基于云计算模式的信息安全风险评估研究

该文介绍了云计算的概况和面临的安全威胁,结合传统信息安全风险评估工作,分析了云计算信息安全风险评估中需要考虑的评估指标,重点论述了信息资产评估识别过程,给出了基于云计算的信息安全风险定量计算方法。     

基于云环境的信息系统风险评估模型应用研究

针对云计算环境下网络信息系统会面临更多安全风险问题,总结出8种威胁安全准则,并对应得到影响因素;结合云计算技术具有协作性、虚拟性等特点,采用层次分析法并引入相关系数对多决策目标进行分析,提出一种基于云环境下的信息安全风险评估模型;最后运用该模型建模得出云计算环境下的信息系统安全风险评估思路;实验结果表明文章提出的风险评估模型具有一定的实际应用价值。     

Data Security Model for Cloud Computing

From the perspective of data security, which has always been an important aspect of quality of service, cloud computing focuses a new challenging security threats. Therefore, a data security model must solve the most challenges of cloud computing security. The proposed data security model provides a single default gateway as a platform. It used to secure sensitive user data across multiple public and private cloud applications, including Salesforce, Chatter, Gmail, and Amazon Web Services, without influencing functionality or performance. Default gateway platform encrypts sensitive data automatically in a real time before sending to the cloud storage without breaking cloud application. It did not effect on user functionality and visibility. If an unauthorized person gets data from cloud storage, he only sees encrypted data. If authorized person accesses successfully in his cloud, the data is decrypted in real time for your use. The default gateway platform must contain strong and fast encryption algorithm, file integrity, malware detection, firewall, tokenization and more. This paper interested about authentication, stronger and faster encryption algorithm, and file integrity.     

Analysis of a cloud migration framework for offline risk assessment of cloud service providers

Generic notions of security on cloud platforms make clients apprehensive about fully migrating their applications on these platforms. The challenge lies in the capability of personalizing the security assessments of different cloud service providers from the perspective of the security requirements of the client applications to be hosted on them. This challenge was addressed by the previously proposed offline risk assessment framework for cloud service providers. This article presents a comprehensive analysis of a cloud migration framework that has been designed by adapting the novel security assessment principles of the offline risk assessment framework. The migration strategy has been modeled as a multiobjective optimization problem to further study the performance of numerous evolutionary algorithms in designing various cloud migration scenarios. The overall effectiveness of the proposed framework has been examined using a use-case application scenario and semisynthetic cloud service providers.     

基于云模型和组合权重的SCADA系统安全风险评估研究

当前数据采集与监控系统(supervisory control and data acquisition, SCADA)系统面临着巨大的安全威胁,对其风险状况进行监测和评估是一项有效的应对措施。为有效处理评估过程中存在的模糊性和随机性问题,将云模型理论引入SCADA系统安全风险评估中,提出了一种基于云模型和组合权重的安全风险评估模型。该模型从SCADA系统的资产、威胁、脆弱性、安全措施4方面构建安全风险评估指标体系,采用最小二乘法求出评估指标的最优组合权重,借助云发生器得到评估指标的云模型数字特征和SCADA系统的综合评估云,然后基于黄金分割率构建标准评估云,同时结合改进的云相似度计算方法得出最终评估结果,最后通过实验验证了模型的有效性和可行性。研究结果表明,该模型能够得到准确的评估结果,与模糊综合评价等方法相比,该评估方法具备更高的可信性,评价效果更好。该方法不仅有助识别SCADA系统的安全风险威胁,而且为其他领域的安全风险评估提供了一定的参考。     

基于历史数据分析的容器云安全风险评估方法

容器云受到风险攻击会影响运维性能,无法有效保护内部存储的隐私数据安全。为了准确判断风险攻击类型,最大程度保证用户隐私数据安全,提出基于历史数据分析的容器云安全风险评估方法。根据云计算安全标准,对容器云风险等级进行分类;利用粗糙集算法挖掘容器云历史数据中的风险因素,获得风险因素归约集合;根据容器云的运行特点,通过德尔菲方法和决策隶属度矩阵计算安全风险权重。根据各风险间存在关联性,整合整体风险评估值,实现容器云安全风险评估。实验结果表明,该方法可以有效评估容器云安全风险,且评估结果较为准确,为用户保证隐私数据安全提供参考。     

