CN103095712A - 一种基于CORAS-Petri的安全策略层次联合建模方法 - Google Patents
一种基于CORAS-Petri的安全策略层次联合建模方法 Download PDFInfo
- Publication number
- CN103095712A CN103095712A CN 201310026538 CN201310026538A CN103095712A CN 103095712 A CN103095712 A CN 103095712A CN 201310026538 CN201310026538 CN 201310026538 CN 201310026538 A CN201310026538 A CN 201310026538A CN 103095712 A CN103095712 A CN 103095712A
- Authority
- CN
- China
- Prior art keywords
- coras
- petri
- risk
- security
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及网络信息安全风险评估领域,公开了一种基于CORAS-Petri的安全策略层次联合建模方法。针对CORAS框架的薄弱环节和不足,对CORAS框架进行改进,在UML建模的基础上,引入Petri网描述网络或信息系统动态行为;在CORAS框架的风险计算方法中引入了基于层次分析法(AnalyticHierarchyProcess,AHP)和模糊综合评价的风险评估方法对风险进行计算,不仅可以减轻评估的工作量、提高评估效率,而且还可以借鉴以前的评估结论,增强评估的准确性和有效性,从而提高我们对信息系统安全风险的认识,采取有效安全防范措施,确保信息系统的安全。
Description
技术领域
本发明涉及网络信息安全风险评估领域,特别一种基于CORAS-Petri的安全策略层次联合建模方法,有效地对信息网络系统进行安全风险评估。
背景技术
世界各国都十分重视信息安全问题,80年代中期,美国国防部为适应军事计算机的保密需要,在70年代的基础理论研究成果计算机保密模型(Bell&La padula模型)的基础上,制订了"可信计算机系统安全评价准则"(TCSEC),其后又对网络系统、数据库等方面作出了系列安全解释,形成了安全信息系统体系结构的最早原则。至今美国已研制出达到TCSEC要求的安全系统多达100多种,但这些系统仍有局限性,还没有真正达到形式化描述和证明的最高级安全系统。90年代初,英、法、德、荷四国针对TCSEC准则只考虑保密性的局限,联合提出了包括保密性、完整性、可用性概念的"信息技术安全评价准则"( ITSEC ),但是该准则中并没有给出综合解决以上问题的理论模型和方案。近年来六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出“信息技术安全评价通用准则”(CC for ITSEC)。“信息技术安全评价通用准则”综合了国际上已有的评测准则和技术标准的精华,给出了框架和原则要求,但它仍然缺少综合解决信息的多种安全属性的理论模型依据。“信息技术安全评价通用准则”于1999年7月通过国际标准化组织认可,确立为国际标准,编号为ISO/IEC 15408。ISO/IEC 15408标准对安全的内容和级别给予了更完整的规范,为用户对安全需求的选取提供了充分的灵活性。CORAS(A Platform for Risk Analysis of Security Critical Systems),安全关键系统的风险分析平台,是由欧洲四国(德国、希腊、英国、挪威)在2001年至2003年5月完成的。CORAS通过开发—个基于模型的风险评估方法和工具支持平台,为安全要求较高的安全关键系统进行准确、清晰和高效的信息安全风险评估提供—个框架规范和标准,它是一种通过UML建模语言规范描述风险评估过程和综合采用多种互为补充的风险分析技术。Petri网是德国C.A.Petri博士在1962年的博士论文中首先提出的一种用于并发系统建模和分析重要工具。用Petri网进行系统建模,可利用通用网论思想将系统设计分成整体设计和局部设计、自然的与面向对象技术相结合,在最大程度上避免细节,简化设计。通过用代数、形式语言、自动机的方法来定性或定量的分析Petri网模型的有界性、安全性、可达性、活性、公平性等一系列性质,可得到对被模拟系统性能的正确评价并提出系统改进或改变的建议。
