ICS信息安全资源的投资重点分析智能移动物联网网络环境中使用层次分析法

文摘

工业控制系统(ICS)继承了传统信息系统的属性,而是因为它有自己的特征,可用性的三合会(CIA)的信息安全应该是一个首要任务,它需要设置不同的从传统的信息安全要求。为了应对这个问题,ttak.ko - 12.0307(标准工业控制系统信息安全需求)提出的国家安全研究所(初步)和建立的电信技术协会(TTA)。然而,很难应用安全需求ttak.ko - 12.0307一致,因为原因,ICS在每一层的特点是不同的。还有一个限制投资的安全资源需求和ICS层等效优先考虑。仍未解决的在前面的研究与信息安全相关的资源,例如,崔(2013),Ko et al。(2013),和不et al。(2016)的研究。因此,本研究试图专注于信息安全需求的首要ICS的每一层,使用层次分析法。结果,我们得到的首要任务要求操作层是“身份认证访问控制,在控制层”事件的反应,”和在现场设备层是“物理接口保护”最高的重要性。这项研究的结果可以用作指导安全战略和政策设计通过确定安全需求,应优先在ICS的每一层。

1。介绍

我们的社会取得了快速工业发展基于使用工业控制系统(ICS)等核心基础设施自动化过程,发电、能源供应、交通、智能城市和工厂(1]。ICS封闭特色(气隙)完全不同的外部网络从传统的信息系统被认为是相对安全的网络攻击,不考虑系统的安全设计和部署。然而,近年来,ICS一直积极采用IT技术(2]。尽管女性代表的数字转换的基础资源和灵活的工厂,这一变化增加了攻击表面,导致新出现的威胁(3]。ICS和最新技术的融合创造了更多复杂的问题在安全环境中,和物联网(物联网)技术的出现,特别是,使需要相关安全功能(如密钥管理、入侵检测、访问控制、隐私保护、和无线传感器网络安全)(4,5]更为紧迫6]。灯塔等物联网技术,例如,可能会有安全漏洞如欺骗、DoS,劫持7]。最近大量投资ICS已经针对集成电路的发展,也就是说,依赖于建立一个数字和物理环境通过物联网技术之间的桥梁,以及集成电路本身(8]。换句话说,许多物联网设备安装在设备层区域的ICS系统和操作是基于通信与控制层。作为回应,集成电路包含一个智能物联网移动环境,支持IoT-based流动,所以应保证安全的计算。如果ICS暴露在网络威胁,严重的灾害可能发生在社会。2010年,1000台离心机被毁在一个使用Stuxnet攻击伊朗的核设施,被称为第一ICS的恶意代码,在可编程逻辑控制器(PLC),一个控制器控制现场设备核设施,被感染(9]。很多研究在ICS的信息安全投资,很多一直在努力申请相关安全措施自Stuxnet事件情况。

有必要开发和应用专属安全需求,因为传统的信息系统的安全需求并不适用于集成电路。ICS的最大差异和信息系统网络攻击的目的,信息安全三合一的优先级(CIA)。在IT系统,安全通常是定义的三个主要原则:机密性、完整性和可用性(也称为CIA三)。保密重点是确保资产不披露那些未授权的实体视图;诚信关系到保护资产免受未经授权的修改;和可用性的资产定义访问授权的实体在任何允许的时间(8]。可用性被认为是首要任务,也是网络攻击的主要目标,是ICS的崩溃可能会导致巨大的损失。可用性被认为是首要任务,也是网络攻击的主要目标,是ICS的崩溃可能会导致巨大的损失。为了应对这个问题,国家安全研究所(NSR)提出了工业控制系统安全需求通过定义ICS的特性,并建立标准(ttak.ko - 12.0307)10电信技术协会(TTA)。