网络安全风险评估的云决策

为了更合理地评估网络安全风险,利用云模型集成随机性和模糊性的优点,提出一种基于云模型的网络安全风险评估和决策方法。首先,通过采样系统正常状态信息,构造标准概念云;在进行风险评估时,采样处于风险状态时的信息,计算其云数字特征;然后利用改进的基于云滴距离的云相似度算法,计算与标准概念云的相似度,相似度最大的即为最终输出结果。最后,通过Kddcup99数据集进行模拟攻击及性能采样仿真实验。结果表明,该方法最大限度地保留了风险评估过程中固有的不确定性和模糊性,提高了评估结果的可信性。     

基于云模型和改进证据理论的电力监控系统风险评估

针对电力监控系统风险评估中存在的系统建模不完整、专家评价意见的模糊性和缺乏对系统整体风险的考虑的问题, 提出了基于云模型和改进证据理论的电力监控系统风险评估方法. 首先根据电力监控系统的结构和安全需求, 对电力监控系统的设备、安全目标和威胁进行分析, 建立系统整体风险评估模型; 然后结合FAHP和修正的熵权法, 使用最优化组合赋权的方法得到各元素的权重; 最后利用云模型和改进证据理论完成对电力监控系统的综合风险评估, 得到系统的风险等级. 仿真实验证明了该方法的适用性和有效性, 为电力监控系统的安全管理工作提供了新的思路.     

基于改进模糊综合评价方法的信息系统安全风险评估

针对信息系统安全风险分析的准确性问题,提出一种基于改进模糊综合评价方法的信息系统安全风险分析方法。该方法结合一种模糊一致矩阵来求得各风险因素的权重。并在此基础上采用多级模糊方法对风险进行评估,通过风险评估模型的指标数据,得到风险评估安全级别,为今后信息系统安全风险评估提供了一定的帮助。     

浅谈网络安全的风险评估方法

随着网络技术的日新月异,网络安全越来越成为人们关注的热点问题。网络安全的风险评估,在网络安全技术中具有重要的地位,有利于及时了解网络系统的安全状况。在计算机网络的运行过程中,对网络系统的总体安全性能进行评估,可以为安全体系的构建提供依据,有效地进行网络安全风险管理。本文以网络安全为切入点,在概述网络安全风险评估的基础上,重点探讨了网络安全的风险评估方法,旨在说明网络安全风险评估的重要性,以期为网络安全的风险评估提供参考。     

综合风险评估工具的设计与实现

研究了信息安全风险评估工具的分类方法与发展趋势，在分析国内外多种风险评估方法的基础上，设计并实现了一个综合风险评估工具。该工具是多专家评估系统，集成了安全管理评价工具、系统软件评估工具和风险评估辅助工具3类工具的功能，运用定量和定性相结合的方法进行风险评估，为提高风险评估效率、确保评估结果的科学性提供了有力支持。     

构建云计算环境的安全检查与评估指标体系

在云计算日益发展并广泛应用的浪潮下,云计算环境的安全问题也引起了业界的重视。文章首先对云计算环境安全现状进行分析,通过对云计算安全保护结构的深入研究,建立云计算环境安全保护基本要求框架;然后给出框架中具体指标项的构建方法,即从风险分析角度出发,通过实际环境安全需求调研、云安全事件以及国内外相关研究成果分析,对云计算框架中的保护对象在面临存在的风险时,应该采取何种有效措施提出要求,进而得出相应测评指标项;最后给出指标打分模型来测量和评价云计算环境的安全风险及安全保护措施的有效性。文章研究成果可为国家制定云计算安全相关标准以及有关机构履行云计算环境的检查评估职责提供参考。     

机载系统安保风险评估方法

针对影响民用飞机机载系统安全的信息安保威胁问题,通过研究ISO27005和航空工业标准,提出了一种适用于机载系统的安保风险评估方法。该方法基于威胁条件和威胁场景进行系统脆弱性分析,并结合传统的飞机安全性分析方法与安保风险评估方法,提出一套可量化的风险值计算方法。通过关系矩阵在安全性与安保等级间建立了相关性,为系统需求和架构设计提供了依据。实例验证结果表明,该方法能提供正确与可信的机载系统安保风险评估数据。     

