信息安全风险评估

摘要： 中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,主要职能包括:为信息技术安全性提供测评服务;信息安全漏洞分析和信息安全风险评估;信息技术产品、信息系统和工程安全测试与评估;信息安全服务和信息安全人员资质测评;信息安全技术咨询、工程监理与开发服务等。根据国家职能授权,测评结果定期向社会公布。

摘要： 中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,主要职能包括:为信息技术安全性提供测评服务;信息安全漏洞分析和信息安全风险评估;信息技术产品、信息系统和工程安全测试与评估;信息安全服务和信息安全人员资质测评;信息安全技术咨询、工程监理与开发服务等。

摘要： 中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,主要职能包括:为信息技术安全性提供测评服务;信息安全漏洞分析和信息安全风险评估;信息技术产品、信息系统和工程安全测试与评估:信息安全服务和信息安全人员资质测评;信息安全技术咨询、工程监理与开发服务等。

摘要： 中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,主要职能包括:为信息技术安全性提供测评服务;信息安全漏洞分析和信息安全风险评估;信息技术产品、信息系统和工程安全测试与评估;信息安全服务和信息安全人员资质测评;信息安全技术咨询、工程监理与开发服务等。根据国家职能授权,测评结果定期向社会公布。

摘要： 中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,主要职能包括:为信息技术安全性提供测评服务;信息安全漏洞分析和信息安全风险评估;信息技术产品、信息系统和工程安全测试与评估;信息安全服务和信息安全人员资质测评;信息安全技术咨询、工程监理与开发服务等。根据国家职能授权,测评结果定期向社会公布。特此公告。

摘要： 全国信安标委秘书处近日在北京成功举办“2022年全民国家安全教育日——网络安全国家标准宣贯培训活动”,邀请关键信息基础设施安全保护要求、网络数据处理安全要求、信息系统密码应用基本要求、工业控制系统信息安全防护能力成熟度模型、信息安全风险评估方法等5项重点标准的主要起草人,围绕标准编制背景、主要内容以及如何实施应用进行详细解读。

摘要： 中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,主要职能包括:为信息技术安全性提供测评服务;信息安全漏洞分析和信息安全风险评估;信息技术产品、信息系统和工程安全测试与评估;信息安全服务和信息安全人员资质测评;信息安全技术咨询、工程监理与开发服务等。根据国家职能授权,测评结果定期向社会公布。

摘要： 中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,主要职能包括:为信息技术安全性提供测评服务;信息安全漏洞分析和信息安全风险评估;信息技术产品、信息系统和工程安全测试与评估;信息安全服务和信息安全人员资质测评;信息安全技术咨询、工程监理与开发服务等。根据国家职能授权,测评结果定期向社会公布。

摘要： 中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,主要职能包括:为信息技术安全性提供测评服务;信息安全漏洞分析和信息安全风险评估;信息技术产品、信息系统和工程安全测试与评估;信息安全服务和信息安全人员资质测评;信息安全技术咨询、工程监理与开发服务等。根据国家职能授权,测评结果定期向社会公布。

摘要： 目前,我国开展风险评估工作的主要标准为《信息安全技术信息安全风险评估规范》(GB/T 20984-2007),《信息安全技术信息安全风险评估方法》(GB/T 20984-2022)即将实施。GB/T 20984-2007于2007年11月1日批准实施,为我国信息安全领域开展风险评估工作提供了科学的指导、规范的方法,对风险评估工作的开展起到了重要作用。

摘要： 本文针对信息安全风险评估实践中遇到的问题,试图从理论、方法和实践三个方面系统地寻求解决途径.首先,阐明了信息安全风险的概念模型,明确了构成风险的五要素:资产、脆弱性/漏洞、威胁、影响和控制措施,给出了基于风险要素进行信息安全风险评估的计算原理;然后,归纳了信息安全风险评估的整体方法,提出了风险要素的识别与分析方法,重点论述了资产分类识别法、资产关联分析法和资产价值评估法;最后,介绍了支持本文所述的风险评估原理和方法的工具和知识库的设计思路.

