兩種安全風險評估方法NIST與OCTAVE的比較研究

網絡安全風險評估方法分析與比較 作者：覃德澤，蒙軍全，qindeze，mengjunquan 作者單位：覃德澤,qindeze(賀州學院計算機科學與工程系,廣西,542800)，蒙軍全,mengjunquan(賀 州市科技局,廣西,542800) 刊名： 網絡安全技術與應用 英文刊名：networksecuritytechnology&application 年，卷(期)：2011(4) 本文鏈接：http://d.g.wanfangdata.com.cn/periodical_wlaqjsyyy201104008.aspx

天津大學 碩士學位論文 基于網絡安全風險評估方法的通用聯動系統的研究與實現 姓名：辛靜薇 申請學位級別：碩士 專業(yè)：計算機應用技術 指導教師：孫濟洲 20070101 基于網絡安全風險評估方法的通用聯動系統的研究與實現 作者：辛靜薇 學位授予單位：天津大學 本文鏈接：http://d.g.wanfangdata.com.cn/thesis_y1359117.aspx

建設工程風險大，建設工程風險因素和風險事件發(fā)生的概率均較大，往往造成比較嚴重的損失后果，參與工程建設的各方均有風險，即使是同一風險事件，對建設工程參與方的后果也會迥然不同。風險評估是建立安全管理體系的基礎，在安全領域具有重要地位。本文綜合運用定性、定量的方法提出了風險評估流程、模型和方案，使風險評估的過程和結果更具有邏輯性、系統性和可操作性。

一種基于威脅分析的信息安全風險評估方法

□□□□□□□□□ 作者單位：100037北京北京信息安全測評中心1 一種基于模型的信息安全風險評估方法 李嵩孟亞平孫鐵劉海峰 [摘要]基于模型的評估方法對信息安全風險評估具有重要的意義。該文提出一種基于統一建模語言、攻擊樹分 析事件樹分析模型的信息安全風險評估方法，運用面向對象的、半形式化的方法分析和描述安全風險相關要素， 基于ata模型深入分析評估關鍵信息資產的安全風險，基于eta分析安全事件對業(yè)務的影響，提高風險評估 的精確性和客觀性?；谀Ｐ偷姆椒ㄟ€有利于風險評估相關要素模式的抽象和復用，以及評估工具的開發(fā)和應 用，提高風險評估的生產率。 [關鍵詞]信息安全風險評估基于模型統一建模語言攻擊樹分析事件樹分析 amodeldriveninformationsecurity riskassessmentapproach lis

一種基于模型的信息安全風險評估方法

網絡安全風險評估方法的研究 作者：吳濤，馬軍，wutao，majun 作者單位：河北理工大學網絡中心,河北,唐山,063009 刊名：東北師大學報(自然科學版) 英文刊名：journalofnortheastnormaluniversity(naturalscienceedition) 年，卷(期)：2010,42(1) 參考文獻(7條) 1.范紅;馮登國信息安全風險評估方法與應用2006 2.劉穎芬;占濟舟"互反型"標度的一致性比較[期刊論文]-東北師大學報(自然科學版)2008(04) 3.albertscj;behrenssgpethiard.operationallycriticalthreat,asset,andvulnerability evaluationsm2004 4.陳昕;董德明;沈萬斌

2008(華科)改進的HMM網絡安全風險評估方法研究

通過對支撐組織業(yè)務運轉的信息資產所處的位置和流動屬性的分析,將傳統的gb/t20984-2007中定義的五種主要資產,即數據、軟件、硬件、人員和服務劃分為位置固定資產與位置變動資產;引入業(yè)務流程風險模型以有效識別信息資產所在業(yè)務節(jié)點面對的風險;應用ahp方法對資產建立風險等級層次模型確定風險的大小,為后續(xù)的風險管理活動提供一個科學的風險等級劃分依據并通過實例驗證本方法的可用性。

信息安全風險評估是信息系統安全的前提和基礎。該文對風險評估方法進行了概括描述,在分析以層次分析法為代表的綜合評估方法不足的基礎上,對4種改進型的綜合評估方法進行了歸納,得出了4種有代表性的改進方法,并對這4種方法的優(yōu)點進行了比較分析。

現如今,我國社會現已進入全球信息化時代,各類企業(yè)發(fā)展的過程中會成立信息系統,借此存儲信息、整合信息,但目前信息安全受到了一定威脅,進而會損失企業(yè)經濟效益,資產信息的安全性、完整性得不到保障.從中能夠看出,應用綜合評估方法處理上述問題,這不僅能夠對傳統評估方法存在的不足全面彌補,而且還能全面保護信息安全,促進企業(yè)有序運行.文章首先對風險評估法具體介紹,然后分析了信息安全風險評估的重要性,接下來對比不同的評估方法,最后探究綜合評估方法.