然而,很难统一应用安全需求ttak.ko - 12.0307,因为ICS在每一层的功能是不同的,和安全资源永远是不够的。此外,它仍是尚未解决的在前面的研究与信息安全相关的资源,例如,崔[11),Ko et al。12,不et al。13]。崔提出一个适当的安全评估方法和ICS的清单,但清单没有提供优先级根据设备的特点;因此,很难确定哪些领域关注更多的安全资源。柯等人提出了一个智能电网的安全威胁的评估测量方法基于优先级,但限制的研究意味着time-to-compromise (MTTC)模型;他们用来确定只是数量上存在的安全漏洞攻击路径在计算一个重要的重量。HoonNah和JungChan建议需要建立一个ICS安全标准一样ttak.ko - 12.0307,但是没有具体讨论的安全级别的每个组件或层应该回应。所以,必须优先考虑和应用安全要求与标准ttak.ko - 12.0307。特别是,ICS是一个巨大的系统分为层是由相互交换数据。

因此,安全需求优先级应该为每一层适当的推导和应用。为此,ttak.ko - 12.0307的安全需求是用于分析每一层的安全需求的优先级。在此基础上,它的目的是帮助确定的部分信息安全资源投资应优先。这项研究的结果提供了一个指导原则,以避免所有层统一的安全要求。优先级可以通过安全的评估要求每层使用层次分析法的方法,从而导致信息安全有效的投资资源。这项研究的结果也将是一个重要的贡献对物联网的安全与隐私保护以及ICS。讨论这个,ICS安全性和先前的研究中讨论部分2,研究模型的设计使用层次分析法用于重点分析讨论了部分3,并讨论了在此基础上进行实证分析部分4。分析结果的影响进行了部分5最后的结论部分6。

2。背景

2.1。信息安全的集成电路

ICS基本上继承了传统IT系统的许多属性。然而,为了获得一个信息安全投资重点,我们需要看看各种不同的方面从传统IT系统(6]。首先,在硬件和软件方面,IT系统运行在一个短期的更换周期,但ICS至少有15年的长期替代周期一般。IT系统也可以利用通用操作系统Windows和Linux等(通用),但是ICS使用专有的操作系统。此外,保养和维修,如系统补丁,ICS是更加困难比传统的IT系统。最后,在网络性能方面,它系统着重于整体性能,如反应的可靠性是重要的,耐受性存在一些沟通延迟,但ICS关注实时响应能力和灵活的通信延迟。风险管理目标,ICS不允许关闭控制装置,和系统可用性是非常重要的,但是数据的完整性是更重要的是,和一些失败可以被允许在IT系统。结果,系统可以得到相对较小的经济损失,如不便或延迟,由于网络攻击或事件引起的自身缺陷。然而,ICS在工业场所可以立即停止操作,导致人员伤亡和巨大的灾害,导致巨大的社会和经济损失。这意味着在美国中央情报局三合会的信息安全,传统的IT系统应优先考虑“保密”和“完整性”,ICS应该优先考虑“可用性”。

这些特点设置不同的网络攻击的目标。而网络攻击传统IT系统主要是针对泄漏机密信息,攻击目标ICS主要集中在运营瘫痪。这是因为停止ICS将导致巨大的损失。在2010 Stuxnet的情况下,攻击是由感染西门子PLC麻痹操作通过操纵连接旋转的离心机数量,和随后的一系列重大网络攻击的主要目标在ICS干扰正常操作。

2.2。文献综述

过去ICS被认为是安全的通过配置一个独立的网络,但是旁路攻击的漏洞被揭露的恶意代码。为了回应,HoonNah和JungChan坚持全面、系统的安全措施需要深度保护自己从网络攻击和特别建议需要建立ICS的安全标准。尤其重要的是,他们把与本文相同的参数,判断,采取措施,这是不现实的所有漏洞(在同等安全水平13]。然而,有一个限制驾驶他们的论点,因为没有具体讨论的安全级别的每个组件或层应该回应。

ICS运营以来各种环境,包括主要的国家基础设施和社会间接资本设施、安全评估和安全资源投资是非常重要的。因此,ICS的安全评估应使用客观、可行的检查过程。崔(11)提出一个适当的安全评估方法和ICS的清单,考虑到ICS环境的特点,设备和操作方法。然而,不能验证它的实用性,因为没有实例来验证该方法,而且,该方法没有提供一个清单,应优先基于设备的特点;因此,很难确定哪些领域更加关注安全资源。