我国的信息安全工作稳步推进,系统安全的研究与应用已经起步,具备了一定的基础和条件。1999年10月发布了"计算机信息系统安全保护等级划分准则",该准则为安全产品的研制提供了技术支持,也为安全系统的建设和管理提供了技术指导。 2007年颁布的国家标准《信息安全技术信息安全风险评估规范)GB/T20984—2007中定义信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。通过风险评估,可以识别信息系统安全风险的大小。根据系统的功能用途以及系统承载信息需要的安全程度,可以对系统定级,进行分级保护。在我国,信息安全分级保护是信息安全保障工作的基本制度、基本策略、基本方法,充分体现了“适度安全、保护重点”的目的,可以有效提高信息安全保障工作的整体水平。然而网络安全形势仍出现了新情况和新问题,通信技术在经济、社会和生活中的深入应用,国家基础信息、网络和重要信息系统安全保障的基础性、全局性作用更为突出,信息、安全保障与生产安全、社会安全的关系更加紧密。然而我国的网络与信息系统安全的防护能力处于发展的初级阶段,许多信息系统基本上处于不设防或是封堵安全漏洞的被动防御状态。因此,对信息系统的安全风险进行科学合理的分析、评价、控制和防范显得尤为重要。本发明中所采用的层次分析法(Analytic Hierarchy Process , AHP)是美国运筹学家T.L.Saaty教授提出的一种简便、灵活而又实用的多准则决策方法。模糊综合评价法,是对具有多种属性的事物,或者说其总体优劣受多种因素影响的事物,做出一个能合理地综合这些属性或因素的总体评判。
发明内容
1、本发明的目的。
本发明为了对信息系统的安全风险进行准确的预测,改善传统单一安全度量技术在综合性保护方面的缺失,对信息网络安全风险综合评估,针对现有的CORAS框架的薄弱环节和不足,提出了一种基于CORAS-Petri的安全策略层次联合建模方法。
2、本发明所采用的技术方案。
基于CORAS-Petri的安全策略层次联合建模方法的步骤如下:
[1] 风险评估准备:建立项目领导小组和项目实施小组,收集评估对象系统信息,启动评估项目管理,将评估小组组织信息、评估方案和计划输入到CORAS-Petri系统,并通过CORAS-Petri的项目管理功能,建立对评估项目信息归档和管理。
[2] 资产识别:分析有关文档确认相关资产并记录到CORAS-Petri工具资产识别模块的相应列表中,调用CORAS平台的CRAMM工具分析系统资产,确认并识别关键资产。
[3]威胁和脆弱性识别:查看CORAS-Petri信息库中公用威胁库和脆弱性库知识,将系统分析出的信息情况输入相应列表,调用漏洞扫描工具实施漏洞扫描,用CORAS-Petri问卷调查表确认相关威胁和管理弱点并记录下来。
[4]UML建模:对资产识别进行资产UML建模,对威胁和脆弱性进行威胁UML建模,通过对系统分析和风险评估的比较,得到系统分析和开发的预期行为和相反功能或脆弱性。
[5]将UML建模转化成风险Petri网描述:根据UML图形转换Petri网图形规则进行转换,利用通用网论将系统设计分成整体设计和局部设计、自然的与面向对象技术相结合。
[6] 基于层次分析法(Analytic Hierarchy Process , AHP)和模糊综合评价的信息安全风险评估。
所述的第三步威胁和脆弱性识别,使用HAZOP方法进行讨论,设置引导词,并且回答引导词的问题。
所述的第三步脆弱性监测包括认证机制、网络传输、系统设计、外部资源、内部硬件或软件、安全更新路径。
所述的第三步威胁监测包括人为威胁、网络设备和病毒攻击。
所述的第六步层次分析法的步骤如下:
[1]划分因素集;
[2] 单因素评判,对划分后的因素集按初始模型做综合评判,得到评价矩阵;
[3]多因素综合评判,通过评价矩阵与因素重要程度进行综合评判得到综合评价结果。
3、本发明的有益效果。
(1)改进CORAS框架的建模方法,CORAS框架中,在UML建模的基础上,引入Petri网,Petri网可以描述网络或信息系统动态行为。综合UML和Petri网的优势,对网络和信息系统进行建模分析,提高了模型建立的准确性和精确性。
(2)改进CORAS框架的风险计算方法。为了得出各种风险的相对值,得出各种风险的横向比较与纵向比较,在CORAS-Petri框架中引入了基于层次分析法(Analytic Hierarchy Process , AHP)和模糊综合评价的风险评估方法对风险进行计算,从而提高我们对信息系统安全风险的认识,采取有效安全防范措施,确保信息系统的安全。
附图说明
图 1 是本发明一种基于CORAS-Petri的安全策略层次联合建模方法的流程图。
图 2 是本发明一种基于CORAS-Petri的安全策略层次联合建模方法的医疗机构信息系统资产建模图。
图 3 是本发明一种基于CORAS-Petri的安全策略层次联合建模方法的医疗机构信息系统业务顺序图。
图 4 是本发明一种基于CORAS-Petri的安全策略层次联合建模方法的医疗机构信息系统威胁建模图。
图 5 是本发明一种基于CORAS-Petri的安全策略层次联合建模方法的医疗机构信息系统风险图。
图 6 是本发明一种基于CORAS-Petri的安全策略层次联合建模方法的风险处理建模图。
图 7 是本发明一种基于CORAS-Petri的安全策略层次联合建模方法的医疗机构信息系统业务顺序Petri网。
图 8 是本发明一种基于CORAS-Petri的安全策略层次联合建模方法的威胁风险Petri网图。
