CN112132388A - 基于改进octave方法的意识形态安全风险评估模型及方法 - Google Patents

基于改进octave方法的意识形态安全风险评估模型及方法 Download PDF

Info

Publication number
CN112132388A
CN112132388A CN202010828710.9A CN202010828710A CN112132388A CN 112132388 A CN112132388 A CN 112132388A CN 202010828710 A CN202010828710 A CN 202010828710A CN 112132388 A CN112132388 A CN 112132388A
Authority
CN
China
Prior art keywords
value
risk
consciousness
vulnerability
threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010828710.9A
Other languages
English (en)
Inventor
佟娜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Liaoning Provincial College of Communications
Original Assignee
Liaoning Provincial College of Communications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Liaoning Provincial College of Communications filed Critical Liaoning Provincial College of Communications
Priority to CN202010828710.9A priority Critical patent/CN112132388A/zh
Publication of CN112132388A publication Critical patent/CN112132388A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/20Education
    • G06Q50/205Education administration or guidance

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Human Resources & Organizations (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Educational Administration (AREA)
  • Tourism & Hospitality (AREA)
  • General Physics & Mathematics (AREA)
  • Educational Technology (AREA)
  • Marketing (AREA)
  • Theoretical Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Development Economics (AREA)
  • Operations Research (AREA)
  • Game Theory and Decision Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Primary Health Care (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了基于改进OCTAVE方法的意识形态安全风险评估模型及方法,模型评估包括建立基于意识形态关键资产配置威胁文件、识别关键资产威胁的脆弱性、计算意识形态风险值和发展意识形态安全策略和计划四个阶段,具体步骤为识别意识形态资产;提炼关键资产的安全需求;建立安全需求配置威胁文件;根据威胁文件识别脆弱点;评估关键资产的风险值;完善意识形态安全保障措施和建立防范或化解意识形态安全风险的长效机制。本发明对意识形态领域的关键资产风险值进行比较,评估出相对重大风险,提出意识形态安全工作保障措施的优先角度,以期为今后加强防范意识形态领域重大风险提出指向。