柯等人提出了一个评价方法来衡量对智能电网的安全威胁12]。特别是,ICS的网络层次结构,每层和安全生产数据的敏感性是不同的;所以,他们建议有必要用类似的数据敏感度水平层为一个区域。他们使用这些水平(消费水平,先进的计量基础设施头端水平,和控制中心级)优先需要保护的网络。他们解释说,如果保护相对来说是不必要的或者是攻击者很难访问的攻击,他们可以通过扣除从脆弱性提高效率的目标。他们的研究可以被视为一项研究需要的投资重点信息安全资源的ICS是本文中讨论。他们用量化网络模型来评估安全威胁应用于先进的计量基础设施的安全威胁评估和验证该模型使用mean-time-to-compromise (MTTC)提出的Leversage和牛栏14对于产生的攻击场景。然而,有一个限制,评价方法使用MTTC不评价的总体安全威胁ICS。这是因为MTTC简单确定的安全漏洞存在于攻击路径是一个重要的重量。

因此,许多安全评估的方法是集成电路的重要有效应对安全威胁。尽管许多研究已经进行了,很难找到一个安全的讨论评估使用ICS的信息安全标准。这是因为没有特定的信息安全需求的ICS的定义。它也明白,虽然已经建立了ICS信息安全需求,缺乏讨论的方法将它们应用于每个ICS。因此,在本文中,我们希望为有效投资的安全资源通过分析提供指导的重点使用ttak.ko - 12.0307时每一层。

3所示。设计的分析

3.1。层次分析法的方法

在这项研究中,层次分析法(AHP)方法用于分析信息安全资源的投资重点在ICS。AHP是由托马斯在1970年代作为决策方法的一部分,通过多个多个备选方案的评估标准(15]。在一般情况下,通过选择最优决策问题应该解决替代下多个标准,和许多现有决策问题已经解决使用统计模型假设控制(16]。此外,决策问题通常包括定性标准,导致需要量化标准与主观价值(16]。换句话说,很多现实问题涉及到需要与定性结合定量措施的担忧(17]。这个问题的优先级ICS信息安全需求,根据不同级别的应答器信息安全意识和专业知识。特别是,因为很大一部分信息安全涉及到定性和非金融问题,传统经济方法是严格限制(17]。Saaty了AHP分析多准则决策问题涉及两个定量和定性标准(17- - - - - -19]。AHP方法使用层次结构的概念,制定不同的元素(目的、选择和因素)需要做出决策,从而提供一个更详细的和逻辑视图的不同元素之间的关系(20.]。AHP方法进行两两对比的元素每一层已广泛应用于multidecision-making问题,有两个典型的优势:首先,权重评估元素之间可以通过系统定量的确定过程。此外,选择最优方案的优势是比传统的统计决策更容易理解和能够使用主观和客观信息全面的专家。其次,它提供了指标来确定决策者(专家)的一致性。和分析过程符合合理的决策程序21]。

3.2。分析模型设计

为了分析信息安全资源的相对投资重点在ICS,本研究建立了评估标准的基础上,分类分为ICS信息安全需求(TTA ttak.ko - 12.0307)。然而,优先级信息安全投资的方法对整个集成电路有一个广泛的覆盖率,有模棱两可的选择优先级。因此,需要执行一个分析信息安全资源的投资重点的分类ICS到每一层。

有几种定义层ICS。iran艾哈迈德等人认为,信息安全集成电路/监控和数据采集(SCADA)应该分为六层,基于系统中组件之间的连接和其他网络之间的连接,如系统网络和互联网22]。然而,很难使用它作为一个分析模型,因为它不包括现场设备如传感器和致动器,和有线和无线设备不考虑。

