基于软件全生命周期的电力行业信息系统测评服务体系研究

电力信息系统安全检测逐步受到重视.针对电力行业信息系统安全检测的现状和特点,结合软件全生命周期理论,提出一种面向电力行业信息系统全生命周期的测评服务体系.立足电力行业信息系统安全需求,系统化地研究信息系统从设计、建设到正式运行等各个阶段的安全问题及测评重点,建立一套贯穿信息系统全生命周期的安全测评服务体系,最终提供多种类型的测评服务,全方位地保障重要系统安全.     

物联网信息系统安全测评服务模式的研究

近年来物联网的快速发展导致物联网信息系统的安全性问题越来越被人们所关注。面对物联网信息系统所面临的新的安全威胁,如何对物联网信息系统进行有效、全面的安全测评成为新的挑战。本文介绍了当前信息系统测评服务的发展现状,分析探讨了物联网信息系统所面临的新的安全威胁,基于这些安全威胁给出了测评体系和测评指标的建立方法,并设计出物联网信息系统的安全测评服务模式,为开展物联网信息系统的安全测评工作提供理论基础。     

基于信息安全等级保护的安全测评服务框架研究

在等级保护工作全面开展的大背景下,等级测评机构如何发挥更大的技术支撑作用引起了业界广泛的关注。文章分析了等级保护工作面临的新挑战,提出了基于信息安全等级保护的安全测评服务框架。安全测评服务框架以信息安全相关标准为基础,以信息安全等级保护实施流程为时间线,针对信息系统备案单位在不同阶段的安全需求及工作重点开展有针对性的安全测评服务,提升信息系统备案单位信息安全管理水平及信息系统安全防护能力。等级测评机构可以通过安全测评服务框架充分发挥其信息安全专业机构的技术能力,在等级保护工作中发挥更大作用。     

浅谈如何推进地市信息安全等级保护工作

当前,地市级单位信息安全等级保护工作进展情况参差不齐,存在缺乏长远与整体规划、技术措施未成体系、运维管理不规范等问题。管理部门要从给政策、教方法、找漏洞、多交流等方面积极作为,测评机构可以在改进服务与测评质量、建立覆盖信息系统全过程的安全服务机制上下功夫,从而与信息系统运营使用单位等形成工作合力,有效推动等级保护工作。     

安全认证 任重道远——访中国信息安全产品测评认证中心主任王海生

在信息技术迅猛飞跃的今天．信息安全是国家安全的重要内容之一。信息安全的测评认证和等级保护日益受到世界各国的重视，对信息安全产品、信息系统、信息安全服务等进行分级测评认证已成为保障国家信息安全的必然趋势。     

等级测评中关键安全保护功能有效性测评技术研究

等级测评中关键安全保护功能是否有效保障信息系统具备相应的安全保护能力是目前等级测评需要解决的技术难点。文章结合等级测评的实际情况,以等级保护相关标准和法规政策等为基础,建立了关联测评对象与安全保护能力的有效性测评指标体系,给出了安全保护功能、控制有效性测评方法和安全保护功能综合评价方法,为信息系统具备的安全保护能力是否真实有效提供了一种确实可行的思路和判定方法。     

信息系统等级保护测评实践

该文针对社会发展对信息化的依赖程度越来越高,而保障重要信息系统安全也是维护国家安全、保障社会稳定的重要组成部分这一事实.随着重要信息系统等级保护工作的深入,信息系统等级自测评与差距分析得到了广泛重视.文章系统阐述了自测评实践中的基本流程、测评方法与测评成果.     

电子政务外网等级保护测评探讨

信息系统等级保护制度是我国加强信息系统安全防护的重要措施,电子政务外网运行着电子政务的公共服务业务,开展等级保护与等级保护测评非常必要,政务外网[2011]15号文要求开展电子政务外网的等级保护与等级保护测评工作。该文就政务外网某网络系统开展等级保护测评为例,探讨等级保护的定级、测评对象与测评机构的选择、测评内容与方法的确定、骨干网络系统的漏洞测试、安全整改等内容。本次测评在属地电子政务行业产生了良好的示范效应。     

信息安全等级保护测评工作实践与探讨

文章通过阐述被测信息系统在等级保护测评中存在的主要问题,分析了形成的原因,从等级测评价格参考规范,加强对托管数据中心的等级保护管理,加强商用密码和数字证书的安全管理和测评,测评报告的专家评审等方面,对测评工作提出建议。     

如何加强测评机构自身的规范化管理，不断提高测评的能力和水平

随着中国信息技术和信息产业的迅猛发展,信息技术的应用领域逐渐从关键业务系统扩展到越来越多的政府机关和企事业单位,信息系统的基础性、全局性作用日益增强。作为保障和维护信息系统安全的重要工具和手段,信息安全等级保护服务在保障信息系统稳定运行中的地位越来越重要。测评机构加强自身的规范化管理,形成优势的服务管理体系,采用最先进的服务理念和技术水平为客户提供服务显得尤为重要。     