图 9 是本发明一种基于CORAS-Petri的安全策略层次联合建模方法的医疗机构信息系统信息安全风险评估指标体系图。
具体实施方式
实施例
采用基于CORAS-Petri的安全策略层次联合建模方法对某医疗机构信息系统进行分析研究,步骤如下:
第一步,评估准备。评估准备的主要工作是建立项目领导小组和项目实施小组,收集评估对象系统信息,启动评估项目管理,并进行对评估相关参与人员进行风险评估基础知识及技能的培训,以便于项目的顺利实施,评估准备阶段CORAS-Petri工具的使用是在确立评估小组人员和评估项目后,将评估小组组织信息、评估方案和计划输入到CORAS-Petri系统,并通过CORAS-Petri的项目管理功能,建立对评估项目各种信息的归档和管理。
第二步,资产识别。如图2和图3,医疗机构信息系统对于用户来说是提供服务的,因此医疗机构信息系统中主要资产是无形资产,固定资产如网络设备等作为了间接的资产,这些资产的脆弱性、威胁可以导致主要资产安全事件的发生。分析有关文档确认相关资产并记录到CORAS-Petri工具资产识别模块的相应列表中,调用CORAS平台的CRAMM工具分析系统资产。调集相关人员参加评估小组会议,进一步确认相关资产并识别关键资产。
第三步,威胁和脆弱性识别。查看CORAS-Petri信息库中公用威胁库和脆弱性库知识,将系统分析出的信息情况输入相应列表,调用漏洞扫描工具实施漏洞扫描,用CORAS-Petri问卷调查确认相关威胁和管理弱点并记录下来。风险识别阶段可以使用HAZOP等方法进行讨论,设置引导词,并且回答引导词的问题。
对医疗机构信息系统进行分析研究,可以归纳出如下几种:
脆弱性:认证机制不足;系统设计弱点;不安全的WLAN;过于简单的密码设置;共享的网络资源;低健壮性;外部资源故障;内部硬件或软件故障;安全更新路径不清楚;缺少网络日志等。
威胁:医疗机构雇员(人为,意外);黑客攻击(人为,蓄意);网络设备(非人为);外部资源(非人为);病毒攻击(非人为); 医疗机构信息系统用户(人为,意外)等。
第四步,UML建模。用户与医疗机构信息系统之间的交互过程中都有哪些环节需要分析。分析找出医疗机构信息系统资产有哪些脆弱性,这些脆弱性导致了哪些威胁、安全事件。图4医疗机构信息系统威胁建模图给出了详细的模型。
结合医疗机构信息系统的业务、威胁,可以得出其风险图,如图5所示。
由医疗机构信息系统的威胁建模图(图4)可以看出医疗机构信息系统的脆弱性、威胁等,建模可以准确识别风险过程,为我们进行风险处理提供了可靠依据。
针对医疗机构信息系统的主要风险,图6风险处理建模图给出了必要的措施。
由图6可以看出,风险处理过程不是对所有风险、脆弱性都进行处理。图中的风险处理措施,一方面提高了医疗机构信息系统整体的抗风险能力,另一方面在达到高安全级别的同时,考虑了投入/可接受风险级别的平衡。如,该医疗机构信息系统防火墙过旧,但是如果更换新的防火墙,花费很大,只要医疗机构信息系统的安全风险级别不高,则不需要更换。
第五步、医疗机构信息系统风险Petri网描述。
根据UML图形转换Petri网图形规则,可以把医疗机构信息系统顺序图和威胁图转换成Petri网图形,如图7、图8所示。
图7中P0表示客户浏览器,是起始点;T1表示HTTP请求;T2表示HTTP请求;T3表示数据库访问或业务请求;T4表示业务请求;TS表示业务响应;T6表示数据库更新或业务信息;T7表示HTTP响应;T8表示HTTP响应。
图8中,P0、P4表示两个风险源,T1表示PC上没有病毒保护、T2表示反病毒软件过期、T3表示网络物理接入、T4表示禁止访问、T5表示恶意代码通过局域网传播、T6表示硬件故障、T7表示防火墙过旧、T8表示服务器崩溃、T9表示服务器版本老化、T10表示恶意代码导致网络拥塞、T11表示系统备份不完善、T12表示恶意代码影响服务器、T13表示应用服务器故障、T14表示应用数据库启动备份系统失败、T15表示恶意代码散播数据、T16表示数据泄漏、T17表示数据损坏、T18表示应用可用性降低。
利用Petri网图形,使得医疗机构信息系统的业务顺序更加直观,更容易分析研究威胁、脆弱性以及风险之间的关系。
第六步、基于层次分析法(Analytic Hierarchy Process,AHP)和模糊综合评价的信息安全风险评估。根据GB/T20984-2007《信息安全技术 信息安全风险评估规范》可得医疗机构信息系统信息安全风险的评价指标体系,如图9所示。
图9的评价指标体系中,保密性是表示数据所达到的未提供或泄露给非授权的个人、过程或其他实体的程度;完整性是保证信息及信息系统不会被非授权更改或破坏的特性;可用性表示被授权实体按要求能访问和使用数据或资源;环境因素是指由于环境条件或自然灾害,意外事故所导致的软硬件故障;人为因素是指外部人员的恶意破坏和内部人员缺乏责任心所导致的信息系统故障;技术脆弱性涉及物理层、网络层、系统层和应用层等各层次的安全问题;管理脆弱性可分为技术管理和组织管理,前者与具体技术活动相关,后者与管理环境相关。
