信息系统漏洞风险定量评估模型研究

被引：28

作者：

周亮 ^{[1
,2
]}

李俊娥 ^{[3
]}

陆天波 ^{[4
]}

刘开培 ^{[1
]}

机构：

[1] 武汉大学电气工程学院

[2] 中国电力科学研究院信息与安全技术研究所

[3] 武汉大学计算机中心

[4] 国家计算机网络应急技术处理协调中心

来源：

通信学报 | 2009年 / 02期

关键词：

信息系统; 安全风险; 定量评估; 漏洞关联;

D O I：

暂无

中图分类号：

TP393.08 [];

学科分类号：

0839 ; 1402 ;

摘要：

为解决信息系统漏洞风险的科学定量问题,针对当前漏洞风险评估忽略漏洞之间关联性的现状,提出了一种信息系统漏洞风险评估的定量方法与实现步骤。首先,讨论了基于漏洞关联网络(VCN,vulnerability connection network)的漏洞风险评估模型,引入了路径风险与主体风险的概念;其次,提出了以层次分析法定量主体风险性中的主体重要性要素,结合主观分析与攻击重现定量转移风险中的关联后果值的具体方法;最后,对电力调度管理信息系统运用此漏洞风险定量方法进行评估,得出了客观的漏洞风险评估结果。评估示例表明,基于漏洞关联网络的漏洞风险定量评估模型实现了漏洞风险科学、客观的定量评估。

引用

页码：71 / 76

页数：6

共 8 条

[1] 网络风险评估中网络节点关联性的研究
张永铮
方滨兴
迟悦
云晓春
[J]. 计算机学报, 2007, (02) : 234 - 240
[2] 用于评估网络信息系统的风险传播模型
张永铮
方滨兴
迟悦
云晓春
[J]. 软件学报, 2007, (01) : 137 - 145
[3] 基于PRA的网络安全风险评估模型
王英梅
刘增良
[J]. 计算机工程, 2006, (01) : 40 - 42
[4] 基于免疫的网络安全风险检测
李涛
[J]. 中国科学E辑:信息科学, 2005, (08) : 16 - 34
[5] 基于安全案例推理的网络安全分析方法研究与应用
汪渊
蒋凡
陈国良
[J]. 小型微型计算机系统, 2003, (12) : 2082 - 2085
[6] 信息系统安全风险量化模型研究及风险评估系统的实现[D]. 彭泽伟.重庆大学 2006
[7] 一种基于攻击路径的安全漏洞风险评估模型. 周峥伟. 上海交通大学 . 2006
[8] Probabilistic Risk Analysis:Foundationsand Methods. T.Bedford,R.M.Cooke. Cambridge University Press . 2001

← 1 →