综合风险评估工具的设计与实现

研究了信息安全风险评估工具的分类方法与发展趋势，在分析国内外多种风险评估方法的基础上，设计并实现了一个综合风险评估工具。该工具是多专家评估系统，集成了安全管理评价工具、系统软件评估工具和风险评估辅助工具3类工具的功能，运用定量和定性相结合的方法进行风险评估，为提高风险评估效率、确保评估结果的科学性提供了有力支持。     

网络安全评估的量化研究

从安全管理制度、物理安全、主机和应用系统安全、网络和通信系统安全、安全和保障措施等方面,结合日志和统计信息、渗透性测试获取信息,建立网络安全评估模型;引入风险管理的理念,设计风险评分模型;尝试对网络安全进行量化评估。     

机载系统安保风险评估方法

针对影响民用飞机机载系统安全的信息安保威胁问题,通过研究ISO27005和航空工业标准,提出了一种适用于机载系统的安保风险评估方法。该方法基于威胁条件和威胁场景进行系统脆弱性分析,并结合传统的飞机安全性分析方法与安保风险评估方法,提出一套可量化的风险值计算方法。通过关系矩阵在安全性与安保等级间建立了相关性,为系统需求和架构设计提供了依据。实例验证结果表明,该方法能提供正确与可信的机载系统安保风险评估数据。     

Potential Problems with Information Security Risk Assessments

ABSTRACT

To protect the information assets of any organization, management must rely on accurate information security risk management. Management must access the risk to the organizations assets then develop information security strategies to reduce the risks. This assessment is difficult because of rapidly changing technology and new threats that are frequently being discovered. Research to address methods associated with information security risk management includes quantitative and qualitative methods. More comprehensive approaches combine both the quantitative and qualitative methods. This paper argues that current methods of information security assessment are flawed because management decisions regarding information security are often based on heuristics and optimistic perceptions.     

一种基于威胁分析的信息安全风险评估方法

在信息安全领域中,信息风险评估是风险管理和控制的核心组成部分,是建立信息系统安全体系的基础和前提。分析了信息安全风险评估的标准及流程,提出一种基于威胁分析的量化风险评估方法ISSREM。该方法采用多属性决策理论,计算信息系统相对威胁程度,有利于评估者进行比较和选择,通过对威胁频率的灵敏度分析,使评估结果更具客观性和准确性。给出ISSREM的计算模型及用该方法进行风险评估的主要步骤,并结合实例对该定量评估方法进行分析,验证了该方法的合理性与有效性。     

一种主机系统安全的量化风险评估方法

随着信息技术安全问题的日益突出,信息安全产品的开发者纷纷寻求可信的第三方的安全评估,而目前针对主机软件系统的评估方法都存在着一定的缺点。该文结合软件系统的弱点信息,提出了一种主机系统安全的量化风险评估方法,并以评估实例分析了评估算法,最后阐明了本评估方法的优势。     

通信安全保密系统安全性评估指标体系研究

针对通信安全保密系统的特点,结合指标体系建立的原则,利用德尔菲法构建了基于物理安全、运行安全、信息安全及安全管理的通信安全保密系统安全性评估指标体系,并给出了运行安全指标的具体描述。指标体系全面客观的体现了通信安全保密系统的安全风险因素,对于指导通信安全保密系统的设计论证和实施安全风险管理具有重要的参考价值。     

网络终端安全状况评估指标体系的研究

为了准确和全面地评估网络终端安全状况,完善网络信息安全保障体系,提出了一套评估网络终端安全状况的指标体系.该指标体系包含了网络终端资产、威胁和脆弱性的各个方面,减少了人为的主观因素影响.基于信息安全风险评估方法,建立了网络终端安全状况评估模型,利用层次模糊综合评价法及定性分析与定量计算相结合的评估技术对网络终端安全状况进行评估,并结合实例证明了该指标体系的合理性和可行性.     

信息安全风险评估分析方法简述

随着信息化的发展,信息系统依赖程度日益增强,采用风险管理的理念去识别安全风险,解决信息安全问题得到了广泛的认识和应用。该文首先介绍了风险评估工作的操作模式,指出了风险评估的实施过程阶段,简要阐述了信息安全风险评估的主要分析方法。     

信息安全风险管理系统的设计与实现

针对目前风险管理系统中风险消减体现不足以及安全标准难以综合运用的问题,给出了一种新的信息安全风险管理工具的设计思路和实现方法.提出了风险评估结果分析方法和风险消减策略,并对某些风险管理中的关键要素分析算法进行了改进.弥补了诸多风险管理系统设计在功能性与结论数据通用性等方面的不足,提高了实际应用价值.