资产关联拓扑结构的信息系统安全评估模型

Risk Assessment of Information System Based on the Topology Structure of Assets′ Connections

下载PDF

导出

摘要提出了基于资产关联拓扑结构的信息系统安全评估模型。以资产关联拓扑结构图为原型表示资产间的关联,量化计算判定各资产间关联以及关联性对整个信息系统风险的影响。该信息系统安全评估模型改进了传统的信息系统风险评估方法,添加资产关联性作为评估过程中的重要信息,实现了量化的信息安全评估。最后给出实例验证了模型对传统评估方法的改进。 This paper presents a new risk assessment model for measuring the security risk level of information systems. This model uses the topology structure of the correlations among system assets. It quantitatively computes the correlation extents and decides the influence of these correlations on the evaluated system. This risk assessment model improves the traditional security risk assessment model. By adding assets correlation as an important element to the process of risk assessment. It has achieved the quantitative risk assessment. Finally, an example of this risk assessment model is presented to show that this new model is better than the traditional ones.

作者徐萃华林家骏陶砚蕴

机构地区华东理工大学信息科学与工程学院

出处《华东理工大学学报（自然科学版）》 CAS CSCD 北大核心 2009年第3期447-451,共5页 Journal of East China University of Science and Technology

关键词风险评估资产关联拓扑结构定量评估攻击路线 risk assessment assets＇ connections topology structure quantitative computation attacking route

分类号 TP393.08 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献11

1范红,冯登国编著..信息安全风险评估实施教程[M].北京:清华大学出版社,2007:130.
2杜君,蒋卫华,李伟华.基于可生存性的系统安全评估方法[J].计算机工程,2007,33(3):167-168. 被引量：2
3张永铮,方滨兴,迟悦,云晓春.用于评估网络信息系统的风险传播模型[J].软件学报,2007,18(1):137-145. 被引量：76
4王连强,吕述望,张剑,刘振华.组合对象信息安全风险评估研究[J].计算机工程与应用,2006,42(26):17-19. 被引量：6
5张永铮,方滨兴,迟悦,云晓春.网络风险评估中网络节点关联性的研究[J].计算机学报,2007,30(2):234-240. 被引量：52
6赵战生,谢宗晓编著..信息安全风险评估：概念、方法和实践[M].北京:中国标准出版社,2007:182.
7吴亚非,李新友,禄凯主编..信息安全风险评估[M].北京:清华大学出版社,2007:287.
8江常青.基于模型的信息系统安全评估研究[D].上海:华东理工大学,2006. 被引量：1
9McDermid J A, Shi Qi. A formal approach for security evaluation[C]//Proceedings of the 7th Annual Conference on Computer Assurance. Gaithershurg, USA: IEEE, 1992:47- 55. 被引量：1
10Andreas Ekelhat. Security ontologies: Improving quantitative risk analysis [C]//Proceedings of the 40th Annual Hawaii International Conference on System Sciences. Hawaii, USA: IEEE, 2007 : 156-162. 被引量：1

二级参考文献21

1张永铮,云晓春,胡铭曾.基于特权提升的多维量化属性弱点分类法的研究[J].通信学报,2004,25(7):107-114. 被引量：35
2IEC 1025.Fault tree analysis(FTA).1990 被引量：1
3Bouti A,Ait Kadi D.A state-of-the-art review of FMEA/FMECA[J].International Journal of reliability,quality and safety engineering,1994; 1:515～543 被引量：1
4Albets Christopher J,Dorofee Audrey J.OCTAVE Method Implementation Guide[M].v2.0 Pittsburgh,PA:Software Engineering Institute,Carnegie Mellon University,2001 被引量：1
5Barber B,Davey J.The use of the CCTA risk analysis and management methodology CRAMM[C].In:Proc MEDINFO92,North Holland,1992:1589～1593 被引量：1
6ISO/IEC 27001.Information technology-Security techniques-Information security management systems-Requirements.2005 被引量：1
7ISO/IEC 13335-3.Information technology-Security techniquesGuidelines for the management of IT security-Part 3:Techniques for the management of IT security.1997 被引量：1
8Ritchey R,Ammann P.Using model checking to analyze network vulnerabilities//Proceedings of the IEEE Symposium on Security and Privacy.Oakland,California,2000:156-165 被引量：1
9Mayer A,Wool A,Ziskind E.Fang:A firewall analysis engine//Proceedings of the IEEE Symposium on Security and Privacy.Oakland,California,2000:177-187 被引量：1
10Ritchey R,O'Berry B,Noel S.Representing TCP/IP connectivity for topological analysis of network security//Proceedings of the 18th Annual Computer Security Applications Conference.Las Vegas,Nevada,2002:25-31 被引量：1

