信息安全风险评估是一项非常重要的信息安全保障活动.依据信息安全相关标准,可从资产、威胁和脆弱性3方面识别出重要的风险因素,并确定相应的信息安全风险评估指标.参考等保2.0确定风险评估指标是一种可行的方法.在进行信息安全风险评估...信息安全风险评估是一项非常重要的信息安全保障活动.依据信息安全相关标准,可从资产、威胁和脆弱性3方面识别出重要的风险因素,并确定相应的信息安全风险评估指标.参考等保2.0确定风险评估指标是一种可行的方法.在进行信息安全风险评估时,采用熵权法进行客观的指标赋权,并结合优劣解距离法(technique for order preference by similarity to ideal solution,TOPSIS)和灰色关联分析(grey relational analysis,GRA)进行综合评估.实例分析表明,依据信息熵进行客观赋权相对减少了主观因素的影响;基于TOPSIS和GRA进行信息安全风险评估,综合被评价对象整体因素和内部因素,较有效地将多项信息安全风险评估指标综合成单一评分,便于对多个被评对象进行信息安全风险的择优与排序.展开更多
在域名系统(domain name system,DNS)中,DNS递归解析服务消除了用户与根域名服务器等上游DNS服务器之间的复杂交互,使得互联网用户可以方便地通过本地DNS服务器完成全球范围的域名解析.作为直接与用户通信的第一门户,DNS递归解析服务过...在域名系统(domain name system,DNS)中,DNS递归解析服务消除了用户与根域名服务器等上游DNS服务器之间的复杂交互,使得互联网用户可以方便地通过本地DNS服务器完成全球范围的域名解析.作为直接与用户通信的第一门户,DNS递归解析服务过程已成为互联网基础设施攻击的一个重要目标.由于DNS递归解析服务规模庞大且部署方式繁多,现有的DNS安全拓展机制在DNS递归解析服务器中存在部署复杂、兼容性差等问题,但是目前还缺少对安全防护机制的部署测量方法的研究与总结工作,缺乏针对DNS递归解析服务安全风险的系统全面的评估工作.针对上述现状,将DNS递归解析服务存在的安全风险分为五大类,对 DNS 递归解析服务安全威胁、DNS 安全拓展机制和 DNS 递归解析服务 安全风险评估与测量等方面的现状与最新研究成果进行了归纳与总结,并对 DNS 递归解析服务安全监 测与治理的潜在研究方向进行了展望.展开更多
随着信息化与工业化的融合不断加深,工业控制系统中信息域与物理域交叉部分越来越多,传统信息系统的网络攻击会威胁工业控制系统网络。传统的工业控制系统安全评估方法只考虑功能安全的风险,而忽略了信息安全风险对功能安全的影响。文...随着信息化与工业化的融合不断加深,工业控制系统中信息域与物理域交叉部分越来越多,传统信息系统的网络攻击会威胁工业控制系统网络。传统的工业控制系统安全评估方法只考虑功能安全的风险,而忽略了信息安全风险对功能安全的影响。文中提出一种基于改进petri网的工业控制系统功能安全和信息安全一体化风险建模方法(Safety and Security Petri Net Risk Assessment,SSPN-RA),其中包括一体化风险识别、一体化风险分析、一体化风险评估3个步骤。所提方法首先识别并抽象化工业控制系统中的功能安全与信息安全数据,然后在风险分析过程中通过构造结合Kill Chain的petri网模型,分析出功能安全与信息安全中所存在的协同攻击路径,对petri网中功能安全与信息安全节点进行量化。同时,通过安全事件可能性以及其造成的各类损失计算出风险值,实现对工业控制系统的一体化风险评估。在开源的仿真化工工业控制系统下验证该方法的可行性,并与功能安全故障树分析和信息安全攻击树分析进行对比。实验结果表明,所提方法能够定量地得到工业控制系统的风险值,同时也解决了功能安全与信息安全单一领域分析无法识别的信息物理协同攻击和安全风险问题。展开更多
文摘信息安全风险评估是一项非常重要的信息安全保障活动.依据信息安全相关标准,可从资产、威胁和脆弱性3方面识别出重要的风险因素,并确定相应的信息安全风险评估指标.参考等保2.0确定风险评估指标是一种可行的方法.在进行信息安全风险评估时,采用熵权法进行客观的指标赋权,并结合优劣解距离法(technique for order preference by similarity to ideal solution,TOPSIS)和灰色关联分析(grey relational analysis,GRA)进行综合评估.实例分析表明,依据信息熵进行客观赋权相对减少了主观因素的影响;基于TOPSIS和GRA进行信息安全风险评估,综合被评价对象整体因素和内部因素,较有效地将多项信息安全风险评估指标综合成单一评分,便于对多个被评对象进行信息安全风险的择优与排序.
文摘在域名系统(domain name system,DNS)中,DNS递归解析服务消除了用户与根域名服务器等上游DNS服务器之间的复杂交互,使得互联网用户可以方便地通过本地DNS服务器完成全球范围的域名解析.作为直接与用户通信的第一门户,DNS递归解析服务过程已成为互联网基础设施攻击的一个重要目标.由于DNS递归解析服务规模庞大且部署方式繁多,现有的DNS安全拓展机制在DNS递归解析服务器中存在部署复杂、兼容性差等问题,但是目前还缺少对安全防护机制的部署测量方法的研究与总结工作,缺乏针对DNS递归解析服务安全风险的系统全面的评估工作.针对上述现状,将DNS递归解析服务存在的安全风险分为五大类,对 DNS 递归解析服务安全威胁、DNS 安全拓展机制和 DNS 递归解析服务 安全风险评估与测量等方面的现状与最新研究成果进行了归纳与总结,并对 DNS 递归解析服务安全监 测与治理的潜在研究方向进行了展望.
文摘随着信息化与工业化的融合不断加深,工业控制系统中信息域与物理域交叉部分越来越多,传统信息系统的网络攻击会威胁工业控制系统网络。传统的工业控制系统安全评估方法只考虑功能安全的风险,而忽略了信息安全风险对功能安全的影响。文中提出一种基于改进petri网的工业控制系统功能安全和信息安全一体化风险建模方法(Safety and Security Petri Net Risk Assessment,SSPN-RA),其中包括一体化风险识别、一体化风险分析、一体化风险评估3个步骤。所提方法首先识别并抽象化工业控制系统中的功能安全与信息安全数据,然后在风险分析过程中通过构造结合Kill Chain的petri网模型,分析出功能安全与信息安全中所存在的协同攻击路径,对petri网中功能安全与信息安全节点进行量化。同时,通过安全事件可能性以及其造成的各类损失计算出风险值,实现对工业控制系统的一体化风险评估。在开源的仿真化工工业控制系统下验证该方法的可行性,并与功能安全故障树分析和信息安全攻击树分析进行对比。实验结果表明,所提方法能够定量地得到工业控制系统的风险值,同时也解决了功能安全与信息安全单一领域分析无法识别的信息物理协同攻击和安全风险问题。
