风险评估的4大方法

用户安全评估需求的发展经历了三个阶段,从最初的系统脆弱性评估、渗透性测试,到后来的管理体系评估、应用系统评估,再到如今的全面风险评估、等级化评估。今天,安全评估的重要性越来越被认同。4年来,绿盟科技已经承担了百余个电信、金融、政府、企业等不同行业、不同需求层次的安全评估项目。     

网站开发的五层构架模块化设计

网站项目设计一般根据项目规模、安全要求和团队工作方式等分别采用不同层次的设计构架,常用的构架有二层模型和三层模型。文章通过ASP.NET4.0(C#)介绍五层构架模块化网站设计方法。从系统的安全性和技术层面把系统横向分解为五层构架模式,再从业务功能考虑把系统纵向分块,使得技术层次更加分明,模块耦合度更低,模块可重用性更高。五层构架模块化设计把业务逻辑和数据库严格与界面分开,系统安全得到保障,这是网站项目开发的理想构架模型。     

一种结合内容的网站信息安全风险评估系统

在目前使用的网站信息安全风险评估系统中,结合内容安全方面的评估是比较欠缺的。针对这一问题,提出了一种结合内容安全的评估方案,并提出了网页内容风险计算方法。同时很好地结合了问卷方式和自动扫描方式,实现了一个面向网站信息内容安全的风险评估系统,具有比较好的实际效果。     

政府开放数据的国家安全风险评估模型研究

政府开放数据作为国家和社会发展重要战略资源,蕴含着巨大价值,但我国在政府开放数据的安全风险评估方面缺乏标准,国家数据安全面临风险。借鉴信息安全风险评估理论,以国家安全资产、开放数据脆弱性和安全威胁作为主要安全风险要素,构建政府开放数据的安全风险评估模型,利用层次分析法和模糊综合评价法对政府开放数据的安全风险进行量化评估,并通过实例验证模型的有效性。     

面向用户的政府网站模糊综合评估

针对我国政府网站建设和发展的实际情况,从用户的观点出发,建立政府网站评估指标体系,并运用层次分析法确定评估指标权重。最后,利用模糊综合评估法对政府网站进行综合评估。     

基于FAHP的信息安全风险评估方法

提出基于模糊层次分析法的信息安全风险综合评估模型,从主观评测和工具检测两方面对各个风险因素分别评价其重要程度。利用模糊偏好法求出各个风险因素在系统风险评估中的优先级排序,给出目标系统在不同安全侧面上的量化风险,增强评估准确性。实例分析表明,该模型可方便地应用于信息安全风险评估,具有实用性。     

基于等级保护的政府网站云数据中心的研究与实践

信息安全等级保护是国家信息安全保障的基本制度,是维护国家安全、社会稳定和公共利益,提高信息安全保障能力和水平,保障和促进信息化建设的基本策略和方法。本文提出基于等级保护的政府网站云数据中心解决方案,建设政府网站系统合规、有效、全面的信息安全体系,有效解决政府网站信息安全面临的主要问题。     

基于政府网站安全建设的分析和思考

分析和阐述了在政府网站安全建设的重要意思,使用了网页防篡改系统,双机热备技术,数据备份策略和网站监控分析方案保障政府网站安全,并对网站安全管理做了一些探索和思考.强调通过合理配置资源,整合技术手段,加强安全管理,多措并举有效保障政府网站安全.     

基于网络综合扫描的信息安全风险评估研究

信息安全风险评估是安全风险管理的重要内容,是保障信息系统安全性的重要手段。利用网络综合扫描工具可以对信息系统进行有效的安全风险评估,从而维护系统的安全性。首先给出了安全扫描技术的分类,网络综合扫描的概念,并介绍了常用的网络综合扫描工具。然后对信息安全风险评估,介绍了其评估方法、评估流程和评估工具。最后,给出了利用网络综合扫描工具实现信息系统安全风险评估的原理,并通过扫描工具X-Scan进行测试。     

面向对象的安全风险评估系统设计与开发

为提高通信保密系统安全风险评估的智能化水平,在论述通信保密系统安全风险评估的特点及其评估方法的基础上,设计并开发了面向对象的安全风险评估系统.针对系统需求分析与系统工具选择开展研究,给出了安全风险评估系统的总体结构,从系统工作流程和原理、系统概念模型框架、评估方法模型库的实现和管理、工程设计要求及系统实现步骤等5个方面进行了系统详细设计.     

一个网络安全风险评估模型的研究与设计

风险评估是综合的网络安全体系的基础和关键.在传统的风险评估中,大粒度的评测结果不能给管理员提供切实有用的信息.对此,提出了基于漏洞扫描和攻击效果评测的安全评估模型,采用自下而上、先局部后整体的层次化评估策略,利用服务和主机自身的重要性因子加权,分别计算服务、主机以及整个网络系统的风险指数,进而分析整个系统的安全态势.仿真试验测试表明,该模型能够准确评估服务、主机和网络系统3个层次的安全态势,在一定程度上提高了评估结果的准确性和一致性.     

