结合OCTAVE和灰色系统的信息安全风险评估方法

doi:10.13190/jbupt.200905.128.371

北京邮电大学学报 ›› 2009, Vol. 32 ›› Issue (5): 128-131.doi: 10.13190/jbupt.200905.128.371

结合OCTAVE和灰色系统的信息安全风险评估方法

王晓箴1,2，卢志刚1,2，刘宝旭1

（1.中国科学院高能物理研究所计算中心，北京 100049； 2.中国
科学院研究生院，北京 100049）

收稿日期:2008-12-15 修回日期:2009-06-01 出版日期:2009-10-28 发布日期:2009-10-28
通讯作者: 王晓箴

Algorithm of Information Security Risk Evaluation Based on OCTAVE and Grey System

WANG Xiao-zhen1,2,LU Zhi-gang1,2,LIU Bao-xu1

（1. Computing Center of Institute of High Energy Physics, Chinese Acad
emy of Sciences, Beijing 100049, China；
2. Graduate of University, Chinese Academy of Science, Beijing 100049, China）

Received:2008-12-15 Revised:2009-06-01 Online:2009-10-28 Published:2009-10-28
Contact: WANG Xiao-zhen

摘要/Abstract

摘要：

为提高评估准确性，提出一种定性和定量结合的评估算法. 在数据收集阶段采用可操作的关
键威胁、资产、弱点评估(OCTAVE)方法，从企业中不同阶层成员的视角出发，定义需要评
估的资产范围，并进行管理脆弱性与技术脆弱性评估. 在定量计算部分，利用灰色系统理论
，在对指标进行归一化处理后，利用三角白化权函数计算其隶属度，从而确定风险等级. 实
验结果表明，本文方法可有效提高信息安全风险评估的准确性，并具较好的实用推广价值.

关键词: 风险评估, 灰色系统, 归一化方法

Abstract:

To make sure the assessment accuracy, an efficient algorithm with qualitative analysis and quantify calculate is described. To collect the data, the algorithm chooses the operationally critical threat, asset and vulnerability evaluation (O
CTAVE) method, defining the assets which need to be assessed, evaluating the administrant and technical vulnerabilities. To calculate the risk, grey theory is chosen, and triangular whiten weight function is used to compute the membership degrees, the risk level is then determined. This valuable method can be used in practical operations of information security risk assessment.

Key words: risk evaluation, grey system, normalization method

王晓箴1,2，卢志刚1,2，刘宝旭1. 结合OCTAVE和灰色系统的信息安全风险评估方法[J]. 北京邮电大学学报, 2009, 32(5): 128-131.

WANG Xiao-zhen1,2,LU Zhi-gang1,2,LIU Bao-xu1. Algorithm of Information Security Risk Evaluation Based on OCTAVE and Grey System[J]. JOURNAL OF BEIJING UNIVERSITY OF POSTS AND TELECOM, 2009, 32(5): 128-131.

[1]	杨宏宇, 袁海航, 张良. 一种基于主机重要度的网络主机节点风险评估方法[J]. 北京邮电大学学报, 2022, 45(2): 16-21.
[2]	杨宏宇, 张乐, 张良. 一种基于风险传播的信息系统风险评估方法[J]. 北京邮电大学学报, 2021, 44(4): 41-48.
[3]	赵健, 王瑞, 李正民, 雷敏, 马敏耀. 物联网系统安全威胁和风险评估[J]. 北京邮电大学学报, 2017, 40(s1): 135-139.
[4]	雷敏, 刘晓明, 张鸿, 王勉, 杨榆. 面向Web信息系统安全威胁和风险评估分析[J]. 北京邮电大学学报, 2016, 39(s1): 87-93.
[5]	张瑞军, 邱继伟, 贾庆轩. 灰色系统理论的多目标可靠性稳健设计[J]. 北京邮电大学学报, 2014, 37(3): 23-26,42.
[6]	张峰, 付俊, 杨光华, 景奕昕, 唐威. Web访问日志安全分析技术研究[J]. 北京邮电大学学报, 2014, 37(2): 93-98.
[7]	亓峰, 李琪, 韩骞, 杜益, 邱雪松. 基于神经网络的电力通信网风险评估方法[J]. 北京邮电大学学报, 2014, 37(1): 90-93.
[8]	葛海慧, 郑世慧, 陈天平, 杨义先. 信息安全威胁场景模糊风险评估方法[J]. 北京邮电大学学报, 2013, 36(6): 89-92,107.
[9]	钟尚勤徐国胜姚文斌杨义先. 基于主机安全组划分的网络安全性分析 [J]. 北京邮电大学学报, 2012, 35(1): 19-23.
[10]	吴焕潘林王晓箴许榕生. 应用不完整攻击图分析的风险评估模型[J]. 北京邮电大学学报, 2010, 33(3): 57-61.
[11]	陆峰;郑康锋;钮心忻;杨义先. 构建风险敏感的对等网安全信任模型[J]. 北京邮电大学学报, 2010, 33(1): 33-37.
[12]	吕镇邦;周　波. 基于Shapley熵和Choquet积分的层次化风险评估[J]. 北京邮电大学学报, 2009, 32(6): 83-87.
[13]	彭俊好，徐国爱，杨义先，汤永利. 基于效用的安全风险度量模型[J]. 北京邮电大学学报, 2006, 29(2): 59-61.

结合OCTAVE和灰色系统的信息安全风险评估方法

Algorithm of Information Security Risk Evaluation Based on OCTAVE and Grey System

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 13

编辑推荐

Metrics

本文评价