信息安全风险评估的漏洞分析及评估方法改进

信息安全风险评估的漏洞分析及评估方法改进

论文摘要

在信息安全保障越来越受业内人士关注的今天,风险评估作为信息安全管理的一个重要环节,对保障企事业单位的基础信息系统安全起着非常重要的作用。但是,目前我国的信息安全风险评估工作刚刚起步,具体的评估方法、指标体系、支撑软件等还很不完善,或者缺乏现实的可操作性。本文针对风险评估中非常重要的部分:技术脆弱性及其对应的威胁的评估,提出了一种新的具有良好可操作性的评估方法。本文的研究工作以“重庆市级部门信息安全风险评估”项目(合同编号:200612002)为基础,对风险评估和漏洞分析的关系作了深入的研究。信息安全风险评估中,有两大关键因素:“脆弱性严重程度”和“威胁出现频率”,但是目前的计算方法对此大多是定性的,简单的以“高”,“中”,“低”概括,难以进行风险值的计算;或者给出的评估标准过于粗糙,对评估人员的经验和水平依赖太大,不同的评估人员对同一对象的评估结果可能相去甚远;或者需要的数据在实际工作中难以获得,可操作性不强。本文在具体分析了漏洞与“脆弱性严重程度”和“威胁出现频率”的关系的基础上,提出了“脆弱性严重程度”和“威胁出现频率”新的赋值方法。同时,提出了对风险评估流程的改进意见,总结了漏洞分析的具体流程。通过使用新的赋值方法,一定程度上改变了以往风险赋值阶段过于依赖评估者经验,评估结果过于主观化,可操作性不强等缺点。最后,通过仿真试验,用具体例证再次说明了漏洞分析与风险评估的关系,并验证了新赋值方法的有效性。

论文目录

  • 摘要
  • ABSTRACT
  • 1 绪论
  • 1.1 研究背景
  • 1.2 国内外研究现状及相关标准
  • 1.2.1 信息安全风险评估相关国外标准
  • 1.2.2 信息安全风险评估相关国家标准
  • 1.2.3 风险评估常用方法及其不足
  • 1.3 本文研究内容简介
  • 1.4 本文组织结构
  • 2 相关背景知识
  • 2.1 引言
  • 2.2 风险评估概述
  • 2.2.1 风险评估的目的与意义
  • 2.2.2 风险计算模型
  • 2.2.3 风险实施流程
  • 2.3 风险评估的实施
  • 2.3.1 风险评估的准备
  • 2.3.2 资产识别
  • 2.3.3 威胁识别
  • 2.3.4 脆弱性识别
  • 2.3.5 已有安全措施的确认
  • 2.3.6 风险识别
  • 2.4 漏洞概述
  • 2.4.1 漏洞的定义
  • 2.4.2 漏洞形成的原因
  • 2.4.3 通用漏洞评价体系(CVSS)
  • 2.5 本章小结
  • 3 漏洞分析与评估方法改进
  • 3.1 引言
  • 3.2 风险评估与漏洞分析的关系
  • 3.2.1 风险计算的方法
  • 3.2.2 “脆弱性严重程度”与漏洞分析
  • 3.2.3 “威胁出现的频率”的度量与漏洞分析
  • 3.3 风险评估流程的改进
  • 3.4 漏洞分析流程总结
  • 3.5 本章小结
  • 4 漏洞验证仿真平台的设计与实现
  • 4.1 引言
  • 4.2 需求分析
  • 4.3 总体设计
  • 4.3.1 设计原则
  • 4.3.2 总体框架
  • 4.4 具体实现
  • 4.4.1 实现思路
  • 4.4.2 实现细节
  • 4.5 本章小结
  • 5 漏洞验证仿真试验
  • 5.1 引言
  • 5.2 仿真试验
  • 5.2.1 试验一“Microsoft Windows DCOM RPC 接口长主机名远程缓冲区溢出漏洞”
  • 5.2.2 试验二“snmp 弱口令漏洞”
  • 5.2.3 试验三“Windows MSDTC COM+缓冲区溢出漏洞”
  • 5.3 本章小结
  • 6 总结与展望
  • 6.1 全文总结
  • 6.2 进一步工作与展望
  • 致谢
  • 参考文献
  • 附录
  • 相关论文文献

