Fuzzy Risk Assessment Method for Airborne Network Security Based on AHP-TOPSIS

With the exponential increase in information security risks,ensuring the safety of aircraft heavily relies on the accurate performance of risk assessment.However,experts possess a limited understanding of fundamental security elements,such as assets,threats,and vulnerabilities,due to the confidentiality of airborne networks,resulting in cognitive uncertainty.Therefore,the Pythagorean fuzzy Analytic Hierarchy Process(AHP)Technique for Order Preference by Similarity to an Ideal Solution(TOPSIS)is proposed to address the expert cognitive uncertainty during information security risk assessment for airborne networks.First,Pythagorean fuzzy AHP is employed to construct an index system and quantify the pairwise comparison matrix for determining the index weights,which is used to solve the expert cognitive uncertainty in the process of evaluating the index system weight of airborne networks.Second,Pythagorean fuzzy the TOPSIS to an Ideal Solution is utilized to assess the risk prioritization of airborne networks using the Pythagorean fuzzy weighted distance measure,which is used to address the cognitive uncertainty in the evaluation process of various indicators in airborne network threat scenarios.Finally,a comparative analysis was conducted.The proposed method demonstrated the highest Kendall coordination coefficient of 0.952.This finding indicates superior consistency and confirms the efficacy of the method in addressing expert cognition during information security risk assessment for airborne networks.

AssessITS: Integrating Procedural Guidelines and Practical Evaluation Metrics for Organizational IT and Cybersecurity Risk Assessment

In today’s digitally driven landscape, robust Information Technology (IT) risk assessment practices are essential for safeguarding systems, digital communication, and data. This paper introduces “AssessITS,” an actionable method designed to provide organizations with comprehensive guidelines for conducting IT and cybersecurity risk assessments. Drawing extensively from NIST 800-30 Rev 1, COBIT 5, and ISO 31000, “AssessITS” bridges the gap between high-level theoretical standards and practical implementation challenges. The paper outlines a step-by-step methodology that organizations can simply adopt to systematically identify, analyze, and mitigate IT risks. By simplifying complex principles into actionable procedures, this framework equips practitioners with the tools needed to perform risk assessments independently, without too much reliance on external vendors. The guidelines are developed to be straightforward, integrating practical evaluation metrics that allow for the precise quantification of asset values, threat levels, vulnerabilities, and impacts on confidentiality, integrity, and availability. This approach ensures that the risk assessment process is not only comprehensive but also accessible, enabling decision-makers to implement effective risk mitigation strategies customized to their unique operational contexts. “AssessITS” aims to enable organizations to enhance their IT security strength through practical, actionable guidance based on internationally recognized standards.

Research on Assessment Model of Information System Security Based on Various Security Factors

With the rapid development of network technology, the meaning of layers and attributes in respect of information system security must be extended based on the understanding of the concept of information system security. The layering model (LM) of information system security and the five-attribute model (FAM) based on security factors were put forward to perfect the description and modeling of the information system security framework. An effective framework system of risk calculation and assessment was proposed, which is based on FAM.

Cyber Resilience through Real-Time Threat Analysis in Information Security

This paper examines how cybersecurity is developing and how it relates to more conventional information security. Although information security and cyber security are sometimes used synonymously, this study contends that they are not the same. The concept of cyber security is explored, which goes beyond protecting information resources to include a wider variety of assets, including people [1]. Protecting information assets is the main goal of traditional information security, with consideration to the human element and how people fit into the security process. On the other hand, cyber security adds a new level of complexity, as people might unintentionally contribute to or become targets of cyberattacks. This aspect presents moral questions since it is becoming more widely accepted that society has a duty to protect weaker members of society, including children [1]. The study emphasizes how important cyber security is on a larger scale, with many countries creating plans and laws to counteract cyberattacks. Nevertheless, a lot of these sources frequently neglect to define the differences or the relationship between information security and cyber security [1]. The paper focus on differentiating between cybersecurity and information security on a larger scale. The study also highlights other areas of cybersecurity which includes defending people, social norms, and vital infrastructure from threats that arise from online in addition to information and technology protection. It contends that ethical issues and the human factor are becoming more and more important in protecting assets in the digital age, and that cyber security is a paradigm shift in this regard [1].