Description

基于改进OCTAVE方法的意识形态安全风险评估模型及方法
技术领域
本发明涉及意识形态技术领域,特别涉及基于改进OCTAVE方法的意识形态安全风险评估模型及方法。
背景技术
学术界对意识形态安全工作的研究多集中在意识形态本身和防范对策上,对意识形 态安全领域重大风险的研究也多是关于重大风险原因的分析,而对意识形态风险等级进行量 化评估的却较少,仅学者杨帅在《基于OCTAVE方法的高校意识形态安全风险评估》中, 尝试将OCTAVE方法原理引入高校意识形态安全风险评估中,提出将OCTAVE方法应用于高校意识形态安全风险评估的操作流程,但方法不够完善且未应用于实践。
发明内容
本发明的目的在于提供基于改进OCTAVE方法的意识形态安全风险评估模型及方法, 对意识形态领域的关键资产风险进行比较,评估出相对重大风险,提出意识形态安全工作保 障措施的优先角度,以期为今后加强防范意识形态领域重大风险提出指向,以解决上述背景 技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
基于改进OCTAVE方法的意识形态安全风险评估模型,包括资产、威胁、脆弱点和风险,其中:
资产为意识形态中有价值的信息或要素,为安全策略的服务对象;
威胁为造成资产或意识形态受损失的原因;
脆弱点为在资产或意识形态中被利用或被威胁的弱点;
风险为受到威胁导致资产的损害或影响的可能性。
进一步地,所述模型的要素值包括资产价值、威胁值、脆弱性值和风险值,其中:
资产价值为所述要素中资产的属性和表现形式,为资产的敏感和重要程度,为资产识别的重 要内容;
威胁值为所述要素中威胁的属性和表现形式,为威胁的频率和等级程度,为威胁识别的重要 内容;
脆弱性值为所述要素中脆弱点的属性和表现形式,为脆弱性的强度和严重程度,为脆弱点识 别的重要内容;
风险值为所述要素中风险的属性和表现形式,为对资产造成的损失和影响程度,为风险评估 的重要内容。
进一步地,脆弱性强度为所述要素值中脆弱性值的表现和转换形式,为脆弱点识别 的重要内容。
进一步地,所述要素值中资产价值,采用加权平均数法计算,即A=(k1×a1+k2×a2+k3×a3+....+kn×an)/(k1+k2+k3+...+kn),其中,A(1≤A≤M)代表资产价值;an(1≤an≤M)代表资产赋值,1-M表示程度由低到高;kn/(k1+k2+k3+...+kn)代表权重系数;
所述要素值中威胁值,采用加权平均数法计算;即T=(k1×t1+k2×t2+k3×t3+....+kn× tn)/(k1+k2+k3+...+kn),其中,T(1≤T≤N)代表威胁值;tn(1≤tn≤N)代表威胁赋值,1-N表示程度由低到高;kn/(k1+k2+k3+...+kn)代表权重系数;
所述要素值中脆弱性值,采用加权平均数法计算,即V=(k1×v1+k2×v2+k3×v3+....+kn×vn)/(k1+k2+k3+...+kn),其中,V(1≤V≤P)代表脆弱性值;vn(1≤vn≤P)代表脆弱性赋值, 1-P表示程度由低到高;kn/(k1+k2+k3+...+kn)代表权重系数。
进一步地,所述要素值中脆弱性强度,采用所述计算方法中脆弱性值与权重相乘法计 算脆弱性强度,即Vi=V×K,其中,V(1≤V≤P)代表脆弱性值;Vi代表脆弱性强度; K=kn/(k1+k2+k3+...+kn)代表权重系数,1≤∑Vi≤P。
本发明提供另一种技术方案:基于改进OCTAVE方法的意识形态安全风险评估模型的评估方法,包括如下步骤:
建立基于意识形态资关键产配置威胁文件
步骤1:识别权利要求1中所述要素中的意识形态资产,即关键资产;
采集受访者对意识形态安全问题的看法和观点,并根据权利要求4所述计算方法计算关键资 产价值A;
