美日俄信息安全体制机制研究(三) 信息安全机构

<正>1美国信息安全机构(1)美国的信息安全机构设立完善、职责明晰。由总统指挥,网络协调员协助,主要分布在三个层面:总统办事机构、内阁和独立机构。国家安全委员会是美国信息安全体系的中枢。一是总统办事机构,主要包括国家安全委员会、国家情报总监、信息共享环境项目经理。如2009年设立了信息安全办公室,主要负责为政府编纂和综合所有的信     

美日俄信息安全体制机制研究(二) 信息安全法规建设

<正>1美国信息安全法规体系1978年以来,美国先后出台了130多项涉及信息安全管理的法律法规,包括联邦立法和各州立法,并采取强有力的立法措施,陆续颁布一系列法律、法规和指南来提高对信息安全的保障能力。作为信息产业发展最为迅速的国家,美国拥有世界上最先进和最庞大的信息系统,对信息网络的依赖性也最大,信息安全问题成为其主要的现实隐患之一。因此,美国在促进信息产业迅速     

美日俄信息安全体制机制研究(四) 关于提升我国网络实现能力和加强国内外合作的建议

<正>1尽快制定国家信息安全战略中国信息安全实力落后于美国最根本的原因在于缺乏信息安全战略,缺乏一个着眼未来、统筹各方和谋划全局的高层次的战略规划,进而导致我国信息安全技术、产业、服务、标准乃至政策制定和事件响应都处于被动地位。建立国家级的网络空间战略,特别是信息安全战略,是与美国争夺互联网网络空间安全控制权的必由     

信息安全策略研究(一)

在当前形势下对组织信息安全策略的必要性、开发和贯彻实施做了有益探讨,提供了一个成文的《Email安全策略》,并对信息安全策略的优劣评价考虑的因素提供了参考。     

信息安全风险管理(一)

我们讨论信息安全，关注信息安全存在的问题及面临的威胁，那么到底什么是信息?什么是信息安全呢?ISO／IEC的IT安全管理指南(GMITS，即ISO／IEC TR 13335)对信息(Information)的解释是：信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。一般意义上．信息是指事物运动的状态和方式．是事物的一种属性，     

信息安全策略研究(二)

(二)信息安全策略的主体内容 信息安全策略通常不是一篇文档,根据组织的复杂程度还可能分成几个层次,其主题内容各不相同。但是每个主题的策略都应该简洁、清晰的阐明什么行为是组织所望的,提供足够的信息,保证相关人员仅通过策略自身就可以判断哪些策略内容是和自己的工作环境相关的是适用于哪些信息资产和处理过程的。例如“绝密级的技术、经营战略,只限于主管部门总经理或副总经理批准的直接需要的科室和人员使用,……使用科室和人员必须     

美国信息安全战略中的系统安全评估工作(上)

制定国家信息安全战略,应从顶层规划一个国家的信息安全工作,做出科学部署,使信息安全的主管机关和决策者能够心中有数,各级单位行动有方。其中,如何通过若干条     

美国信息安全战略中的系统安全评估工作(下)

五、信息系统的安全要求NIST在2003年10月末发布了SP 800-53《联邦信息系统安全控制的建议》,为每一类别的信息和信息系统制定最小的信息安全要求。这些安全要求分为管理类、运行类和技术类控制,管理控制针对信息系统的安全管理以及系统风险管理,运行控制针对主要由人(与系统相对)来实施和执行的安全机制,技术控制则针对包含在计算机系统中并由计算机系统来执行的安全机制。它们均来自已被业界广为接受的安全规范,例如NIST SP 800-26、DoD8500、ISO/IEC 17799等。安全控制的体系结构得到了精心设计,它由三个主要部分组成:(1)“控制…     

俄罗斯联邦信息安全立法研究(下)

