二維結(jié)構(gòu)熵的CBTC系統(tǒng)信息安全風(fēng)險(xiǎn)評估方法

現(xiàn)如今,我國社會現(xiàn)已進(jìn)入全球信息化時(shí)代,各類企業(yè)發(fā)展的過程中會成立信息系統(tǒng),借此存儲信息、整合信息,但目前信息安全受到了一定威脅,進(jìn)而會損失企業(yè)經(jīng)濟(jì)效益,資產(chǎn)信息的安全性、完整性得不到保障.從中能夠看出,應(yīng)用綜合評估方法處理上述問題,這不僅能夠?qū)鹘y(tǒng)評估方法存在的不足全面彌補(bǔ),而且還能全面保護(hù)信息安全,促進(jìn)企業(yè)有序運(yùn)行.文章首先對風(fēng)險(xiǎn)評估法具體介紹,然后分析了信息安全風(fēng)險(xiǎn)評估的重要性,接下來對比不同的評估方法,最后探究綜合評估方法.

信息安全風(fēng)險(xiǎn)評估及評估工具研究

核電行業(yè)工業(yè)控制系統(tǒng)中部分關(guān)鍵系統(tǒng)具有資產(chǎn)組成單一、整體結(jié)構(gòu)簡單等現(xiàn)狀,當(dāng)使用傳統(tǒng)的以信息資產(chǎn)為對象的定性風(fēng)險(xiǎn)評估方式進(jìn)行信息安全風(fēng)險(xiǎn)評估時(shí),出現(xiàn)部分關(guān)鍵工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)被低估的情況,進(jìn)而導(dǎo)致難以全面、客觀地反映出核電站工業(yè)控制系統(tǒng)所面臨的信息安全風(fēng)險(xiǎn).田灣核電站組織專項(xiàng)研究,通過對國內(nèi)外信息安全領(lǐng)域、工業(yè)控制領(lǐng)域以及電力行業(yè)的風(fēng)險(xiǎn)評估方法進(jìn)行整合分析,并結(jié)合核電行業(yè)設(shè)備維修、維護(hù)管理方式的特點(diǎn)和特色,最終整合經(jīng)典的信息安全風(fēng)險(xiǎn)評估方式、可靠性維修管理(rcm)方式以及失效模式及影響分析(fmea)方法,形成更加適用于核電行業(yè)工業(yè)控制系統(tǒng)的信息安全風(fēng)險(xiǎn)評估方法.

簡要介紹國內(nèi)外信息安全風(fēng)險(xiǎn)評估工作的發(fā)展過程,指出各應(yīng)用領(lǐng)域或各組織進(jìn)行信息安全風(fēng)險(xiǎn)評估的重要性。闡述了信息安全風(fēng)險(xiǎn)評估需要解決的問題,介紹目前在信息安全風(fēng)險(xiǎn)評估領(lǐng)域所采取的主要方法,并對這些方法進(jìn)行分析和評價(jià)。探討信息安全風(fēng)險(xiǎn)評估工作的流程,并展望了信息安全風(fēng)險(xiǎn)評估的發(fā)展前景。

一種基于威脅分析的信息安全風(fēng)險(xiǎn)評估方法

通過對支撐組織業(yè)務(wù)運(yùn)轉(zhuǎn)的信息資產(chǎn)所處的位置和流動(dòng)屬性的分析,將傳統(tǒng)的gb/t20984-2007中定義的五種主要資產(chǎn),即數(shù)據(jù)、軟件、硬件、人員和服務(wù)劃分為位置固定資產(chǎn)與位置變動(dòng)資產(chǎn);引入業(yè)務(wù)流程風(fēng)險(xiǎn)模型以有效識別信息資產(chǎn)所在業(yè)務(wù)節(jié)點(diǎn)面對的風(fēng)險(xiǎn);應(yīng)用ahp方法對資產(chǎn)建立風(fēng)險(xiǎn)等級層次模型確定風(fēng)險(xiǎn)的大小,為后續(xù)的風(fēng)險(xiǎn)管理活動(dòng)提供一個(gè)科學(xué)的風(fēng)險(xiǎn)等級劃分依據(jù)并通過實(shí)例驗(yàn)證本方法的可用性。

