区间值直觉模糊集相似性的信息安全风险评估方法研究

南京师范大学 硕士学位论文 基于模糊层次分析法的信息安全风险评估研究 姓名：潘宏伟 申请学位级别：硕士 专业：运筹学与控制论 指导教师：宋如顺 20070301 基于模糊层次分析法的信息安全风险评估研究 作者：潘宏伟 学位授予单位：南京师范大学 本文链接：http://d.g.wanfangdata.com.cn/thesis_y1117758.aspx

信息安全风险评估及评估工具研究

简要介绍国内外信息安全风险评估工作的发展过程,指出各应用领域或各组织进行信息安全风险评估的重要性。阐述了信息安全风险评估需要解决的问题,介绍目前在信息安全风险评估领域所采取的主要方法,并对这些方法进行分析和评价。探讨信息安全风险评估工作的流程,并展望了信息安全风险评估的发展前景。

详细描述了区间直觉模糊集的含义与相似度量,并提出将区间直觉模糊集的相似度量方法应用于在机械设计方案决策中。区间直觉模糊集相似性测度是指备选设计方案数据集与期望设计数据集之间的相似性测度,用于评价方案的优劣,相似性测度值越大,那么这种设计方案就越好。通过实例阐明本方法在机械设计方案决策中的应用是可行的,从而为解决方案决策问题提供了一种新方法。

□□□□□□□□□ 作者单位：100037北京北京信息安全测评中心1 一种基于模型的信息安全风险评估方法 李嵩孟亚平孙铁刘海峰 [摘要]基于模型的评估方法对信息安全风险评估具有重要的意义。该文提出一种基于统一建模语言、攻击树分 析事件树分析模型的信息安全风险评估方法，运用面向对象的、半形式化的方法分析和描述安全风险相关要素， 基于ata模型深入分析评估关键信息资产的安全风险，基于eta分析安全事件对业务的影响，提高风险评估 的精确性和客观性。基于模型的方法还有利于风险评估相关要素模式的抽象和复用，以及评估工具的开发和应 用，提高风险评估的生产率。 [关键词]信息安全风险评估基于模型统一建模语言攻击树分析事件树分析 amodeldriveninformationsecurity riskassessmentapproach lis

一种基于模型的信息安全风险评估方法

通过对支撑组织业务运转的信息资产所处的位置和流动属性的分析,将传统的gb/t20984-2007中定义的五种主要资产,即数据、软件、硬件、人员和服务划分为位置固定资产与位置变动资产;引入业务流程风险模型以有效识别信息资产所在业务节点面对的风险;应用ahp方法对资产建立风险等级层次模型确定风险的大小,为后续的风险管理活动提供一个科学的风险等级划分依据并通过实例验证本方法的可用性。

信息安全风险评估是信息系统安全的前提和基础。该文对风险评估方法进行了概括描述,在分析以层次分析法为代表的综合评估方法不足的基础上,对4种改进型的综合评估方法进行了归纳,得出了4种有代表性的改进方法,并对这4种方法的优点进行了比较分析。

现如今,我国社会现已进入全球信息化时代,各类企业发展的过程中会成立信息系统,借此存储信息、整合信息,但目前信息安全受到了一定威胁,进而会损失企业经济效益,资产信息的安全性、完整性得不到保障.从中能够看出,应用综合评估方法处理上述问题,这不仅能够对传统评估方法存在的不足全面弥补,而且还能全面保护信息安全,促进企业有序运行.文章首先对风险评估法具体介绍,然后分析了信息安全风险评估的重要性,接下来对比不同的评估方法,最后探究综合评估方法.

核电行业工业控制系统中部分关键系统具有资产组成单一、整体结构简单等现状,当使用传统的以信息资产为对象的定性风险评估方式进行信息安全风险评估时,出现部分关键工业控制系统风险被低估的情况,进而导致难以全面、客观地反映出核电站工业控制系统所面临的信息安全风险.田湾核电站组织专项研究,通过对国内外信息安全领域、工业控制领域以及电力行业的风险评估方法进行整合分析,并结合核电行业设备维修、维护管理方式的特点和特色,最终整合经典的信息安全风险评估方式、可靠性维修管理(rcm)方式以及失效模式及影响分析(fmea)方法,形成更加适用于核电行业工业控制系统的信息安全风险评估方法.

一种基于威胁分析的信息安全风险评估方法

本文对某大型集团企业为有效提高信息安全的整体水平和安全管控效率,如何基于我国信息安全等级保护标准进行信息安全风险评估活动,进行了具体的分析和研究,总结归纳了该企业在日常信息安全管理工作中的等级保护和信息安全管理体系系列活动,通过效果评估确定等级保护标准已完全融入了该企业的日常信息安全风险评估活动,并发挥了关键作用。

基于等级保护的信息安全风险评估方法

随着计算机技术、通信技术和控制技术在城市轨道交通列车运行控制系统中的应用,城市轨道交通的自动化和信息化程度不断提升.然而,基于通信的列车运行控制(communication-basedtraincontrol,cbtc)技术采用的通用计算机设备和通信技术带来的信息安全漏洞,给cbtc系统带来了日益严峻的信息安全风险,因此,对cbtc系统的信息安全风险进行量化、动态评估具有重要意义.本文根据设备及通信链路的差异性构建了cbtc网络拓扑模型,结合信息安全风险下线路列车运行性能变化导致的运能损失,采用综合表征信息域和物理域特征的二维结构信息熵对cbtc系统信息安全风险进行建模分析.最后,基于城市轨道交通列控系统半实物仿真平台对评估方法进行验证,表明所提方法对cbtc系统信息安全量化评估的有效性和准确性.

