高级检索 加入收藏
  • 查询稿件
  • 获取最新论文
  • 知晓行业信息
官方微信 欢迎关注

基于等级保护思想的网络安全风险评估关键技术研究

张彦, 马延妮, 司群

张彦, 马延妮, 司群. 基于等级保护思想的网络安全风险评估关键技术研究[J]. 铁路计算机应用, 2020, 29(8): 28-32.
引用本文: 张彦, 马延妮, 司群. 基于等级保护思想的网络安全风险评估关键技术研究[J]. 铁路计算机应用, 2020, 29(8): 28-32.
shu
ZHANG Yan, MA Yanni, SI Qun. Research on key technology of security risk assessment based on classified cybersecurity protection idea[J]. Railway Computer Application, 2020, 29(8): 28-32.
Citation: ZHANG Yan, MA Yanni, SI Qun. Research on key technology of security risk assessment based on classified cybersecurity protection idea[J]. Railway Computer Application, 2020, 29(8): 28-32.
shu

基于等级保护思想的网络安全风险评估关键技术研究

  • 中国铁道科学研究院集团有限公司 电子计算技术研究所, 北京 100081

基金项目: 

中国国家铁路集团有限公司科技研究开发计划课题(K2018S002)

详细信息
    作者简介:

    张彦,研究员;马延妮,工程师。

  • 中图分类号: U29;TP393

Research on key technology of security risk assessment based on classified cybersecurity protection idea

  • Institute of Computing Technologies, China Academy of Railways Sciences Corporation Limited, Beijing 100081, China

摘要

    摘要
  • 摘要: 研究提出一种基于等级保护思想的网络安全风险评估模型,解决等级测评之后对系统整体安全状况进行风险分析和评估的问题。通过分析等级保护和风险评估的异同,给出二者之间的关联关系;通过对资产、脆弱性、威胁3要素的识别及其赋值进行深入研究,提出三维度资产赋值法、脆弱性CVSS计算法,威胁发生频率和影响权重古林计算法,并构造安全风险象限图,根据安全事件在象限图中的落点位置,评估安全风险严重程度。研究成果有助于企事业单位在开展网络安全实际工作时实现等级保护测评和风险评估的有机结合。
    Abstract: This paper proposes a cybersecurity risk assessment model based on the idea of classified cybersecurity protection assessment to solve the problem of risk analysis and assessment of the overall security status of the system after classified cybersecurity protection assessment. By analyzing the similarities and differences between classified cybersecurity protection and risk assessment, their correlations are derived. Making an in-depth study on the identification and assignment of the three elements of assets, vulnerability and threat, three-element asset value assignment method, CVSS calculation method of vulnerability assignment, A·J·Klee method of threat frequency and influence weight are proposed. Meanwhile, a quadrant diagram of risk level is constructed, in which the risk severity of a security event can be assessed according to the placement of the incident in the quadrant diagram. The research results are helpful for enterprises to combine classified cybersecurity protection evaluation and risk assessment in actual work.
    • HTML全文
    • 参考文献(11)
  • [1] 赵阳,陈运清,范红,等. 面向等级保护的大规模网络动态风险评估方法研究[J]. 信息网络安全, 2007,(8):19-21.
    [2] 张彦,司群,等. 铁路网络安全检测关键技术研究报告[R]. 北京:中国铁道科学研究院集团有限公司, 2020.
    [3] 全国信息安全标准化技术委员会. 网络安全等级保护定级指南:GB/T22240-2020[S]. 北京:中国标准出版社, 2020.
    [4] 全国信息安全标准化技术委员会. 信息安全技术信息安全风险评估规范:GB/T 20984-2007[S]. 北京:中国标准出版社, 2007.
    [5] 蒋笑冰. 铁路行业信息安全等级保护工作与其他行业对比分析[J]. 铁路计算机应用, 2015, 24(2):62-65.
    [6] 微信公众号:计算机与网络安全. 网络安全风险评估之脆弱性识别[EB/OL].[2018-09-15]. https://www.sohu.com/a/254030390_653604.
    [7] 贾伟. 计算机网络脆弱性评估方法研究[D]. 合肥:中国科学技术大学, 2016:9-11.
    [8]

    Schnerier B. attack trees-modeling security threats[J]. Dr Dobb's Journal, 1999, 12(24):21-29.
    [9]

    Andrew M. Attack Modeling for Information Security and Survivability[R]. Carnegie Mellon University:Technical Note CMV/SEI-2001-TH-001, 2001.
    [10]

    Common Vulnerability Scoring System version 3.1:Specification Document[EB/OL].[2019-06]. https://www.first.org/cvss/specification-document.
    [11] 百度文库. 系统评价方法[EB/OL].[2010-04-29]. https://wenku.baidu.com/view/a9c5d5bff121dd36a32d82e4.html.
    • 相关文章
    • 施引文献(6)

  • 期刊类型引用(4)

    1. 乔文文,陈晓庆,黄伟. 省级气象通信系统监控指标的异常与趋势分析. 广东气象. 2024(05): 65-68 . 百度学术
    2. 张俊丽. 基于大数据的设备能耗异常分析模型研究. 自动化与仪器仪表. 2023(06): 31-34+39 . 百度学术
    3. 吕宗平,梁婷婷,顾兆军,刘春波,王双,王志. 概念漂移下的系统日志在线异常检测模型. 计算机应用与软件. 2023(10): 314-321 . 百度学术
    4. 曹炳尧,柏杰,侯佩儒. 基于CNN-LSTM-PSO的私有云故障检测. 计算机测量与控制. 2022(08): 76-82+110 . 百度学术

    其他类型引用(2)

    • 资源附件(0)
计量
  • 文章访问数:  80
  • HTML全文浏览量:  49
  • PDF下载量:  43
  • 被引次数: 6
出版历程
  • 收稿日期:  2020-03-29

目录

摘要
HTML全文
    参考文献(11)
    相关文章
    施引文献(6)
    资源附件(0)

    /

    返回文章
    返回

    京ICP备12043220号-2

    本系统版权所有:北京仁和汇智信息技术有限公司 百度统计