基于层次分析法的信息安全风险评估要素量化方法

doi:10.11835/j.issn.1000-582X.2017.04.006

首页 > 过刊浏览>2017年第40卷第4期 >44-53. DOI:10.11835/j.issn.1000-582X.2017.04.006

基于层次分析法的信息安全风险评估要素量化方法
DOI:
                        10.11835/j.issn.1000-582X.2017.04.006
                    
CSTR:
                        
                    
作者:
                        柴继文柴继文
国网四川省电力公司电力科学研究院, 成都 610072
在期刊界中查找
在百度中查找
在本站中查找
王胜王胜
国网四川省电力公司电力科学研究院, 成都 610072
在期刊界中查找
在百度中查找
在本站中查找
梁晖辉梁晖辉
国网四川省电力公司电力科学研究院, 成都 610072
在期刊界中查找
在百度中查找
在本站中查找
胡兵胡兵
重庆大学 信息物理社会可信服务计算教育部重点实验室, 重庆 400044
在期刊界中查找
在百度中查找
在本站中查找
向宏向宏
重庆大学 信息物理社会可信服务计算教育部重点实验室, 重庆 400044
在期刊界中查找
在百度中查找
在本站中查找

                    
作者单位:
作者简介:
通讯作者:
中图分类号:
基金项目:国网四川省电力公司科技项目（5219991351VR）；国家自然科学基金资助项目（61472054）。

An AHP-based quantified method of information security risk assessment elements

Author:

CHAI Jiwen
CHAI Jiwen
State Gid Sichuan Electric Power Research Institute,Chengdu 610072, P. R. China
在期刊界中查找
在百度中查找
在本站中查找
WANG Sheng
WANG Sheng
State Gid Sichuan Electric Power Research Institute,Chengdu 610072, P. R. China
在期刊界中查找
在百度中查找
在本站中查找
LIANG Huihui
LIANG Huihui
State Gid Sichuan Electric Power Research Institute,Chengdu 610072, P. R. China
在期刊界中查找
在百度中查找
在本站中查找
HU Bing
HU Bing
Key Laboratory of Dependable Service Computing in Cyber Physical Society, Ministry of Education,Chongqing University, Chongqing 400044, P. R. China
在期刊界中查找
在百度中查找
在本站中查找
XIANG Hong
XIANG Hong
Key Laboratory of Dependable Service Computing in Cyber Physical Society, Ministry of Education,Chongqing University, Chongqing 400044, P. R. China
在期刊界中查找
在百度中查找
在本站中查找

Affiliation:

Fund Project:

摘要

图/表

访问统计

参考文献 [15]

相似文献 [20]

引证文献

资源附件

文章评论

摘要:

信息安全风险评估是保障信息系统安全的重要基础性工作，但现有风险评估标准和相关研究提供的评估模型和计算方法的评估结果不能有效体现信息系统资产在保密性、完整性、可用性上的不同安全需求和面临的不同风险。利用层次分析法建立风险评估层次分析模型，在借鉴通用脆弱性评分系统指标评价体系基础上改进脆弱性要素量化方法，利用构建的层次分析模型偏量判断矩阵计算“安全事件损失”“安全事件可能性”和“风险值”。通过实验验证，与现有方法相比，所提方法的评估结果能够直观体现资产在保密性、完整性和可用性上面临的不同风险，能为制定风险控制措施提供更加准确、合理的建议。

关键词:风险评估;层次分析法;脆弱性;偏量判断矩阵

Abstract:

Information security risk assessment is an important foundation work for security protection of information systems, but the assessment results of the existing risk assessment criteria and related research models and calculation methods cannot effectively reflect different security needs and risks of the confidentiality, the integrity and the availability of information system assets. In this paper, we used analytic hierarchy process (AHP) to establish a risk assessment analytic hierarchy process model first, then improved vulnerability factor quantitative methods based on the common vulnerability scoring system evaluation index system, and finally used the model's deviator judgment matrix to compute“security incident loss”,“security event possibility”and“value-at-risk”. Experiment results show the proposed method can more intuitively reflect different risks of the confidentiality, the integrity and the availability of assets than conventional methods, and it can provide more accurate and reasonable recommendations for the development of risk control measures.