基于知识库的信息安全风险评估方法Crisk及其工具实现

在GB/T 20984-2007以及ISO/IEC27005:2011等标准的基础上,结合国内信息安全的状况,提出了一种新的基于知识库的信息安全风险评估方法,即Crisk风险评估方法及其辅助工具。Crisk利用知识库实现了对专家经验的利用,从而解决了评估过程主观化的问题,利用软件开发过程,实现了评估自动化的问题。

高含硫气田集输SCADA安全评估方法

油气能源基础设施安全越来越受到组织化攻击威胁,因此,对能源基础设施尤其是对高含硫气田集输SCADA系统安全状态识别就显得尤为必要。为了揭示高含硫气田集输SCADA系统安全评估中随机性和不完全性对安全状态评估结果的影响,提出了基于云模型改进白化权函数的灰云安全评估方法。首先,对评估结果进行等级划分,设计了组合权重优化模型;然后,按照专家评分细则确定出样本矩阵,利用云模型改进白化权函数,形成灰色评估权矩阵;最后,结合优化后的权重通过逐级评估得到系统最终的风险值并确定系统风险评估状态。以3个实际应用场景为例,验证了方法的有效性。研究结果表明,与层次分析法、变异系数法、线性加权和乘法加权法比较,组合优化赋权方法的离散度为0.456,线性加权和乘法加权的离散度为0.514和0.860,层次分析法和变异系数法的离散度为1.294和1.225,提出的组合优化赋权模型的离散度最小,表明此方法比其他方法更有效;将SCADA安全评估中风险指标信息不完全性与专家知识的不完全性和随机性结合起来,不仅能定性评估和预测整体SCADA系统的安全状态,而且实现二级指标风险量化;该模型能揭示各风险指标的脆弱程度,为下一步安全加固提供方向。本研究不仅有利于识别高含硫气田SCADA系统安全状态,而且为其他行业安全评估提供了参考。

AHP-改进物元法在整体钢平台顶升模架体系安全风险评估中的应用

针对整体钢平台顶升模架体系施工安全性的灰色特征,经实地调研及专家评审,建立了整体钢平台顶升模架体系的安全风险评估模型。首先,考虑人员、设备、环境、管理及技术5个方面,选取19个指标构建安全风险评估指标体系;其次,采用层次分析法计算各指标权重,基于改进物元法确定各指标的风险等级,然后将两者向量相乘,以最大隶属度原则确定整体钢平台顶升模架体系的安全风险等级;最后,将所建立的基于层次分析法(Analytic Hierarchy Process, AHP)-改进物元法的安全风险评估模型应用到某超高层工程实例中,并将评估结果与实际施工情况对比分析。研究表明,该评估模型的计算结果合理且准确可靠,可为超高层整体钢平台顶升模架体系的安全管理提供参考。

高潜水位采煤沉陷区微塑料赋存特征及风险评估

为探明高潜水位采煤沉陷区微塑料污染赋存特征及其环境风险,选取安徽省淮南市春申湖、舜耕湿地公园两个典型采煤沉陷区为研究区域,采集了表层水体,底泥及周边农田土壤样品,采用体视显微镜、扫描电镜、红外光谱对微塑料尺寸、形状、颜色及丰度等赋存特征进行表征.结果表明:采集的样本中多为纤维微塑料和薄膜微塑料,类型主要以聚乙烯,聚丙烯为主,颜色以黄色和透明为主,粒径大多小于500μm.采煤沉陷区的地表水丰度范围为0.77~7.1pcs/L,沉积物微塑料的丰度范围为540~2800pcs/kg,周边农田土壤微塑料的丰度范围为380~2380pcs/kg.采用污染负荷指数(PLI)模型进行评估,地表水和农田土壤的风险评估都为于Ⅰ级,属于轻微污染,而沉积物中的微塑料风险评估为Ⅱ级,属于中度污染.

新时代中国高水平金融安全保障体系构建

金融是现代经济的核心,金融安全是国家安全的重要组成部分。在全面建设社会主义现代化国家新征程上,维护金融安全,是关乎我国经济社会发展全局的一件带有战略性、根本性的大事。新时代中国高水平金融安全,是能有效防范化解系统性金融风险,更好服务于我国经济高质量发展的金融安全,是状态与能力相统一的安全,具有动态性、开放性、防控结合和竞争性等特征。要坚持金融工作的政治性、人民性,坚守为实体经济服务的天职,增强金融监管的有效性,以高水平金融安全为全面建设社会主义现代化国家提供坚实的金融支撑。

基于TOPSIS和GRA的信息安全风险评估

信息安全风险评估是一项非常重要的信息安全保障活动.依据信息安全相关标准,可从资产、威胁和脆弱性3方面识别出重要的风险因素,并确定相应的信息安全风险评估指标.参考等保2.0确定风险评估指标是一种可行的方法.在进行信息安全风险评估时,采用熵权法进行客观的指标赋权,并结合优劣解距离法(technique for order preference by similarity to ideal solution,TOPSIS)和灰色关联分析(grey relational analysis,GRA)进行综合评估.实例分析表明,依据信息熵进行客观赋权相对减少了主观因素的影响;基于TOPSIS和GRA进行信息安全风险评估,综合被评价对象整体因素和内部因素,较有效地将多项信息安全风险评估指标综合成单一评分,便于对多个被评对象进行信息安全风险的择优与排序.