随着计算机网络技术的产生和应用,社会信息化和信息社会化成为国家政治、经济、文化等各个领域的发展趋势。近年来,俄罗斯联邦对信息领域中的政策研究和规范制定愈来愈重视并取得了丰富成果,信息化与信息安全保护的法律和制度体系日趋完善,相应的组织机构和技术手段得到快速发展。总结、分析、借鉴俄罗斯联邦在法律制定和制度构建中的经验,对我国信息安全立法活动具有重要意义。     

信息安全风险管理(二)

风险管理的首要任务是明确信息安全目标(Objective)，即信息安全管理所要实现的目标。安全目标决定了组织能够接受的风险水平和所应满足的安全程度，这是信息安全管理得以成功的关键。为了确定安全目标，组织应该充分考虑对其商务功能起着支持作用的信息资产的重要性和价值，在此过程中，组织应该考虑到以下问题：     

国内外信息安全研究现状及发展趋势(摘编)

信息安全的技术保障是信息安全保障体系的重要支撑环节,没有技术的有力支撑,我国的信息安全就如同建在沙滩上的高楼,随时有可能出现意想不到的风险和隐患。网络安全的解决又是一个综合性问题,涉及到诸多因素,包括技术、产品和管理等。目前国际上已有众多的网络安全解决方案和产品,但由于出口政策和自主性等问题,不能直接用于解决我国自己的网络安全,因此我国的网络安全只能借鉴这些先进技术和产品,自行解决。本期杂志特摘登了信息安全专家冯登国研究员曾发表过的一篇论文,以加深读者对信息安全技术支撑体系的认识。     

信息安全风险管理(三)风险评估(上)

风险评估是对信息资产面临的威胁．存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。     

信息安全风险管理(三)风险评估(下)

风险评估是组织确定信息安全需求的过程．包括资产识别与评价、威胁和弱点评估、控制措施评估、风险认定在内的一系列活动。图1所示就是风险评估完整的过程模型。     

网络信息安全生命周期(下)

(接上期)四、网络信息安全生命周期 1.网络信息安全规划阶段 在这个阶段中,首先根据用户的网络需求,制定网络信息安全性策略。安全策略应说明网络信息安全要达到的目标、目的,它是战略上的概念,不会对技术和设备提出具体要求,但提供了选择技术、设备的标准;为网络信息安全整体防护提供了框架;为我们的行动指出方向;使我们在整个网络信息安全生命周期的活动具有一致性。制定安全策略要遵循如下几条重要的原     

网络信息安全生命周期(上)

引言 正如大家见到的,网络信息安全得到了普遍的关注,各国政府、各大商业机构、组织都投入了巨大的人力、财力解决日益恶化的安全问题。对网络信息安全的研究从上个世纪六十年代就已开始,到目前为止已有多项完全成熟或正在成熟的安全技术,如防火墙、入侵检测、安全审计和安全扫描技术等,而且市场上的相应安全产品也极其丰富,     

金税工程(三期)信息安全保障体系的研究

通过对我国金税工程的发展历程和即将建设的金税(三期)工程的简单介绍,指出面对税务信息系统这一庞大、复杂的巨系统,安全隐患随处可见,信息安全至关重要,并着重提出了构建金税工程(三期)信息安全保障体系的策略和途径.     

基于知识产权战略的企业信息安全研究

本文认为企业经营者在运用相关技术的同时,也应当从企业信息本身的内容和性质上来思考企业的信息安全这一问题,从知识产权战略的角度来保护企业的信息安全。     

信息安全与数字版权保护(下)

目前,在版权保护方面主要有两大类技术,一类是数字水印,另一类是采用加密技术将版权保护和版权管理分布式处理计算的方法。比如数字指纹,数字签名,安全容器等都属于加密技术。加密技术的核心是密码学,使用其来进行版权保护,得到的安全性极高,处理速度快,用时要将媒体加密为乱码,用户只有从认证中心获授权中心获得密钥才能得     

信息安全与数字版权保护(上)

数字版权保护是信息安全的重要应用之一。本文分析了目前流行的数字版权保护标准与系统的特点及其发展,并对用于数字版权保护的信息安全技术进行了阐述。在此基础上,指出了数字版权保护应考虑的问题及其发展趋势。