信息系统安全保障评估标准综述

在分析信息系统安全保障的基础上,详细介绍GB／T 20274《信息系统安全保障评估框架》的基本原理和主要内容,包括安全技术．管理、工程保障控制要求和信息系统安全保障级的评定等内容,并对其应用进行了研究,旨在阐述GB／T 20274及其配套性标准《信息系统保护轮廓和信息系统安全目标编制指南》和《信息系统安全保障通用评估方法》的主要内容并理清其内在联系。     

信息系统漏洞风险定量评估模型研究

为解决信息系统漏洞风险的科学定量问题,针对当前漏洞风险评估忽略漏洞之间关联性的现状,提出了一种信息系统漏洞风险评估的定量方法与实现步骤.首先,讨论了基于漏洞关联网络(VCN,vulnerability connection network)的漏洞风险评估模型,引入了路径风险与主体风险的概念;其次,提出了以层次分析法定量主体风险性中的主体重要性要素,结合主观分析与攻击重现定量转移风险中的关联后果值的具体方法;最后,对电力调度管理信息系统运用此漏洞风险定量方法进行评估,得出了客观的漏洞风险评估结果.评估示例表明,基于漏洞关联网络的漏洞风险定量评估模型实现了漏洞风险科学、客观的定量评估.     

浅谈信息系统上线评估思路

文章分析信息系统上线评估工作存在的主要问题,并提出信息系统上线评估工作的思路,主要考虑评估场景、评估层级、评估要素等内容,然后阐述上线评估的流程。     

关于计算机信息系统安全风险评估标准与方法的研究

安全风险评估是防范计算机病毒和网络犯罪行为的重要方式.本篇文章主要从计算机信息系统安全风险评估的作用入手,对信息系统安全评估的标准与方法进行了探究.     

电子信息系统安全性评估

针对电子信息系统的特点,结合指标体系建立的原则,利用德尔菲法的原理与方法构建了电子信息系统安全性评估指标体系,并给出了运行安全指标的具体描述。该指标体系全面客观地反映了电子信息的安全风险因素,对于电子信息系统的设计和管理具有重要的参考价值。     

基于灰色群组AHP的信息系统安全保障能力评估

科学合理的评估方法是实现信息系统安全保障能力准确评估的关键.针对通用信息系统安全保障能力评价的特殊性,文章提出了一种改进的基于灰色理论的群组AHP评价方法,较好地处理了安全保障能力涉及因素多且难以量化的特点,并较好地解决了专家个人权重与集体权重的综合问题,实现了对信息系统安全保障能力的定量评估,实例分析结果验证了该方法的有效性.     

物理信息系统评估分析

在物理信息系统深度融合背景下,将信息系统引入传统的电力系统中,构建出新型CPS系统。然而信息系统的引入在提高电力系统可靠性的同时,也增加了电力系统的不安全、不稳定因素。针对信息带来的隐患文中提出一种基于CPS的电力系统可靠评估模型,并将新模型与传统电力系统评估模型进行对比,根据评估新型模型提出计算可靠性的理论方法。介绍了评估过程中面临的挑战,且对整个评估进行总结。     

医院信息系统安全风险规避管理策略研究

目前,医院信息系统存在一些较为明显的风险。因此,采取相应的管理策略便显得极为重要。本课题笔者在概述医院信息系统安全的基础上,进一步对医院信息安全风险规避管理策略进行了探究,希望以此为医院信息系统的安全提供一些具有价值性的参考依据。     

漫谈信息系统安全审计

随着信息化水平的快速提高和信息安全建设的逐渐深入,如何有效加强内控管理、信息系统安全风险控制,满足政策合规的要求,成为企事业单位面临的普遍问题。作为问题的主要解决技术手段之一——信息系统安全审计,正逐渐成为国内信息系统安全建设热点。     

基于VC-DRSA的信息系统多属性群决策安全评估

以某高校校园网络系统作为评估样本,在建立了信息系统安全属性模型的基础上,提出了基于变一致性优势关系粗糙集（VC—DRSA）的多属性群决策的安全评估方法。该方法将VC-DRSA与层次分析法（AHP）相结合,利用VC-DRSA分类质量的概念挖掘出隐含在数据背后的内在规律,在确定安全属性权重的基础上,对信息系统进行了综合安全评估。实例计算证明,该方法可以有效地解决多属性群决策的“瓶颈”问题,在信息系统安全评估中具有实际意义。     