另一方面,ttak.ko - 12.0307提出了“安全参考模型”定义的信息安全需求ICS和分为3层由“行动”层,控制层和现场设备层(图1)。“层”操作使用收到的数据控制层监控现场设备的状态或发送控制命令,包括工程工作站(EWS)和人机界面(HMI) [10]。控制层是负责传输测量和收集的数据从现场设备层的操作。和层还负责控制现场设备层的命令操作,包括PLC、分布式控制系统(DCS)和远程终端装置(RTU) [10]。“现场设备层包括一个现场设备用来测量,收集、和控制状态数据,如传感器和致动器,和现场设备连接到控制层通过有线和无线网络或串行电缆(10]。本文的重点评估准则是基于ttak.ko - 12.0307的分类。

然而,一些信息安全需求ttak.ko - 12.0307合并,因为有许多评估准则作为AHP方法。然后“身份认证”和“访问控制”合并在安全功能层次结构,和“传输数据保护”和“存储数据保护”以同样的方式合并。最后,分析模型用于优先评估如图2。

ttak.ko - 12.0307设置不同的评估标准操作/现场设备层和控制层。所以,也有两个模型对投资的优先级信息安全资源分析。图2操作中使用层,图吗3是用于控制层和现场设备层。

3.3。分析标准

表1显示了评估准则及其描述ttak.ko - 12.0307。

4所示。实证分析

4.1。分析方法和工具

本研究采用层次分析法,分析层次决策分析方法,但也提供了一个描述每个评估标准来帮助受访者理解。在AHP分析方法,它是非常重要的,以确保客观性和专业知识。选择的AHP调查研究、实用专家,教授相关ICS,赛博物理系统(CPS)和SCADA系统。附属在国家安全研究所、电子和电信研究所(这两个是归政府所有的研究机构),仁川国际机场,Naonwork, OnSecurity, Coontec ICS(这四个企业相关信息安全),和亚州大学。

评估标准是基于ttak.ko - 12.0307如上所述,但是只有一个评估标准在网络的鲁棒性部分“操作层;因此,不进行成对比较(图2)。此外,正如上面所讨论的,“识别·认证”和“访问控制”,被列为安全功能部分,将通过合并成“识别·认证·访问控制”由于相似的内容。同样,“传输数据保护”和“存储数据保护”也将通过合并成“数据保护。”最后,这项调查是由设置3评估准则在第二我和10个评估标准层次结构(但8“运营层”评估标准)(表1)。

4.2。验证调查结果的一致性

的AHP进行了这项研究的调查从2019年12月到2020年1月,一个月进行工业、学术界和相关研究专家ICS的信息安全。有一些的讨论关于适当的样本量为了进行AHP分析。所以和Pecchia坚持需要较小的样本量的同样重要的替代(23]。层次分析法的结果的可靠性是受访者更相关的专业知识而不是反应样品的数量。在这项研究中,专家们调查回应信息安全领域的ICS的至少五年以上的相关工作经验。共有19个专家进行调查,收集和19响应。AHP分析服装工具使用的响应数据。

AHP分析方法确定一致性指数(CI)的反应,以确保分析结果的可靠性。由于两两比较的特点,CI越低,越一致,受访者相关专业知识。一般来说,反应与CI 10%或更少的价值被认为是一致的。在这项研究中,4调查与CI 0.1或更高的价值被排除在分析结果,所以只有15反应被用于分析。

5。层次分析法分析结果

在这项研究中,层次分析法分析结果分为“行动”层,控制层和现场设备层”的投资重点信息安全资源的ICS。

5.1。业务层

AHP结果分析投资的优先级信息安全资源的“层”行动ICS如下。

优先等级我的分析结果显示,“安全功能”是最高优先级的重要性0.371,“服务连续性”是第二优先级的0.358,重要性和“网络健壮性”是第三优先的重要性0.271(表2)。

