信息安全的风险评估

随着科技信息化的发展,信息安全问题成为信息系统最重要的问题之一。信息安全风险评估是建立信息系统安全体系的基础,能有力保障信息系统的安全性,促进国家信息化的发展。该文将对我国信息安全的风险评估问题进行探讨,并对信息安全风险评估的相关问题提出相应对策。     

对信息安全风险评估中几个重要问题的认识

与世界其他国家特别是发达国家相比,我国对于信息的研究历程较短;随着网络信息技术的快速发展,也正在不断暴露出网络安全问题;而建立信息安全体系的基础就是有关信息安全风险评估,它是构成信息系统安全工程的一个重要部分;基于此,有关网络信息安全风险评估工作在当前最需解决的几个问题,在此做了一些探讨。     

木桶新理论与信息安全

传统的木桶理论在信息安全中的运用,让我们了解如果只着眼于最短木板,而忽视了木桶底板这个基础,忘记了使木块成为木桶的桶箍的作用,那么信息安全这个木桶还是很不成熟、不完善的。     

信息安全风险评估在构筑信息安全保障体系中的作用与地位

近年来,我国面临的信息安全形势十分严峻,对信息安全的保障需求日益提高,从而加大了对信息安全保障体系建设的迫切性。其中,作为衍生于信息安全保障体系建设过程中,又指导着信息安全保障工作开展的信息安全风险评估理论和实践,既是一个重要手段和补充,又是一个安全评估在信息技术领域应用的崭新领域。如何利用信息安全风险评估构筑信息安全保障体系,成为当前信息安全保障工作的重要课题。文章主要从信息安全需求、信息安全保障过程中实际存在的困难以及信息安全风险评估的理论等三个方面的论述,并针对信息安全风险评估在构筑信息安全保障体系中的作用与地位的问题展开探讨和研究,最后阐述了信息安全风险评估的实践理论对信息化安全保障工作的启示意义。     

信息安全风险评估工具的设计与实现

文章基于典型的风险评估流程给出了一个有效的风险评估辅助工具的设计方案。该方案中,根据风险评估涉及要素多、过程复杂、不易实施等特点设计了内容丰富的信息库,包括了资产、威胁和脆弱点的分类及分级等重要信息,使用户可有效地对要素进行识别和赋值。同时,方案的设计能够为识别出的威胁提供控制措施,并在评估的最后,按照矩阵法对系统风险值进行计算,使用户清晰地了解信息系统安全状况,并采取有效的控制措施。     

信息安全风险评估工具的设计与实现

研究了信息安全风险评估工具的分类方法与发展趋势,在参考国内外评估方法和评估工具的基础上,对风险评估工具进行了设计与实现。该工具是专家评估系统,根据自定义的安全策略和安全基线动态生成调查问卷表,运用定量和定性相结合的方法进行风险评估,为提高风险评估效率、确保评估结果的科学性提供了有力支持。     

综合风险评估工具的设计与实现

研究了信息安全风险评估工具的分类方法与发展趋势,在分析国内外多种风险评估方法的基础上,设计并实现了一个综合风险评估工具。该工具是多专家评估系统,集成了安全管理评价工具、系统软件评估工具和风险评估辅助工具3类工具的功能,运用定量和定性相结合的方法进行风险评估,为提高风险评估效率、确保评估结果的科学性提供了有力支持。     

谈信息安全等级保护建设与风险评估

对等级保护工作中如何结合信息安全风险评估进行了有益的探索,为有效地支撑信息系统等级保护建设的顺利进行提供了参考。     

信息安全风险评估学习中的问题与对策

在教学过程中发现,学生对学习信息安全风险评估课程始终没有兴趣,对课程的地位、内容、作用和应用,一直处于模糊的状态。如何让学生学以致用,提高学习的积极性,通过对教学设计进行改革和实践,收到了好的教学效果,有一定的推广价值。     

基于电子商务的信息安全风险评估与对策

近年来,电子商务业务在我国的发展日益迅速,随之而来便是备受人们关注的电子商务系统的信息安全问题及其风险评估。本文在就我国电子商务系统所存在的信息安全问题进行讨论的基础上,分析了我国电子商务信息安全风险评估的现状与改善对策,旨在提高我国的电子商务信息安全风险评估意识和技术,建立一套完善的电子商务信息安全及评估机制。     

