基于信息熵的信息安全风险分析模型

基于信息熵的信息安全风险分析模型作者：汤永利，徐国爱，钮心忻，杨义先，TANGYong-li，XUGuo-ai，NIUXin-xin，YANGYi-xian作者单位：汤永利,TANGYong-li(北京邮电大学,网络与交换技术国家重点实验室信息安全中心,北京,100876;河南理工大学,计算机科学与技术学院,焦作,410003)，徐国爱,钮心忻,杨义先,XUGuo-ai,NIUXin-xin,YANGYi-xian(北京邮电大学,网络与交换技术国家重点实验室信息安全中心,北京,100876)刊名：北京邮电大学学报英文刊名：JOURNALOFBEIJINGUNIVERSITYOFPOSTSANDTELECOMMUNICATIONS年，卷(期)：2008，31(2)引用次数：5次参考文献(7条)1.彭俊好.徐国爱.杨义先基于效用的安全风险度量模型[期刊论文]-北京邮电大学学报2006(02)2.冯登国.张阳.张玉清信息安全风险评估综述[期刊论文]-通信学报2004(07)3.SaatyTLAscalingmethodforprioritiesinhierarchicalstructures1997(15)4.宋晓莉.余静.孙海传模糊综合评价法在风险评估中的应用[期刊论文]-微计算机信息2006(12-3)5.赵冬梅.苏红顺.吴敏基于熵理论的无线网络安全的模糊风险评估[期刊论文]-计算机应用与软件2006(08)6.ShannonCEAmathematicaltheoryofcommunication19487.JaynesETInformationtheoryandstatisticalmechanics1957(05)相似文献(10条)1.学位论文罗捷计算机网络风险分析与风险管理2000该文阐述了计算机网络与信息安全的基本概念,风险分析与风险管理的理论,信息安全与风险管理的关系.说明了计算机网络风险分析与管理实现的重要性.风险管理是整个信息安全计划不可缺少的部分,该文探讨了计算机网络风险管理的实现这一领域,并把风险分析作为主要研究内容.2.期刊论文林则夫.陈德泉.LINZe-fu.CHENDe-quan信息安全风险分析及其对应急管理的启示-中国管理科学2006,14(z1)突发事件应急管理是当前政府和研究机构都关注的重要问题.本文在前期研究的基础上,通过对信息安全风险分析中的基本理念,安全标准、风险分析的一般模型、方法和工具的分别介绍,并将信息安全风险分析与突发事件应急管理进行比较分析,希望已有的信息安全风险方面的研究成果能够扩展到更广泛领域的突发事件应急管理中,对突发事件应急管理的研究和实际应用有所帮助.3.学位论文贾斌企业信息安全风险分析与控制2006随着信息技术的迅速发展，企业越来越依赖于信息技术和服务，因此，企业所依赖的信息的保密性、完整新和可用性成为企业信息安全所要保障的内容。企业的信息安全涉及到多个方面，其控制是一个复杂的过程，风险评估为风险控制提供了基础。本文运用风险评估理论，引入了模糊综合评估法，将一个多目标、多层次、多准则的问题进行综合的评价，并将评估方法应用于实际的企业风险评估中，对该企业的信息安全状况进行了详细的分析和判别，最终得到总体风险等级。在获得了企业信息安全风险分析结果之后，应对企业的风险进行控制。依照业界成熟的P2DR模型，为企业建立了完整的风险控制体系，包括风险管理体系和实现管理目标的所需要的技术支持，并结合企业的实际加以实施，将管理和技术两个因素有机的结合起来，使企业的信息安全达到较高的水平。本文所选取的应用案例中，企业的业务通信系统运行、网络平台设置和管理维护在行业内具有一定的典型性，通过对其信息安全的评估与管理，可为同类型企业的信息安全建设提供可借鉴的经验和参考。4.会议论文林则夫.陈德泉信息安全风险分析及其对应急管理的启示2006突发事件应急管理是当前政府和研究机构都关注的重要问题.