基于驱动表机制的操作系统等级测评系统

操作系统安全是计算机信息安全的基础,如何对操作系统的安全等级进行测评已成为一个重要的课题。论文依据GB/T18336-2001标准,设计了一个基于Linux的操作系统的等级测评系统。该系统通过驱动表机制驱动测评系统各组件运行,生成测试套件。测试套件集成了测试所需的测试组件,并可在操作系统环境中自动完成安全测评,按照评估流程生成评估报告。     

信息安全评估标准研究与比较

对常用的信息安全评估国际标准CC、BS 7799和SSE-CMM标准,在针对的问题和具体目的、安全工程过程中的关注点和评估反映的实质等方面存在的差异和联系进行了较为详细的对比分析,并指出在同一信息安全系统评估或安全产品开发中的相互结合的切入点.     

信息安全评估与智能卡产品EAL4＋测评

随着信息安全和智能卡产品安全需求的发展,对智能卡产品进行安全性测评的必要性日益凸现.介绍了信息技术安全性评估,并分析了智能卡产品安全和评估的背景,以及EAL4 测评的内容,为智能卡产品进行EAL4 评估提供指导.     

国家标准GB/T18336介绍(一)

由国家信息安全测评认证中心主持,与信息产业部电子第三十研究所、国家信息中心和复旦大学等单位共同起草的GB/T 18336:2001《信息技术安全技术信息技术安全性评估准则》(等同于ISO/IEC15408-1999,通常简称通用准则——CC)已于2001年3月由国家质量技术监督局正式颁布,该标准是评估信息技术产品和系统安全性的基础准则。ISO/IEC 15408-1999是     

联创科技首批获信息系统安全服务商资质

近日,中国国家信息安全产品测评认证中心公布了首批通过资质认证的信息系统安全服务商名单,联创科技成为华东地区首家获得该资质认证的单位。在此次安全服务资质认证前,联创科技已有两位技术人员获得了中国国家信息安全产品测评认证中心认证的“信息安全服务人员 (CISP)”资质。“信息系统安全服务资质认证”是依据公开的标准和程序,对信息系统安全服务商的技术、资源、法律、管理等方面的资质、保障能力和稳定性、可靠性进行综合而严格评估。在我国,由中国信息安全产品测评认证中心依据中国国家信息安全测评认证管理委员会批准试行的《信…     

基于电力行业信息安全基线的量化管理系统研究与应用

信息安全量化管理系统是安全闭环管控的管理手段,其结合了相关信息安全技术和管理标准,能够对信息系统的安全性进行过程评价,针对不同系统形成安全配置标准,为安全加固提供操作指南.量化评估的结果可以作为参考标准,支撑系统建设、运维过程安全加固;也可以在任何阶段用以评价系统的安全状态,评估系统是否处在可接受的水平.为信息系统入网...     

SSAM与CEM的研究与比较

信息安全评估标准和评估方法是一个整体,评估标准是评估的依据,评估方法是评估的实施。论文分别介绍了CC标准的评估方法CEM(Common Evaluation Methodology)和SSE-CMM的评估方法SSAM(SSE-CMM Appraisal Method)的评估模型,并对CEM和SSAM进行比较分析后指出:CEM和SSAM评估在针对的问题和具体目的、评估方式和特点以及评估结果反映的实质等方面均存在差异。     

等级保护制度下信息安全产品分级测评体系

<正>信息安全等级保护制度是我国信息安全保障工作的基本制度,是维护国家安全、社会秩序和公共利益的纲领性指南。等级保护制度的指导思想是按照系统重要程度和实际安全需求,合理投入,分级保护,从而有效提高我国信息系统安全建设的整体水平,保障信息系统安全,最终促进我国信息化建设的健康发展。信息安全产品作为信息系统的核心构件之一,其安全性直接影响了整个信息系统的安全性。尤其是2013年以来,棱镜门、RSA丑闻相继曝光,信息安全产品的安全可信测评,尤其是应用于三级及以上信息系统的信息安全产品的安全可信测评就显得尤为重要。因此,根据信息系统安全建设需求,对信息安全产品实施分等级测评,能够有效保证测评的针对性和科学性,同时节省测评需要的人力、物力和财力资源,最终推动我国信息安全产业和信息系统建设的健康可持续发展。     

CC标准新版本探究

介绍了信息技术安全通用评估准则CC,并对CC3.1版本的特点进行了分析总结,与2.3版本内容做了详细的对比阐述,分析了它们之间的不同点以及新版本对信息安全体系的影响,最后分析了CC未来的发展和变化趋势。     

安全风险评估:不容错失的话题--"2004中国信息安全论坛·信息系统安全保障与评估研讨会"侧记

中国工程院院长徐匡迪曾经说过:“没有安全的工程就是豆腐渣工程”。在国家以信息化带动工业化发展的战略框架下,大力推进信息化建设,同样离不开信息安全的坚强保障。2004年6月27日,由国务院信息化工作办公室网络与信息安全组指导、中国信息安全产品测评认证中心主办的“2004中国信息安全论坛·信息系统安全保障与评估研讨会”,是为了进一步贯彻落实中央办公厅、国务院办公厅《关于加强信息安全保障工作意见》和全国信息安全保障工作会议精神的具体举措。研讨会以“研究理论、交流技术、发布标准、推广实践”为宗旨,目的在于促进和规范政府…     

基于模糊评判法的信息安全风险评估模型

论文依照风险评估的理论,提出了安全域划分的概念,并在划分的基础上提出了基于模糊综合评判法的信息安全风险评估模型。模型采用多层结构,将多因素问题简化为单因素的问题,降低了复杂度,并引入关系矩阵描述各个评价因素之间相互影响的关系,对综合评价得出的结果提出了分析方法来获得企业信息系统的综合风险评价。     

模糊层次分析法在广播电视信息安全保障评价 指标体系中的应用研究

 建设国家信息安全保障评价指标体系,可以为决策者提供有关国家信息安全的基本状况.文章简要阐述国家信息安全保障体系中的广播电视分系统的信息安全评价指标体系的基本情况,同时介绍了广播电视信息安全保障指标体系中技术系统各级指标的构成原则和评价方法,着重论述了基于群体专家判断矩阵的情况下,模糊层次分析法在确定各级指标权重时的应用,并以广播电视技术系统为例给出了应用研究的实例.     