以民族宗教沖突事件、綁架（劫持）事件、恐怖襲擊事件和游行示威事件等4類社會公共安全事件的特征為基礎，建立了4個一級指標和27個二級指標，形成了涉外工程項目社會公共安全風險評估指標體系。通過專家打分法確定了各級指標的權重值，使用模糊數學法建立了涉外工程社會公共安全風險評估模型。最后以某涉外工程為實例。對模型進行了驗證。

信息安全風險評估及評估工具研究

隨著我國計算機信息技術的不斷發(fā)展,我國對信息系統的安全要求愈加提高,而對信息系統進行安全風險評估對于我國信息安全工作中遇到的相關問題有著很不錯的預防作用。針對這種情況,本文就信息系統安全風險評估方法和技術進行相關研究,希望能對我國相關事業(yè)的更好發(fā)展盡一份力。

我國在建公路隧道工程數量增長迅速,施工安全事故時有發(fā)生,因此通過風險評估實現施工過程的風險控制就顯得非常重要。在此背景下,交通運輸部出臺了《公路橋梁和隧道工程施工安全風險評估指南(試行)》,而在實際應用過程中,該評估指南無法完全適應多變的工程實際。針對該問題,在對隧道施工安全風險評估的各類評估方法及其適用性進行詳細研究的基礎上,將該評估指南與國內外其他相關成果和做法進行分析比對,指出該評估指南存在的不足之處,進一步提出相關優(yōu)化與修訂建議；最后,以湖南某高速公路隧道洞口坍塌事故為例,利用提出的施工前專項風險評估方法,綜合運用數值模擬計算與事故后果當量估計,計算相應的風險等級,所得到的結果與實際情況更為接近,進一步說明本文所提優(yōu)化方法的合理性和可操作性。

由于在設計、規(guī)劃和公路橋梁的過程當中會存在很多的不確定性,從某種意義上來說,它是客觀存在的,不會隨意改變的。也就是說,在設計公路橋梁以及在施工當中會因管理的失誤以及存在的缺陷,或者因為一些其它因素的影響,都會在運營當中存在很多的不利因素,對于我們預期的總體效果以及工程期望都會存在很大的差異,沒有達到理想的效果,也正是這樣,就會給人員安全,管理以及在經濟方面都會帶來很大的損失,產生安全風險,對些,針對這些安全風險要做出評估,而其應用方法卻值得我們進一步的深入研究。

以民族宗教沖突事件、綁架(劫持)事件、恐怖襲擊事件和游行示威事件等4類社會公共安全事件的特征為基礎,建立了4個一級指標和27個二級指標,形成了涉外工程項目社會公共安全風險評估指標體系。通過專家打分法確定了各級指標的權重值,使用模糊數學法建立了涉外工程社會公共安全風險評估模型。最后以某涉外工程為實例,對模型進行了驗證。

為有效控制公路橋梁施工安全風險,提出一種可量化的公路橋梁施工安全風險評估方法。先構建我國公路橋梁施工總體安全風險評估指標體系,并基于蒙特卡洛抽樣技術,運用k-s法對該評估指標體系總體分布進行有效檢驗。在此基礎上,在給定的置信區(qū)間下對總體安全風險等級閾值進行界定劃分,并通過實例進行驗證。研究結果表明:該評估方法具有方便、實用、可靠性強的特點。

核電行業(yè)工業(yè)控制系統中部分關鍵系統具有資產組成單一、整體結構簡單等現狀,當使用傳統的以信息資產為對象的定性風險評估方式進行信息安全風險評估時,出現部分關鍵工業(yè)控制系統風險被低估的情況,進而導致難以全面、客觀地反映出核電站工業(yè)控制系統所面臨的信息安全風險.田灣核電站組織專項研究,通過對國內外信息安全領域、工業(yè)控制領域以及電力行業(yè)的風險評估方法進行整合分析,并結合核電行業(yè)設備維修、維護管理方式的特點和特色,最終整合經典的信息安全風險評估方式、可靠性維修管理(rcm)方式以及失效模式及影響分析(fmea)方法,形成更加適用于核電行業(yè)工業(yè)控制系統的信息安全風險評估方法.

復雜工程安全風險評估是近年來迅速發(fā)展的一種系統化方法,本文介紹了安全風險評估的基本概念,并討論了風險評估的過程及方法,最后敘述了海洋工程安全風險評估的研究現狀及目前研究的熱點,為海洋工程的安全評估提供了參考依據。

簡要介紹國內外信息安全風險評估工作的發(fā)展過程,指出各應用領域或各組織進行信息安全風險評估的重要性。闡述了信息安全風險評估需要解決的問題,介紹目前在信息安全風險評估領域所采取的主要方法,并對這些方法進行分析和評價。探討信息安全風險評估工作的流程,并展望了信息安全風險評估的發(fā)展前景。

基于攻擊檢測的網絡安全風險評估方法