1 00 表1： 基本信息调查 1.单位基本情况 单位名称单位地址 （公章） 联系人联系电话 email填表时间 信息安全主管领导（签字）职务 检查工作负责人（签字）职务 -2- 2.硬件资产情况 2.1.网络设备情况 网络设备名称型号物理位置所属网络 区域 ip地址/掩码/网关系统软件 及版本 端口类型 及数量 主要用途是否热备重要程度 2.2.安全设备情况 安全设备名称型号(软件/ 硬件) 物理位 置 所属网络 区域 ip地址/掩码/网 关 系统及运行 平台 端口类型及 数量 主要用途是否热备重要程 度 -3- 2.3.服务器设备情况 设备名称型号物理位置所属网络 区域 ip地址/掩码/网关操作系统 版本/补丁 安装应用系统软 件名称 主要业务应

**资讯http://www.***.*** **资讯http://www.***.*** **资讯http://www.***.*** **资讯http://www.***.*** **资讯http://www.***.*** **资讯http://www.***.*** **资讯http://www.***.*** **资讯http://www.***.*** **资讯http://www.***.***

□研究报告□仪器仪表用户 22eicvol.202013no.4 doi:10.3969/j.issn.1671-1041.2013.04.005 核电厂信息安全风险评估方法 王英，李佳嘉 （上海工业自动化仪表研究院，上海200233） 摘要：随着信息化与工业化深度融合，核电厂信息安全变得日益重要。网络系统因为其固有的脆弱性，带来了一定的潜 在的危险，因此评估网络系统的脆弱性具有重要意义。本文通过分析面临的威胁和详细的网络系统的脆弱性，主要包括 scada（监控和数据的脆弱性采集）系统、ems（能源管理系统）和mis（管理信息系统），确定电力行业的风险，找出 薄弱部位，提高网络系统的安全性。论文从核电业进行信息安全的角度出发，描述病毒入侵控制系统的手段及防护方式。 根据iec62443标准，确定进行信息系统风

信息安全风险评估是一个需要处理众多模糊信息的过程,为提高信息处理的准确性,提出一种信息熵与三参数区间数相结合的信息安全风险评估方法。通过对信息系统进行分析,建立三参数区间形式的风险指标评价矩阵,采用信息熵理论确定指标权重。根据三参数区间的区间距离和区间排序理论求得评价专家权重,分析汇总三者得到最终的评估结果,并通过实例进行评估得到三参数区间数形式的风险值。实验结果表明,与采用二区间形式的方法相比,该方法能够较准确地预测风险等级。

信息安全风险评估中,一般根据资产的表现形式给出分类的资产列表并孤立地为资产赋值,没有考虑到资产对业务的支持和资产之间的关联性。以业务过程建模方法idef0(integrationdefinitionmethod0)为基础,建立层次化的业务过程功能模型,并识别与每个过程功能实现有关的输入、机制、控制三类支持性资产,从而得到以业务过程为中心的层次化的资产关联图。图中的业务过程构成了一个典型的具有内部依赖的递阶层次结构,利用网络分析法可以评估业务过程针对系统总目标的重要性排序,根据所支持的业务过程的重要性及其数量评估支持性资产的重要性。该方法实现了层次化的资产关联、识别与评估,电子购物网站的应用实例证实了此方法的可行性。

随着我国计算机信息技术的不断发展,我国对信息系统的安全要求愈加提高,而对信息系统进行安全风险评估对于我国信息安全工作中遇到的相关问题有着很不错的预防作用。针对这种情况,本文就信息系统安全风险评估方法和技术进行相关研究,希望能对我国相关事业的更好发展尽一份力。

信息安全风险评估需求方案 一、项目背景 多年来，天津市财政局（地方税务局）在加快信息化建设和 信息系统开发应用的同时，高度重视信息安全工作，采取了很多 防范措施，取得了较好的工作效果，但同新形势、新任务的要求 相比，还存在有许多不相适应的地方。2009年，国家税务总局 和市政府分别对我局信息系统安全情况进行了抽查，在充分肯定 成绩的同时，也指出了我局在信息安全方面存在的问题。通过抽 查所暴露的这些问题，给我们敲响了警钟，也对我局信息安全工 作提出了新的更高的要求。 因此，天津市财政局（地方税务局）在对现有信息安全资源 进行整合、整改的同时，按照国家税务总局信息安全管理规定， 结合本单位实际情况确定实施信息安全评估、安全加固、应急响 应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、 应急演练服务等工作内容（以下简称“安全风险评估”），形成 安全规划、实施

随着信息技术的飞速发展,信息安全问题日趋严重,解决信息安全问题涉及到政策法规、标准、技术、管理等各个层面,是一个系统工程。文章介绍信息安全风险评估的概念、意义和原则;论述国内外典型信息安全风险评估标准的研究情况,指出各标准所做的工作,解决的问题;介绍国内外典型信息安全风险评估方法的研究情况,论述这些方法从哪些方面入手解决了信息安全风险评估中哪些问题。