基于三维球体模型的XML通信协议安全评估方法

针对XML通信协议的安全评估问题,提出了一种基于三维球体模型的协议安全评估方法。首先利用评估指标在球体外壳层的坐落位置构建XML通信协议的三维安全评估指标体系,以该坐标系投影面积为度量标准,运用层次分析法(AHP, analytic hierarchy process)、球体半径以及开合角度获取一、二级评估指标的权值。从XML协议的内容、通信载荷、安全隐患3个层面计算XML通信协议各安全分量的量化评估值,通过量化计算和综合分析得到XML通信协议的安全性评估结果。仿真结果表明该方法能有效地评估协议的安全性并可满足对XML通信协议的安全性评估需要。     

基于能量监测的传感器信任评估方法研究

目前解决无线传感网节点安全的方式多种多样,无线传感器也将随着物联网的发展而呈现多样化.根据物联网传感层的特点和其特有的安全问题,本文提出了一种基于能量监测的信任评估方法来解决无线传感网节点的信任问题.该方法首先针对无线传感器能耗情况,创建了传感器能量监测机制;然后,根据监测能量机制中的监测信息,通过互相关系数方法分析计算,得出传感器所处的几种信任度;最后,对传感器进行信任评估,并给出评估结果.仿真对比结果表明,本文提出的方法具有较高的准确性.     

雷达导引头干扰效果的Vague集评估方法

运用Vague集理论,探索解决雷达导引头干扰效果评估问题的方法。首先,建立基于Vague集的干扰效果评价模型,该模型考虑到实践中不同指标的重要性问题,为指标赋予不同的权重,并对原有的符合度判决方法进行改进。然后,结合交叉眼干扰的具体实例,分别运用文中提出的基于Vague集的评价模型和相似度模型进行评估。对比分析试验结果,发现在指标权重相同的情况下,两种方法计算出的评价等级相同,且文中提出的方法计算量更小,验证了该方法的有效性和优越性。     

基于攻击者角度的网络安全评估方法研究

针对网络安全的评估问题,提出了基于攻击者角度的评估模型,并以此为依据建立评估指标体系。在此基础上,借助AHP灰色理论对网络的安全属性在网络攻击过程中遭受的破坏程度进行定量计算,并从攻击者的角度定性分析网络的安全性能。实验结果表明,该方法能够综合评估网络信息安全。     

一种基于Android系统漏洞的通用攻击模型

Android系统中的各类漏洞给Android平台的安全性带来了巨大威胁。漏洞利用技术、移动操作系统安全、Android生态系统安全逐渐成为研究热点。从漏洞利用的角度出发,分析典型系统漏洞的利用过程,提出了一种Android系统漏洞利用的通用模型,并构建了一个漏洞利用有效性评估框架。验证结果表明,该模型能够较好地表述黑色产业链中利用漏洞实施攻击的过程。同时,有效性评估框架可以评估特定漏洞对Android生态系统安全性的影响。     

改进的FAHP信息安全风险评估方法

结合当前信息安全风险评估的特点和发展现状,将模糊数学的相关优选理论、模糊一致矩阵、变权法、二次评判有机结合,提出了一种基于FAHP的信息安全风险评估模型的改进方案。首先,模糊一致矩阵的引入,保证了判断矩阵的一致性。其次,将变权法引入到权重向量的计算过程中,促使综合指标增大,使评估因素的权重能更好地体现相应因素在决策中的作用。最后,通过引入二次评判,提高了风险评估的准确性。通过实例分析,证明了该方法可以有效的应用到信息系统安全风险评估中去,实验结果符合实际。     

基于变权模糊综合评判的信息安全等级保护测评模型

Nowadays, clear evaluation models and methods are lacking in classified protection of information system, which our country is making efforts to promote. The quantitative evaluation of classified protection of information system security is studied. An indicators system of testing and evaluation is established. Furthermore, a model of unit testing and evaluation and a model of entirety testing and evaluation are presented respectively. With analytic hierarchy process and two grade fuzzy comprehensive evaluation, the subjective and uncertain data of evaluation will be quantitatively analyzed by comprehensive evaluation. Particularly, the variable weight method is used to model entirety testing and evaluation. It can solve the problem that the weights need to be adjusted because of the relationship role which enhances or reduces security of information system. Finally, the paper demonstrates that the model testing and evaluation can be validly used to evaluate the information system by an example. The model proposed in this paper provides a new valuable way for classified protection of information system security.     

网络与信息安全标准研究现状及热点问题探讨

网络与信息安全标准作为信息安全保障体系的重要组成部分,政府部门、产业界都对此高度关注.本文将介绍当前国内外网络与信息安全标准研究现状,分析当前网络与信息安全标准研究热点,探讨通信行业网络与信息安全标准体系建设思路.