摘要： 本发明公开了一种仪表功能安全和信息安全策略的统一风险量化评估方法，本发明方法具体包括结合攻击树和故障树建立仪表一体化因果失效模型；通过分析攻击发生的可能性、漏洞被利用的可能性等方式计算仪表各功能模块的失效概率；根据安全策略的属性，分析仪表功能安全和信息安全策略能够缓解的仪表安全漏洞以及对应的策略实施效果；在仪表一体化因果失效模型中添加防护节点，建立仪表安全策略评估模型；通过对仪表各功能模块进行专家打分，根据安全策略实施前后风险值的变化对仪表功能安全和信息安全策略进行量化评估。本发明能够对仪表设计过程中安全策略的部署提供一定的理论依据，相比于目前各安全标准中的定性评估，提高了准确性。

摘要： 本申请公开了可视化威胁分析和风险评估系统及信息安全评估方法，其系统包括：包括相互连接的应用层和功能层；应用层用于将功能层提供的各种TARA功能集成为前端工具；其中，功能层包括：系统建模单元、威胁分析单元、风险评估及处置单元、以及结果报告生成单元；其中，系统建模单元包括：图文建模模块、资产管理和识别模块；威胁分析单元包括：损害场景管理和分析模块、威胁场景管理和分析模块、以及攻击管理和分析模块；风险评估以及处置单元包括：风险分数评估模块、以及风险处置模块。本申请可使用户轻松、快速、准确、全面地实现TARA方法，为网联车的设计和优化提供指导意见。

摘要： 本发明公开了一种仪表功能安全和信息安全策略的统一风险量化评估方法，本发明方法具体包括结合攻击树和故障树建立仪表一体化因果失效模型；通过分析攻击发生的可能性、漏洞被利用的可能性等方式计算仪表各功能模块的失效概率；根据安全策略的属性，分析仪表功能安全和信息安全策略能够缓解的仪表安全漏洞以及对应的策略实施效果；在仪表一体化因果失效模型中添加防护节点，建立仪表安全策略评估模型；通过对仪表各功能模块进行专家打分，根据安全策略实施前后风险值的变化对仪表功能安全和信息安全策略进行量化评估。本发明能够对仪表设计过程中安全策略的部署提供一定的理论依据，相比于目前各安全标准中的定性评估，提高了准确性。

摘要： 本发明提出了一种工业控制系统信息安全攻击风险评估方法及系统，涉及工业控制系统风险评估技术领域。通过获取并根据工业控制系统的物理实体信息和运行信息建立控制系统模型；然后根据控制系统模型构建数字孪生模型；然后根据工业控制系统的运行信息确定数字孪生数据；然后根据数字孪生数据对数字孪生模型进行训练，得到工业控制模拟系统；然后获取并根据多种攻击信息分别运行工业控制模拟系统，得到多种攻击模拟结果；然后根据多种攻击模拟结果按照预置的信息安全攻击风险计算公式计算得到模拟风险值；最后根据模拟风险值确定风险评估等级。使得风险评估是综合了多种攻击后进行评估得到的，从而提高了风险评估的准确性。

摘要： 本发明公开了一种基于大数据和边缘计算的信息安全风险评估方法，其特征在于，所述方法包括以下步骤：S1、客户端设备通过网络的防御系统统计单位时间被攻击的次数、每次被攻击的时间及用户在该设备上近期的访问的网站记录。本发明运用大数据及边缘计算等技术，使得系统在对信息安全风险评估反馈的时候更加精准，且在待管理设备长时间未收到管理设备发出的控制指令时，在不影响当前设备运行的情况下，运用边缘计算技术对本设备上的数据进行分析，并根据分析结果对自身设备进行控制，不仅节省了设备之间交流反馈的时间，还避免了因突发状况引起的设备瘫痪。

