面向漏洞生命周期的安全风险度量方法 被引量：10

1

作者 胡浩 叶润国 +3 位作者 张红旗 常德显 刘玉岭 杨英杰 《软件学报》 EI CSCD 北大核心 2018年第5期1213-1229,共17页

为了反映信息系统安全漏洞的风险随时间动态变化的规律,构建了基于吸收Markov链的漏洞生命周期模型,计算先验历史漏洞信息作为模型输入,构造漏洞生命周期的状态转移概率矩阵,在时间维度上,利用矩阵对状态演化过程进行推导.借鉴通用漏洞... 为了反映信息系统安全漏洞的风险随时间动态变化的规律,构建了基于吸收Markov链的漏洞生命周期模型,计算先验历史漏洞信息作为模型输入,构造漏洞生命周期的状态转移概率矩阵,在时间维度上,利用矩阵对状态演化过程进行推导.借鉴通用漏洞评分标准分析漏洞威胁影响,给出了安全漏洞的时间维度风险量化方法,并对漏洞生命周期各状态发生概率的演化规律进行了总结和分析.最后,以典型APT攻击场景中"Wanna Cry"勒索病毒的漏洞利用过程为例,验证了模型及方法的合理性和有效性. 展开更多

关键词 风险度量 漏洞生命周期 随机模型 吸收Markov链 动态评估

下载PDF 职称材料

基于吸收马尔可夫链攻击图的网络攻击分析方法研究 被引量：3

2

作者 康海燕 龙墨澜 《通信学报》 EI CSCD 北大核心 2023年第2期122-135,共14页

现有基于攻击图的入侵路径研究在计算状态转移概率时,缺乏对除基本网络环境信息以外因素的考虑,为了全面且合理地分析目标网络的安全性,提出了一种基于吸收马尔可夫链攻击图的网络攻击分析方法。首先,在攻击图的基础上,提出了一种基于... 现有基于攻击图的入侵路径研究在计算状态转移概率时,缺乏对除基本网络环境信息以外因素的考虑,为了全面且合理地分析目标网络的安全性,提出了一种基于吸收马尔可夫链攻击图的网络攻击分析方法。首先,在攻击图的基础上,提出了一种基于漏洞生命周期的状态转移概率归一化算法;其次,使用该算法将攻击图映射为吸收马尔可夫链,并给出其状态转移概率矩阵;最后,对状态转移概率矩阵进行计算,全面分析目标网络的节点威胁程度、攻击路径长度、预期影响。在实验网络环境中应用所提方法,结果表明,所提方法能够有效分析目标网络中的节点威胁程度、攻击路径长度以及漏洞生命周期对网络整体的预期影响,有助于安全研究人员更好地了解网络的安全状态。 展开更多

关键词 攻击图 吸收马尔可夫链 漏洞生命周期 网络攻击 网络安全分析

下载PDF 职称材料

关键信息基础设施保护体系建设与漏洞管理标准化研究 被引量：4

3

作者 杨一未 孙成昊 《信息安全研究》 2022年第1期62-70,共9页

为解决关键信息基础设施运营者在漏洞管理工作中的困惑,深化推进《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例》的落实工作,构建我国关键信息基础设施保护体系.通过系统分析国内外关键信息基础设施保护的发展历程、... 为解决关键信息基础设施运营者在漏洞管理工作中的困惑,深化推进《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例》的落实工作,构建我国关键信息基础设施保护体系.通过系统分析国内外关键信息基础设施保护的发展历程、漏洞管理相关标准、关键信息基础设施漏洞管理前沿理论,论述了关键信息基础设施运营者漏洞管理工作标准化的必要性.将关键信息基础设施漏洞消控管理工作归纳为漏洞管理、资产管理、补丁管理、人员管理、组织管理5要素和准备、规划、执行、监控、变更5阶段的管理模型,漏洞消控管理5要素与5阶段交叉细分为32个工作过程,建议根据该模型编写具有我国特色的关键信息基础设施漏洞运营者漏洞管理指南类标准. 展开更多

