网络信息安全生命周期(下)

(接上期)四、网络信息安全生命周期 1.网络信息安全规划阶段 在这个阶段中,首先根据用户的网络需求,制定网络信息安全性策略。安全策略应说明网络信息安全要达到的目标、目的,它是战略上的概念,不会对技术和设备提出具体要求,但提供了选择技术、设备的标准;为网络信息安全整体防护提供了框架;为我们的行动指出方向;使我们在整个网络信息安全生命周期的活动具有一致性。制定安全策略要遵循如下几条重要的原     

内部网安全解决方案

在与外部环境物理隔离的内部网中,分析资产及其脆弱性和面临的威胁,进行风险分析,确认安全需求,制定安全策略,采用可靠的安全技术实现物理安全、设备安全和信息安全,建立一套自上而下的安全组织机构和有关管理的规章制度,可保障内部网安全可靠有效地运行。     

信息安全策略的原则和方法

制定恰当的安全策略是实现信息系统安全目标的根本保证。本文首先对信息安全策略的原则作了详细的论述,然后以一个“密码安全策略”的示例来阐述安全策略的实现方法。     

新书上架

编写信息安全策略定价:28元确定组织的安全策略是一个组织实现安全管理和技术措施的前提,否则所有的安全措施都将无的放矢。本书以通俗的语言描述了什么是安全策略、怎样编写安全策略以及策略的维护周期,并给出了许多安全策略的样板。     

BS7799系列讲座之二 搭架子的学问

对于一个组织来说,比较切实可行的第一步是建立信息安全管理框架。 按照英国国家标准局制定的BS7799-1《信息安全管理实践规范》和BS7799-2《信息安全管理体系规范》,可以帮助在组织中建立一个初步的、易于实施和维护的管理框架,在框架内通过安全管理标准,提供组织在信息安全管理的各环节上一个最佳的实践指导。     

了解风险 对症下药

安全评估是前提 信息安全旨在保护信息资产免受威胁。考虑到所有类型的威胁,绝对安全与可靠的网络系统并不存在。只能通过一定的措施,把风险降低到一个可以接受的程度。 信息安全评估是有效保证信息安全的前提条件。只有准确地了解系统的安全需求、安全漏洞及其可能的危害,才能制定正确的安全策略,制定并实施信息安全对策。另外,风险评估也是制定安全管理措施的依据之一。     

提高管理效能建立内控环境--南京某大型研究所内控安全规划

一、如何解决信息系统内部安全管理的“困惑”内控安全是一个综合性课题,涉及立法、技术、管理、使用等许多方面。建立内控安全策略,必须深刻理解自身的内控安全需求,实事求是,制定符合单位实际需要的明确的内控安全策略,资源共享和信息安全永远是一对矛盾,实用的内控安全模型,     

信息安全策略开发的关键问题研究

本文在辨析信息安全策略概念基础上,提出了信息安全战略和特定信息安全策略相结合、特定信息安全策略以资产安全保护策略和共性安全防护措施使用策略为经纬的安全策略架构,并针对安全策略生命周期中的关键活动给出了指导方法。     

基于UCON的访问控制框架设计

访问控制是国际标准化组织ISO在网络安全标准(ISO7498-2)中定义的安全信息系统的基础架构中必须包含的五种安全服务之一,是信息安全防范和保护的主要技术和有效手段。将UCON模型与Flask安全体系结构结合,提出并设计了基于UCON的访问控制框架,该框架允许管理员为应用制定更为精确、更为细粒度的安全策略,同时其动态的授权机制使访问控制决策取决于策略中多种有效的上下文限制条件,而不是简单的取决于用户角色。     

浅析网上银行业务的安全规划和实施措施

网上银行安全规划工作的思路网上银行安全规划首先是制定整体安全策略,因为一个整体安全策略能够为网上银行系统建设提供安全方面的政策性指导、确定安全建设的宏观方向、确定有关管理制度的制定原则、确定有关管理机构的框架。     