本文在前期研究的基础上,通过对信息安全风险分析中的基本理念,安全标准、风险分析的一般模型、方法和工具的分别介绍,并将信息安全风险分析与突发事件应急管理进行比较分析,希望已有的信息安全风险方面的研究成果能够扩展到更广泛领域的突发事件应急管理中,对突发事件应急管理的研究和实际应用有所帮助.5.学位论文贾晓桑中国茧丝绸交易市场ERP系统信息安全的研究2006企业资源计划(ERP)作为企业管理软件的主要代表自产生之日至今，在企业信息管理中起着中流砥柱的作用。然而随着Internet技术的迅猛发展及电子商务应用的逐渐普及，传统ERP也在不断的寻找着能适合网络时代的新的模式。支持Internet/Intranet的ERP系统便在这种需求下应运而生。支持Internet/Intranet的ERP系统给企业带来方便和高效益的同时，企业也将面临网络所带来的信息安全问题。中国茧丝绸交易市场是一个典型的Internet/Intranet企业，为用户提供信息交易平台服务，它的ERP系统不仅提供给内部用户使用，来管理内部资源，而且集成了电子商务平台供外部用户访问，这样就带来了传统企业ERP系统所没有遇到的更加严峻的信息安全问题。针对这个问题，本研究课题提出了在ERP系统中集成信息安全子系统来解决信息安全问题的思想并将其具体实现。本文首先分析了国内外ERP及信息安全的研究和发展现状；通过现状分析指出了目前ERP系统特别是一般期货市场ERP系统(相对于中国茧丝绸交易市场ERP系统，我们将集成了电子商务平台的期货市场ERP系统统称为一般期货市场ERP系统)在信息安全方面存在的威胁，提出在ERP系统中集成信息安全子系统来解决信息安全威胁的思想；其次阐述了信息安全概念和现有信息安全技术；讨论了一般期货市场ERP系统主要存在的来自系统内部和外部的信息安全威胁，在比较了几种风险分析方法的基础上提出选择采用复合方法来进行风险分析，并给出了分析风险的具体步骤；接着在前几章讨论的基础上提出了解决一般期货市场ERP系统信息安全问题的策略，该策略的重点在于将一个信息安全子系统集成到企业ERP系统中，形成S-ERP系统(安全ERP)，这种信息安全子系统集基于状态检测的防火墙技术、基于角色访问的控制技术、VPN技术于一身，来全面保障ERP系统的信息安全；然后，本文以中国茧丝绸交易市场为实际案例，通过对中国茧丝绸交易市场ERP系统的信息安全分析，明确中国茧丝绸交易市场ERP系统信息安全的现状和具体的信息安全需求，在此基础上，提出了能够解决中国茧丝绸交易市场ERP系统信息安全问题的具体方案，并对该方案进行了详细的设计：包括防火墙设计、RBAC设计及VPN设计；论文最后，根据中国茧丝绸交易市场ERP系统实施过程中的信息安全需要，探讨了市场ERP系统运行内部和运行过程中进行风险控制的措施。6.期刊论文张琨发电企业信息安全风险分析及控制策略-电力信息化2008,6(7)分析了信息化发展到一定阶段,发电企业所面临的信息安全风险,提出了改进企业信息安全状态、防范信息风险,提升信息系统安全保护等级的技术控制策略和管理控制策略.7.学位论文范梦雪信息安全风险分析方法及应用2005计算机网络已经成为人们生活的重要组成部分，它在给人们生活带来便利的同时，也带来了很多安全问题。并且随着信息技术的广泛深入应用，信息安全问题变得越来越复杂。目前，国际上普遍采用信息安全风险管理来解决组织的安全问题。信息系统运行的可靠性，与信息安全保障的准备工作水平相适应。信息安全风险管理是信息安全保障的基础性工作。国内外许多专家认为，信息安全风险管理是解决组织安全问题最有效的、科学的方法。而信息安全风险评估是信息安全风险管理的基础，如何对组织进行信息安全风险评估，确认组织存在的安全漏洞并及时修补，最大限度地降低组织的安全风险，已经成为信息安全领域研究的一个重要内容。本文介绍了信息安全的相关概念和组织实施信息安全风险评估的流程，在国内外常见的几种信息安全准则的基础上，构造了基于资产、威胁、弱点的风险评估模型，并对风险评估模型中的风险分析阶段进行详细分析。