信息系统漏洞风险定量评估模型研究

摘要

为解决信息系统漏洞风险的科学定量问题,针对当前漏洞风险评估忽略漏洞之间关联性的现状,提出了一种信息系统漏洞风险评估的定量方法与实现步骤.首先,讨论了基于漏洞关联网络(VCN,vulnerability connection network)的漏洞风险评估模型,引入了路径风险与主体风险的概念;其次,提出了以层次分析法定量主体风险性中的主体重要性要素,结合主观分析与攻击重现定量转移风险中的关联后果值的具体方法;最后,对电力调度管理信息系统运用此漏洞风险定量方法进行评估,得出了客观的漏洞风险评估结果.评估示例表明,基于漏洞关联网络的漏洞风险定量评估模型实现了漏洞风险科学、客观的定量评估.