一种基于系统安全性差距分析的风险评估尺度和方法被引量：3

A System Security Gap Analysis Based Risk Assessment Metric and Method

下载PDF

导出

摘要本文提出一种基于信息系统安全性分析来定量计算信息安全风险的度量尺度,差距分析方法及相应的评估流程.通过差距分析法,可以定量地度量信息安全目的和安全现状的在安全保障控制措施和安全保障能力两方面差距,从而改进对信息安全的分析和设计以及如何提升信息安全保障能力.通过本文定义并计算整体信息安全风险度量尺度,还可以计算不同安全控制措施的产生的安全边际效益,进行安全投入产出效益分析.这种可计算的信息安全风险评估尺度和方法的有效性在实际工程中得到应用与检验. This paper propose a quantitative information security risk metric based on information system security analysis, gap analysis method and its assessment procedure, Through security gap analysis method, we can compute quantitatively the difference between security target and TOE security in security assurance control and security assurance capability, and then improve the information system security architecture design and its assurance level. Using the metric, we can also compare the benefit difference among security contols, and calculate the input-output analysis. This computable information security risk assessment metric and method was applied in real case and proved effective.

作者江常青张利林家骏吴世忠

机构地区中国信息安全产品测评认证中心华东理工大学

出处《电子学报》 EI CAS CSCD 北大核心 2006年第B12期2556-2559,共4页 Acta Electronica Sinica

关键词差距分析安全评估风险评估安全度量 gap analysis security assessment risk assessment security metric

分类号 TN918 [电子电信—通信与信息系统]

引文网络
相关文献

参考文献8

1Michael Greenwald. Computer security is not a science (but itshould be)[ A]. In Proceedings of the Large-Scale Network Security Workshop[ C ]. Landsdowne, VA, March 2003 : 24 - 27.
2GB／T 18336，信息技术安全性评估准则[S]．
3ISO 18045, Common Evaluation Methodology[ S ].
4B Littlewood. Towards operational measures of computer security[ J ]. Journal of Computer Security, 1993,2 (3) : 211 - 229.
5P Manadhata, J M Wing. Measuring a Syste-m's Attack Surface[ OL ]. http://www, cs. cmu. edu/- wing/publications/tr04102.pdf.
6E Jonsson, T Olovsson. A quantitative model of the security intrusion process based on attacker behavior [ J ]. IEEE Transactions on Software Engineering, 1997,23(4) :235 - 245.
7GB／T 20274—2006，信息系统安全保障评估框架[S]．
8National Security Agency. Information Assur-ance Technical Framework Release 3.1 [ OL]. http://www, iatf. net.

同被引文献23

1李涛.基于免疫的网络安全风险检测[J].中国科学（E辑）,2005,35(8):798-816. 被引量：40
2Alexander Zemlianov, Gustavo de Veciana. Capacity of Ad Hoe wireless networks with infrastructure support [ J]. IEEE Journal on Selected Areas in Communications, 2005,23 (3) :657 - 667.
3Sam Elisa Schaeffer, Stefano Marinoni, Mikko S, Pekka Nikander. Dynamic local clustering for hierarchical Ad Hoc networks [ A]. Proceedings of SECON '06[ C]. Virginia: IEEE press, 2006,667 - 672.
4Meng-Yen Hsieh, Yueh-Min Huang, Han-Chieh Chao. Adaptive security design with malicious node detection in cluster-based sensor networks [ J ]. Computer Communications, 2007,30 ( 11 - 12) :2385 - 2400.
5Andre Konig, Matthias Hollick, Ralf Steinmetz. On the implications of adaptive transmission power for assisting MANET security [ A ]. Proceedings of ICDCS ' 09 [ C ]. Quebec: IEEE press, 2009,537 - 544.
6S A Razak, S M Furnell,N L Clarke,P J Brooke.Friend-assisted intrusion detection and response mechanisms for mobile Ad Hoc networks [ J ]. Ad Hoc Networks, 2008, 6 (7) : 1151 - 1167.
7Jie Zeng, Jinquan Zeng. A dynamic imrntmity-based real-time network risk evaluation method[ A]. Proceedings of ISBIM ' 08 [ C]. Wuhan: IEEE press,2008.3 - 6.
8Vasileios Karyotis, Symeon Papavassiliou. Risk-based attack strategies for mobile Ad Hoc networks under probabilistic attack modeling framework [J].Computer Networks, 2007,51 (9) :2397 - 2410.
9Wenyuan Li, Jiaqi Zhou, Kaigui Xie, Xiaofu Xiong. Power system risk assessment using a hybrid method of fuzzy set and Monte Carlo simulation[ J]. IEEE Transactions on Power Systems, 2008,23 (2) : 336 - 343.
10Lei Wen, Zhaocai Xi. Supply chain risk evaluation based on fuzzy multi-criteria lattice-order decision-making [ A ]. Proceedings of ICAL' 07 [ C ]. Jinan, IEEE Press, 2007, 1442 - 1445.

