信息安全风险评估研究和实践

风险评估研究现状从2000年开始,我国一些信息安全研究机构、大学和企业开展了网络风险评估工作,提出了一些风险分析和评估的实施方法。这些方法基本上都是基于BS7799或ISO13335对用户进行问卷调查和对信息系统进行漏洞扫描、日志分析的。目前,自动化程度高的风险评估工具比较匮乏。总体而言,风险评估研究正在由技术评估向整体评估发展,关联性分析更加复杂,资产、风险分析的定量比例越来越大。风险评估模型在国际上的典型风险评估模型,如ISO13336、ISO15408风险评估模型中,清晰地阐述了资产、脆弱点、威胁、风险几大要素的关系。在参考…     

浅谈对信息安全风险评估的认识

2006年1月国家网络与信息安全协调小组发表了《关于开展信息安全风险评估工作的意见》,意见中指出:随着国民经济和社会信息化进程的加快,网络与信息系统的基础性、全局性作用日益增强,国民经济和社会发展对网络和信息系统的依赖性也越来越大。网络与信息系统自身存在的缺陷、脆弱性以及面临的威胁,使信息系统的运行客观上存在着潜在风险。要重视信息安全风险评估工作,将开展信息安全风险评估工作作为提高我国信息安全保障水平的一项重要举措。明确要求各系统各单位建立信息安全风险评估制度,及时发现系统存在的风险,采取一定的控制措施降低风险。     

信息安全风险评估常见的问题及对策 ——广州电信IDC信息安全管理体系持续改进咨询辅导经验谈

广州电信IDC在中知库专家的辅导下通过ISO27001信息安全管理体系认证后,2015年对信息安全管理体系进行持续优化.当广州电信信息安全工作小组完成今年的风险评估初稿时,中知库顾问小组发现工作小组的工作成果比起刚刚建立体系时效果差了很多.主要表现在两方面:第一,发现的风险点很少.主要原因是工作小组在建立体系时对每个资产的主要风险点已形成一个思维定式,今年进行的风险评估只是对往年风险的回顾及再评估,所以发现的新风险点寥寥无几.第二,工作小组进行风险评估时过于关注细节,没有从全局的角度观察整个IDC网络结构问题,造成部分重大风险未识别.     

向IT系统管理要效益——日立JP1助力银行业实现主动精细管理

国内银行业最近几年在IT投资领域最关心的话题是“大集中”——数据集中、系统集中、业务集中,这使总行对地市级分行、分支机构、众多网点很方便地进行统一管理。但是,集中也导致了银行IT系统规模迅速扩张,     

因子分析和神经网络的信息系统风险评估模型

信息系统风险变化具有随机性、不确定性,传统方法无法准确考虑信息系统风险这些变化特点,导致当前信息系统风险评估的可靠性差、评估精度低。为了改善信息系统风险评估效果,设计基于因子分析和神经网络的信息系统风险评估模型。首先,分析当前信息系统风险评估的国内外研究现状,构建完整的信息系统风险评估指标;然后,采用因子分析法从原始信息系统风险评估指标中提取重要的指标,采用神经网络对信息系统风险评估的训练样本进行学习,构建信息系统风险评估模型;最后,通过仿真对比实验验证所提模型的合理性和优越性。结果表明,所提模型可以准确描述信息系统风险变化的随机性、不确定性,获得高精度的信息系统风险评估结果,改善了信息系统风险评估效率,信息系统风险评估的整体性能要优于当前其他信息系统风险评估模型。     

国信办赵泽良处长提出:应加强对信息安全风险评估的规范和引导

信息安全风险评估是信息安全保障工作的一个重要方法,本文阐述了合理分析信息安全风险,科学决策风险、补偿风险和控制风险的重要意义。     

基于大数据分析的运动风险评估方法研究

传统运动风险评估方法能够对运动中存在的风险进行评估,但存在评估过程耗时长、精准度差,不能进行大规模运动评估的问题。提出基于大数据分析的运动风险评估方法。通过对风险因子进行分析构建大运动风险评估模型,引入多层次叠加运算以及多因素调解方差法,对运动风险数据进行处理,基于大数据分析法,实现运动风险评估。实验结果表明,提出的基于大数据分析的运动风险评估方法,相比传统风险评估方法,能够进行高效率精准的运动风险评估,并能够适用于大规模的风险评估。     

数据安全国际标准研究

云计算、大数据、物联网、人工智能等技术的迅速发展,带来数据滥用、个人信息泄漏、数据非法交易等一系列安全挑战。数据安全标准作为应对数据安全挑战的重要手段,已经成为信息安全研究的热点之一。围绕数据安全国际标准,本文从大数据安全和个人信息安全两个方面分析了数据安全面临的主要风险;梳理和分析包括ISO/IEC JTC1/WG9、ITU-T SG17、NIST、ISO/IEC JTC1/SC 27等标准化组织在数据安全标准领域的工作现状;从立项背景,标准技术内容和进展情况等方面,深入分析ISO/IEC JTC1/SC 27下由我国主导的ISO/IEC 20547-4《信息技术大数据参考架构第4部分:安全与隐私保护》,ISO/IEC 27045《大数据安全与隐私保护过程》,以及研究项目《大数据安全实现指南》和《数据安全》。基于分析结果给出数据安全国际标准化的工作建议。     