网络信息系统安全风险分析与防范对策

随着络信息日益普及,网络信息的安全性显得尤为重要。本文通过对网络信息系统访问（特别是逻辑访问）的安全风险分析,在应用系统编程、数据库系统设置、操作系统设置三个层次提出了相应的防范对策。     

军工行业信息系统安全风险分析与评估

安全风险评估是信息系统安全工程的重要组成部分,是建立信息系统安全保障体系的基础和前提。文中对军工行业信息系统安全风险评估的主要内容、关键环节和评估准则进行了阐述,并结合实际风险评估工作给出了风险评估的基本方法和经验性策略,最后对军工行业信息系统的典型安全威胁和系统脆弱性进行了分析和归纳。     

企业运维管理中信息系统安全风险控制

为了有效控制运维管理中信息系统的安全风险,文章通过对信息系统控制难点进行研究,分析了现今系统存在的安全风险,并制定了详细的解决策略。以期能够对非法访问、信息篡改的问题进行有效的控制,为今后企业运维管理提供可靠的参考数据,为企业的发展做出有力的支撑。     

信息系统安全度量与评估模型

信息技术安全评估标准GB17859定义了信息系统安全评估的安全要素集,并以等级的形式表示信息系统的安全度量.为区分各个安全要素在信息系统安全度量评估过程中表现出的不同特性,提出了组合独立性安全要素、组合互补性安全要素及组合关联性安全要素的概念,通过定义访问路径、规范路径及组件之间的相互关系,给出了信息系统安全度量的形式化评估模型及其实现.     

基于改进FAHP-BN的信息系统安全态势评估方法

针对信息系统安全态势评估中安全风险等级确定问题,提出了一种利用改进的模糊层次分析法(FAHP)和贝叶斯网络推理评估安全态势的方法.采用改进的FAHP,解决了评估中难以衡量的攻击严重性因素的量化问题;同时,结合专家知识定义了推理规则下各因素的条件概率矩阵,进而建立了态势评估的贝叶斯网络推理模型,并给出了基于此模型的评估方法.实例分析表明,该方法合理有效,可为信息系统安全态势评估提供一种新思路.     

节点崩溃条件下信息系统安全风险传播

风险传播研究是信息系统安全风险评估的重要研究方向。基于风险传播和风险传播模型, 考虑邻居节点之间的相互影响, 重新定义了信息系统网络节点的初始负荷和节点崩溃与失效的概念。引入负荷局域择优重新分配策略, 提出运用信息系统网络节点崩溃和实效节点的数目反映信息系统抵御风险传播的能力。设计了两种袭击策略, 即网络信息已知条件下的蓄意攻击和网络信息未知条件下的随机攻击, 并结合实例仿真分析了不同节点崩溃条件下的信息系统安全风险的传播问题。结果表明, 蓄意攻击策略引起的节点崩溃更易造成信息系统安全风险的迅速全域传播。     

基于模糊算法的信息系统安全风险评估方法

文中结合信息系统存在的信息数据丢失、泄露等安全风险,应用模糊算法,提出了一种信息系统安全风险评估方法。首先,根据信息安全风险评估定义和风险度量方法,构建了信息系统安全风险分析模型和评估模型。其次,应用模糊算法,创建了基本概念赋值函数,并确定了基础指标与评估指标对应的模糊关系,确定了基本概率赋值函数。最后,以“电力信息系统风险评估”为例,验证该方法的有效性和可靠性。验证结果表明,该方法操作简单、有效、可行,不仅可以精确控制信息系统安全风险,还能提高信息系统的安全防御能力。     

信息系统安全标准一致性研究(下)

(上接2013年第5期第68页)2.3测试评估类标准2.3.1标准依据比较信息系统测试评估类的标准共有五项,其中参照GB/T 18336形成的信息系统安全保障的标准有:GB/T 20274-2006信息系统安全保障评估框架(共四部分)和信息系统安全保障通用评估方法。信息系统测试评估类的标准比较见表9。     

数据库信息系统的安全风险及风险评估技术研究

信息安全是信息化时代面临的重大问题,尤其是大数据时代的到来,数据库信息系统作为互联网大数据的存储器以及数据应用的支撑,其安全性管理更需要进一步加强。如今随着数据信息的日益增长和应用软件的多样化,信息系统的安全风险也出现多样化、智能化趋势,因此必须要加强对系统安全风险评价技术的研究。文章首先介绍了数据库的安全管理,并对系统面临的安全风险和风险评估技术进行了相关探讨。