步骤2:提炼所述步骤1中关键资产的安全需求,识别所述步骤1中关键资产的最主要安全 需求;
步骤3:建立所述步骤2中安全需求配置威胁文件,根据权利要求4所述计算方法计算威胁 值T;
识别关键资产威胁的脆弱性
步骤4:根据步骤3中威胁文件识别脆弱点;
根据权利要求4所述计算方法计算脆弱性值V;根据权利要求5所述计算方法计算脆弱性强 度Vi
计算意识形态风险值
步骤5:评估所述步骤1中关键资产的风险值;
根据步骤1、步骤3、步骤4,运用R=A×T×∑Vi(1≤R≤MNP),其中,R代表风险值, 即风险值=关键要素价值×威胁值×脆弱性强度,其中:
(5a)单项风险值(Ri):分别计算每种脆弱性被威胁利用给与其对应的意识形态关键资产 带来的风险,即单项风险值Ri=A×T×Vi
(5b)加和风险值(Ra):分别计算每种威胁给与其对应的意识形态关键资产带来的风险, 即加和风险值Ra=A×T×(Vi1+Vi2+Vi3+...+Vin),其中,Vi1+Vi2+Vi3+...+Vin表示每种威胁 内脆弱性强度加和;
(5c)总风险值(Rt):分别计算每种意识形态关键资产的总风险值,即总风险值Rt=∑Ra, 其中,∑Ra表示某意识形态关键资产下,所有威胁对该关键资产带来的风险加和,若只针对 意识形态内部关键资产风险评估,则计算结束;
(5d)综合风险值(Rc):如需评估整个意识形态风险值,即综合风险值Rc=(k1×Rt1+k2×Rt2+k3×Rt3+....+kn×Rtn)/(k1+k2+k3+...+kn),其中,Rtn(1≤Rtn≤MNP)代表关键资产总风险值; kn/(k1+k2+k3+...+kn)代表权重系数;
(5e)安全风险等级划分,R=A×T×∑Vi(1≤R≤MNP),根据风险值高低,划分风险等级标准;
(5f)根据所述步骤5(5e)中的风险等级标准,评估所述步骤5(5c)中的意识形态关键资产的总风险值等级及所述步骤5(5d)中的意识形态综合风险值等级。
发展意识形态安全策略和计划
步骤6:制定意识形态安全保障措施
根据步骤2中的意识形态各关键资产的安全需求,寻求改进或保护意识形态资产安全的方法, 通过所述步骤1-4中的调研过程,可以了解到关键资产、安全需求、威胁、脆弱性及现有保 障措施存在的问题和漏洞;在此基础上,研究进一步的完善措施;
步骤7:建立防范或化解意识形态安全风险的长效机制
根据5f中的风险等级结果,得出意识形态安全问题中关键资产风险的高低及受保护性的优 先级,针对关键资产自身所具有的脆弱性和面临威胁制定防范或降低风险的长效机制,防范 意识形态安全领域的重大风险。
与现有技术相比,本发明的有益效果是:
1.模型要素关键资产、威胁和脆弱点可以根据具体情况配置,且不限定数量,为分析评价意 识形态关键资产风险提供全面可靠的效能评估。
2.为模型中关键资产、威胁和脆弱点赋值和确定权重的过程,不固定方法,可根据情 况优化取值方式,而不影响模型的使用和评估,且风险等级可根据便于计算的自定义赋值范 围,科学确定风险等级划分区段,以指导风险评估实践提供科学依据。
附图说明
图1为本发明基于改进OCTAVE方法的意识形态安全风险评估模型的流程图;
图2为本发明实施例的基于改进OCTAVE方法的高校意识形态安全风险评估模型的过程框 架图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整 地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本 发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施 例,都属于本发明保护的范围。
如图1-2,基于改进OCTAVE方法的意识形态安全风险评估模型及方法,模型的评估要素包括资产、威胁、脆弱点和风险,其中:
资产是指高校意识形态中有价值的信息或要素,是安全策略的服务对象;
