涉密信息系统风险评估与安全测评实施

风险评估与安全测评是两种不同的安全评估活动,在信息安全建设中占有重要地位。论文通过介绍风险评估与安全测评的基本概念及相互关系,针对涉密信息系统的特殊性要求,深入探讨了涉密信息系统风险评估与安全测评的具体可操作的实施方法。     

涉密信息系统安全风险评估的探讨

本文对信息安全风险评估的基本概念和涉及国家秘密的信息系统(以下简称“涉密信息系统”)主要风险评估的作用、形式、步骤、方法等进行讨论。     

内部人员保密风险评估研究

信息安全已经成为国家安全的基石,信息安全防护特别是涉及国家秘密的信息安全防护一直是保障国家安全的重点和难点。目前我国的涉密信息安全仍以涉密信息系统的安全防护为核心。内部人员的安全防护能力已经成为信息安全防护的重点和脆弱点,同时也成为了信息安全木桶的短板。在信息安全技术快速发展的同时,人员信息安全防护能力却没有得到应有重视,缺少对内部人员的保密风险评估的标准、模型和方法。基于信息安全防护经验和成熟度理论方法建立一套以人为核心的内部人员保密风险评估的模型和方法,应用于涉密单位场所。     

基于可信连接的涉密信息系统安全防护

随着涉密部门信息化程度的不断加深,在涉密信息系统中运用信息安全技术进行安全防护已成为中国涉密信息系统建设所迫切需求的技术手段。在分析涉密信息系统现存安全隐患的基础上,以确保涉密信息系统的机密性、完整性、可用性等信息安全为目标,将可信终端作为出发点,提出了一个基于可信网络连接技术的涉密信息系统安全防护框架。此框架可作为解决涉密信息系统互通互联中信息安全保密问题的一种参考。     

浅析涉密信息系统的分级保护

随着信息网络技术在各行各业中广泛应用,网络信息安全问题日益突显。文章从涉密信息系统的概念入手,分析了涉密信息系统面临的诸多问题,并从物理安全、网络运行安全、信息安全保密和安全保密管理等方面,提供了涉密网络安全保密工作的一些分级保护实施方案。     

军事信息系统信息安全风险评估方法研究

信息安全风险评估是构建信息安全保障体系的重要手段,文章在分析当前信息安全风险评估方法的基础上,针对军事信息系统的特点,提出了适用于军事信息系统的信息安全风险评估方法,该方法能够较好地对军事信息系统进行信息安全风险评估。     

信息系统安全风险评估综述

信息系统的安全风险评估是建立信息系统安全体系的基础和前提。对国内外现有的信息安全风险评估标准、方法与工具进行归纳总结,指出了目前信息安全风险评估需要解决的问题,并对未来信息系统安全风险评估的发展前景进行了分析。     

涉密计算机信息系统安全管理分析

在涉密计算机信息系统中信息安全管理工作占据十分重要的比重,良好的信息安全管理体系设计和实现能够对涉密计算机系统的信息进行妥善的保护,从而确保计算机信息的严谨可靠.文章在阐述涉密计算机信息系统安全管理重要性的基础上,分析当前涉密计算机信息系统运行遇到的安全问题,结合涉密计算机信息安全管理体系结构,从涉密计算机信息系统安全...     

信息安全风险评估综述

信息安全风险评估是信息系统安全工程的重要组成部分,是建立信息系统安全体系的基础和前提。本文分析了信息安全风险评估所涉及的主要内容,包括国内外现状、评估体系模型、评估标准、评估方法、评估过程等,探讨了国内外测评体系,指出了目前信息安全风险评估需要解决的问题,展望了信息安全风险评估的发展前景。     

如何理解信息安全等级保护与分级保护

信息安全保护分级、分区域、分类、分阶段是做好国家信息安全保护应遵循的准则。国家信息安全等级保护与涉密信息系统分级保护是两个既联系又有区别的概念。国家安全信息等级保护,重点保护的对象是非涉密的涉及国计民生的重要信息系统和通信基础信息系统;涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。     