本文對某大型集團(tuán)企業(yè)為有效提高信息安全的整體水平和安全管控效率,如何基于我國信息安全等級保護(hù)標(biāo)準(zhǔn)進(jìn)行信息安全風(fēng)險(xiǎn)評估活動(dòng),進(jìn)行了具體的分析和研究,總結(jié)歸納了該企業(yè)在日常信息安全管理工作中的等級保護(hù)和信息安全管理體系系列活動(dòng),通過效果評估確定等級保護(hù)標(biāo)準(zhǔn)已完全融入了該企業(yè)的日常信息安全風(fēng)險(xiǎn)評估活動(dòng),并發(fā)揮了關(guān)鍵作用。

基于等級保護(hù)的信息安全風(fēng)險(xiǎn)評估方法

□□□□□□□□□ 作者單位：100037北京北京信息安全測評中心1 一種基于模型的信息安全風(fēng)險(xiǎn)評估方法 李嵩孟亞平孫鐵劉海峰 [摘要]基于模型的評估方法對信息安全風(fēng)險(xiǎn)評估具有重要的意義。該文提出一種基于統(tǒng)一建模語言、攻擊樹分 析事件樹分析模型的信息安全風(fēng)險(xiǎn)評估方法，運(yùn)用面向?qū)ο蟮?、半形式化的方法分析和描述安全風(fēng)險(xiǎn)相關(guān)要素， 基于ata模型深入分析評估關(guān)鍵信息資產(chǎn)的安全風(fēng)險(xiǎn)，基于eta分析安全事件對業(yè)務(wù)的影響，提高風(fēng)險(xiǎn)評估 的精確性和客觀性?；谀Ｐ偷姆椒ㄟ€有利于風(fēng)險(xiǎn)評估相關(guān)要素模式的抽象和復(fù)用，以及評估工具的開發(fā)和應(yīng) 用，提高風(fēng)險(xiǎn)評估的生產(chǎn)率。 [關(guān)鍵詞]信息安全風(fēng)險(xiǎn)評估基于模型統(tǒng)一建模語言攻擊樹分析事件樹分析 amodeldriveninformationsecurity riskassessmentapproach lis

一種基于模型的信息安全風(fēng)險(xiǎn)評估方法

1 00 表1： 基本信息調(diào)查 1.單位基本情況 單位名稱單位地址 （公章） 聯(lián)系人聯(lián)系電話 email填表時(shí)間 信息安全主管領(lǐng)導(dǎo)（簽字）職務(wù) 檢查工作負(fù)責(zé)人（簽字）職務(wù) -2- 2.硬件資產(chǎn)情況 2.1.網(wǎng)絡(luò)設(shè)備情況 網(wǎng)絡(luò)設(shè)備名稱型號物理位置所屬網(wǎng)絡(luò) 區(qū)域 ip地址/掩碼/網(wǎng)關(guān)系統(tǒng)軟件 及版本 端口類型 及數(shù)量 主要用途是否熱備重要程度 2.2.安全設(shè)備情況 安全設(shè)備名稱型號(軟件/ 硬件) 物理位 置 所屬網(wǎng)絡(luò) 區(qū)域 ip地址/掩碼/網(wǎng) 關(guān) 系統(tǒng)及運(yùn)行 平臺 端口類型及 數(shù)量 主要用途是否熱備重要程 度 -3- 2.3.服務(wù)器設(shè)備情況 設(shè)備名稱型號物理位置所屬網(wǎng)絡(luò) 區(qū)域 ip地址/掩碼/網(wǎng)關(guān)操作系統(tǒng) 版本/補(bǔ)丁 安裝應(yīng)用系統(tǒng)軟 件名稱 主要業(yè)務(wù)應(yīng)