威胁是指造成资产或高校意识形态受损失的原因;
脆弱点是指在资产或高校意识形态中被利用或被威胁的弱点;
风险是指受到威胁导致资产的损害或影响的可能性。
模型的要素值包括资产价值、威胁值、脆弱性值和风险值,其中:
资产价值是指要素中资产的属性和表现形式,即资产的敏感和重要程度,是资产识别的重要 内容;
威胁值是指要素中威胁的属性和表现形式,即威胁的频率和等级程度,是威胁识别的重要内 容;
脆弱性值是指要素中脆弱点的属性和表现形式,即脆弱性的强度和严重程度,是脆弱点识别 的重要内容。
风险值是指要素中风险的属性和表现形式,即对资产造成的损失和影响程度,是风 险评估的重要内容。
模型的要素值包括脆弱性强度,其中:
脆弱性强度是指所脆弱性值的表现和转换形式,是脆弱点识别的重要内容。
评估模型的计算方法包括:
资产价值,采用加权平均数法计算,即A=(k1×a1+k2×a2+k3×a3+....+kn× an)/(k1+k2+k3+...+kn),其中,A(1≤A≤5)代表资产价值;an(1≤an≤5)代表资产赋值,1-5 表示程度由低到高;kn/(k1+k2+k3+...+kn)代表权重系数。
威胁值,采用加权平均数法计算;即T=(k1×t1+k2×t2+k3×t3+....+kn× tn)/(k1+k2+k3+...+kn),其中,T(1≤T≤5)代表威胁值;tn(1≤tn≤5)代表威胁赋值,1-5表 示程度由低到高;kn/(k1+k2+k3+...+kn)代表权重系数。
脆弱性值,采用加权平均数法计算。即V=(k1×v1+k2×v2+k3×v3+....+kn× vn)/(k1+k2+k3+...+kn),其中,V(1≤V≤5)代表脆弱性值;vn(1≤vn≤5)代表脆弱性赋值, 1-5表示程度由低到高;kn/(k1+k2+k3+...+kn)代表权重系数。
评估模型的计算方法包括:
脆弱性强度,采用述脆弱性值与权重相乘法计算脆弱性强度,即Vi=V×K,其中,V(1≤V ≤5)代表脆弱性值;Vi代表脆弱性强度;K=kn/(k1+k2+k3+...+kn)代表权重系数,1≤∑Vi≤5。
本实施例中,模型评估步骤包括:建立基于高校意识形态资关键产配置威胁文件、识别关键资产威胁的脆弱性、计算高校意识形态风险值和发展高校意识形态安全策略和计划 四个阶段,其中:
建立基于高校意识形态资关键产配置威胁文件
步骤1:识别高校意识形态关键资产。
根据高校意识形态的概念和含义,通过评估管理团队查阅文献资料、座谈会、问卷调查等方式,采集受访者对意识形态安全问题的看法和观点,得出高校意识形态安全的三个 层面资产尤为重要,分别为文化(认知层面)、价值观(信仰层面)和人才(阶级层面)。将此三个层面确定为高校意识形态安全的关键资产。通过采集受访者对三项关键要素的赋值打 分,咨询专家分配不同人员群体的赋值权重,依据所述计算方法(10)中,A=(k1×a1+k2× a2+k3×a3+....+kn×an)/(k1+k2+k3+...+kn)A=(k1×a1+k2×a2+k3×a3+....+kn×an)/(k1+k2+k3+...+kn), 计算各项关键资产的价值。本实施例中,经过计算,“文化”、“价值观”、“人才”三者的关 键资产价值分别为5、5、3。
步骤2:提炼关键资产的安全需求。
根据访谈、问卷等调查资料总结出各关键资产的安全需求有哪些方面,经整理提炼 出最主要的安全需求,即“文化”的安全需求为“抵御外来文化渗透”;“价值观”的安全需求为“树立正确价值观”;“人才”的安全需求为“保护人才报效祖国”。
步骤3:建立安全需求配置威胁文件。
根据计算方法计算威胁值T。根据每种安全需求,通过座谈、问卷等方式确定威胁配 置文件,采集受访者对安全需求的看法和观点,识别威胁种类,并根据威胁出现频率程度为 威胁赋值,通过采集受访者对每种威胁的赋值打分,咨询专家分配不同人员群体的赋值权重, 依据所述计算方法(11)中,T=(k1×t1+k2×t2+k3×t3+....+kn×tn)/(k1+k2+k3+...+kn),计算每种 威胁值,见表1。