关键词 漏洞 关键信息基础设施 消控 漏洞生命周期 漏洞管理

下载PDF 职称材料

统一漏洞管理平台研究设计 被引量：5

4

作者 刘畅 《信息安全研究》 2022年第2期190-195,共6页

随着网络技术的发展,信息安全越来越受到人们的重视.安全漏洞作为攻击者最常利用的攻击手段之一也受到了广泛关注.当前各大组织或企业进行漏洞管理时大都依赖于人工的方式,且缺乏统一的跟踪处置和展示分析,这样不仅效率较低而且容易出错... 随着网络技术的发展,信息安全越来越受到人们的重视.安全漏洞作为攻击者最常利用的攻击手段之一也受到了广泛关注.当前各大组织或企业进行漏洞管理时大都依赖于人工的方式,且缺乏统一的跟踪处置和展示分析,这样不仅效率较低而且容易出错.针对这一问题,设计了一款统一漏洞管理平台,利用一体化平台实现漏洞全生命周期的自动化闭环管理,将不同的漏洞管理功能集成在特定的功能模块中.同时使用通用的开发语言和标准的服务接口方便与其他基础服务平台系统或网络安全工具进行协同联动.实践表明,该平台可有效提高漏洞管理效能,实现了漏洞管理的集中化、流程化和自动化. 展开更多

关键词 网络安全 漏洞 自动化 生命周期 闭环管理

下载PDF 职称材料

基于海量资产精细管理的漏洞跟踪处置平台设计

5

作者 白荣华 《信息安全研究》 CSCD 北大核心 2024年第6期568-573,共6页

针对海量信息资产缺乏漏洞闭环管理可能引发大规模网络或数据安全事件的问题.设计了一种海量资产精细管理的漏洞跟踪处置平台.该平台采用“N+1+X”体系架构(即N个漏洞采集器、1个分析管理系统、X源数据共享),通过前端、后端、旁向方式... 针对海量信息资产缺乏漏洞闭环管理可能引发大规模网络或数据安全事件的问题.设计了一种海量资产精细管理的漏洞跟踪处置平台.该平台采用“N+1+X”体系架构(即N个漏洞采集器、1个分析管理系统、X源数据共享),通过前端、后端、旁向方式分布式集群化部署,实现海量资产漏洞采集、漏洞核验、资产属性完善、漏洞情报补充、漏洞调度处置等功能.实验测试验证了平台的可用性和稳定性,可为大规模资产的漏洞动态管理提供有效解决方案. 展开更多

关键词 资产精细化 漏洞管理 威胁情报 网络安全 生命周期

下载PDF 职称材料

Stochastic Modelling of Vulnerability Life Cycle and Security Risk Evaluation 被引量：4

6

作者 Sasith M. Rajasooriya Chris P. Tsokos Pubudu Kalpani Kaluarachchi 《Journal of Information Security》 2016年第4期269-279,共11页

The objective of the present study is to propose a risk evaluation statistical model for a given vulnerability by examining the Vulnerability Life Cycle and the CVSS score. Having a better understanding of the behavio... The objective of the present study is to propose a risk evaluation statistical model for a given vulnerability by examining the Vulnerability Life Cycle and the CVSS score. Having a better understanding of the behavior of vulnerability with respect to time will give us a great advantage. Such understanding will help us to avoid exploitations and introduce patches for a particular vulnerability before the attacker takes the advantage. Utilizing the proposed model one can identify the risk factor of a specific vulnerability being exploited as a function of time. Measuring of the risk factor of a given vulnerability will also help to improve the security level of software and to make appropriate decisions to patch the vulnerability before an exploitation takes place. 展开更多

关键词 Stochastic Modelling SECURITY Risk Evaluation vulnerability life cycle Risk Factor

下载PDF 职称材料

基于OHSMS的医院后勤设备运行脆弱性研究

7

作者 刘婷婷 王金良 +6 位作者 闫石 邓超 赵伊楠 任朋 张恩浦 田思源 洪伟 《医院管理论坛》 2023年第8期84-90,共7页

目的基于OHSMS建立符合医院后勤的设备安全运行管理体系。方法由专家小组围绕OHSMS职业健康安全管理体系对设备生命周期各部分进行指标量化,确定评价指标权重、脆弱性等级及区间、指标评分标准,并对各指标进行相关性分析。结果构建了医... 目的基于OHSMS建立符合医院后勤的设备安全运行管理体系。方法由专家小组围绕OHSMS职业健康安全管理体系对设备生命周期各部分进行指标量化,确定评价指标权重、脆弱性等级及区间、指标评分标准,并对各指标进行相关性分析。结果构建了医院后勤OHSMS设备安全运行脆弱性评价指标体系,识别风险点并采取有针对性措施降低脆弱性,保证安全运行。结论经实践证明,通过后勤设备OHSMS脆弱性研究,注重设备全过程风险管理,能有效识别风险,并重视风险源的削减及全过程的控制,降低后勤设备运行事故发生率,提高后勤设备运行管理安全性,为医院后勤运行的指标量化和安全管理提供了思路和借鉴。 展开更多