使用1-9比例标度法构造判断矩阵如下:
计算出第一层对应于X的权值为:
第二层对于X1,X2的权值分别为:
以上都可以满足一致性检验CR<0.1。
由以上结果可以求得第二层指标的相对权重以及排序如表1:
表1 二级指标权重及排序
| 二级指标 | 风险值权重 | 排序 |
| X11 | 0.1332 | 3 |
| X12 | 0.0888 | 7 |
| X13 | 0.178 | 1 |
| X21 | 0.0532 | 8 |
| X22 | 0.03192 | 9 |
| X31 | 0.1602 | 2 |
| X32 | 0.1068 | 4 |
| X41 | 0.1000 | 5 |
| X42 | 0.1000 | 6 |
利用调查问卷的形式,请20位专家对各指标权重进行评判。所有专家对某等级评价的次数整理如表2:
表2 专家评判统计
| 高 | 较高 | 中 | 较低 | 低 | |
| X11 | 0 | 3 | 5 | 10 | 2 |
| X12 | 1 | 3 | 3 | 6 | 7 |
| X13 | 2 | 3 | 8 | 3 | 4 |
| X21 | 0 | 1 | 2 | 8 | 9 |
| X22 | 1 | 1 | 2 | 9 | 7 |
| X31 | 0 | 5 | 10 | 4 | 1 |
| X32 | 1 | 3 | 5 | 8 | 3 |
| X41 | 0 | 1 | 4 | 12 | 3 |
| X42 | 0 | 2 | 4 | 10 | 4 |
由表1中X11,X12,X13三项,可得模糊关系Rl,对其进行归一化,得到模糊关系矩阵:
同理可得:
由
可计算出单层次评价结果:
同理可得:
把以上单层次评价结果综合起来,就得到了总的模糊关系矩阵:
所以最后总的模糊综合评价结果为:
计算结果中,最大值0.4在判断等级“中”,根据最大隶属度原则,可以得出医疗机构信息系统的信息安全风险等级为中。
上述实施例不以任何方式限制本发明,凡是采用等同替换或等效变换的方式获得的技术方案均落在本发明的保护范围内。
Claims (5)
1.一种基于CORAS-Petri的安全策略层次联合建模方法,其特征在于按照以下步骤建模:
[1] 风险评估准备:建立项目领导小组和项目实施小组,收集评估对象系统信息,启动评估项目管理,将评估小组组织信息、评估方案和计划输入到CORAS-Petri系统,并通过CORAS-Petri的项目管理功能,建立对评估项目信息归档和管理;
[2] 资产识别:分析有关文档确认相关资产并记录到CORAS-Petri工具资产识别模块的相应列表中,调用CORAS平台的CRAMM工具分析系统资产,确认并识别关键资产;
[3]威胁和脆弱性识别:查看CORAS-Petri信息库中公用威胁库和脆弱性库知识,将系统分析出的信息情况输入相应列表,调用漏洞扫描工具实施漏洞扫描,用CORAS-Petri问卷调查表确认相关威胁和管理弱点并记录下来;
[4]UML建模:对资产识别进行资产UML建模,对威胁和脆弱性进行威胁UML建模,通过对系统分析和风险评估的比较,得到系统分析和开发的预期行为和相反功能或脆弱性;
[5]将UML建模转化成风险Petri网描述:根据UML图形转换Petri网图形规则进行转换,利用通用网论将系统设计分成整体设计和局部设计、自然的与面向对象技术相结合;
[6] 基于层次分析法(Analytic Hierarchy Process , AHP)和模糊综合评价的信息安全风险评估。
2.根据权利要求1所述的基于CORAS-Petri的安全风险评估方法,其特征在于: 所述的第三步威胁和脆弱性识别,使用HAZOP方法进行讨论,设置引导词,并且回答引导词的问题。
3. 根据权利要求2所述的基于CORAS-Petri的安全风险评估方法,其特征在于:所述的第三步脆弱性监测包括认证机制、网络传输、系统设计、外部资源、内部硬件或软件、安全更新路径。
4. 根据权利要求2所述的基于CORAS-Petri的安全风险评估方法,其特征在于:所述的第三步威胁监测包括人为威胁、网络设备和病毒攻击。
5. 根据权利要求2所述的基于CORAS-Petri的安全风险评估方法,其特征在于:所述的第六步层次分析法的步骤如下:
[1]划分因素集;
[2] 单因素评判,对划分后的因素集按初始模型做综合评判,得到评价矩阵;
[3]多因素综合评判,通过评价矩阵与因素重要程度进行综合评判得到综合评价结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201310026538 CN103095712A (zh) | 2013-01-24 | 2013-01-24 | 一种基于CORAS-Petri的安全策略层次联合建模方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201310026538 CN103095712A (zh) | 2013-01-24 | 2013-01-24 | 一种基于CORAS-Petri的安全策略层次联合建模方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103095712A true CN103095712A (zh) | 2013-05-08 |
Family
ID=48207845
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201310026538 Pending CN103095712A (zh) | 2013-01-24 | 2013-01-24 | 一种基于CORAS-Petri的安全策略层次联合建模方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103095712A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104331072A (zh) * | 2014-10-28 | 2015-02-04 | 冶金自动化研究设计院 | 一种面向典型冶金工艺控制系统的信息安全风险评估方法 |
| CN104965972A (zh) * | 2015-06-09 | 2015-10-07 | 南京联成科技发展有限公司 | 一种基于人工智能的信息系统安全风险评估与防护方法 |
| CN105045251A (zh) * | 2015-05-27 | 2015-11-11 | 华中科技大学 | 工业控制系统功能安全与信息安全的需求分析及融合方法 |
| CN107231345A (zh) * | 2017-05-03 | 2017-10-03 | 成都国腾实业集团有限公司 | 基于ahp的网络用户行为风险评估方法 |
| CN107431718A (zh) * | 2015-02-11 | 2017-12-01 | 霍尼韦尔国际公司 | 用于提供涉及所标识的网络安全风险项目的可能原因、推荐的动作和潜在影响的装置和方法 |
| CN107454105A (zh) * | 2017-09-15 | 2017-12-08 | 北京理工大学 | 一种基于ahp与灰色关联的多维网络安全评估方法 |
| CN107819771A (zh) * | 2017-11-16 | 2018-03-20 | 国网湖南省电力有限公司 | 一种基于资产依赖关系的信息安全风险评估方法及系统 |
| CN108805453A (zh) * | 2018-06-13 | 2018-11-13 | 浙江大学 | 一种基于ahp的配电网cps中的网络异常安全评估方法 |
| WO2019019958A1 (en) * | 2017-07-25 | 2019-01-31 | Beijing DIDI Infinity Technology and Development Co., Ltd | SYSTEMS AND METHODS FOR DETERMINING AN OPTIMAL STRATEGY |
| CN109636467A (zh) * | 2018-12-13 | 2019-04-16 | 洛阳博得天策网络科技有限公司 | 一种品牌的互联网数字资产的综合评估方法及系统 |
| CN110782147A (zh) * | 2019-10-18 | 2020-02-11 | 武汉大学 | 一种基于模糊Petri网的溢油灾害链风险分析方法 |
| CN112052140A (zh) * | 2020-09-01 | 2020-12-08 | 中国民航大学 | 一种基于模糊Petri网的信息系统安全态势评估方法 |
| CN117370987A (zh) * | 2023-10-13 | 2024-01-09 | 南京审计大学 | 基于知识图谱的云服务平台安全审计漏洞评测方法及系统 |
-
2013
- 2013-01-24 CN CN 201310026538 patent/CN103095712A/zh active Pending
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104331072A (zh) * | 2014-10-28 | 2015-02-04 | 冶金自动化研究设计院 | 一种面向典型冶金工艺控制系统的信息安全风险评估方法 |
| CN107431718A (zh) * | 2015-02-11 | 2017-12-01 | 霍尼韦尔国际公司 | 用于提供涉及所标识的网络安全风险项目的可能原因、推荐的动作和潜在影响的装置和方法 |
| CN105045251A (zh) * | 2015-05-27 | 2015-11-11 | 华中科技大学 | 工业控制系统功能安全与信息安全的需求分析及融合方法 |
| CN105045251B (zh) * | 2015-05-27 | 2017-11-14 | 华中科技大学 | 工业控制系统功能安全与信息安全的需求分析及融合方法 |