识别关键资产威胁的脆弱性
步骤4:根据威胁文件识别脆弱点。
结合关键资产、安全需求和面临的主要威胁来进行脆弱性评定。通过座谈、问卷等方形式获取受访者对于高校意识形态脆弱性的识别,采集受访者对每种脆弱性的赋值打分, 咨询专家分配不同人员群体的赋值权重,依据计算方法中V=(k1×v1+k2×v2+k3×v3+....+kn×vn)/(k1+k2+k3+...+kn),计算每种脆弱性值;分析资产、威胁和脆弱点之间的关系,通过专家 咨询法为脆弱性强调确定权重,依据所述计算方法(13)Vi=V×K,计算脆弱性强度,见表1。
计算高校意识形态风险值
步骤5:述关键资产的风险值。
根据步骤1、步骤3、步骤4,运用R=A×T×∑Vi(1≤R≤125),其中,R代表风 险值,即风险值=关键要素价值×威胁值×脆弱性强度。
(5a)单项风险值(Ri):分别计算每种脆弱性被威胁利用给与其对应的高校意识形态关键资产带来的风险,即单项风险值Ri=A×T×Vi,见表1。
(5b)加和风险值(Ra):分别计算每种威胁给与其对应的高校意识形态关键资产带来的风险,即加和风险值Ra=A×T×(Vi1+Vi2+Vi3+...+Vin),其中,Vi1+Vi2+Vi3+...+Vin表 示每种威胁内脆弱性强度加和,在本实施例中,见表1。
(5c)总风险值(Rt):分别计算每种高校意识形态关键资产,即文化、价值观、人 才的总风险值,即总风险值Rt=∑Ra,其中,∑Ra表示某意识形态关键资产下,所有威胁对 该关键资产带来的风险加和。在本实施例中,例如关键资产“文化”下,4种威胁对“文化” 带来的风险加和。本实施例只针对高校意识形态内部关键资产,即“文化”、“价值观”、“人 才”三者进行风险评估,因此,计算结束,见表1。
(5d)安全风险等级划分。由于1≤A、T、∑Vi≤125,R=A×T×∑Vi(1≤R≤125), 根据风险值高低,通过专家咨询等方法划分风险等级标准如下:低风险(1≤R<25)、较低风险(25≤R<50)、中等风险(50≤R<75)、高风险(75≤R<100)、极高风险(100≤R≤125)。
(5e)根据步骤5(5d)中的风险等级标准,计算得出,关键资产“文化”的总风险 值为86,评估等级为“高”;关键资产“价值观”的总风险值为102,评估等级为“超高”; 关键资产“人才”的总风险值为59,评估等级为“中等”,见表1。
表1高校意识形态安全风险评估过程表
Figure BSA0000217010430000081
发展高校意识形态安全策略和计划
步骤6:制定高校意识形态安全保障措施
过程6:完善高校意识形态安全保障对策
(1)确定优先级。本实施例中,根据评估等级结果,得出高校意识形态中关键要素“价值观”、“文化”、“人才”的评估风险值分别为极高、高和中等。表明目前,“价值观”与“文 化”是高校意识形态安全工作中存在的重大风险。其中,为高校大学生群体树立正确的价值 观异常迫切,是意识形态工作的重中之重,应优先加大力度积极制定、完善加强大学生思想 政治教育方面的举措;其次,抵御外来文化渗透应作为当前意识形态的重点工作,掌握我国文化宣传阵地的主导权和话语权。同时,人才流失问题也日渐凸显,应引起国家关注,完善相关政策法规,保护人才合法权益,化解“人才”问题的风险。
(2)完善措施分析过程。在具体制定完善措施时,应根据意识形态资产的安全需求, 且通过上述调研过程,了解到了高校意识形态要素、威胁、脆弱点及现有保障措施等方面存 在的问题和漏洞,在此基础上,研究进一步的完善措施。