Key words:risk assessment;analytic hierarchy process;vulnerability;deviator judgment matrix

参考文献

[1] 中华人民共和国国家质量监督检查检疫总局,中国国家标准化管理委员会.信息安全技术信息安全风险评估规范: GB/T20984—2007[S].

[2] Stonebumer G, Goguen A, Feringa A. Risk management guide for information technology systems:NIST SP 800-30[S/OL].[201504-16] http://download.csdn.net/detail/y_t_hon/4977663.

[3] 王莺洁,杜伟娜,罗为.一个灰色信息安全风险评估应用模型[J].通信技术,2010,12(43): 126-128. WANG Yingjie, DU Weina, LUO Wei. A grey risk assessment model for practical information security[J]. Communications Technology, 2010, 12(43): 126-128. (in Chinese)

[4] Wang Y M, Luo Y, Hua Z. On the extent analysis method for fuzzy AHP and its applications[J]. European Journal of Operational Research, 2008, 186(2): 735-747.

[5] Zhao D M, Wang J H, Wu J, et al. Using fuzzy logic and entropy theory to risk assessment of the information security[C]//International Conference on Machine Learning and Cybernetics.[S.l.]: IEEE, 2005: 2448-2453.

[6] 黄芳芳.信息安全风险评估量化模型的研究与应用[D].武汉:湖北工业大学,2010. HUANG Fangfang. Research and application for the quantitative model of information security risk assessment[D]. Wuhan:Hubei University of Technology, 2010. (in Chinese)

[7] Chen S H. Operations on fuzzy numbers with function principal[J]. Journal of Management Science, 1985, 6(1): 13-21.

[8] 佟鑫,张利,闵京华.层次化的信息系统风险评估方法研究[J].信息安全与通信保密,2012(8): 59-61. TONG Xin, ZHANG Li, MIN Jinghua. Study oil hierarchical information system risk assessment[J]. Information And Communication Security, 2012(8): 59-61. (in Chinese)

[10] P Mell,K Scarfone,S Romanosky. A complete guide to the common vulnerability scoring system (CVSS), version 2.0, forum of incident response and security teams[EB/OL]. www.first.org/cvss.

[11] 叶云,徐锡山,齐治昌.大规模网络中攻击图的节点概率计算方法[J].计算机应用与软件,2011,28(11): 136-139. YE Yun, XU Xishan, QI Zhichang. Attack graph's nodes probabilistic computing approach in a large-scale network[J]. Computer Applications and Software, 2011, 28(11): 137-192. (in Chinese)

[12] Phillips C, Swiler L P. A graph-based system for network-vulnerability analysis[J]. Proceedings of the Workshop on New Security Paradigms, 1998: 71-79.

[13] 向宏,傅鹂,詹榜华.信息安全测评与风险评估.[M].2版.北京:电子工业出版社,2014. XIANG Hong, FU Peng, ZHAN Banghua. Information security assessment and risk assessment[M].2nd ed. Beijing:Publishing House of Electronics Industry, 2014. (in Chinese)

[14] 国家保密局.涉及国家秘密的信息系统分级保护测评指南: BMB22—2007[S].

[15] Ingols K, Chu M, Lippmann R, et al. Modeling modern network attacks and countermeasures using attack graphs[C]//Annual Computer Security Applications Conference,Hawaii,USA.[S.l.]: IEEE, 2009:117-126.

[16] Noel S, Elder M, Jajodia S, et al. Topological vulnerability analysis[J]//Springer Berlin Heidelberg, 2005, 3685: 124-129.

引用本文

柴继文,王胜,梁晖辉,胡兵,向宏.基于层次分析法的信息安全风险评估要素量化方法[J].重庆大学学报,2017,40(4):44-53.

复制

文章指标

点击次数:1267
下载次数: 2306
HTML阅读次数: 1190
引用次数: 0

历史

收稿日期:2016-09-05
最后修改日期:
录用日期:
在线发布日期: 2017-05-08
出版日期:

期刊社主页

编辑部首页

期刊介绍

编委会

数据库收录

过刊浏览

联系我们

引用本文

分享

文章指标

历史

文章二维码

期刊社主页

编辑部首页

期刊介绍

编委会

数据库收录

过刊浏览

联系我们

引用本文

分享

微信扫一扫：分享

文章指标

历史

文章二维码