共引文献120

1肖庆,焦健,王春平.一种面向应用层目标的网络主动防御系统[J].华中科技大学学报（自然科学版）,2012,40(S1):70-73. 被引量：1
2彭凌西,陈月峰,刘才铭,曾金全,刘孙俊,赵辉.基于危险理论的网络风险评估模型[J].电子科技大学学报,2007,36(6):1198-1201. 被引量：12
3梅占勇,揭金良.基于访问路径的业务系统风险分析[J].计算机与现代化,2008(1):39-41.
4吕慧颖,曹元大,时翠霞.基于攻击模拟的网络安全风险分析方法研究[J].北京理工大学学报,2008,28(4):338-342. 被引量：7
5昝彧弘.信息系统风险评估实践[J].信息安全与通信保密,2008,30(8):155-157. 被引量：2
6周亮,刘开培,李俊娥,陈勇强.电力调度管理信息系统安全风险评估研究[J].电气应用,2008,27(20):45-48. 被引量：6
7刘芳,蔡志平,肖侬,王志英,陈勇.基于神经网络的安全风险概率预测模型[J].计算机科学,2008,35(12):28-33. 被引量：9
8张永铮,田志宏,方滨兴,云晓春.求解网络风险传播问题的近似算法及其性能分析[J].中国科学（E辑）,2008,38(8):1157-1168. 被引量：6
9周亮,李俊娥,陆天波,刘开培.信息系统漏洞风险定量评估模型研究[J].通信学报,2009,30(2):71-76. 被引量：29
10陈天平,乔向东,郑连清,罗骞.图论在网络安全威胁态势分析中的应用[J].北京邮电大学学报,2009,32(1):113-117. 被引量：9

1郝计奎,陈新艳.基于原型的知识表示[J].福建电脑,2007,23(12):145-145.
2段金利,张岐山.基于BP神经网络和专家系统的信息系统风险评估方法研究[J].现代管理科学,2006(7):21-22. 被引量：6
3吴迪,陈晓桦,李斌,郭涛.IS风险评估方法分类研究[J].计算机应用研究,2007,24(9):55-57. 被引量：1
4顾华杰.信息系统风险评估方法综述[J].无线互联科技,2014,11(9):84-85. 被引量：2
5王玉玲.银行业务的计算机端口安全[J].潍坊学院学报,2005,5(6):60-61.
6王丹磊,李长军,赵磊,王丽娜.OAuth 2.0协议在Web部署中的安全性分析与威胁防范[J].武汉大学学报（理学版）,2016,62(5):411-417. 被引量：10
7段金利,张岐山,刘维嘉.基于AHP法和灰色理论的信息系统风险评估模型[J].广东工业大学学报,2006,23(4):12-16. 被引量：9
8黎琳.三圈RIPEMD-128的碰撞攻击[J].山东大学学报（理学版）,2007,42(3):1-7.
9李晨旸,张晓梅,李媛.一种基于层次分析法的大规模信息系统风险评估方法[J].计算机应用与软件,2013,30(10):322-325. 被引量：8
10付沙,宋丹,黄会群.一种基于熵权和模糊集理论的信息系统风险评估方法[J].现代情报,2013,33(3):10-13. 被引量：4

华东理工大学学报（自然科学版）

2009年第3期

浏览历史

内容加载中请稍等...

资产关联拓扑结构的信息系统安全评估模型

参考文献11

二级参考文献21

共引文献120

相关作者

相关机构

相关主题

浏览历史