本实施例中,以关键要素“价值观”为例,经调研,“树立正确价值观”是最主要的安全需求,因此制定的完善措施应围绕“树立正确价值观”展开,结合其面临的四种威胁,即“家庭行为间接否定教学内容”、“社会现象与上课内容矛盾”、“网络信息冲击道德理论”和“课程形式不新颖、不吸引人”。其中,针对后两种威胁,现有学者对如何建立健全网络 监管、媒体正能量宣传、改革思想政治理论课教学形式等方面对策研究较全面,只个别脆弱点如“认为(思想政治课)与现实无关联,用处不大”等从侧面提示应进一步加大对大学生思想状况的研判。针对“家庭行为间接否定教学内容”、“社会现象与上课内容矛盾”两种威胁,现有保障对策研究较少,从单项风险值看,脆弱点“自身漠视思想政治教育”、“家长对价值观教育不重视”和“思想政治课效用不好”风险值较高,以此结果提出进一步完善措施,如针对“家庭行为间接否定教学内容”威胁,要提升家庭对学生思想政治教育的关注度。加强家庭教育环境的氛围营造和家庭成员的思想观念意识,家庭应尽早培养孩子价值观认同, 且与高校老师保持及时沟通,了解学生动态,家庭教育与高校教育相结合,提升教育效果。 针对“社会现象与上课内容矛盾”威胁,可建议增设“大学生行为干预”、“头条热搜问题”、 “道德聚焦”等课程,及时为学生解答理论知识与热点问题、学生自身道德框架与社会不良 现象等之间的矛盾,确保主流意识形态的主导地位与主导权。
(3)制定的完善保障措施框架。一是在树立正确价值观方面,要坚持以马克思主义为指导和党的领导、践行当代中国价值观增强文化自信;进一步提升高校教师队伍政治素养、 加强领导班子建设,加强大学生思想研判;提高思想政治教育课程效用,增设“热点问题” 课程、强化红色文化作品的浸润效果;增强先进典型的榜样作用和增加社会家庭的参与度等。 二是在抵御外来文化渗透方面,要正确运用网络宣传正能量、营造风清气正的网络生态环境, 加强高校意识形态工作上的技术创新和工具治理、将网络服务融入学生的价值理念和完善高 校网络治理的人才队伍建设等。三是在保护人才报效祖国方面,要维护意识形态安全的文化 基础,把握我国意识形态的国际话语权;提升治理体系与治理能力,完善科学技术人才保护 政策、人才引进策略;进一步完善积极稳健的就业政策,缓解就业压力,培养大国“工匠精 神”;积极构建民心基础和建立有序的网络政治参与政策等。
步骤7:建立防范或化解高校意识形态安全风险的长效机制
本实施例中,根据评估结果分析,高校意识形态安全问题中“价值观”和“文化”是急需要 受保护性的对象,“价值观”是高校意识形态安全的内因,即大学生的价值观念,包括对祖 国文化的接受程度,因此“价值观”更需要被保护,与评估结果一致。但“价值观”与“文化”二者相互影响相互制约,评估结果变化有待进一步在面临威胁和自身脆弱性上不断挖掘。 针对“价值观”和“文化”自身所具有的脆弱性和面临威胁制定防范或降低风险的长效机制, 防范高校意识形态安全领域的重大风险。
本实施例中,建立防范或化解高校意识形态风险的长效机制:一是在构建社会主义 主流意识形态话语体系方面,要建立智库体系、推进数据库建设和建立教育数据反馈评估机 制。二是在建立观念意识形态和技术相结合的综合治理体系方面,要尝试运用视觉文化传播、 推动媒体信息公开透明、加强网络技术设计与人文精神的融合。三是在构建高校大学生意识 形态安全风险的预测研判体系方面,要建立舆情汇集机制、加强舆情监测体系建设、健全舆 情反馈机制、建立舆情研判机制、完善高素质网络舆情引导机制、建立高校网络舆情的媒体 融合机制。四是在加强数据人才队伍体系建设方面,要建立意识引导、表扬激励、评奖评优、 目标责任与考核、问责追究和教学创新等机制。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,根据本发明的技术方案及其发 明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。