引证文献3

1徐萃华,林家骏,张雪芹.基于证据推理及评估用例的信息系统安全评估模型[J].华东理工大学学报（自然科学版）,2010,36(6):818-824. 被引量：3
2于尧,郭磊,王兴伟,李平平.一种适合于分级Ad Hoc网络的实时风险评估安全策略[J].电子学报,2011,39(1):108-113. 被引量：3
3关慧,郭义喜.内网访问控制策略执行风险度量[J].信息安全与通信保密,2011,9(4):61-63. 被引量：1

二级引证文献7

1王雨,江常青,林家骏,袁文浩.基于《信息系统安全保障评估框架》的CAE证据推理评估模型[J].清华大学学报（自然科学版）,2011,51(10):1240-1245. 被引量：7
2张雪艳,冯径,印敏.基于马尔可夫链的Ad hoc节点状态预测方法研究[J].电脑知识与技术,2012,8(4):2189-2190.
3袁文浩,林家骏,王雨.信息安全等级保护中等级测评的CAE建模[J].计算机应用与软件,2012,29(10):230-233. 被引量：5
4姜锋,谷晨.新型认知网络的访问控制方法[J].信息安全与通信保密,2013,11(3):53-55. 被引量：2
5岳东峰,于东,高甜容,陈龙,杨磊.一种面向数控系统的递阶式风险评估方法[J].小型微型计算机系统,2013,34(12):2822-2827.
6崔丹丹.模糊神经网络在信息系统安全评价中的应用[J].科学技术与工程,2014,22(7):212-215. 被引量：1
7王伟,王嘉珺,王明明,张文静,陈金广.基于时空动态性的MANETs入侵防御模型[J].计算机应用研究,2016,33(12):3748-3754. 被引量：2

1曹蓟光,张健.发达国家宽带战略及我国与其发展差距分析[J].信息通信技术,2011,5(1):18-23. 被引量：6
2沈杰,李斌,常乐.移动云计算安全问题及安全度量方法浅析[J].电信网技术,2013(12):49-52. 被引量：1
3郭娴,李俊,孙军.智慧城市信息安全体系构建[J].电视技术,2016,40(5):22-25. 被引量：3
4智能手机：也会“说”出你的秘密[J].中国新通信,2009(24):72-72.
5智能手机也会“说”出你的秘密[J].大众科技,2010,12(1):3-4.
6崔光耀.移动数字版权保护风生水起——SaftNet推出相关解决方案[J].信息安全与通信保密,2007,29(4):28-28.
7何朔,尹亚伟,杨阳,陈舟.提升信息安全保障能力助力电子支付创新发展[J].金融电子化,2016(8):42-43.
8李海蓉,李思渊.Physical effect on transition from blocking to conducting state of barrier-type thyristor[J].Journal of Semiconductors,2010,31(12):33-37.
9黄锐,魏亮.安全路由器研究[J].电信网技术,2007(9):25-27.
10洪黎明.钟义信：“网络安全与信息化”呼唤智能化[J].重庆通信业,2014(4):49-50.

电子学报

2006年第B12期

浏览历史

内容加载中请稍等...

一种基于系统安全性差距分析的风险评估尺度和方法被引量：3

参考文献8

同被引文献23

引证文献3

二级引证文献7

相关作者

相关机构

相关主题

浏览历史

一种基于系统安全性差距分析的风险评估尺度和方法 被引量：3

参考文献8

同被引文献23

引证文献3

二级引证文献7

相关作者

相关机构

相关主题

浏览历史

一种基于系统安全性差距分析的风险评估尺度和方法被引量：3