在“安全功能”部分,这是排名最高的优先等级,“识别·认证·访问控制”是最高优先级的重要性0.291,“安全管理”功能是第二优先的重要性0.195,和“数据保护”是第三优先的重要性0.194,其次是“国家管理”和“安全审计”(表3)。在“服务连续性”一节中,排名第二优先等级,“事件响应”是最高优先级的重要性0.534和“资源可用性”是第二优先级0.466重要性。在“网络健壮性”部分,这是排名第三优先等级,只有一个评估标准,即“起毛测试”的部门,所以成对比较调查没有,但可以非常高的重要性。因为ttak.ko - 12.0307安全需求需要网络鲁棒性甚至在下列情况下通过“起毛测试。”(1)的字段在数据包的顺序发生了变化,(2)的数据包的领域是削减的一部分,(3)以防字段大小的数据包都是不同的,(4)情况下的定值字段的数据包都是不同的,和(5)包的字段的值没有在有效的范围内10]。

由于优先成对比较的标准ICS的“层”行动,“识别·认证·访问控制”是最高优先级的重要性0.171,“事件响应”是第二优先级的0.168,重要性和“资源可用性”是第三优先的重要性0.122,其次是“安全功能管理”“状态管理”,“数据保护,”“起毛测试”和“安全审计”(表4)。

5.2。控制层

AHP结果分析投资的优先级信息安全资源的“控制层”ICS如下。

优先等级我的分析结果显示,“服务连续性”是最高优先级的重要性0.439,“网络健壮性”是第二优先级的0.281,重要性和“安全功能”是第三优先的重要性0.280(表2)。

在“服务连续性”部分,这是排名最高的优先等级,“物理接口保护”是最高优先级的重要性0.362,“资源可用性”是第二优先级的0.336,重要性和“事件响应”是第三优先的重要性0.302(表5)。在“网络健壮性”部分中,排名第二优先等级,“起毛测试”是优先级最高的0.510,重要性和“压力测试”是第二优先级0.490重要性。在“安全功能”部分,这是排名第三优先等级,“识别·认证·访问控制”是最高优先级的重要性0.256,“状态管理”是第二优先级0.215重要性,和“安全功能管理”是第三优先的重要性0.203,其次是“数据保护”和“安全审计”。

由于优先成对比较的标准ICS的“控制层”,“事件响应”是最高优先级的重要性0.128,“资源可用性”是第二优先级的0.122,重要性和“识别·认证·访问控制”是第三优先的重要性0.119,其次是“状态管理”,“物理接口保护,”“安全功能管理”“数据保护,”“压力测试”,“安全审计”和“起毛测试”(表6)。

5.3。现场设备层

层次分析法的结果分析投资的优先级信息安全资源的“现场设备层”ICS如下。

优先等级我的分析结果显示,“服务连续性”是最高优先级的0.463的重要性,“安全功能”是第二优先级的0.279,重要性和“网络健壮性”是第三优先的重要性0.258(表2)。

在“服务连续性”部分,这是排名最高的优先等级,“物理接口保护”是最高优先级的重要性0.375,“事件响应”是第二优先级的0.333,重要性和“资源可用性”是第三优先的重要性0.292(表7)。在“安全功能”部分中,排名第二优先等级,“状态管理”是最高优先级的0.256,重要性和“识别·认证·访问控制”是第二优先的重要性0.490,其次是“安全管理”功能和“安全审计”。在“网络健壮性”部分,这是排名第三优先等级,“网络健壮性”是最高优先级的0.527,重要性和“起毛测试”是第二优先级0.473重要性。

由于优先成对比较的标准ICS的“现场设备层”,“物理接口保护”是最高优先级的重要性0.159,“识别·认证·访问控制”是第二优先级的0.118,重要性和“资源可用性”是第三优先的重要性0.110,其次是“数据保护”,“数据保护”,“状态管理”,“安全功能管理”“压力测试”,“起毛测试”和“安全审计”(表8)。

5.4。影响

很难部署有效的资源运用统一的安全需求,因为ICS广泛领域,最重要的是,每一层的不同特点。在这项研究中,它是为了避免应用ICS的统一的安全要求和有效投资信息安全作出贡献资源派生出来的每一层的安全需求的优先级ICS。