    • [1].高中数学解题过程中的常见漏洞分析[J]. 语数外学习(高中版上旬) 2016(09)
    • [2].教你安全专家常用的漏洞分析方法[J]. 网络与信息 2009(08)
    • [3].网络协议漏洞分析测试平台在实验教学中的应用[J]. 网络安全技术与应用 2020(10)
    • [4].2017年2月十大重要安全漏洞分析[J]. 信息网络安全 2017(04)
    • [5].2017年8月十大重要安全漏洞分析[J]. 信息网络安全 2017(10)
    • [6].2017年7月十大重要安全漏洞分析[J]. 信息网络安全 2017(09)
    • [7].深挖细查 见微知著 深入持久地推进漏洞分析和风险评估工作——中国信息安全测评中心主任吴世忠[J]. 中国信息安全 2011(11)
    • [8].2017年5月十大重要安全漏洞分析[J]. 信息网络安全 2017(07)
    • [9].2017年6月十大重要安全漏洞分析[J]. 信息网络安全 2017(08)
    • [10].成功执行信息安全漏洞分析的关键步骤[J]. 计算机与网络 2012(06)
    • [11].2016年9月十大重要安全漏洞分析[J]. 信息网络安全 2016(11)
    • [12].2016年10月十大重要安全漏洞分析[J]. 信息网络安全 2016(12)
    • [13].2016年11月十大重要安全漏洞分析[J]. 信息网络安全 2017(01)
    • [14].常见源代码安全漏洞分析与研究[J]. 网络空间安全 2017(01)
    • [15].2017年1月十大重要安全漏洞分析[J]. 信息网络安全 2017(03)
    • [16].2016年12月十大重要安全漏洞分析[J]. 信息网络安全 2017(02)
    • [17].2017年4月十大重要安全漏洞分析[J]. 信息网络安全 2017(06)
    • [18].2017年3月十大重要安全漏洞分析[J]. 信息网络安全 2017(05)
    • [19].网络协议漏洞分析测试平台建设[J]. 软件工程 2019(11)
    • [20].软件与系统漏洞分析与发现技术研究构想和成果展望[J]. 工程科学与技术 2018(01)
    • [21].第六届信息安全漏洞分析与风险评估大会征文通知[J]. 中国信息安全 2013(10)
    • [22].第八届信息安全漏洞分析与风险评估大会在京召开[J]. 保密科学技术 2015(10)
    • [23].漏洞分析与风险评估前沿技术观点集锦[J]. 中国信息安全 2010(11)
    • [24].虚拟化平台安全漏洞分析与防护研究[J]. 信息通信技术与政策 2020(02)
    • [25].北理工成功承办第九届信息安全漏洞分析与风险评估大会[J]. 北京理工大学学报 2016(10)
    • [26].基于网络漏洞分析的安全设备部署设计研究[J]. 网络安全技术与应用 2017(04)
    • [27].第六届信息安全漏洞分析与风险评估大会征文通知[J]. 中国信息安全 2013(08)
    • [28].第三届信息安全漏洞分析与风险评估会议[J]. 中国信息安全 2010(07)
    • [29].第三届信息安全漏洞分析与风险评估会议 安徽·合肥[J]. 中国信息安全 2010(08)
    • [30].第三届信息安全漏洞分析与风险评估大会召开[J]. 中国信息安全 2010(11)

    标签:;  ;  ;  ;  

    信息安全风险评估的漏洞分析及评估方法改进
    下载Doc文档

    猜你喜欢