欢迎来到天天文库
浏览记录
ID:52367219
大小:668.19 KB
页数:6页
时间:2020-03-27
《一种基于层次分析法的信息系统漏洞量化评估方法_李鑫.pdf》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、第39卷第7期计算机科学Vol.39No.72012年7月ComputerScienceJuly2012一种基于层次分析法的信息系统漏洞量化评估方法李鑫12112李京春郑雪峰张友春王少杰(北京科技大学计算机与通信工程学院北京100083)12(国家信息技术安全研究中心北京100084)摘要根据层次分析法提出了一种具有可操作性的信息系统漏洞量化评估方法。按照分层思想,将系统漏洞严重程度的模型分解为因素层、评价层、特性层和目标层,分别从风险概率、风险影响和不可控制性等几方面对漏洞带来的风险因素进行专家评定,
2、并依此来确定权重,通过计算其各层评估值,最后得到信息系统的整体漏洞严重性评估值。实验结果表明,基于层次分析法的信息系统漏洞评估方法能对系统漏洞的严重性程度进行有效量化和评估。关键词层次分析法,信息系统,漏洞,评估方法中图法分类号TP393文献标识码AAnalyticHierarchyProcess(AHP)-basedVulnerabilityQuantitativeAssessmentMethodforInformationSystems12112LIXinLIJing-chunZHENGXue-fe
3、ngZHANGYou-chunWANGShao-jie(SchoolofComputerandCommunicationEngineering,UniversityofScienceandTechnologyBeijing,Bejing100083,China)1(NationalResearchCenterforInformationTechnologySecurity,Bejing100084,China)2AbstractThispaperproposedapracticalvulnerabili
4、tiesquantitativeassessmentmethodforinformationsystembasedontheAnalyticHierarchyProcess(AHP).Accordingtothehierarchicalthought,thesystemvulnerabilitythatreflectstheseverityseriousdegreemodelwasdecomposedintofourfactors,suchasfactorslayer,evaluationfactors
5、layer,cha-racteristiclayerandtargetlayer.Somevulnerabilityriskfactorswereevaluatedrespectivelybyexperttodeterminetheweightfromseveralaspects,suchastheriskprobability,riskinfluenceanduncontrollablecharacter.Throughcalculat-ingthevalueofeachlayer,wegottheo
6、verallvalueofinformationsystemvulnerabilityseverityassessmentfinally.TheexperimentalresultsshowthattheAnalyticHierarchyProcess(AHP)-basedvulnerabilityassessmentmethodcanquantifyandassesstheseriousnessofsystemvulnerabilityeffectively.KeywordsAnalytichiera
7、rchyprocess,Informationsystem,Vulnerability,Assessmentmethod联网络的漏洞风险评估模型;文献[7]对国内外漏洞分析领域1绪言的主要研究内容、方式、方法、技术、工具以及漏洞分析工作的随着信息技术发展而产生的信息安全问题,已成为各国现状做了回顾和综述,但没有分析对漏洞风险进行定性和定政府有关部门和企事业单位领导人关注的热点问题。传统解量分析的相关技术;文献[8]从空间和时间两个方面对漏洞的决方法往往只是针对出现的问题予以暂时解决,多属于事后分布情况展
8、开研究,综合利用漏洞在空间和时间中的分布信被动的防护方法,缺少系统的考虑。只有依靠科学有效的安息定量评估网络漏洞带来的风险,设计并实现了网络漏洞评全管理,实施综合全面的保障手段,才能取得良好的效果。在估原型系统,但没有划分漏洞风险等级和层次对漏洞进行定[1,2]。量风险评估;文献[9]通过引入不确定及未知信息因素,提出这一过程中,信息安全风险评估逐渐成为关键环节在大中型信息系统网络环境中,由于其组织结构复杂、分一种基于不完整攻击图分析的风险
此文档下载收益归作者所有