Claims (7)

1.基于改进OCTAVE方法的意识形态安全风险评估模型,其特征在于,包括资产、威胁、脆弱点和风险,其中:
资产为意识形态中有价值的信息或要素,为安全策略的服务对象;
威胁为造成资产或意识形态受损失的原因;
脆弱点为在资产或意识形态中被利用或被威胁的弱点;
风险为受到威胁导致资产的损害或影响的可能性。
2.如权利要求1所述的基于改进OCTAVE方法的意识形态安全风险评估模型,其特征在于,所述模型的要素值包括资产价值、威胁值、脆弱性值和风险值,其中:
资产价值为所述要素中资产的属性和表现形式,为资产的敏感和重要程度,为资产识别的重要内容;
威胁值为所述要素中威胁的属性和表现形式,为威胁的频率和等级程度,为威胁识别的重要内容;
脆弱性值为所述要素中脆弱点的属性和表现形式,为脆弱性的强度和严重程度,为脆弱点识别的重要内容;
风险值为所述要素中风险的属性和表现形式,为对资产造成的损失和影响程度,为风险评估的重要内容。
3.如权利要求2所述的基于改进OCTAVE方法的意识形态安全风险评估模型,其特征在于,脆弱性强度为所述要素值中脆弱性值的表现和转换形式,为脆弱点识别的重要内容。
4.如权利要求2所述的基于改进OCTAVE方法的意识形态安全风险评估模型,其特征在于,所述要素值中资产价值,采用加权平均数法计算,即A=(k1×a1+k2×a2+k3×a3+....+kn×an)/(k1+k2+k3+...+kn),其中,A(1≤A≤M)代表资产价值;an(1≤an≤M)代表资产赋值,1-M表示程度由低到高;kn/(k1+k2+k3+...+kn)代表权重系数;
所述要素值中威胁值,采用加权平均数法计算;即T=(k1×t1+k2×t2+k3×t3+....+kn×tn)/(k1+k2+k3+...+kn),其中,T(1≤T≤N)代表威胁值;tn(1≤tn≤N)代表威胁赋值,1-N表示程度由低到高;kn/(k1+k2+k3+...+kn)代表权重系数;
所述要素值中脆弱性值,采用加权平均数法计算,即V=(k1×v1+k2×v2+k3×v3+....+kn×vn)/(k1+k2+k3+...+kn),其中,V(1≤V≤P)代表脆弱性值;vn(1≤vn≤P)代表脆弱性赋值,1-P表示程度由低到高;kn/(k1+k2+k3+...+kn)代表权重系数。
5.如权利要求2所述的基于改进OCTAVE方法的意识形态安全风险评估模型,其特征在于,所述要素值中脆弱性强度,采用所述计算方法中脆弱性值与权重相乘法计算脆弱性强度,即Vi=V×K,其中,V(1≤V≤P)代表脆弱性值;Vi代表脆弱性强度;K=kn/(k1+k2+k3+...+kn)代表权重系数,1≤∑Vi≤P。
6.如权利要求1-4任一项所述的基于改进OCTAVE方法的意识形态安全风险评估模型的评估方法,其特征在于,包括如下步骤:
建立基于意识形态资关键产配置威胁文件
步骤1:识别权利要求1中所述要素中的意识形态资产,即关键资产;
采集受访者对意识形态安全问题的看法和观点,并根据权利要求4所述计算方法计算关键资产价值A;
步骤2:提炼所述步骤1中关键资产的安全需求,识别所述步骤1中关键资产的最主要安全需求;
步骤3:建立所述步骤2中安全需求配置威胁文件,根据权利要求4所述计算方法计算威胁值T;
识别关键资产威胁的脆弱性
步骤4:根据步骤3中威胁文件识别脆弱点;
根据权利要求4所述计算方法计算脆弱性值V;根据权利要求5所述计算方法计算脆弱性强度Vi
计算意识形态风险值
步骤5:评估所述步骤1中关键资产的风险值;
根据步骤1、步骤3、步骤4,运用R=A×T×∑Vi(1≤R≤MNP),其中,R代表风险值,即风险值=关键要素价值×威胁值×脆弱性强度,其中:
(5a)单项风险值(Ri):分别计算每种脆弱性被威胁利用给与其对应的意识形态关键资产带来的风险,即单项风险值Ri=A×T×Vi
(5b)加和风险值(Ra):分别计算每种威胁给与其对应的意识形态关键资产带来的风险,即加和风险值Ra=A×T×(Vi1+Vi2+Vi3+...+Vin),其中,Vi1+Vi2+Vi3+...+Vin表示每种威胁内脆弱性强度加和;
(5c)总风险值(Rt):分别计算每种意识形态关键资产的总风险值,即总风险值Rt=∑Ra,其中,∑Ra表示某意识形态关键资产下,所有威胁对该关键资产带来的风险加和,若只针对意识形态内部关键资产风险评估,则计算结束;
(5d)综合风险值(Rc):如需评估整个意识形态风险值,即综合风险值Rc=(k1×Rt1+k2×Rt2+k3×Rt3+....+kn×Rtn)/(k1+k2+k3+...+kn),其中,Rtn(1≤Rtn≤MNP)代表关键资产总风险值;kn/(k1+k2+k3+...+kn)代表权重系数;
(5e)安全风险等级划分,R=A×T×∑Vi(1≤R≤MNP),根据风险值高低,划分风险等级标准;
(5f)根据所述步骤5(5e)中的风险等级标准,评估所述步骤5(5c)中的意识形态关键资产的总风险值等级及所述步骤5(5d)中的意识形态综合风险值等级。
7.发展意识形态安全策略和计划
步骤6:制定意识形态安全保障措施
根据步骤2中的意识形态各关键资产的安全需求,寻求改进或保护意识形态资产安全的方法,通过所述步骤1-4中的调研过程,可以了解到关键资产、安全需求、威胁、脆弱性及现有保障措施存在的问题和漏洞;在此基础上,研究进一步的完善措施;
步骤7:建立防范或化解意识形态安全风险的长效机制
根据5f中的风险等级结果,得出意识形态安全问题中关键资产风险的高低及受保护性的优先级,针对关键资产自身所具有的脆弱性和面临威胁制定防范或降低风险的长效机制,防范意识形态安全领域的重大风险。
CN202010828710.9A 2020-08-12 2020-08-12 基于改进octave方法的意识形态安全风险评估模型及方法 Pending CN112132388A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010828710.9A CN112132388A (zh) 2020-08-12 2020-08-12 基于改进octave方法的意识形态安全风险评估模型及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010828710.9A CN112132388A (zh) 2020-08-12 2020-08-12 基于改进octave方法的意识形态安全风险评估模型及方法