信息系统风险评估工具的分析与设计

英国信息安全管理标准BS7799是在信息系统网络评估中比较重要的一个标准,该文在深入分析该标准的基础上,讨论了基于该标准的信息系统风险评估工具的分析和设计,为信息系统风险评估工具的研究提供了可借鉴的经验。     

风险评估与业务影响分析的区别与联系

在信息安全管理工作中经常会遇到两个术语:风险评估(RA)与业务影响分析(BIA),两者具有很大的相似性,却又是两个不同的概念,它们的关注点和侧重点均有所差别,从多个方面对两个概念的区别与联系进行了分析.     

两种安全风险评估方法NIST与OCTAVE的比较研究

本文以NIST信息安全风险评估的九个步骤为参照框架,详细比较研究了NIST与OCTAVE安全风险评估过程的异同。     

信息技术安全风险评估框架与模型综合分析研究

本文借鉴信息技术安全风险相关理论研究成果,认为CORAS框架有优于其他风险评估框架与模型的诸多方面,应用范围广泛,不论是大型组织还是中小型组织,评估效率更高,结果相对更准确,其集成性和可扩展功能,使其比传统评估方法更具发展空间,但是要将其更好地应用于财政管理信息系统的风险评估,还要结合诸多方面进行优化研究。     

企业成长探索真"蓝海"产业发展迎来新"元年"——回望2006年中国信息安全市场

在即将过去的2006年,信息安全产业从年初到岁末,始终是高潮迭起,热点不断。与以往不尽相同,今年的信息安全问题,已不仅仅是一个行业的技术问题,还包括信息安全的管理问题,网络犯罪的治理和执法问题,尤为重要的是上升到国家安全的角度。从某种角度讲,当今社会的信息安全问题,已经成为一项涉及政府、企业和个人的复杂工程,成为需要社会各方各界共同关心、共同努力的国家大事。2006年,中国信息安全产业可以用四个词来概括——平稳发展、暗流涌动、理性回归、弄湖蓝海。详见“企业成长探索真‘蓝海’产业发展迎来新‘元年’”一文。     

安全2004回眸成熟的市场不成熟的技术

本期焦点栏目文章“成熟的市场不成熟的技术”、“三个法宝一个支撑——我国信息安全标准、法律、管理与人才体系建设”,从技术、管理、标准、法制、人才等不同层面,对信息安全行业发展的现状、趋势、存在问题等作了深度分析,文章作者提出了一些独到的见解,颇有创意,希望能启发读者在岁末年初作些回顾和展望,并展开讨论。     

浅谈漏洞评估与管理产品现状及趋势

漏洞是引发信息安全问题的重要原因之一,漏洞评估与管理产品是一种针对系统、设备、应用的漏洞进行自动化检测、评估到管理的工具,广泛应用于信息系统安全建设和维护工作,是评估与度量信息系统风险的一种基础手段。从技术发展角度,结合IT建设的发展变化,对未来该领域技术和产品的发展趋势进行论述。     

基于XML的信息安全风险评估系统研究与开发

针对典型的信息安全风险评估要求,提出了综合的评估流程,完成了系统的设计和实现.系统信息库设计时除去了大量繁冗的信息;评估识别时,对资产、威胁和脆弱点的内容进行了详细地分类;评估赋值时,在单一的系统赋值基础上扩展了用户和专家同时参与的功能.同时,在风险矩阵计算的前期工作中加入了对系统、用户和专家赋值综合考量的处理思想.基于JavaEE及XML等上乘主流技术开发方案为该系统的安全性,多平台适应性提供了良好的条件.     

信息安全专用芯片研制与应用风险评估机制初探

提出针对信息安全专用芯片研制与应用进行全周期风险管理,给出了风险评估的具体步骤,揭示了风险管理与信息安全专用芯片生命周期及安全目标的关系,针对信息安全专用芯片研制与应用提出了若干建议.提出的风险评估和全生命周期风险管理理念对于其他信息安全设备研制与应用也具有借鉴意义.