结果分析优先使用AHP评估准则的每一层,“身份认证访问控制”是最重要的安全要求,应优先在“运行层。“这强调这些标准是最重要的准备信息安全风险的社会工程攻击或暴露由于用户疏忽,主要是因为手术层有很多用户访问。“事件响应”是最重要的安全要求,应优先在“控制层。“这强调了需要控制层中的各种事件妥善处理为了服务继续运营。因为“事件响应”是一个项目,需要实时的识别设备的状态,系统,网络和响应事件的各种故障。“物理接口保护”是最重要的安全要求,应优先在“现场设备层。”“现场设备层”有多种设备,包括传感器和致动器,和是一个重要的层控制端点设备使用工业以太网或无线物联网网络,要求一个高级保护的物理接口访问这一层(表9)。

相反,它也必须指出一般最低投资评估标准的信息安全资源的优先级ICS。“安全审计”分析了最低的重要性在“层”行动和“现场设备层。“信息安全资源的投资而言,“安全审计”执行审计通过创建审计日志主要事件和加密的日志数据,主要是长期的安全功能,而不是实时响应的一部分或服务连续性,所以“安全审计”可以分析为相对较低的ICS由于可用性方面的重要性。

总之,我们已经成功地推导出安全使用AHP技术投资重点和ttak.ko ICS - 12.0307标准信息安全重点在我们先前的研究尚未解决。这个结果的最大优势是,它可以用作指导当建立ICS安全策略。此外,这项研究的结果对信息安全的有效分配资源作出了重大贡献,在之前的研究没有解决(表10)。

6。结论和进一步的研究

ICS继承了传统信息系统的属性,而是因为它有自己的特征,如可用性和连续性,需要设置不同的从传统信息系统的信息安全需求。适当的信息安全需求和评估ICS, ttak.ko NSR提出的- 12.0307,建立了由TTA被使用。

在这项研究中,重点分析了评估标准的层次结构来提高投资效率的信息安全资源ICS。有许多困难在操作一个工业控制系统建立安全策略中的所有要求的标准。因此,这项研究的结果可以用来设计安全战略和政策选择安全的元素应该相对优先的每一层操作的工业控制系统。它也可以用作指导确定安全资源的投资重点的ICS目前在操作或重新设计。然而,在开展研究的过程中,专家调查回应评论是否ttak.ko - 12.0307标准,作为评估标准,适用于安全需求,所以它仍将是未来的研究。

数据可用性

使用的数据来支持这个研究的发现在工业控制系统安全需求(ttak.ko - 12.0307)和电信技术协会http://www.tta.or.kr/data/weeklyNoticeView.jsp?pk_num=5621。

的利益冲突

作者宣称没有利益冲突。

确认

这项研究得到了MSIT(科技部和ICT),韩国,在期(信息技术研究中心)支持程序(IITP - 2020 - 2018 - 0 - 01799)监督的IITP(信息与通信技术研究所计划和评估)和韩国国家研究基金会(NRF)授予由韩国政府资助(MSIT:科技部ICT) (NRF - 2020 r1a2c1012187)。

补充材料

补充调查数据表下作为一个单独的文件提供补充材料部分(图1 - 3)。(补充材料)