基于风险管理建立安全体系

随着信息化建设的不断发展,信息作为一种特殊的资产,和其他重要的业务资产一样需要妥善适当保护。本文参照我国有关计算机等级保护管理要求,依据国际ISO—17799／BS7799信息安全管理体系标准,引进风险管理理念,建立一个基于风险评估的信息安全保障体系,以加强信息系统风险防范。     

信息安全风险评估工具及其应用分析

信息安全风险评估是信息安全保障工作中的一种科学的方法。要准确地评价信息系统中的薄弱点和风险状况,除依靠评估人员的技能外,评估工具也是一个重要的环节。文中对风险评估中常用的工具进行分析,分别介绍了主动型、被动型和管理型风险评估工具在风险评估工作中的工作机制与作用,并通过实例展示如何利用评估工具引导评估人员得到相对客观的结果。     

OFDM系统原理及仿真实现

随着通信网络和信息技术的迅速发展,对网络及其信息系统的安全要求越来越高。文章依据ISO／IECTR13335提出的关于IT系统安全的建议以及网管安全协议的服务机制,结合网络管理系统的实际情况,给出了一个进行网络管理系统安全风险评估的方法,包括评估原则和相关的评估内容。     

浅谈核电企业ISMS建设

简要介绍了核安全文化的起源和特点、核安全文化与信息安全相结合、ISO27001信息安全管理体系和国际原子能机构推荐的核机构和核行业的信息安全管理体系（ISMS,Information Security Management System）体系建设最佳实践模型。并对ISMS体系建设生命周期中的现状调研阶段、资产识别与风险评估阶段、架构设计阶段、总体规划阶段、体系建立阶段、体系试运行阶段、体系认证阶段和体系维护阶段中的主要关键点进行扼要分析,供社会各组织进行ISMS体系建设时参考。     

信息安全风险评估的模糊多准则决策方法

基于ISO/IEC17799标准建立了一个综合的信息系统风险分析框架,并运用模糊多准则决策(FMCDM)方法计算信息安全风险,根据风险等级矩阵(RLM)对信息资产风险进行级别划分,最终建立评估信息资产相关风险的完整模型。     

基于PDCA循环原理的动态量化考核体系探讨

围绕ISO9000族标准质量管理体系的要求,运用PDCA循环原理,探讨了一种动态量化考核体系的建立和应用,对促进ISO9000质量管理体系的持续改进、有效运行具有重要作用。     

基于ISO27001的IDC信息安全管理体系

中国电信深圳分公司以ISO27001信息安全管理体系为基础,以风险管理为核心,以技术手段为支撑,通过资产识别、资产重要性评估、风险评估、编制管理体系文件、实施、监控和持续改进ISMS等过程,构建了一套完善的IDC信息安全管理体系,有效地保障了信息资产的安全和业务连续性。     

企业ISO9001质量管理体系符合性调查报告——数据、分析及相应对策和建议

通过对23家申请ISO9001质量管理体系认证的企业进行审核后,分别按ISO9001标准三层条款收集了比较真实可信的ISO9001标准符合性数据,并根据价值工程理论和排列图工具进行分析,通过分析明确企业质量管理体系比较薄弱的环节,最后根据分析结果提出相应对策和建议。     

ISO9000族标准与波多里奇奖的区别

简要介绍了作为组织质量管理优秀工具的ISO9000族标准与波多里奇国家质量奖。比较了它们在目的,用途和评价方式等多个方面的差异,建议组织应根据不同的情况选择适台的方法来提高组织质量管理水平。     

基于ISO9000和CMMs的需求开发和需求管理平台框架的研究

文章通过分析国内外当前软件需求开发和需求管理中的主要技术和存在的主要问题，并在研究ISO9000和SW－CMM、SA－CMM在软件需求开发和需求管理要求的基础上，结合现代软件工程的需求实现技术，提出了基于ISO9000和CMMs的需求开发和管理平台框架，用于指导国内软件组织软件需求开发和需求管理的实践工作。     

ISO/IEC 17025:2005《检测和校准实验室能力的通用要求》中存在的错误

本文就ISO/IEC17025《检测和校准实验室能力的通用要求》中存在的错误,提出看法。ISO/IEC17025:2005《检测和校准实验室能力的通用要求》对ISO/IEC17025:1999进行了修改和补充,使ISO/IEC17025进一步完善和提高,但笔者在学习过程中仍发现ISO/IEC17025标准中存在的一些错误,提出供实验室建立管理体系和实验室评审时参考。