摘要： 本发明提供了一种评估准确的信息安全风险评估系统，包括风险识别模块、风险计算模块、风险评估模块和风险管理模块，所述风险识别模块用于对信息安全风险进行识别，所述风险计算模块用于根据识别结果计算信息安全风险值，所述风险评估模块用于根据信息安全风险值对信息安全风险进行评估，所述风险管理模块用于根据评估结果对信息安全风险进行处理和控制；所述风险识别模块包括第一风险识别单元、第二风险识别单元和第三风险识别单元，所述第一风险识别单元用于对信息资产进行识别，所述第二风险识别单元用于对信息系统面临的威胁进行识别，所述第三风险识别单元用于对信息系统本身的抗风险能力进行识别。有益效果：实现了信息安全风险准确评估。

摘要： 本发明属于信息安全技术领域，尤其是一种信息安全风险评估方法，针对现有的评估方法存在诸多漏洞导致实际运用起来存在信息安全隐患的问题，现提出以下方案，包括评估前对参与该项目的成员信息进行汇总，并对工具包访谈表单和流程框架图下的所有材料进行统一收集存档；之后再对网络硬件和网络环境需要了解记录，制定初步风险评估方案；如轧钢操作车间的相关信息安全，首先需要对参加生产的班组成员进行签订保密合同，并在生产前对当班需要生产的钢坯成分进行了解。本发明可帮助用户灵活、高效地开发和集成复杂的应用软件，一旦被黑客发现漏洞并利用，将影响上下层安全；终端设备固件检测，帮助客户解决各种终端固件最底层的安全隐患。

摘要： 本发明涉及一种信息安全风险评估方法、装置、终端设备和存储介质，通过确定待评估对象对应的威胁行为；根据威胁行为的特性，确定与威胁行为对应的影响因素；根据威胁行为和影响因素，确定威胁行为对应的安全防护措施；根据安全防护措施的重要程度，确定每个安全防护措施的权重；根据每个安全防护措施的现场查验结果，确定每个安全防护措施的有效性值；根据安全防护措施的权重和安全防护措施的有效性值，确定待评估对象的脆弱值，脆弱值用于对待评估对象进行风险评估，通过确定与威胁行为对应的安全防护措施，进而计算不同威胁行为对应的脆弱性值，提供安全风险评估中的风险识别的准确性。

摘要： 本发明公开了基于SoS体系的多维度信息安全风险评估系统，包括有SoS系统、资产识别模块、威胁识别模块、脆弱点识别模块、风险计算模块、风险评估模块、制定风险处理方案模块、风险残值计算模块和风险处理执行模块，资产识别模块收集并识别客户的资产信息，威胁识别模块针对识别出的资产信息分析可能存在的威胁，且判断出存在的脆弱点。本发明中通过基于SoS系统对信息安全风险进行评估，借助SoS系统独立管理和运作的特点，实现由单个系统独立无法实现的结果，同时从资产评估方面、企业威胁方面和脆弱点方面进行评估实现多层面、多方面和多层次进行风险评估的效果，且能够通过评估的风险制定相应的风险处理方案。

摘要： 本发明涉及一种网络信息安全风险评估系统及其方法，是针对现有网络安全行业中缺少对已具有的安全保障能力的有效评估机制，无法实现对系统安全态势的准确感知，难以及时发现并消除安全隐患的技术问题。该系统以输出训练集和特征集，计算新的特征选择标准AS进行节点分裂生成决策树模型、建立决策树模型规则集、通过决策树模型和决策树模型规则集对网络信息安全进行评估；其要点是所述决策树模型为改进决策树模型，改进决策树模型算法及流程，引入强化学习的思想，将每个特征的标准化互信息和马修斯相关系数加权，输出决策树模型，并生成决策树，利用生成的决策树模型和规则集对网络信息数据进行安全风险评估，输出网络信息数据的风险评估结果。