| CN104965972A (zh) * | 2015-06-09 | 2015-10-07 | 南京联成科技发展有限公司 | 一种基于人工智能的信息系统安全风险评估与防护方法 |
| CN107231345A (zh) * | 2017-05-03 | 2017-10-03 | 成都国腾实业集团有限公司 | 基于ahp的网络用户行为风险评估方法 |
| US10963830B2 (en) | 2017-07-25 | 2021-03-30 | Beijing Didi Infinity Technology And Development Co., Ltd. | Systems and methods for determining an optimal strategy |
| WO2019019958A1 (en) * | 2017-07-25 | 2019-01-31 | Beijing DIDI Infinity Technology and Development Co., Ltd | SYSTEMS AND METHODS FOR DETERMINING AN OPTIMAL STRATEGY |
| CN107454105B (zh) * | 2017-09-15 | 2020-09-08 | 北京理工大学 | 一种基于ahp与灰色关联的多维网络安全评估方法 |
| CN107454105A (zh) * | 2017-09-15 | 2017-12-08 | 北京理工大学 | 一种基于ahp与灰色关联的多维网络安全评估方法 |
| CN107819771A (zh) * | 2017-11-16 | 2018-03-20 | 国网湖南省电力有限公司 | 一种基于资产依赖关系的信息安全风险评估方法及系统 |
| CN107819771B (zh) * | 2017-11-16 | 2020-03-20 | 国网湖南省电力有限公司 | 一种基于资产依赖关系的信息安全风险评估方法及系统 |
| CN108805453A (zh) * | 2018-06-13 | 2018-11-13 | 浙江大学 | 一种基于ahp的配电网cps中的网络异常安全评估方法 |
| CN109636467A (zh) * | 2018-12-13 | 2019-04-16 | 洛阳博得天策网络科技有限公司 | 一种品牌的互联网数字资产的综合评估方法及系统 |
| CN110782147A (zh) * | 2019-10-18 | 2020-02-11 | 武汉大学 | 一种基于模糊Petri网的溢油灾害链风险分析方法 |
| CN110782147B (zh) * | 2019-10-18 | 2022-06-14 | 武汉大学 | 一种基于模糊Petri网的溢油灾害链风险分析方法 |
| CN112052140A (zh) * | 2020-09-01 | 2020-12-08 | 中国民航大学 | 一种基于模糊Petri网的信息系统安全态势评估方法 |
| CN112052140B (zh) * | 2020-09-01 | 2023-12-01 | 中国民航大学 | 一种基于模糊Petri网的信息系统安全态势评估方法 |
| CN117370987A (zh) * | 2023-10-13 | 2024-01-09 | 南京审计大学 | 基于知识图谱的云服务平台安全审计漏洞评测方法及系统 |
| CN117370987B (zh) * | 2023-10-13 | 2024-03-12 | 南京审计大学 | 基于知识图谱的云服务平台安全审计漏洞评测方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103095712A (zh) | 一种基于CORAS-Petri的安全策略层次联合建模方法 | |
| Citron et al. | The scored society: Due process for automated predictions | |
| US8050959B1 (en) | System and method for modeling consortium data | |
| Biddle et al. | Using Lancaster's mid-P correction to the Fisher's exact test for adverse impact analyses. | |
| Uddin et al. | Disaster coordination preparedness of soft‐target organisations | |
| Thomas et al. | How bad is it?–a branching activity model to estimate the impact of information security breaches | |
