电子政务信息安全评估技术研究

随着世界科学技术的迅猛发展和信息技术的广泛应用,国民经济和社会对信息和信息系统的依赖性越来越大,越来越多的政务工作是通过网络进行无纸化办公,但同时由此产生的信息安全问题对国家安全的影响日益增加、日益突出,国家安全面临着新的挑战。本文以电子政务信息安全评估技术为研究内容,包括信息安全评估结构、信息安全评估模型、信息安全评估内容等研究方向。     

基于网络综合扫描的信息安全风险评估研究

信息安全风险评估是安全风险管理的重要内容,是保障信息系统安全性的重要手段。利用网络综合扫描工具可以对信息系统进行有效的安全风险评估,从而维护系统的安全性。首先给出了安全扫描技术的分类,网络综合扫描的概念,并介绍了常用的网络综合扫描工具。然后对信息安全风险评估,介绍了其评估方法、评估流程和评估工具。最后,给出了利用网络综合扫描工具实现信息系统安全风险评估的原理,并通过扫描工具X-Scan进行测试。     

一种基于灰色关联分析的信息安全风险评估方法研究

随着信息化进程的快速发展,保障信息系统的安全性和降低信息系统潜在的风险,一直是国内外学者关注的焦点,而风险评估正是解决该问题的有效方法之一,但是在风险评估过程中存在评估指标难以量化、风险值难以界定等困难,因此文章提出了一种基于灰色关联分析的信息安全风险评估方法,该方法首先建立了信息系统的风险评估指标体系,其次将评估的信息系统与最优信息系统进行关联度分析,最后得出信息系统风险的准确度量。该方法可以使信息系统的评估过程简单化,标准化。     

基于层次分析涉密信息系统风险评估

信息技术的发展使得政府和军队相关部门对信息系统安全问题提出更高要求。涉密信息系统安全有其独特性,风险评估区别于普通信息安全系统。文章以涉密信息系统为研究对象,首先阐述涉密信息系统的特点,针对其独特性对现有信息安全风险评估方法进行分析评价。然后将基于层析分析法的评估模型引入到涉密信息系统安全风险评估中。为涉密信息系统进行风险评估提供一种新的技术思路。最后通过实例分析,所提模型在处理涉密信息系统评估过程中对得到的离散数据分布无要求,与德菲尔法以及 BP 神经网络相比,该模型具有一定实用性和可扩张性,适合用于实际地涉密信息系统风险评估中。     

对信息系统管理中信息安全风险评估研究

这些年来,随着信息科技的快速进步,信息系统管理中的信息安全工作也就越发重要,这也是社会上普遍关心的问题.对信息系统管理中的信息安全的影响要素加以评估,是对信息系统安全的关键性保护举措.本文通过对信息系统管理中信息安全的风险评估的现状展开分析,对信息的安全性和薄弱性加以详尽的阐述,进而给出信息安全风险评估建议,旨在为今后信息系统管理中信息安全风险的评估研究相关工作给予些许帮助.     

基于模糊综合的信息安全风险评估

随着社会的持续发展和国家信息化步伐的加快,信息安全问题对国家安全的影响日益增加与突出。为了对安全性进行高效地评估,达到提高信息系统安全性的目的,文中提出了一种基于模糊综合评判理论的信息系统安全风险评估模型和方法。模型采用多层结构,引入了关系矩阵描述各个评价因素之间的相互影响关系,并提出了安全性评估指标体系,使用定性和定量的评估方法对安全性进行评估。对模糊综合得出的结果提出了分析方法来获得信息系统的综合风险评价,改变了传统将信息系统看成＂黑盒＂来评估的方法,是对以往安全性评估方法的补充。     

基于模糊综合的信息安全风险评估

随着社会的持续发展和国家信息化步伐的加快,信息安全问题对国家安全的影响日益增加与突出。为了对安全性进行高效地评估,达到提高信息系统安全性的目的,文中提出了一种基于模糊综合评判理论的信息系统安全风险评估模型和方法。模型采用多层结构,引入了关系矩阵描述各个评价因素之间的相互影响关系,并提出了安全性评估指标体系,使用定性和定量的评估方法对安全性进行评估。对模糊综合得出的结果提出了分析方法来获得信息系统的综合风险评价,改变了传统将信息系统看成＂黑盒＂来评估的方法,是对以往安全性评估方法的补充。     

一种实时的信息安全风险评估方法

信息安全风险评估是信息系统风险管理的重要组成部分,是建立信息系统安全体系的前提和基础。论文简要介绍了信息安全风险评估,进而提出了一种定性、定量评估相结合的实时的信息安全风险评估方法。该方法通过分析系统的资产、弱点和威胁,根据安全设备产生的安全事件,实时地评估信息系统的风险。     

基于风险权值的等级评测模型研究

信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段,是信息安全等级保护制度建设的重要科学方法之一。文章基于风险评估的核心思想,从现有的风险评估和等级测评模型入手,介绍了风险评估的框架、流程,还分析了现有等级测评的基本流程和等级测评模型。并进一步建立了一种新的基于风险权值的等级测评模型。该模型在对整个信息系统的符合情况进行统计分析时,用风险权影响统计分析结果。使统计分析结果更贴近信息系统的实际安全状况,解决了统计分析结果受信息系统规模大小的影响。     