智慧城市网络信息安全风险评估模型及应用研究

为了有效解决智慧城市建设过程中的网络信息安全风险带来危害的问题,在分析了国内学者对相关安全风险评估模型及指标研究的基础上,本文提出一种基于证据理论的“管理-技术-人员-评估-管理”闭环迭代的网络信息安全风险评估模型,为智慧城市建设提供可借鉴的依据。

基于扩展攻击树的信息系统安全风险评估研究

在信息安全形势日益严峻的今天,寻找一种客观、准确、可靠的风险评估方法变得尤为重要。为降低主观因素的影响,提高评估结果的可靠性和准确性,并实现自动化评估,文章基于扩展攻击树模型与模糊层次分析法,提出了一种新的系统安全风险评估方法。同时,采用多属性效用理论来量化叶子节点的风险值,以实现客观准确的评估。实例验证表明,该风险评估方法简单易行,具有较高的应用价值和通用性。

SSPN-RA:基于SS-petri网的工业控制系统安全一体化风险评估方法

随着信息化与工业化的融合不断加深,工业控制系统中信息域与物理域交叉部分越来越多,传统信息系统的网络攻击会威胁工业控制系统网络。传统的工业控制系统安全评估方法只考虑功能安全的风险,而忽略了信息安全风险对功能安全的影响。文中提出一种基于改进petri网的工业控制系统功能安全和信息安全一体化风险建模方法(Safety and Security Petri Net Risk Assessment,SSPN-RA),其中包括一体化风险识别、一体化风险分析、一体化风险评估3个步骤。所提方法首先识别并抽象化工业控制系统中的功能安全与信息安全数据,然后在风险分析过程中通过构造结合Kill Chain的petri网模型,分析出功能安全与信息安全中所存在的协同攻击路径,对petri网中功能安全与信息安全节点进行量化。同时,通过安全事件可能性以及其造成的各类损失计算出风险值,实现对工业控制系统的一体化风险评估。在开源的仿真化工工业控制系统下验证该方法的可行性,并与功能安全故障树分析和信息安全攻击树分析进行对比。实验结果表明,所提方法能够定量地得到工业控制系统的风险值,同时也解决了功能安全与信息安全单一领域分析无法识别的信息物理协同攻击和安全风险问题。

基于动态风险评估的车辆辅助驾驶行为决策

为保障高级别辅助驾驶系统决策的安全性和可靠性,提出一种基于动态场景行车风险评估的车辆辅助驾驶行为决策方法。首先,基于势场理论分别建立障碍物风险评估模型和虚拟车道风险评估模型,用以描述动态交通场景对行驶车辆所产生的驾驶风险;其次,根据车辆换道过程将换道行为分为换道动机产生和目标车道安全决策两个阶段,提出换道场景风险评估指标,制定安全换道规则,采用公开数据集分析验证了换道场景下风险评估指标的表征能力;之后,基于实时交通环境信息,确定车道内驾驶行为决策方法,实现多种驾驶场景下的行为安全决策;最后,在PreScan/CarSim/Simulink联合仿真平台和实车试验平台上对所提出的车辆辅助驾驶行为决策方法进行验证。结果表明,所提出的风险评估模型和驾驶行为决策方法,能够准确识别并评估行车风险,并实时决策车辆应采取的合理驾驶行为,有效保证了高级别辅助驾驶系统的行车安全。

基于改进PSO算法优化SVR的信息安全风险评估研究

为改善信息安全风险评价的精确度,利用改进的粒子群算法,提出了一种新的优化回归型支持向量机的信息安全风险评估方法。首先,通过模糊理论对信息安全风险因素进行量化预处理;其次,经过预处理后的数据输入到回归型支持向量机模型中;再次,利用改进的粒子群算法来优化和训练回归型支持向量机的参数,得到了优化后的信息安全风险评估模型;最后,通过仿真实验对该模型的性能进行验证。实验结果表明,提出的方法能很好地量化评估信息系统风险,提高了信息安全风险评估的精确性,是一种有效的评估方法。

