真理来自于现实

企业组织每天都会从信息应用环境中获得大量的数据,包括系统日志、防火墙日志、入侵检测报警等等。是否能够从这些信息中有效的识别出安全风险,是风险管理中重要一环。入侵检测技术难以完美地与安全响应机制结合起来。对需要高度自动化的风险管理需求来说,如何有效地应用入侵检测技术是一个有待解决的问题。目前的技术手段主要被应用于信息的收集、识别和分析,也有很多厂商开发出了整合式的安全信息管理平台,可以实现所有系统模块的信息整合与联动。入侵检测:安全风险监控器安全领域的很多专家都提出边界防御已经无法满足今天的要求,为了提…     

风险导向审计在电网企业中的应用

从风险导向审计的定义和特点出发,结合目前电网企业内部审计现状,分析了在电网企业开展风险导向审计的必要性和重要性,并从电网工程建设管理方面对风险导向审计在电网企业内部审计中的具体应用进行了初步探讨,以求进一步提升电网企业的内部审计和综合管理水平。     

信息安全风险管理(四)--风险控制

经过风险消减阶段的行动，组织的预期安全目标应该已经达到了．即将安全风险可能造成的影响降低到可接受的水平，但只是达到这一效果还不够．组织还应该力求维持这样的安全状态．使新的安全措施保持其效力这就需要继续进行风险控制(Risk Corfrol）。     

真理已死?

上微博时间长了,突然感觉有些审美疲劳,尤其是对充斥在微博上的所谓哲言心语、名言警句越来越反感。记得小时候可是最爱这些言简意赅、精辟的语录,还记得上初中的时候,经常把《意林》上面的语录和寓言故事抄写在自己的日记本上,上高中的时候,还整天背各种各样的名言警句,并且不亦乐乎。工作以后曾经买过一本《小故事大道     

撼动(IT)安全的错觉

通过更好地利用身份、系统日志、和实时安全事件信息,可实现更高水平的IT安全和合规管理,同时降低相关成本。在过去的10年中,各家公司企业都已在安全与合规管理方面投入数百万资金。但现实情况却非常不幸,他们花费很多却没有换得什么安全或合规保障。至今,许多公司企业仍不具备确保或确证他们的系统是安全且符合法律规定的能力。为什么会是这样的一种情形?这是因为许多公司企业常常是以战术性或特别对待的方式投入人力和技术对待这些问题,而不是作为系统性挑战处理安全与合规。     

警惕!黑客就在身边--隐藏在身边的即时信息软件安全隐患

2002年11月13日,微软推出了面向企业的Microsoft.NET Messenger(MSN)聊天端客户程序,而在微软之前,市场上已经有多家同类软件,ICQ、AOLInstant Messenger(AIM)、Yahoo!Messenger、Microsoft.NET Messenger、这些都属于即时信息IM(Instant Messages)软件范围,微软的加入,使原本     

企业网络信息安全技术研究

随着企业信息化的不断发展,网络信息的安全越来越受到各个企业的关注。本文分析了企业网络信息当前存在的主要安全隐患,对企业网络信息安全技术进行研究,并结合企业网络安全需求,从技术方面出发提出了解决企业网络安全的策略。     

COBIT信息安全风险评估方法探讨

COBIT作为一种IT治理模型在近几年被越来越多的组织所接受，风险管理则是组织所采用的最多的管理信息安全问题的方法，与COBIT的控制思想相同，两类方法都需要明确管理或控制的目标，并将其作为起点实施各项控制或审计工作。     

如何使企业安全意识培训更有成效

许多安全专家重视技术和安全风险的培训,并以此作为一种“亡羊补牢”之举。有不少企业先买设备或服务,而后才是培训,这是一种错误的方法。要知道,如果恶意攻击者成功地诱惑了一个内部人员,那么防火墙将无法保护企业。     

移动支付系统安全合规性检测与分析方法研究

介绍移动支付业务的发展现状和移动支付系统安全合规性检测的重要性,研究相关安全标准对信息系统安全合规性检测的要求,重点从基于系统日志信息、基于网络通信信息和基于系统配置三个方面描述合规性检测分析方法.在此基础上设计移动支付系统安全合规性分析与自动化检测模型,提高检查结果的准确性和合规性,有利于移动支付系统的持续安全运维.     

COBIT保证信息安全

要评估企业的信息安全框架是否已有效建立,技术防火墙与人力防火墙能否起到应有的作用,这就需要进行信息系统安全审计。目前国际上通用的信息系统审计的标准是信息系统审计与控制协会在1996年公布的COBI(TControlObjectivesforInformationandrelatedTechnology,关于信息及相关技术的控制目标),它是信息系统审计和控制基金会(ISACF)的一项主要研究成果。它主要致力于对信息和信息技术的管理与控制。COBIT是一个具有突破性的IT管理工具。它有助于了解和管理有关信息及IT的风险。此外,它在商业风险、控制需要和技术问题之间架起了一…     

风险管理平台化

为什么需要风险管理企业为什么需要集中管理安全风险?先来看一个真实的案例:一家大型的国际性商业银行曾经发生了严重的安全事件,这促使其重新评估已有的安全事件处理程序和方法。这家银行在世界各地的办公室通过局域网和互联网相互连接。遭受攻击时,银行有限的安全人员正忙于对每天超过30万个安全事件进行分析。由于缺乏有效的手段以及数据量庞大,早已疲于应付的银行安全工作人员浪费了大量时间,用于分析多数证明是“假性”的安全事件。这极大地妨碍了他们快速应对真正的安全事件和实际威胁,从而危及到银行的安全。为了提高安全性并使商业…     

电子商务安全审计系统的设计与实现

由于系统软件设计漏洞的无法预料,黑客攻击手段的不断变化,传统网络安全产品已不能满足黑客重点攻击的电子商务服务器系统的安全要求。该文在分析基于主机和基于网络的入侵检测系统的特点的基础上,提出了一种电子商务安全审计系统的设计。     

浅谈网络安全审计系统

目前解决网络安全主要采取的技术手段有防火墙、入侵检测等.它们对防止外部入侵有一定的效果,但并不能完全阻止入侵者的攻击,特别对于内部安全问题的防范比较薄弱.在这种情况下,网络安全审计系统应运而生.本文从网络安全问题的分析提出网络安全审计系统,并对其应用及存在的问题等作了一些探讨.     

如何轻而易举追溯黑客攻击的准确地址?

通常我们讲的上网安全只局限于中毒,实际网络安全是一个复杂的工程,涉及综合的技术。任何网络安全措施都无法保证万无一失,然而一些重要的部门,一旦网络遭到攻击后果不堪设想。如何追踪网络攻击,追     

防火墙和安全审计

单纯网络安全设备的部署,仅仅是安全的一个开端,只是添加了安全大厦的砖瓦,构筑了骨架而已。因为对于硬件设备的一味依赖与迷信,易造成安全审计上的松懈．因此有人发出“一个具有部分安全措施的网络甚至还不如一个完全没有安全措施的网络”的感慨。安全审计不是网络策略中最重要的部分,但是必不可少的部分。     

决策理论在信息安全风险管理中的应用

信息安全是近年兴起的一个新兴的领域，对于一个组织来说，信息安全需要的是保障企业信息的机密性、完整性和可用性三项安全属性，控制由于信息安全属性被破坏对企业产生的风险。如何选择适当的措施实现风险控制目标，是组织实现风险管理面临的首要问题。从管理学的角度来看，上述的问题可以看作是决策的问题，本文将根据决策理论，根据信息安全风险管理的特点提出解决上述问题的一种思路。     

信言息安全风险管理的动态与趋势

如今，风险管理已经是信息安全保障工作的一个主流范式。信息安全防范工作越来越基于风险管理。互联网的飞速发展使得公众网络的应用越来越广泛，在公众网络中间构建相对可信的网络，成为世界各国发展信息化的主要需求。如何有效地管理信息安全风险，自然成为各方面都十分关注的问题，本文对国内外信息安全风险管理的动态和趋势作一简要勾勒，供大家参考。     

基于防火墙技术的内网安全研究

探讨了企业内网安全问题。介绍了防火墙技术及其应用。