内网访问控制策略执行风险度量

VPN网关是众多涉密内网的典型边界防护设备,其网络访问控制策略的执行情况反映了涉密内网安全状况。选取典型的基于VPN网关的涉密内网,研究探讨网络访问控制策略执行过程中的风险度量问题,将安全风险作为一个要素引入网络访问控制策略之中,对策略执行过程中主体、客体和操作等基本信息进行风险分析与度量,从而获得有利于网络访问控制策略动态优化的量化度量结果,改善涉密内网安全状况。     

涉密信息系统安全保密管理人员的职责要求与权限划分

涉密信息系统的安全保密管理人员包括系统管理员、安全保密管理员和安全审计员。本文分别对国家保密标准中所规定的这三类安全保密管理人员进行研究,分析各自职责。并以涉密信息系统用户账号和授权管理流程为例,说明了安全保密管理人员的权限划分原则。以此促进涉密信息系统建设使用单位对标准要求的理解和落实,同时也为涉密信息系统内业务应用系统和安全保密产品的设计开发提出了相应的功能要求。     

信息安全风险评估系统的设计

作为信息系统安全的重要保障手段,开展信息安全风险评估服务已成为当务之急;通过安全风险评估,能够正确引导组织在网络安全、应用安全、安全管理等软硬件产品以及安全咨询、系统集成、安全服务外包、安全培训等方面的投资,从而带动信息安全产品及信息安全服务业的发展,促进信息安全产业的健康发展。文中旨在提供一种能够实现自动化风险评估系统的设计思想,为组织开展风险评估活动提供规范化的操作,降低因风险评估而引入的风险。     

局域网安全风险分析与防范

为保障安全,局域网和互联网经常并不直接相连甚至物理隔离,但这并不能彻底解决局域网络的安全问题。局域网络面临着内部攻击、“摆渡”攻击、非法外联以及非法接入等安全威胁。局域网安全防范的措施与方法主要包括：加强系统认证方式的安全,防止非授权访问;安装主机防火墙,防范网络内部攻击;加强涉密信息介质的管理和使用;加密存储、传输涉密信息以及及时更新安全补丁,保持系统和应用软件的安全。     

层次化的信息系统风险评估方法研究

由于当前主流的信息安全风险评估方法仅关注系统组件的风险,很少立足于业务风险视角,难以满足业务人员、组织管理者等不同层面人员对信息安全风险的理解。文中提出了一种层次化风险评估方法来量化风险,该方法将信息系统安全风险分为组件级、系统级和组织级3个层面,分别关注系统单一组件的风险、单个信息系统风险和多个信息系统构成的组织总体风险。通过对3个层次风险的逐层分析,使得风险分析结果更为全面和客观地反映安全风险评估的层次化需求。     

信息安全风险评估要素量化方法

信息安全风险评估是保障信息系统安全的重要手段之一,也是信息系统安全体系建设的前提和基础。文中在分析信息安全风险评估要素和评估过程的基础上,结合实际经验针对定量风险评估讨论了定量风险评估要素的量化规则、量化方法和风险计算方法,该方法在定量风险评估过程中具有科学性、合理性和实用性特点。     

信息安全风险评估在贵州移动的应用

论文通过对信息安全风险评估的概念及评估方法的介绍,并以贵州移动2008年网管系统的风险评估为例,结合风险评估在贵州移动的应用和成果,说明了风险评估对于贵州移动信息安全工作的重要性。同时,也希望对其他企事业单位进行信息安全建设提供一些有益的思路。     

信息系统安全风险评估研究

介绍信息系统安全风险分析的概念,分析安全风险评估的基本要素和常见的系统风险评估模式。文章在此基础上,系统性考虑了信息系统所面临的安全威胁、存在的脆弱性以及已经确知的安全控制策略等因素,提出一种信息系统安全风险评估的流程,从而提高风险评估的准确性。提出的安全风险评估流程,综合考虑了信息系统所面临安全威胁、潜在脆弱性以及安全防护确知等因素,可以在一定程度上提高安全风险评估的有效性和准确性。