基于Rockfall的沟谷区高位危岩体危险性评估

为了降低高位危岩体对沟谷区建设用地威胁,以沟谷区内某商住小区为例,探讨高位危岩体危险性评估结果。通过资料收集和现场调查,采用Rockfall模型软件计算沟谷区高位危岩体对小区现状地质灾害危险性,评估了防治措施情景下的地质灾害危险性。用Rockfall模拟软件计算出沟谷区内危岩体现状和设计情景条件下的运动路径和最远威胁距离,确定建设用地红线范围内的地质灾害危险性结果。结果表明,现状条件下沟谷区建设用地红线范围内危险性中等区域面积112.15 m2,设计情景下建设用地红线范围均为危险性小的区域。

改进贝叶斯网络的信息安全风险评估方法研究

信息安全风险评估技术是实现系统安全的有效措施之一,针对信息安全风险评估过程中的信息不确定性难以量化的问题,提出了一种改进的贝叶斯网络算法。该算法由贝叶斯网络拓展而来,在推理过程中加入时间因素,使得刚才输入的信息在下一时刻自动保留无损失,这样就可以结合历史经验和当前的证据信息,提高信息数据的准确性。最后运用改进贝叶斯网络算法实现信息安全风险评估案例分析,比较直观地显示信息系统风险与其影响因素之间的关系。

基于信息扩散理论的丹东蓝莓成熟期高温日灼风险分析

利用1991—2020年丹东地区4个站点蓝莓成熟期的气象资料,将蓝莓成熟期日最高气温≥32℃持续3d及以上作为高温日灼灾害风险指标,综合考虑频次和持续时间,制定轻度、中度、重度高温日灼灾害风险等级,通过灾害发生次数和站次比分析蓝莓高温日灼灾害风险的变化规律,基于信息扩散理论评估高温日灼灾害风险概率。结果表明,30a间丹东地区蓝莓整个成熟期高温日灼灾害风险影响呈加重趋势,高温日灼发生次数呈现增多趋势,其中凤城地区增多最为显著,高温日灼灾害发生次数倾向率为0.236次/10a(P<0.01)。30a间中熟期发生高温日灼灾害的风险较低,轻度和中度高温日灼灾害的风险概率均在十年一遇以下(≤10%),东港地区未出灾害风险;高温日灼灾害风险主要集中在晚熟期,轻度灾害风险发生概率在接近或十年一遇以上(≥10%)。凤城区是发生高温日灼灾害的高风险区,受灾范围广、频次高、程度重,轻度和重度高温日灼灾害风险发生概率均在十年一遇以上(≥10%)。

浙江省某非正规垃圾填埋场调查及风险评价

以浙江省某非正规垃圾填埋场为例,对填埋气含量、渗滤液浓度以及垃圾有机质含量、生物可降解度等进行调查,分析填埋场的污染状况、稳定化水平以及堆体环境风险。结果表明,填埋气中CH_(4)体积分数为2.41%~44.94%,均值为25.64%,87%的钻探点位CH_(4)体积分数超过GB 16889—2024生活垃圾填埋场污染控制标准中填埋场上方CH_(4)气体含量限值(5%);对照GB 16889—2024中水污染物排放限值,垃圾渗滤液中色度、SS、COD、BOD5、Hg、Cr等12项指标超标,且超标率均在30%以上;垃圾堆体有机质含量范围为30.50%~70.70%、生物可降解度范围为7.10%~19.40%,二者含量均较高,垃圾腐化程度较低。总之,该填埋场虽然封场时间久,但是CH_(4)产生量、垃圾有机质含量、生物可降解度以及渗滤液浓度均较高,仍处于不稳定状态;并且存量垃圾堆体污染风险指数为90.93分,属于高污染风险,表明该非正规填埋场由于填埋规模大、无污染防治措施等存在较大的环境风险与安全隐患。

智能语音设备威胁分析与风险评估技术研究

语音交互技术在智能设备中的应用推动了智能语音设备的开发与应用,也为智能语音设备系统带来了未知安全风险,复杂的产品设计对产品的信息安全评估提出了更高的要求。全面识别产品的风险点,是改进产品设计和编制测试用例的基础。以语音聊天机器人为研究对象,研究由语音聊天机器人设备终端、云服务端系统和移动应用程序组成的智能语音设备系统的风险点,通过威胁建模与风险评估的方法对智能语音设备系统存在的信息安全风险开展分析与评估,并基于评估结果开展规范设计与测试用例编制工作。