資源描述:
《信息系統(tǒng)漏洞風(fēng)險定量評估模型研究.pdf》由會員上傳分享���,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫���。
1����、第30卷第2期通信學(xué)報���、�����,b1.30NO-220o9年2月J0umal0nCOmmunicadOnsFebnlarv2oo9信息系統(tǒng)漏洞風(fēng)險定量評估模型研究周亮����,-,李俊娥�,陸天波,劉開培(1.武漢大學(xué)電氣工程學(xué)院,湖北武漢43o072���;2.武漢大學(xué)計算機中心,湖北武漢430072�;3.國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心��,北京1Oo029:4.中國電力科學(xué)研究院信息與安全技術(shù)研究所�,北京1O0l92)摘要:為解決信息系統(tǒng)漏洞風(fēng)險的科學(xué)定量問題,針對當(dāng)前漏洞風(fēng)險評估忽略漏洞之間關(guān)聯(lián)性的現(xiàn)狀��,提出了一種信息系統(tǒng)漏洞風(fēng)險評估的定量方法與實現(xiàn)
2��、步驟。首先����,討論了基于漏洞關(guān)聯(lián)網(wǎng)絡(luò)(VcN,vulnerabilityco咖ectionnetWork1的漏洞風(fēng)險評估模型,引入了路徑風(fēng)險與主體風(fēng)險的概念;其次�,提出了以層次分析法定量主體風(fēng)險性中的主體重要性要素�,結(jié)合主觀分析與攻擊重現(xiàn)定量轉(zhuǎn)移風(fēng)險中的關(guān)聯(lián)后果值的具體方法�;最后,對電力調(diào)度管理信息系統(tǒng)運用此漏洞風(fēng)險定量方法進行評估�,得出了客觀的漏洞風(fēng)險評估結(jié)果。評估示例表明���,基于漏洞關(guān)聯(lián)網(wǎng)絡(luò)的漏洞風(fēng)險定量評估模型實現(xiàn)了漏洞風(fēng)險科學(xué)����、客觀的定量評估���。關(guān)鍵詞:信息系統(tǒng)�����;安全風(fēng)險�;定量評估;漏洞關(guān)聯(lián)中圖分類號:TP393.08文獻標(biāo)識碼:A
3����、文章編號:1O00-436x(2oo9)02—007l-06Research0nquantitatiVeassessmentm0del0nVulnerabilityriskf0rinf0rmati0nsystemZHOULiang1LIJun.e2LUTian-bO3LIUKai.peil,����,,(1.Scho010fElecmcalEnginen島WuhaIlUniVersity’Wuhan430O72�,China��;2.CoⅡlputerCentcLWuhaIlUnjVeTsity�����,Wuhall430072��,China���;3.NatiO
4�、nalComputerNetwOrkEme曜encyResp0nse1hnica1CenterofChina,Being10oo29����,China;4.D印artment0fInf0mati0nSecurity��,ChinaEleccPowefResearchInstitu【e���,Beingl00192�,China)Abstract:AquaIltitativemethodofvulnerabilityassessmentwasputf0nⅣardontllef0undationofresearchoncurrentassessmentme
5�����、th0dshomea』1dabroadinordertoeva1uatevulnerabilicyIisk0bjectiVely.Vulnerabilitycoru1ectionnetwork(VCN)wasdiscussedflrstlyf0rmepurposeoftakingconnectionofvulIlerabilityint0acc0um��,whichdiVidesVulIlerabil-ityriskintoentityriskandpamrisk��;Secondly�,adVaJ1cedmetllodsofquantifyi
6、ngentiinlportaJ1ceinentityriskaIldnetworknodec0nnecdone儂lctsinpamriskwerepmposed�����;LaSⅡy’al1evaluati0nexaInpleofvulnefabilriskondis—patctlingmaJ1agementinf0mlatiOnsysteminpowersystemwasgiVenOut.COrrespOndingresuItsshowtllatquaJ1dtatiVeassessmentm0delbringsoutscientificand
7、credibleevaluationonvu1nerabilityrisk.KeywortIs:info腫ati0nsystem�����;securit)rrisk����;quantitativeassessment;vulnerabilityconnection網(wǎng)絡(luò)關(guān)聯(lián)性問題���。由網(wǎng)絡(luò)節(jié)點間信任依賴關(guān)系而產(chǎn)1引言生的風(fēng)險轉(zhuǎn)移�,是一個值得探討的新課題���。文獻【9]信息系統(tǒng)的安全評估模型是信息系統(tǒng)安全研究提出了一種基于免疫的網(wǎng)絡(luò)安全風(fēng)險檢測模型���,但的重要內(nèi)容卜引,當(dāng)前的安全評估模型研究忽略了是主要側(cè)重于對網(wǎng)絡(luò)系統(tǒng)面臨攻擊時的實時風(fēng)險收稿日期:2008.1
8���、l—l2;修回日期:2009—0l一05通信學(xué)報第30卷評估����;文獻[10】提出了一種網(wǎng)絡(luò)弱點的模型檢測總體風(fēng)險評估值記作㈤���,那么尺(Ⅳ)應(yīng)該由2部分法,并設(shè)計了一種拓撲弱點分析工具TVA用以檢風(fēng)險評估值組成:①漏洞Ⅳ的主
