基于OWASP风险模型的信息安全等级保护Web应用安全量化评分准则

文章在研究“Web应用安全通用评分准则”的基础上丰富了基于OWASP的风险评估方法,弥补了其风险值的缺陷。通过简化的安全风险值指标,结合STRIDE威胁模型对应等级保护测评标准内针对应用安全的分类,最终为等保应用安全测评结论提供了另一层面的量化评分参考。     

基于OWASP的WEB应用安全检测与防范

Web应用发展迅速,但多数开发人员安全意识差,导致Web应用漏洞百出。针对web开发时的安全风险,提出了基于OWASP的统计和文档的WEB应用安全检查和防范的方法,来降低Web应用的安全风险,并通过银行项目中的实际应用,表明该方法不但能提高Web应用安全性,同时增强了开发人员的安全意识。     

等级保护与电子商务安全

科学的安全观追求的 是适度风险下的安全 认识论的规律告诉我们,人类对真理的认识是一个不断趋进的求极限过程,对真理的正确实现也需要在实践中经过检验。 现代信息系统是一个非线性的智能化人机结合的复杂大系统。由于人的能力的局限性,即便有再好的愿望,出于多     

信息系统安全保护等级应用指南

通用部分 安全要求与目标 无论是安全保护框架的描述,还是安全目标的设计,都要从安全功能的完备性、一致性和有效性等方面进行考虑。 完备性是指安全保护框架(PP)不应有安全漏洞,一致性是指安全保护框架(PP)中的安全功能应该平滑一致。 有效性是指安全保护框架(PP)中的安全功能应该是有效的。无论采用那一种设计方法,安全功能都必须是有效的,完全起作用的,不会被绕过的。     

安全保护等级划分实例

访问控制 用户自主保护级 该级别要求的访问控制为自主访问控制,通过隔离用户和数据,使用户具备自主安全保护的能力。 具有多种形式的控制能力,对用户实施访问控制,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏,     

等级保护与政务终端安全

计算机终端作为电子政务中承载着信息处理、存储和传输等工作的最基本单元，确保其安全性已成为电子政务信息安全保障工作中的重要环节。本文按照信息系统等级保护体系对计算机终端安全保护的要求，重点提出了在科学有效地部署计算机终端安全防护体系中应注意的问题，以及对应的措施。     

面向等级保护的数据安全保护系统研究与设计

文章以信息系统安全等级保护理论为指导,设计了一套数据安全保护系统。该系统以数据安全保护为主线,针对涉密数据的生成、使用、流转、外发和销毁的全生命周期,采用多项软硬件技术综合保障涉密数据的安全性。文章介绍了信息系统等级保护的基本概念以及数据安全保护系统的体系结构、主要功能。目前,该数据安全保护系统已研发完成,并取得了良好的应用效果。     

等级保护与服务器系统的安全探究

在现代社会中,随着信息网络技术的不断发展,信息数据的战略资源作用越来越突出,一些重要的网络信息资源直接关系到企业、国家的经济利益.信息安全等级保护更是成为国家与企业单位提升信息安全能力、维护社会稳定及公共利益、促进信息化建设良性发展的基本制度.本文就针对信息安全等级保护及服务器系统的安全问题展开讨论.     

基于等级保护策略的云计算安全风险评估

随着云计算的进一步推进和发展,云计算面临的安全问题变得越来越突出,特别是在云计算带来的诸多利益下,如何满足用户在云计算环境下对用户数据的机密性、完整性等相关性能的需求,已成为云计算安全的首要难题;从云计算应用安全和系统安全两个层面,依据等级保护策略在信息系统中的策略要求,提出了云计算安全中应用安全和系统安全的威胁所在以及相应的基本保护要求,为进一步推进云计算安全走向成熟。     

信息系统安全保护等级评估工具研制

本文阐述了信息系统安全保护等级评估方法,介绍了评估系统的实现,并对评估流程进行了描述。     

等级保护与安全市场

每当新的政策法规出台，都会引起相关企业的结构调整，以适应游戏规则的变化其实规则的改变就是要促使参与者进行资源整合，以达到符合市场要求的最佳状态。随着等级保护制度的推广来自信息安全业界的关注越来越多。本期在等级保护栏目我们特别编发了一组企业老总谈等级保护的文章。这是来自厂商的声音。我们还将刊登更多的相关报道以期达到相互交流、互通信息的目的。     

基于等级保护要求的机房安全

信息技术在方便人们的工作和生活的同时,也带来了不可忽视的信息安全问题。如何保证机房内的信息设备处于良好的工作环境,使信息系统稳定可靠地运行,这非常重要。信息安全等级保护涉及物理安全、网络安全、主机系统安全、应用和数据安全等几个重要方面。机房安全属于物理安全,按照机房建设和相关技术标准,并结合信息系统安全等级保护的要求,是机房建设的根本要求,对保证机房安全极为重要。     

医院信息系统等级保护安全体系设计

针对医院的核心HIS系统,根据国家等级保护的要求而设计的安全体系方案.分别依据物理层、网络层、主机层、应用层的不同特点,结合国家等级保护标准,针对性的提出安全解决方案,并给出了各个安全节点需要实现的功能要求.通过实践检验的,将等级保护建设的要求真正落实到医院HIS系统安全建设中.充分结合实际安全需求的、全面符合等级保护建设要求的、战略策略高度统一的解决方案.     

等级保护要求下的高校Web安全

自2010年等级保护制度开始落地实施,网络环境正在逐渐稳定。采用B/S架构的应用系统越来越多,Web应用安全问题凸显。高校作为一个人才的培养摇篮,其Web服务直接影响师生办公学习的效率,其安全稳健的运行对师生的意义重大。文章基于等级保护制度要求,对高校的Web安全进行探讨分析。     

等级保护下的信息系统安全需求挖掘

如何确定信息系统安全需求,作为信息系统安全建设的基础和起点,对设计合理的信息系统安全保障体系则具有重要的作用和意义。     

等级保护下的信息系统安全需求挖掘

如何确定信息系统安全需求，作为信息系统安全建设的基础和起点，对设计合理的信息系统安全保障体系则具有重要的作用和意义。[第一段]     

关于信息系统安全保护等级评估工具

本文主要介绍信息系统安全保护等级评估的背景及国外相关研究进展,提出系统评估中的关键问题和技术,阐述信息系统安全保护等级评估方法和评估工具的实现,并对评估流程进行描述。     

基于等级保护的安全管理度量方法研究

本文提出了一种基于国家等级保护标准GB17895的安全管理度量方法．阐述了度量要素的提取及度量结果的量化等问题的解决方案，并依据ISO／IEC17799标准设计了安全管理度量的核查表。     

武汉国土局等级保护应用实践

为了推动等级标准的实际执行与实施．对计算机信息系统安全等级保护评估工具进行实际使用与测试，验证安全等级保护评估方法与思路，公安部启动了计算机系统安全保护等级评估试点。选择了四个省和两个部委的6个单位和行业进行试点。武汉市规划国土资源管理局(以下简称武汉市规划国土局)被确定为湖北省的试点单位。     

基于等级保护的安全运维系统的研究与设计

等级保护贯穿信息系统从设计研发、上线运维到废弃停用全生命周期的各个环节,运维是信息系统必要且关键的环节之一,文章通过对等级保护《基本要求》的理解和分析,对信息系统运维现状和产生的问题进行总结概括,研究和设计了一种安全运维系统,并介绍了该系统的设计思路、实现方法和应用前景。