(lǐng)導（簽字）職務 檢查工作負責人（簽字）職務 -2- 2.硬件資產(chǎn)情況 2.1.網(wǎng)絡設備情況 網(wǎng)絡設備名稱型號物理位置所屬網(wǎng)絡 區(qū)域 ip地址/掩碼/網(wǎng)關(guān)系統(tǒng)軟件 及版本 端口類型 及數(shù)量 主要用途是否熱備重要程度 2.2.安全設備情況 安全設備名稱型號(軟件/ 硬件) 物理位 置 所屬網(wǎng)絡 區(qū)域 ip地址/掩碼/網(wǎng) 關(guān) 系統(tǒng)及運行 平臺 端口類型及 數(shù)量 主要用途是否熱備重要程 度 -3- 2.3.服務器設備情況 設備名稱型號物理位置所屬網(wǎng)絡 區(qū)域 ip地址/掩碼/網(wǎng)關(guān)操作系統(tǒng) 版本/補丁 安裝應用系統(tǒng)軟 件名稱 主要業(yè)務應

**資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.***

□研究報告□儀器儀表用戶 22eicvol.202013no.4 doi:10.3969/j.issn.1671-1041.2013.04.005 核電廠信息安全風險評估方法 王英，李佳嘉 （上海工業(yè)自動化儀表研究院，上海200233） 摘要：隨著信息化與工業(yè)化深度融合，核電廠信息安全變得日益重要。網(wǎng)絡系統(tǒng)因為其固有的脆弱性，帶來了一定的潛 在的危險，因此評估網(wǎng)絡系統(tǒng)的脆弱性具有重要意義。本文通過分析面臨的威脅和詳細的網(wǎng)絡系統(tǒng)的脆弱性，主要包括 scada（監(jiān)控和數(shù)據(jù)的脆弱性采集）系統(tǒng)、ems（能源管理系統(tǒng)）和mis（管理信息系統(tǒng)），確定電力行業(yè)的風險，找出 薄弱部位，提高網(wǎng)絡系統(tǒng)的安全性。論文從核電業(yè)進行信息安全的角度出發(fā)，描述病毒入侵控制系統(tǒng)的手段及防護方式。 根據(jù)iec62443標準，確定進行信息系統(tǒng)風

信息安全風險評估是一個需要處理眾多模糊信息的過程,為提高信息處理的準確性,提出一種信息熵與三參數(shù)區(qū)間數(shù)相結(jié)合的信息安全風險評估方法。通過對信息系統(tǒng)進行分析,建立三參數(shù)區(qū)間形式的風險指標評價矩陣,采用信息熵理論確定指標權(quán)重。根據(jù)三參數(shù)區(qū)間的區(qū)間距離和區(qū)間排序理論求得評價專家權(quán)重,分析匯總?cè)叩玫阶罱K的評估結(jié)果,并通過實例進行評估得到三參數(shù)區(qū)間數(shù)形式的風險值。實驗結(jié)果表明,與采用二區(qū)間形式的方法相比,該方法能夠較準確地預測風險等級。

信息安全風險評估中,一般根據(jù)資產(chǎn)的表現(xiàn)形式給出分類的資產(chǎn)列表并孤立地為資產(chǎn)賦值,沒有考慮到資產(chǎn)對業(yè)務的支持和資產(chǎn)之間的關(guān)聯(lián)性。以業(yè)務過程建模方法idef0(integrationdefinitionmethod0)為基礎,建立層次化的業(yè)務過程功能模型,并識別與每個過程功能實現(xiàn)有關(guān)的輸入、機制、控制三類支持性資產(chǎn),從而得到以業(yè)務過程為中心的層次化的資產(chǎn)關(guān)聯(lián)圖。圖中的業(yè)務過程構(gòu)成了一個典型的具有內(nèi)部依賴的遞階層次結(jié)構(gòu),利用網(wǎng)絡分析法可以評估業(yè)務過程針對系統(tǒng)總目標的重要性排序,根據(jù)所支持的業(yè)務過程的重要性及其數(shù)量評估支持性資產(chǎn)的重要性。該方法實現(xiàn)了層次化的資產(chǎn)關(guān)聯(lián)、識別與評估,電子購物網(wǎng)站的應用實例證實了此方法的可行性。

隨著我國計算機信息技術(shù)的不斷發(fā)展,我國對信息系統(tǒng)的安全要求愈加提高,而對信息系統(tǒng)進行安全風險評估對于我國信息安全工作中遇到的相關(guān)問題有著很不錯的預防作用。針對這種情況,本文就信息系統(tǒng)安全風險評估方法和技術(shù)進行相關(guān)研究,希望能對我國相關(guān)事業(yè)的更好發(fā)展盡一份力。

信息安全風險評估需求方案 一、項目背景 多年來，天津市財政局（地方稅務局）在加快信息化建設和 信息系統(tǒng)開發(fā)應用的同時，高度重視信息安全工作，采取了很多 防范措施，取得了較好的工作效果，但同新形勢、新任務的要求 相比，還存在有許多不相適應的地方。2009年，國家稅務總局 和市政府分別對我局信息系統(tǒng)安全情況進行了抽查，在充分肯定 成績的同時，也指出了我局在信息安全方面存在的問題。通過抽 查所暴露的這些問題，給我們敲響了警鐘，也對我局信息安全工 作提出了新的更高的要求。 因此，天津市財政局（地方稅務局）在對現(xiàn)有信息安全資源 進行整合、整改的同時，按照國家稅務總局信息安全管理規(guī)定， 結(jié)合本單位實際情況確定實施信息安全評估、安全加固、應急響 應、安全咨詢、安全事件通告、安全巡檢、安全值守、安全培訓、 應急演練服務等工作內(nèi)容（以下簡稱“安全風險評估”），形成 安全規(guī)劃、實施

隨著信息技術(shù)的飛速發(fā)展,信息安全問題日趨嚴重,解決信息安全問題涉及到政策法規(guī)、標準、技術(shù)、管理等各個層面,是一個系統(tǒng)工程。文章介紹信息安全風險評估的概念、意義和原則;論述國內(nèi)外典型信息安全風險評估標準的研究情況,指出各標準所做的工作,解決的問題;介紹國內(nèi)外典型信息安全風險評估方法的研究情況,論述這些方法從哪些方面入手解決了信息安全風險評估中哪些問題。