关键词 职业健康安全管理体系 脆弱性评价 医院后勤 设备生命周期 风险识别

下载PDF 职称材料

基于全寿命周期成本的高速铁路连续梁桥减隔震方案研究 被引量：4

8

作者 冯莉 王力 +1 位作者 樊燕燕 李子奇 《工程科学与技术》 EI CAS CSCD 北大核心 2020年第5期161-169,共9页

高烈度地震区大跨度连续梁桥一般采用减隔震设计以减小结构地震响应及由此带来的经济损失,而不同的减隔震方案亦决定着结构的抗震性能和初始成本。为了从抗震性能和经济性两方面综合评价连续梁桥减隔震设计的合理性,以一座高烈度地震区... 高烈度地震区大跨度连续梁桥一般采用减隔震设计以减小结构地震响应及由此带来的经济损失,而不同的减隔震方案亦决定着结构的抗震性能和初始成本。为了从抗震性能和经济性两方面综合评价连续梁桥减隔震设计的合理性,以一座高烈度地震区高速铁路大跨度连续梁桥为背景,设计多种减隔震布置方案开展桥梁系统地震易损性分析,并基于全寿命周期成本最小准则探讨了该连续梁桥在全寿命期内各减隔震方案的经济性。结果表明:全桥采用双曲面球型隔震支座和液体黏滞阻尼器配合使用方案是全寿命周期地震损失最小的方案,但高达622×104 元的减隔震措施费用引起桥梁初始成本过高,致使该方案经济性较差;全桥布置双曲面球型隔震支座、边墩配置液体黏滞阻尼器的方案在满足抗震设防要求的同时,大幅降低了桥梁初始成本,实现了结构减隔震措施造价与损失期望的有机平衡,为本算例桥梁减隔震设计中的最优方案。作者提出的桥梁减隔震方案研究方法有效弥补了当前在减隔震设计中主要考虑桥梁抗震性能而忽略其经济效益的不足,实现了结构抗震性能与其经济效益的双目标评价,为利益相关者对桥梁减隔震方案的合理决策提供了新思路。 展开更多

关键词 桥梁隔震 IDA分析 地震易损性 地震损失 全寿命周期成本

下载PDF 职称材料

我国创业板上市企业成长脆弱性机理分析 被引量：3

9

作者 彭伟 段小燕 《科技管理研究》 CSSCI 北大核心 2013年第16期206-209,共4页

我国创业板市场处于初步发展阶段,其上市企业具有高科技性的独特特点,这一特点确定了其高成长性的企业属性。根据企业的生命周期理论假说,在其创新发展的过程中必然经历不同的发展阶段,每个阶段的脆弱性呈现出独自的特点,有各异的脆弱... 我国创业板市场处于初步发展阶段,其上市企业具有高科技性的独特特点,这一特点确定了其高成长性的企业属性。根据企业的生命周期理论假说,在其创新发展的过程中必然经历不同的发展阶段,每个阶段的脆弱性呈现出独自的特点,有各异的脆弱性评价体系指标,并针对四个不同的成长阶段具体分析脆弱性与抗弱度的博弈关系,此起彼消,互相共融。在初创阶段和衰退阶段其脆弱性大于抗弱度,而在成长阶段和成熟阶段其脆弱性小于抗弱度。创业板上市企业要持续健康发展减少脆弱性引致的风险,必须通过企业的创新机制,提高应对变化环境的能力。 展开更多

关键词 创业板 脆弱性 分析 生命周期

下载PDF 职称材料

网络安全漏洞产业及其规制初探 被引量：2

10

作者 黄道丽 石建兵 《信息安全与通信保密》 2017年第3期22-38,共17页

网络安全漏洞的信息披露政策和共享是漏洞治理的核心事务,如何更有效的治理也是众多研究人员所关心的问题,本文主要研究网络安全漏洞产业的企业分布来讨论规制因素及规制方法。首先归纳漏洞的基本特征以及漏洞产生的原因,通过划定漏洞... 网络安全漏洞的信息披露政策和共享是漏洞治理的核心事务,如何更有效的治理也是众多研究人员所关心的问题,本文主要研究网络安全漏洞产业的企业分布来讨论规制因素及规制方法。首先归纳漏洞的基本特征以及漏洞产生的原因,通过划定漏洞的生命周期,对应于漏洞信息的发现、披露和利用等三个环节,借鉴漏洞产业的研究框架,描述漏洞产业化的发展过程,辅以归纳和预测漏洞产业可能的发展趋势,侧重将漏洞产业分为厂商、漏洞发现、漏洞平台及漏洞利用等四个部分逐步讨论可行的规制因素,最后提出漏洞产业的规制因素及规制方法建议。 展开更多