本文中给出的信息安全风险分析方法是基于资产的、定量分析与定性分析相结合的风险分析方法。信息安全通常强调CIA三元组的目标，即机密性、完整性和可用性，本文对资产采取CIA赋值。对资产、弱点以及威胁可能性采取定性分析，对威胁的影响分析采取定量化。本文重点对资产、威胁和弱点的识别和赋值进行了详细的介绍，提出将层次分析法这一传统的分析方法应用在风险分析中，作为组织威胁影响性这样一个多目标、多层次、多准则、因素众多的问题进行科学评估的有效方法，提高威胁影响性评估的准确性。最后，将该风险分析方法应用于移动BOSS中的计费帐务子系统。8.会议论文张琨发电企业信息安全风险分析及控制策略2008分析了信息化发展到一定阶段，发电企业所面临的信息安全风险，提出了改进企业信息安全状态、防范信息风险，提升信息系统安全保护等级的技术控制策略和管理控制策略。9.学位论文刘一颍基于模糊概率的动态信息风险评估模型研究2009本文的研究以山东省教育厅国家助学贷款管理信息系统为背景，在对信息安全风险评估计算模型研究的基础上，对信息安全和安全风险评估的相关发展概况、研究背景、风险理论相关的概念和方法进行了深入研究。本文具体内容分为以下几方面：(1)提出一种基于模糊概率的风险分析方法贝叶斯概率风险分析模型能有效的解决风险量化过程中的不确定性问题，包括风险发生概率和造成损失的不确定性，为有效实施风险管理提供依据。在改进其计算所得的较粗粒度的风险分析值所产生的度量结果的不确定性的基础上提出了一种基于模糊概率区间的评估模型，提高了分析结果的准确性和风险评估的有效性。(2)使用进化算法对风险评估模型进行优化针对评估过程中出现的似然值，建立了信息安全风险分析的模糊多目标优化模型及该模型的求解框架，使用进化算法对风险评估模型进行优化；该算法基于模糊算子进行约束处理，小生境技术和优秀解培育过程的操作保证了解的多样性，加速了解的收敛过程。最后给出了在模型解集合中求解最满意安全方案的模糊多属性决策方法。基于信息系统安全评估整体框架，可以最终求解出一个整合所有安全决策人员意见、充分考虑多个决策目标且能将信息安全风险控制在可接受范围之内的理想安全方案。(3)本文设计并实现了一个基于模糊概率的动态信息风险评估模型并且将该模型成功的引入山东省教育厅助学代理信息管理系统中。实验证明，该模块能够及时、合理地分析系统存在的风险威胁并根据威胁等级进行不同的响应预警，减小了风险威胁，达到了设计的目标，取得了满意的效果。针对目前研究工作中还存在不少的缺憾和不足，仍有许多可扩展的后续工作可作，信息安全风险模型和评估方法还有待于进一步的发展和完善。虽然目前已经有很多的安全模型提出，但是关于风险评估方面的模型还不多，而且目前的评估方法适应性不强。我国已经提出实施信息安全等级保护制度，研究和提出适合安全等级保护制度的风险评估模型和风险评估方法对信息安全和风险评估的发展将具有重要的意义。10.期刊论文张鉴.范红信息安全风险分析中的故障树方法研究-信息网络安全2006,(10)信息安全风险分析方法目前是信息安全管理领域的热点问题之一.其中故障树分析方法自20世纪60年代提出以来,在许多大型复杂系统的安全可靠性分析中得到了广泛应用,被公认为是对复杂系统可靠性、安全性进行分析的一种有效的方法.本文简要介绍了信息安全风险分析方法,并对基于故障树的风险分析的建模方式和分析原理进行了详尽的阐述.引证文献(4条)1.陈天平.张新源.郑连清基于模糊综合评判的网络安全风险评估[期刊论文]-海军工程大学学报2009(3)2.陈天平.乔向东.郑连清.罗赟骞图论在网络安全威胁态势分析中的应用[期刊论文]-北京邮电大学学报2009(1)3.吕镇邦.周波基于Shapley熵和Choquet积分的层次化风险评估[期刊论文]-北京邮电大学学报2009(6)4.吴长彬.燕乔.许小东水利工程项目境外投资风险分析及预防措施的研究[期刊论文]-西北水电2009(6)本文