一个灵活的操作系统安全框架FMAC

当前,操作系统的安全需求越来越多样、灵活和具体,它们往往只描述系统中一小部分实体之问的约束,但对安全策略的灵活性厦定制的简洁性有较高的要求。传统的安全框架,如FLASK等,难于满足此类“轻量级”的安全需求。本文提出的FMAC框架专门面向此类安全需求,它定义了基于标记迁移系统LTS的安全策略模型,以规范和简化安全策略的定制。FMAC框架由通用的对象管理器模型和安全策略管理器模型组成。讨论了FMAC在Unix类操作系统中的实现,通过层次式的客体组织与基于角色的主体组织,普通用户可以方便快捷地定制出满足要求的轻量级安全策略。     

基于模糊综合评价和多神经元算法的安全评估与策略管理模型

信息安全是一个范围广泛的技术问题。从技术的角度来看，它涉及信息安全的防范、检测、响应等方面。目前，研充网络入侵行为特征，对他们进行处理评估，建立严密的信息安全防范体系，并对已经检测到的入侵行为采取必要的快速反击措施，制定出对应的安全策略，对未知或难以检测的攻击提供关键系统的网络容灾能力，正成为信息安全研究的热点之一。企业必须安装和维护安全解决方案，制定安全策略，采取安全措施，这些措施不仅要切实可行，而且必须要看起来也非常有效，可见，打造企业网络安全策略迫在眉梢。     

七步完善你的信息安全计划

信息安全计划是企业为了保障信息安全而必须监管的一套控制机制。其内容主要包括企业为保护重要数据资产需要采取的安全策略和过程。信息安全计划应当有一套有效的步骤。本文讨论改善此过程的七个步骤。1制定或获得安全计划 很多中小型企业并没有一套安全计划,即使有,往往也是一纸空文。制定一套信息安全计划有助于企业将重点放在需要保护的资产和安全风险上,同时也会引导企业采取减轻风险的措施。     

构筑电力系统的安全堡垒

信息安全管理是电力企业信息安全的核心。安全管理主要包括安全策略、风险管理和安全教育三个方面。这三部分是电力企业安全规划和实施的基础。     

方正防火墙在国税总局金税工程中的应用

为了提高税务系统广域网络网间通信的安全性,方正信息安全技术有限公司根据税务系统信息安全体系建设的总体目标,提出针对目前税务系统广域网络防火墙子系统的技术需求和工程实施需求。以金税工程(三期)的安全需求为税务信息安全体系建设的总目标,保证金税工程(二期)网络及应用系统安全的需求,基于现代信息安全理论,采用目前国内先进的信息安全技术,建设国家税务系统统一、安全、稳定、高效的信息安全体系,形成涵盖税务系统网络、应用和管理等信息系统各个方面的安全总体方案及安全策略,根据税务系统信息化建设进程制定税务信息安全体系建设…     

PKI体系下的电子政务信息安全研究

从电子政务的信息安全角度出发,介绍了目前电子政务的网络结构,并结合PKI整体的特性,探讨了PIK体系下的电子政务安全体系,建立制定全面的安全策略。为建立科学化、合理化的电子政务安全体系提供了方法。     

网安书架

本书主要针对“注册信息安全专业人员”培训,以注册信息安全专业人员所应具备的知识体系为大纲进行编写。全书主要介绍了风险评估、安全策略、安全工程以及信息安全管理的基本知识,并详细列述了对环境、人员、软件、应用系统、操作和文档的安全管理,应急响应和灾难恢复,国家信息安全组织结构等与信息安全管理有关的内容。通过对本     

基于效用的安全策略选取模型

把效用理论引入信息安全风险领域,利用效用函数,建立了安全策略评价模型。在此基础上,提出了如何确定组织所面临安全风险的最高防护代价的方法,并进一步利用优化理论,建立了寻求最优安全策略的模型,为寻求最优安全策略提供方法,提供了可接受风险的确定依据。     

持续保障企业信息安全

信息安全实际上是一个架构，其中包括一套完整的作业流程及运作机制。ISO27001（原B57799标准）正是这样一套信息安全领域的国际标准。它已经成为世界上应用最广泛的、典型的信息安全管理标准。ISO27001的信息安全架构共包括11个控制域、39个控制措施、133个控制点。其中的控制域包括：安全策略、信息安全组织、资产管理、人力资源安全、物理和环境安全、[第一段]     

关于信息安全管理体系的研究

文章对信息安全体系的定义、功能以及构建方法进行了详细介绍,然后在信息安全管理标准和安全特性的基础上构建信息安全管理模型,并且重点分析了如何有效地进行信息安全的风险评估、安全策略以及安全控制。