关键词 漏洞 漏洞生命周期 漏洞产业 产业规制

下载PDF 职称材料

Quantifying Environmental Impacts of Temporary Housing at the Urban Scale: Intersection of Vulnerability and PostHurricane Relief in New Orleans

11

作者 Claire McConnell Chiara Bertolin 《International Journal of Disaster Risk Science》 SCIE CSCD 2019年第4期478-492,共15页

The increasing risk and exposure of people and assets to natural hazards and disasters suggests an increasing need for temporary housing following disasters.Resilience to natural hazards is dependent on the resources ... The increasing risk and exposure of people and assets to natural hazards and disasters suggests an increasing need for temporary housing following disasters.Resilience to natural hazards is dependent on the resources available to families or communities to prepare for and mitigate risk,influenced by social vulnerability.This study seeks to quantify the total environmental impact of temporary housing deployment in New Orleans,using the catastrophic impact of Hurricane Katrina in southern Louisiana in August 2005 as a case example.We employ a novel approach to estimate displacement period and take into account social vulnerability across New Orleans neighborhoods to better understand the scale of post-disaster relief and its global warming potential.The methodology implemented in this study comprises three steps:a risk assessment,a life cycle assessment,and a resulting total impact assessment.We demonstrate the considerable risk of greenhouse gas emissions and energy impacts from temporary housing deployment linked to hurricane hazard.Furthermore,we show that environmental impact is highly sensitive to displacement period and find the current methodology of anticipating temporary housing use by hazard alone to be inadequate.Additionally,the approach presented in this article provides tools to politicians and disaster risk professionals that allow for resource investment planning to decrease social vulnerability,thus enhancing resilience and adaptive capacity in a more homogeneous way at the urban scale. 展开更多

关键词 Disaster risk Global warming potential HURRICANE KATRINA life cycle assessment New ORLEANS Social vulnerability TEMPORARY HOUSING

原文传递

Aircraft Combat Survivability Estimation and Synthetic Tradeoff Methods

12

作者 LIShu-li LIShou-an +2 位作者 LIWei-ji LIDong-xia FENGFeng 《International Journal of Plant Engineering and Management》 2005年第1期59-64,共6页

A new concept is proposed that susceptibility, vulnerability, reliability, maintainability and supportability should be essential factors of aircraft combat survivability. A weight coefficient method and a synthetic m... A new concept is proposed that susceptibility, vulnerability, reliability, maintainability and supportability should be essential factors of aircraft combat survivability. A weight coefficient method and a synthetic method are proposed to estimate aircraft combat survivability based on the essential factors. Considering that it takes cost to enhance aircraft combat survivability, a synthetic tradeoff model between aircraft combat survivability and life cycle cost is built. The aircraft combat survivability estimation methods and synthetic tradeoff with a life cycle cost model will be helpful for aircraft combat survivability design and enhancement. 展开更多

关键词 aircraft combat survivability estimation synthetic tradeoff life cycle cost vulnerability

下载PDF 职称材料

高速铁路连续梁桥全寿命周期概率地震损失分析 被引量：6

13

作者 冯莉 樊燕燕 +1 位作者 李子奇 王力 《铁道科学与工程学报》 CAS CSCD 北大核心 2020年第4期815-822,共8页

在全概率PBEE方法(PEER-PBEE Methodology)的基础上,建立桥梁结构全寿命周期地震损失计算方法和分析流程。以一座高速铁路连续梁桥为背景,通过地震易损性和地震危险性的卷积确定结构的地震风险概率,最终得到桥梁结构全寿命周期地震损失... 在全概率PBEE方法(PEER-PBEE Methodology)的基础上,建立桥梁结构全寿命周期地震损失计算方法和分析流程。以一座高速铁路连续梁桥为背景,通过地震易损性和地震危险性的卷积确定结构的地震风险概率,最终得到桥梁结构全寿命周期地震损失。研究结果表明:该高速铁路连续梁桥在寿命周期内发生轻微损伤和中等损伤的概率较大,其造成的损失约占全部地震损失的70%;桥梁系统寿命周期震害损失与资金折现率有关,占结构初始成本的1.91%~4.38%;本文研究结果对高速铁路桥梁结构的地震经济损失计算方法和地震巨灾保险的未来推广具有借鉴意义。 展开更多

关键词 地震危险性 地震易损性 地震风险 全寿命周期地震损失 数值积分法

下载PDF 职称材料