引用

1. 美国凯斯,诉?皮列特里,s·莱特曼工业控制系统(ICS)安全指南NIST的特殊出版,国家标准和技术研究所的,盖瑟斯堡,医学博士,美国,2015。
2. 黄永发。李和W.-N。金”,对工业控制系统安全需求,”电信技术协会卷,173年,第66 - 62页,2017年。视图:谷歌学术搜索
3. m·埃克哈特、b·布伦纳和a . Ekelhart”量化为工业控制系统安全风险评估:研究机遇与挑战”《互联网服务和信息安全,9卷,不。3,52 - 73年,2019页。视图:谷歌学术搜索
4. h .回族,x, h . Wangetal“调查对物联网区块链,”网络期刊ServiceandInformationSecurity,9卷,不。2、外墙面,2019页。视图:谷歌学术搜索
5. 诉Korzhuk、a . Groznykh和m .亚历山大”识别攻击无线传感器网络基于行为分析,“杂志的无线移动网络,无处不在的计算和可靠的应用程序(JoWUA),10卷,不。2、21、2019页。视图:谷歌学术搜索
6. m . StJohn-Green r .长柄杓,j . a . McDermid”结合安全和安全风险需要做assessment-what ICS和物联网”学报第十专业系统安全和网络安全会议,页1 - 7,2015年英国布里斯托尔。视图:谷歌学术搜索
7. h . k . Almathami a·马吉德,e . Vlahu-Gjorgievska”分析方法使用和实现信标:机遇和挑战,“杂志的无线移动网络,无处不在的计算和可靠的应用程序(JoWUA),10卷,不。1,57 - 74,2019页。视图:谷歌学术搜索
8. n Tuptuk和冰雹,“智能制造系统的安全,”制造系统期刊47卷,第106 - 93页,2018年。视图:出版商的网站|谷歌学术搜索
9. 美国Karnouskos”, Stuxnet蠕虫病毒影响工业cyber-physical系统安全,”学报2011 - 37年会上IECON IEEE工业电子产品的社会澳大利亚墨尔本,页4490 - 4494,,2011年11月。视图:谷歌学术搜索
10. TTA,对工业控制系统安全需求,ttak.ko - 12.0307,电信技术协会,2015,http://www.tta.or.kr/data/weeklyNoticeView.jsp?pk_num=5621。
11. m·崔”,工业控制系统安全评价方法研究,“《韩国研究所的信息安全与密码学,23卷,不。2、287 - 298年,2013页。视图:出版商的网站|谷歌学术搜索
12. j . Ko, s·李和t .示范”为工作控制系统安全威胁评估,”《韩国研究所的信息安全与密码学,23卷,不。5,873 - 883年,2013页。视图:出版商的网站|谷歌学术搜索
13. j . HoonNah和n . JungChan“工业控制系统安全标准化的趋势,”回顾韩国研究所信息安全与密码学,26卷,不。4,28-35,2016页。视图:谷歌学术搜索
14. d . j . Leversage e . j .牛栏,“估计系统意味着time-to-compromise,”IEEE安全与隐私》第六卷,没有。1,52-60,2008页。视图:出版商的网站|谷歌学术搜索
15. l·s·托马斯,“与层次分析法决策,”国际服务科学杂志》上,1卷,不。1,第98 - 83页,2008。视图:谷歌学术搜索
16. j . Hyo-Jung“分析信息安全人力资源政策与层次分析法”学报》《会饮篇》的韩国通信与信息科学研究所,页468 - 471年,汉城,韩国,2003年。视图:谷歌学术搜索
17. l·d·博丹·l·a·戈登·m·p·勒布,“使用层次分析法评估信息安全投资,”ACM的通信,48卷,不。2、78 - 83年,2005页。视图:出版商的网站|谷歌学术搜索
18. l·s·托马斯,“缩放方法,重点在层次结构中,“数学心理学杂志,15卷,不。3、234 - 281年,1977页。视图:谷歌学术搜索
19. l·s·托马斯,层次分析法美国麦格劳-希尔,纽约,纽约,1980年。
20. t·s·艾。金”,分析信息安全人力资源政策由层次分析法”《华尔街日报》的韩国通信与信息科学研究所31卷,第493 - 486页,2006年。视图:谷歌学术搜索
21. w .唱”,研究信息安全政策优先使用AHP(层次分析法)”《韩国公共管理协会的研讨会,页1614 - 1634,首尔,韩国,2011年10月。视图:谷歌学术搜索
22. 艾哈迈德,s . Obermeier m . Naedele g·g·理查三世,“法医调查人员,Scada系统:挑战”电脑,45卷,不。12日,44-51,2012页。视图:出版商的网站|谷歌学术搜索
23. p·梅利奥和l . Pecchia”,什么是适当的样本量运行在个案研究层次分析法?“在程序的层次分析法的国际研讨会,页4 - 7,伦敦,英国,2016年8月。视图:谷歌学术搜索

版权

版权©2020 Jiho Shin et al。这是一个开放的分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。