媒体网站的安全体系结构研究

Internet的发展使传统媒体必然要实现向网络媒体的过渡,这就需要从整体上架构媒体网站的安全体系,以满足保护网络及应用的安全需要和信息监管的需求,本文在分析媒体网站所面临的信息安全问题的基础上,提出了媒体网站的安全体系结构:以安全管理为核心,将媒体网站涉及的安全层次划分为物理安全、网络安全、应用安全、内容安全几个层次,不同的层次采取了相对应的技术手段进行保护,并通过安全管理加以协调,在整体上有效的保障媒体网站的信息安全。     

政府门户网站安全防御的几点思考

本文从政府门户网站安全防御的角度思考,阐述了政府网站安全的必要性以及存在的问题,提出了政府网站风险事前、事中及事后的防御措施,使政府网站具备一定的应急恢复能力,保障政府网站安全有效的运行。     

复杂信息系统风险评估框架与流程

复杂信息系统( CIS)在系统风险管理和风险评估上因其结构复杂性而存在较大难度。为此,基于Zachman框架,提出一种CIS风险评估框架,并在GB/T 20984-2007信息安全技术-信息安全风险评估规范基础上,建立CIS的风险评估流程。依据风险管理层次与安全域划分原则对CIS进行架构分解,研究安全域内和域间的评估方法。在传统风险要素的基础上增加CIS互联关系的风险要素。引入互信息表征互联关系的关联度,利用层次分析法对风险权重进行评估。结合实例对CIS风险评估流程进行验证,结果表明,该流程可对CIS风险做出客观准确的评估。     

一种信息系统安全风险的灰色模糊综合评估方法

针对信息系统安全风险因素的灰色性和模糊性,以及信息安全风险评估过程中存在的主观性,将灰色统计评估法、模糊综合评判法和层次分析法结合,建立一种信息系统安全风险的灰色模糊综合评估模型.通过灰色统计法建立模糊隶属度矩阵,层次分析法确定风险因素权重,以此来评估量化系统风险,该方法能较好地量化评估信息系统安全风险.     

基于层次分析法的信息系统脆弱性评估研究

信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量。脆弱性评估是安全风险评估的一个重要步骤,信息系统脆弱性评估有的部分要使用工具评估,也有的部分要靠专家来评估。运用层次分析法得出了一种比较合理的脆弱性评估模式。     

信息安全风险评估在构筑信息安全保障体系中的作用与地位

近年来,我国面临的信息安全形势十分严峻,对信息安全的保障需求日益提高,从而加大了对信息安全保障体系建设的迫切性。其中,作为衍生于信息安全保障体系建设过程中,又指导着信息安全保障工作开展的信息安全风险评估理论和实践,既是一个重要手段和补充,又是一个安全评估在信息技术领域应用的崭新领域。如何利用信息安全风险评估构筑信息安全保障体系,成为当前信息安全保障工作的重要课题。文章主要从信息安全需求、信息安全保障过程中实际存在的困难以及信息安全风险评估的理论等三个方面的论述,并针对信息安全风险评估在构筑信息安全保障体系中的作用与地位的问题展开探讨和研究,最后阐述了信息安全风险评估的实践理论对信息化安全保障工作的启示意义。     

政府Web应用安全建设浅析

从政府Web应用系统运营者的考虑角度,专门针对政府Web应用特定业务应用的原有被动式安全防御建设基础上,提出在贯穿网站全生命周期的信息安全建设过程中,从事前检测防御、事中应急响应以及事后恢复三个方面对政府网站信息安全体系的完善。将政府网站安全需求转化为更加主动的防御技术,使各级政府网站具备一定的对抗能力和应急恢复能力。     

信息系统网站常见攻击手段和防护措施

随着信息化的深入,信息系统网站的安全问题已威胁到信息系统的安全、稳定运行。为了防范恶意用户通过信息系统网站进入信息系统内部网络,并对信息系统进行恶意攻击侵害,信息系统网站的防护已成为安全评估中很重要的一项工作。以全国信息系统安全风险评估为基础,分析了安全评估过程中发现的信息系统网站安全漏洞,并对相关网站安全漏洞进行原因分析,结合安全评估过程中的工作实例加以讲解,并提出相关漏洞的安全解决办法。     

政府网络安全风险评估

新形势下,随着网络互联的普及和发展,政府电子政务网络系统的安全问题也日益受到关注和重视。为促使人们对政府网络安全风险评估工作的了解,提高政府网络的安全性,以及加强政府网络的建设,保障信息资产安全,本文主要结合政府网络安全风险评估的方法、安全风险评估模型与应用等方面加以讨论和分析。