基于风险管理的信息安全体系建设初探

信息安全风险管理是目前信息安全领域专家研究的热点之一.本文以电视台信息安全项目为背景,首先阐述信息安全风险的基本概念和组成要素,以及信息安全风险管理的常见模型;然后介绍基于风险管理的信息安全体系建设模型;最后给出厂基于风险管理的信息安全体系的建设思路.     

信息安全体系模型研究

信息安全体系是信息安全解决方案和工程实施的依据和参照。作为信息安全建设的指导方针,安全体系的设计应该体现出可靠性、完备性、可行性和可扩展性等项原则。通过对信息安全体系发展历程的研究,分析不同体系的优缺点,提出了一种新的信息安全体系模型,并简要介绍了该模型的设计思想,以及与现有信息安全体系模型的关系。这种信息安全体系模型更加符合信息安全体系设计的要求,可以作为各类组织信息安全建设的参考。     

一种新的信息安全体系模型的提出

信息安全的建设应该立足于一个完整的安全体系,信息安全体系模型是信息安全体系建设的基础,能够为信息安全的解决方案和工程实施提供依据和参照。文章在对现有信息安全体系模型分析研究的基础上,提出了一种新的信息安全体系模型,即P00-PDRRA模型,给出了该模型的构成框架,简述了该模型提出的意义,最后给出了一个应用实例。     

建立主动性信息安全体系

简要阐述了目前信息安全建设所面临的挑战，介绍了主动性信息安全体系和主动性安全风险管理。     

基于P2DR安全模型的银行信息安全体系研究与设计

文章介绍了基于策略（Policy）、保护（Protection）、检测（Detection）和响应（Response）的P2DR安全模型,在P2DR安全模型的基础上,提出了针对各种系统普适的信息安全建设的原则;并在对系统进行威胁分析和网络分区防护的基础上,利用P2DR闭环安全模型的思想,对某银行系统的信息安全体系建设提出了详细的建设方案。     

信息系统安全保密的检查和风险管理

解决信息安全保密的问题,必须基于信息技术的特点,实施“工程化”的可靠管理和“过程化”的反馈控制.具体表现在:建立信息安全保密体系框架、对信息安全保密实施风险管理、增强对信息系统的安全控制.     

基于风险矩阵的电力公司信息安全风险评估

随着信息化的发展,电力企业信息安全风险管理日益凸显出其重要性.基于某电力公司八个信息安全风险要素分析,运用风险矩阵法对信息安全风险进行评估.建立了包含了专家二维矩阵、运用Borda序值法和层次分析法的评估模型.运用实例计算信息安全风险等级并找出主要安全风险要素,证明了模型的有效性和合理性.研究结果对电力公司加强信息安全风险管理有一定的参考价值.     

信息系统风险评估实践

风险评估在信息安全保密体系建设中起着重要作用,是组织内开展基于风险管理的基础,它贯穿信息系统的整个生命周期,是安全策略制定的依据;也是按照PDCA改进组织安全保密体系的关键。论文在分析常见信息系统风险评估方法的基础上,提出基于应用系统、关注纵深防御和持续改进的风险评估方法,从而全面、系统地开展风险评估工作。     

中国移动互联网基地信息安全体系建设

信息安全是任何国家、政府、部门、行业都十分重视的问题,建立信息安全体系是国家安全战略的一部分,是企业业务持续性发展的保障.本文基于信息安全建设的根本目的是为业务保驾护航,提出了基于业务、面向落实的信息安全体系建设思路和内容.     

信息安全管理体系建设研究

信息安全管理正成为当前全球的热门话题，建立健全信息安全管理体系对企业的安全管理工作和企业的发展意义重大。本文从我国信息安全管理的现状入手，对国际和国内信息安全标准的情况进行了梳理，在理解信息安全管理模型的基础上，提出了准备策划、确定范围、调查评估、建立框架、文件编写、运行改进和体系审核等建设思路。     

技术与管理的融合——中央电视台新址信息安全管理平台建设

随着网络化、信息化的迅猛发展,企事业单位大量运用信息和网络技术构建安全基础设施。信息安全管理平台能够将多样的安全基础设施和海量的安全事件进行统一管理分析,从风险管理的角度关注业务系统的安全。本文以中央电视台新址信息安全管理平台建设为背景,详细阐述信息安全管理平台在整体安全体系中的重要作用,以及如何利用信息安全管理平台,实现信息安全技术与管理的融合。     