新闻纵横

中国信息安全论坛召开 2004年6月27日,“2004'中国信息安全论坛·信息系统安全保障与评估研讨会”在京召开。 本次研讨会以“研究理论、交流技术、发布标准、推广实践”为会议宗旨,目的     

信息系统安全瓶颈的飘移

信息系统安全性往往取决于结构中最薄弱环节，而这样的安全瓶颈又往往是动态变化的。针对这样一个基本原理，力图建立一个可量化的、对系统处于变化中的安全薄弱环节能快速定位的模型。利用这种模型，可对目标系统提出正确的评价和改进意见，从而能真正提高目标信息系统的安全度。     

信息安全等级测评师素质模型分析

随着信息安全等级保护工作在全国范围内的开展,信息安全等级测评体系的建设与测评工作已成为开展信息安全等级保护工作的关键环节。测评体系建设和测评工作实施的主体是测评机构和测评人员,等级测评师的岗位素质关系到信息安全等级保护测评工作的有效开展。本文通过文献研究、行为事件访谈法和问卷法等研究方法,建立了拥有4个维度、16个项目的适合信息安全等级测评师的通用素质模型。并对信息安全等级测评师素质模型进行了研究分析,为等级测评机构进行等级测评师的招聘、选拔和培训工作提供了新的理论依据。     

A study on information security management system evaluation—assets, threat and vulnerability

The security of information system is like a chain. Its strength is affected by the weakest knot. Since we can achieve 100% Information Security Management System (ISMS) security, we must cautiously fulfill the certification and accreditation of information security. In this paper, we analyzed, studied the evaluation knowledge and skills required for auditing the certification procedures for the three aspects of ISMS—asset, threat, and vulnerability.     

Principles and procedures of the LRAM approach to information systems risk analysis and management

Risk assessment methods vary in nature and depth. Their application to the evaluation of information security issues should be decided on the basis of their capability to provide answers to the fundamental questions concerning the design and implementation of security controls in specific information systems. Information systems risk analysis is discussed as a means of providing an objectively based approach for assessing and managing risk. As a decision making and risk assessment tool, rigorous risk analysis is not only capable of identifying potential losses that could be unacceptable for a given system, but it can be used to determine which specific security controls and counter measures can be effective and justifiable by management-set criteria.The Livermore Risk Analysis Methodology (LRAM) was developed in accord with these principles. Its model and procedures, from the identification of valuable assets to the prioritization and budgeting of proposed controls, are examined and discussed both from the technical and from the decision making/risk management perspectives.     

模糊评价在信息系统安全综合评测中的应用

随着我国信息化的快速发展,信息安全变的越来越重要,信息安全等级保护、信息安全风险评估和安全检查作为我国信息安全保障的重要手段和制度越来越被政府和各行各业重视．笔者通过积累多年的信息安全测评经验,以及结合金融行业和国税总局等多个全国联网大系统的风险评估、等级保护测评和安全检查三项整合工作的经验总结,提出在信息系统信息安全三合一整合的综合信息安全测评中采用基于模糊综合评价方法论,进行信息安全的综合评价具有实际的可操作性和指导意义．     

新型网络信息系统安全模型及其数学评估

从系统功能的意义上分析了网络信息系统安全所面临的威胁,建立了一种新型通用网络信息系统安全模型,确定了影响网络信息系统安全性能的相对独立的基本因素和相应的子因素。采用模糊数学的理论,建立了一种新型综合安全评估数学模型和模糊相似选择方法。通过示例应用分析,以量化方式评估示例网络信息系统的安全性能,确定了网络信息系统的量化安全等级和排序,从而验证了该系统安全模型及数学评估理论的有效性和新颖性。     

信息安全风险评估

信息安全是一个动态复杂的过程,保证信息安全、建立信息安全管理体系已成为目前社会各行业发展的首要任务.风险评估必须用到评估工具来完成对信息保护的工作,从而建立信息安全的管理体系.     

信息安全量化标准及评估体系研究

建立信息安全的量化标准及相关评估体系,对于党、政、军系统信息安全保障工作非常重要.文章论述了构建信息安全量化评估体系的重要意义、基本原则等,分析了构建量化评估体系的主要步骤、基本内容和具体方法,提出了建立评估模型、制定量化标准、规范制定评估方法等思路.     

电子政务安全保障体系建设研究

安全问题是电子政务系统的关键,通过对贵州省电子政务系统进行的调研,发现目前的电子政务安全建设存在安全保障水平较低、缺乏相应的电子政务安全方面法律法规和安全管理体制不健全等方面问题。为了构建电子政务的安全保障体系,需要从安全技术、安全管理、安全法律三个方面进行相应的规范和建设,形成一个标准化的电子政务安全体系流程。     

The value of information in information analysis

Information Requirements Analysis deals with defining the information needed for managerial purposes. It is considered as the first step of analysis in the development of an information system. This paper ties information requirements analysis with information evaluation. It is asserted that it is insufficient to simply find “needed” information items but also that such items should be evaluated in terms of their benefit.Three approaches to information evaluation are considered — realistic, normative and subjective. It is asserted that the normative approach may sometimes be applied in lower organizational levels, while at higher levels subjective evaluation is used. Some examples are discussed in this context. Finally, we discuss some procedures for applying evaluation in information analysis.