| Rien Agustin et al. | Preventing corruption with blockchain technology (case study of Indonesian public procurement) | |
| Galinec et al. | Design of conceptual model for raising awareness of digital threats | |
| Alegria et al. | Method of quantitative analysis of cybersecurity risks focused on data security in financial institutions | |
| Bijwe et al. | Adapting the square process for privacy requirements engineering | |
| CN109962882B (zh) | 一种网络身份管理服务可信等级评估方法与系统 | |
| Zainudin et al. | Digital forensic readiness for cyber security practitioners: an integrated model | |
| Spears et al. | Is security requirements identification from conceptual models in systems analysis and design: The Fun & Fitness, Inc. case | |
| JP2018142284A (ja) | リスク算出装置、リスク算出装置を搭載するリスク判定装置及びリスク算出方法 | |
| Panevski | Some standardized peculiarity in defining the processes/stages providing input data for Intelligent Security Systems development–peripheral security systems | |
| Wahhab et al. | Auditing cybersecurity risks considering the information renaissance and its impact on the continuity of companies | |
| Wiseman et al. | Critical infrastructure protection and resilience literature survey: modeling and simulation | |
| Al-Khulaidi et al. | Information security gap analysis: an applied study on the Yemeni banking sector's technology and innovation practices | |
| Mahopo et al. | A formal qualitative risk management approach for IT security | |
| Baranyi et al. | Bringing Gender Back into Canada's Engagement in Fragile States: Options for CIDA in a Whole-of-Government Approach | |
| Coman et al. | A Statistical Study on the Role of Outsourcing Romanian Accounting Services in the Context of the Pandemic Crisis | |
| Spiewak | Overlooking the Little Guy: An Analysis of Cyber Incidents and Individual Harms | |
| Klebanova et al. | Complex of Models for Estimating and Analyzing the Strength of Bank Economic Security | |
| RU2801374C1 (ru) | Система с ролевым управлением доступом к организации эксплуатационного содержания зданий и сооружений | |
| Vander Beken | European organised crime scenarios for 2015 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130508 |