**資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.***

□研究報(bào)告□儀器儀表用戶 22eicvol.202013no.4 doi:10.3969/j.issn.1671-1041.2013.04.005 核電廠信息安全風(fēng)險(xiǎn)評估方法 王英，李佳嘉 （上海工業(yè)自動(dòng)化儀表研究院，上海200233） 摘要：隨著信息化與工業(yè)化深度融合，核電廠信息安全變得日益重要。網(wǎng)絡(luò)系統(tǒng)因?yàn)槠涔逃械拇嗳跣?，帶來了一定的?在的危險(xiǎn)，因此評估網(wǎng)絡(luò)系統(tǒng)的脆弱性具有重要意義。本文通過分析面臨的威脅和詳細(xì)的網(wǎng)絡(luò)系統(tǒng)的脆弱性，主要包括 scada（監(jiān)控和數(shù)據(jù)的脆弱性采集）系統(tǒng)、ems（能源管理系統(tǒng)）和mis（管理信息系統(tǒng)），確定電力行業(yè)的風(fēng)險(xiǎn)，找出 薄弱部位，提高網(wǎng)絡(luò)系統(tǒng)的安全性。論文從核電業(yè)進(jìn)行信息安全的角度出發(fā)，描述病毒入侵控制系統(tǒng)的手段及防護(hù)方式。 根據(jù)iec62443標(biāo)準(zhǔn)，確定進(jìn)行信息系統(tǒng)風(fēng)

針對信息系統(tǒng)的安全風(fēng)險(xiǎn)分布特征,給出了一種安全風(fēng)險(xiǎn)評估模型。引入模糊集理論,并結(jié)合具體安全風(fēng)險(xiǎn)因素提出了一種基于模糊群組決策的安全風(fēng)險(xiǎn)評估方法。采用delphi法集成群組意見以確定指標(biāo)的模糊權(quán)重集與模糊評價(jià)集,運(yùn)用三角模糊數(shù)描述語言變量的專家模糊權(quán)重,綜合模糊數(shù)運(yùn)算法則與風(fēng)險(xiǎn)值的求取算法求得安全風(fēng)險(xiǎn)評估值,并給出安全風(fēng)險(xiǎn)的屬性判定。實(shí)例分析驗(yàn)證了該方法的可行性和有效性。

提出以國家相關(guān)規(guī)范標(biāo)準(zhǔn)為依據(jù),以社會實(shí)踐內(nèi)容為基礎(chǔ),構(gòu)建符合社會踐行的課程結(jié)構(gòu)體系,分析依據(jù)結(jié)構(gòu)體系提出課程內(nèi)容的設(shè)計(jì)原則及基本教學(xué)內(nèi)容。

論文介紹了bs7799標(biāo)準(zhǔn)和octave方法發(fā)展的歷史及現(xiàn)狀,著重從適用范圍、具體風(fēng)險(xiǎn)評估過程和實(shí)際應(yīng)用等方面對兩者進(jìn)行了較為詳盡地比較和研究。

在智能電子設(shè)備不斷增多的情況下,在不同時(shí)期建立的信息系統(tǒng)之間發(fā)展變得日益復(fù)雜。電力二次系統(tǒng)發(fā)展本身面臨較為嚴(yán)峻的安全風(fēng)險(xiǎn)問題。電力二次系統(tǒng)的安全評估是對電力網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、電力系統(tǒng)重要服務(wù)器的位置、寬帶、硬件等系統(tǒng)網(wǎng)絡(luò)邊緣口的配置,并應(yīng)用安全的檢測設(shè)備和配置系統(tǒng)對電力安全系統(tǒng)進(jìn)行全面的風(fēng)險(xiǎn)分析。而安全評估平臺出現(xiàn)能夠?qū)﹄娏ο到y(tǒng)的重要資產(chǎn)進(jìn)行識別和分類,并根據(jù)當(dāng)前的電力系統(tǒng)發(fā)展分析電力二次系統(tǒng)安全風(fēng)險(xiǎn)問題,

隨著我國計(jì)算機(jī)信息技術(shù)的不斷發(fā)展,我國對信息系統(tǒng)的安全要求愈加提高,而對信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評估對于我國信息安全工作中遇到的相關(guān)問題有著很不錯(cuò)的預(yù)防作用。針對這種情況,本文就信息系統(tǒng)安全風(fēng)險(xiǎn)評估方法和技術(shù)進(jìn)行相關(guān)研究,希望能對我國相關(guān)事業(yè)的更好發(fā)展盡一份力。