中国科技网网络安全平台及应用

为提高中国科技网网络安全监控及应对新型网络攻击能力,中国科技网规划建设了网络安全平台,以"云服务"的模式进行分级部署,对网络安全设备和系统进行集中统一监控管理,将分散的安全信息进行收集、汇聚和处理,以中国科技网网络安全平台为基础,为各科研院所提供网络安全监控与应急响应、安全风险评估、网络安全通报与预警等服务。     

基于攻击图的分布式网络风险评估方法

对信息系统进行有效的风险评估,选择有效的防范措施,主动防御信息威胁,是解决信息系统安全问题的关键所在。将攻击图模型应用于信息安全的风险评佑。首先针对信息安全风险评佑的不确定性和复杂性,将脆弱点关联技术用于风险评估。其次,针对攻击图所描述的攻击路径对于定量指标的分析缺乏相应的处理能力,而风险因素的指标值具有很大的不确定性等问题,采用攻击路径形成概率对信息安全的风险因素的指标进行量化,对原子攻击成功概率进行预处理,提出了基于攻击图模型的分布式风险评佑方法。该方法充分利用网络系统中各个主机的计算能力,极大地缩短了攻击图生成时间。     

国家电网边缘计算应用安全风险评估研究

依据国家网络安全等级保护与风险评估系列标准以及电力信息系统特点,提出国家电网边缘计算应用安全的风险评估模型,然后采用漏洞扫描工具AWVS、AppScan分别对集成最新安全漏洞的开源Web应用靶机软件BWAPP进行安全漏洞评测与风险评估实验,再运用模糊层次分析法对Web应用安全进行综合安全评价。针对应用程序的安全检测实验结果整理安全评估数据,实现对国家电网边缘计算应用安全风险评估的实例化验证。     

信息安全风险评估风险分析方法浅谈

在信息安全领域,对信息系统进行风险评估十分重要,其最终目的就是要指导决策者在"投资成本"和"安全级别"这两者之间找到平衡,从而为等级化的资产风险制定保护策略和缓和计划。本文简要介绍了信息安全风险评估的基本概念、工作过程和风险评估阶段的分析对象等,重点介绍了目前几种常见的风险分析方法的各自优缺点,并对定性分析方法的风险计算方式进行了详细的分析。     

一个信息安全风险评估系统的设计及应用

文章给出了信息安全风险评估的定义及研究现状,并在此基础上设计了一个信息安全评估系统的体系结构,给出风险评估过程和安全风险评估功能。同时将该安全风险评估系统进行了实际测试,结果表明该系统能确定受测系统存在的安全风险。     

A Pilot Study on the Service Design in Taipei Cloud Based on Time-Geography

To increase the quality of her service, in 2013, Taipei City implemented an enhanced web service called ＂Taipei Cloud＂ in order to create public and free Wi-Fi hotspots throughout the city. This pilot study explores user experience and their perception of ＂Taipei Cloud＂ based on subject-participants＇ observations, hoping to understand whether ＂Taipei Cloud＂ meet people＇s daily demands. Six subjects use ＂Taipei Cloud＂ randomly to obtain their cloud data through their smart phones during their trips. To analyze, time-geography theory is applied to evaluate the subjects＇ use of the service. The findings show that： （l） there is no direct correlation between time and space factors with regard to the subjects＇ access to the Citizen Cloud service; （2） because of its convenience, subjects consider contacting others and sharing should be a standard feature in the Citizen Cloud; （3） while comparing subjects＇ use of Citizen Cloud, ＂command＂ is more popular than other online features; （4） in their overall experience, subjects prefer higher interaction with cloud computing service.     

基于贝叶斯网络的多属性信息安全风险评估

对基于贝叶斯网络的多属性信息安全风险评估方法研究,结合历史上发生的安全事件资料,评估安全威胁和脆弱性的概率,计算出各安全要素的风险值。对信息系统风险评估进行量化,使评估结果更加科学和客观。