从PDR模型的发展过程看信息安全管理

基于对入侵检测的保护、检测、响应(PDR)模型的研究,分析了信息安全模型在信息系统安全建设中所起的指导作用,明确了针对信息系统所存在的安全隐患应当采取哪些措施。     

方正防火墙在金税工程中的应用

为了提高税务系统广域网络网间通信的安全性,方正信息安全技术有限公司根据税务系统信息安全体系建设的总体目标,提出针对目前税务系统广域网络防火墙子系统的技术需求和工程实施需求。方正安全以金税工程(三期)的安全需求为税务信息安全体系建设的总目标, 保证金税工程(二期)网络及应用系统安全的需求,基于现代信息安全理论,采用目前国内先进的信息安全技术,建设国家税务系统统一、安全、稳定、高效的信息安全体系,形成涵盖税务系统网络、应用和管理等信息系统各个方面的安全总体方案及安全策略,根据税务系统信息化建设进程制定税务信息安全体系建设的分步实施方案,逐步形成完整的信息安全保障体系。     

信息安全风险管理的动态与趋势

如今,风险管理已经是信息安全保障工作的一个主流范式。信息安全防范工作越来越基于风险管理。互联网的飞速发展使得公众网络的应用越来越广泛,在公众网络中间构建相对可信的网络,成为世界各国发展信息化的主要需求。如何有效地管理信息安全风险,自然成为各方面都十分关注的问题,本文对国内外信息安全风险管理的动态和趋势作一简要勾勒,供大家参考。     

运营商的资产信息安全预警技术研究

本文简要介绍了运营商的资产所面临的信息安全威胁,研究分析现有的主要预警技术:入侵检测技术和安全扫描技术,基于现有技术的不足,提出了一种新的基于软件模型的信息安全预警技术方案,增强运营商信息安全工作的治理能力,使运营商在信息安全治理工作上基本达到资产可管控、信息可共享、安全可度量和预警可感知。     

基于AHP的通信网风险评估

基于风险管理模型构建的通信网风险评估量化模型是合理调配安全防护资源的重要基础,借鉴层次分析法对信息资产安全价值,信息安全特性,各种威胁影响,关键资产这一递阶层次结构进行资产赋值,并通过风险事件发生可能性的定量计算完成了威胁风险分析。     

信息安全风险评估ASMI方法论的应用研究

基于信息安全风险评估工作的发展现状,为进一步提高其科学性和实践价值,通过综合分析信息安全风险评估相关标准和实践方法,建立以追求信息安全客观风险为目标的信息安全风险评估思想,并构建了由安全现状（Aactuality）、参考基准（Standard）、测量模型（Model）和工程实施（Implementing）4个方面组成的信息安全风险评估方法论（简称ASMI方法论）。同时,还深入分析了ASMI方法论的组成要素、相互关系、应用方法和实践价值。该方法论有望对信息安全风险评估业务、信息安全保障体系建设和信息安全标准体系的协调发展起到积极的促进作用。     

内网安全更要求立体防护体系

从某种意义上来说，内网安全是外网安全的一种扩展和提升，它是基于更加科学和客观的信任模型建立起来的。内网安全集中关注的对象包括了引起信息安全威胁的内部网络用户、应用环境、应用环境边界和内网通信安全，内网安全从更加全面和完整的角度对信息安全威胁的途径进行了分析、处理和控制，使信息安全成为一个完整的体系。     

信息安全评价云模型的设计

针对当前信息安全所面临的挑战,提出了基于云模型的信息安全评估的新方法.该方法利用云模型在处理评估过程中定性概念与定量数值之间转换的优势,并结合属性相似度法确定属性权重,提高了评估的信度,拓宽了信息安全评价的思路.通过实例给出了方法应用的具体步骤,证明了该方法对信息安全评价的应用价值.     

计算机信息安全技术的应用探究

文章针对计算机信息安全,从信息系统安全体系进行探讨,通过构建BLP多级安全模型与监视器的方式,从而保障系统的安全。