信息安全風(fēng)險(xiǎn)評估是一個(gè)需要處理眾多模糊信息的過程,為提高信息處理的準(zhǔn)確性,提出一種信息熵與三參數(shù)區(qū)間數(shù)相結(jié)合的信息安全風(fēng)險(xiǎn)評估方法。通過對信息系統(tǒng)進(jìn)行分析,建立三參數(shù)區(qū)間形式的風(fēng)險(xiǎn)指標(biāo)評價(jià)矩陣,采用信息熵理論確定指標(biāo)權(quán)重。根據(jù)三參數(shù)區(qū)間的區(qū)間距離和區(qū)間排序理論求得評價(jià)專家權(quán)重,分析匯總?cè)叩玫阶罱K的評估結(jié)果,并通過實(shí)例進(jìn)行評估得到三參數(shù)區(qū)間數(shù)形式的風(fēng)險(xiǎn)值。實(shí)驗(yàn)結(jié)果表明,與采用二區(qū)間形式的方法相比,該方法能夠較準(zhǔn)確地預(yù)測風(fēng)險(xiǎn)等級。

信息安全風(fēng)險(xiǎn)評估需求方案 一、項(xiàng)目背景 多年來，天津市財(cái)政局（地方稅務(wù)局）在加快信息化建設(shè)和 信息系統(tǒng)開發(fā)應(yīng)用的同時(shí)，高度重視信息安全工作，采取了很多 防范措施，取得了較好的工作效果，但同新形勢、新任務(wù)的要求 相比，還存在有許多不相適應(yīng)的地方。2009年，國家稅務(wù)總局 和市政府分別對我局信息系統(tǒng)安全情況進(jìn)行了抽查，在充分肯定 成績的同時(shí)，也指出了我局在信息安全方面存在的問題。通過抽 查所暴露的這些問題，給我們敲響了警鐘，也對我局信息安全工 作提出了新的更高的要求。 因此，天津市財(cái)政局（地方稅務(wù)局）在對現(xiàn)有信息安全資源 進(jìn)行整合、整改的同時(shí)，按照國家稅務(wù)總局信息安全管理規(guī)定， 結(jié)合本單位實(shí)際情況確定實(shí)施信息安全評估、安全加固、應(yīng)急響 應(yīng)、安全咨詢、安全事件通告、安全巡檢、安全值守、安全培訓(xùn)、 應(yīng)急演練服務(wù)等工作內(nèi)容（以下簡稱“安全風(fēng)險(xiǎn)評估”），形成 安全規(guī)劃、實(shí)施

信息安全風(fēng)險(xiǎn)評估技術(shù)手段綜述(轉(zhuǎn)) 摘要：信息安全成為國家安全的重要組成部分，因此為保證信息安全，建立 信息安全管理體系已成為目前安全建設(shè)的首要任務(wù)。風(fēng)險(xiǎn)評估作為信息安全管理 體系建設(shè)的基礎(chǔ)，在體系建設(shè)的各個(gè)階段發(fā)揮著重要的作用。風(fēng)險(xiǎn)評估的進(jìn)行離 不開風(fēng)險(xiǎn)評估工具，本文在對風(fēng)險(xiǎn)評估工具進(jìn)行分類的基礎(chǔ)上，探討了目前主要 的風(fēng)險(xiǎn)評估工具的研究現(xiàn)狀及發(fā)展方向。 關(guān)鍵詞：風(fēng)險(xiǎn)評估綜合風(fēng)險(xiǎn)評估信息基礎(chǔ)設(shè)施工具 引言 當(dāng)今時(shí)代，信息是一個(gè)國家最重要的資源之一，信息與網(wǎng)絡(luò)的運(yùn)用亦是二十一世 紀(jì)國力的象征，以網(wǎng)絡(luò)為載體、信息資源為核心的新經(jīng)濟(jì)改變了傳統(tǒng)的資產(chǎn)運(yùn)營 模式，沒有各種信息的支持，企業(yè)的生存和發(fā)展空間就會受到限制。信息的重要 性使得他不但面臨著來自各方面的層出不窮的挑戰(zhàn)，因此，需要對信息資產(chǎn)加以 妥善保護(hù)。正如中國工程院院長徐匡迪所說：“沒有安全的工程就是豆腐渣工程

附件： 國家電子政務(wù)工程建設(shè)項(xiàng)目非涉密信息系統(tǒng) 信息安全風(fēng)險(xiǎn)評估報(bào)告格式 項(xiàng)目名稱： 項(xiàng)目建設(shè)單位： 風(fēng)險(xiǎn)評估單位： 年月日 目錄 一、風(fēng)險(xiǎn)評估項(xiàng)目概述.........................................................................................................................................1 1.1工程項(xiàng)目概況................................................................................................................................................1 1.1.1建設(shè)項(xiàng)目基本信息......