Publications (1)

Publication Number Publication Date
CN112132388A true CN112132388A (zh) 2020-12-25

Family

ID=73850995

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010828710.9A Pending CN112132388A (zh) 2020-08-12 2020-08-12 基于改进octave方法的意识形态安全风险评估模型及方法

Country Status (1)

Country Link
CN (1) CN112132388A (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160004791A (ko) * 2014-07-04 2016-01-13 (주)비트러스트 정보자산의 위험평가시스템 및 그 방법
CN106713333A (zh) * 2016-12-30 2017-05-24 北京神州绿盟信息安全科技股份有限公司 一种信息系统风险评估方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160004791A (ko) * 2014-07-04 2016-01-13 (주)비트러스트 정보자산의 위험평가시스템 및 그 방법
CN106713333A (zh) * 2016-12-30 2017-05-24 北京神州绿盟信息安全科技股份有限公司 一种信息系统风险评估方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
杨帅: "基于OCTAVE方法的高校意识形态安全风险评估", 《黑河学刊》, pages 15 - 17 *

Similar Documents

Publication Publication Date Title
White et al. Incorporating global information security and assurance in IS education
Conner et al. Information security governance: a call to action
Seda et al. A comparison of US forensic accounting programs with the national institute of justice funded model curriculum
Strong et al. IT knowledge: What do accounting students think they know? Do you know more than I do? An exploratory study
Sherif et al. Why do information system controls fail to prevent unethical behavior?
Kennedy Desert in the deluge: Using data to drive racial equity
Li Cohen's d corrected for CASE IV range restriction: A more accurate procedure for evaluating subgroup differences in organizational research
Chen Internet plus innovation and entrepreneurship education model based on machine learning algorithms
CN112132388A (zh) 基于改进octave方法的意识形态安全风险评估模型及方法
Cumming et al. FBI intelligence reform since September 11, 2001: Issues and options for congress
Muhammad et al. Information security investment prioritization using best-worst method for small and medium enterprises
Alhammadi et al. LEADERS’BEHAVIOUR AND SITUATIONAL FACTORS ON THE ORGANIZATIONAL PERFORMANCE AT ABU DHABI NATIONAL OIL COMPANY (ADNOC)
Hodge A qualitative case study in professional information assurance workforce practices demonstrated through the Department of Defense
El Melhem et al. Toward a Holistic Approach of Cybersecurity Capacity Building Through an Innovative Transversal Sandwich Training
Herrod Exploring the educational needs of the information security community: A qualitative delphi study
Sabillon et al. The importance of cybersecurity awareness training in the aviation industry for early detection of Cyberthreats and vulnerabilities
Sabiel The Role of Formal Risk Management Practices in Construction Projects' Success: A Case Study of Qatar
Xu et al. Provincial Management System of University Network Public Opinion Based on Information Technology
Asante Relationship of Organizational Structures in Higher Education to Risk Management
Raborar et al. The effects of social development and management programs (SMDP) of Philippine mining companies to the host communities: A qualitative method
Adnan Impact of employer monitoring on remote workers
Hossain et al. Ethical Challenges in Forensic Accounting: Balancing Professional Responsibility and Legal Obligations
Ahmadi et al. Investigating the Relationship between the Use of ICT and Human Resource Empowerment in Iran Municipality (case study: Mazandaran Province)
Zhu et al. Evaluation of Stakeholders' Influence on Financial Risks of Non-profit Private Universities in China
Barnes Page Information Security Maturity Model for Healthcare Organizations in the United States

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination