基于网络管理的信息安全体系建设初探

信息安全风险管理是目前信息安全领域专家研究的热点之一,本文以电视台信息安全项目为背景,首先阐述信息安全风险的基本概念和组成要素,以及信息安全风险管理的常见模型,然后介绍基于风险管理的信息安全体系建设模型;最后给出了基于风险管理的信息安全体系的建设思路。     

信息安全体系模型研究

信息安全体系是信息安全解决方案和工程实施的依据和参照。作为信息安全建设的指导方针,安全体系的设计应该体现出可靠性、完备性、可行性和可扩展性等项原则。通过对信息安全体系发展历程的研究,分析不同体系的优缺点,提出了一种新的信息安全体系模型,并简要介绍了该模型的设计思想,以及与现有信息安全体系模型的关系。这种信息安全体系模型更加符合信息安全体系设计的要求,可以作为各类组织信息安全建设的参考。     

一种新的信息安全体系模型的提出

信息安全的建设应该立足于一个完整的安全体系,信息安全体系模型是信息安全体系建设的基础,能够为信息安全的解决方案和工程实施提供依据和参照。文章在对现有信息安全体系模型分析研究的基础上,提出了一种新的信息安全体系模型,即P00-PDRRA模型,给出了该模型的构成框架,简述了该模型提出的意义,最后给出了一个应用实例。     

基于P2DR安全模型的银行信息安全体系研究与设计

文章介绍了基于策略（Policy）、保护（Protection）、检测（Detection）和响应（Response）的P2DR安全模型,在P2DR安全模型的基础上,提出了针对各种系统普适的信息安全建设的原则;并在对系统进行威胁分析和网络分区防护的基础上,利用P2DR闭环安全模型的思想,对某银行系统的信息安全体系建设提出了详细的建设方案。     

信息系统安全保密的检查和风险管理

解决信息安全保密的问题,必须基于信息技术的特点,实施“工程化”的可靠管理和“过程化”的反馈控制.具体表现在:建立信息安全保密体系框架、对信息安全保密实施风险管理、增强对信息系统的安全控制.     

基于风险矩阵的电力公司信息安全风险评估

随着信息化的发展,电力企业信息安全风险管理日益凸显出其重要性.基于某电力公司八个信息安全风险要素分析,运用风险矩阵法对信息安全风险进行评估.建立了包含了专家二维矩阵、运用Borda序值法和层次分析法的评估模型.运用实例计算信息安全风险等级并找出主要安全风险要素,证明了模型的有效性和合理性.研究结果对电力公司加强信息安全风险管理有一定的参考价值.     

建立主动性信息安全体系

简要阐述了目前信息安全建设所面临的挑战，介绍了主动性信息安全体系和主动性安全风险管理。     

信息系统风险评估实践

风险评估在信息安全保密体系建设中起着重要作用,是组织内开展基于风险管理的基础,它贯穿信息系统的整个生命周期,是安全策略制定的依据;也是按照PDCA改进组织安全保密体系的关键。论文在分析常见信息系统风险评估方法的基础上,提出基于应用系统、关注纵深防御和持续改进的风险评估方法,从而全面、系统地开展风险评估工作。     

中国移动互联网基地信息安全体系建设

信息安全是任何国家、政府、部门、行业都十分重视的问题,建立信息安全体系是国家安全战略的一部分,是企业业务持续性发展的保障.本文基于信息安全建设的根本目的是为业务保驾护航,提出了基于业务、面向落实的信息安全体系建设思路和内容.     

涉密信息安全的风险分析研究

涉密信息安全的风险分析研究将风险管理和系统安全分析理论应用于涉密信息的保密安全管理中.提出了利用风险分析理论和方法的必要性和可行性;探讨了涉密信息安全的风险分析具体内容、基本程序和应用方法;基于风险矩阵和风险分级方法,探讨了涉密信息安全的风险量化方法和等级划分方法.将风险管理理论应用于保密风险识别与分析和保密全寿命周期的风险控制,将对预测、预防、控制泄密事件的发生,增强保密管理的针对性具有重要的指导意义.     

基于IRA-CMM模型的风险评估管理及改进

信息安全风险评估规范以及相关指南指导了风险评估工作,但在评估过程管理和评估能力改进方面还缺乏系统的理论支持.回顾了目前的信息安全风险评估现状,分析了其中存在的问题;基于信息系统生命周期和系统安全工程相关模型,提出了三维的风险评估能力成熟度模型(IRA-CMM);将该模型应用于风险评估过程管理和评估能力改进.     

新形势下的电信网络安全

与不断发展的网络攻击手段相对应,网络安全防御理论和方法论在不断的发展之中.中国电信提出了采用体系化的安全保障方案,将网络安全管理和技术手段相结合等深度防御战略模型;中国网通在加固网络安全方面还特别提出内网安全和边界防护、管理的加强;中国移动就整个网络安全体系进行统一规划,抛开部门设置现状,以风险管理为核心、构建综合、系统的网络与信息安全标准体系,安全运行维护体系及安全技术防护体系.     

信息安全评价云模型的设计

针对当前信息安全所面临的挑战,提出了基于云模型的信息安全评估的新方法.该方法利用云模型在处理评估过程中定性概念与定量数值之间转换的优势,并结合属性相似度法确定属性权重,提高了评估的信度,拓宽了信息安全评价的思路.通过实例给出了方法应用的具体步骤,证明了该方法对信息安全评价的应用价值.     

信息安全管理体系建设研究

信息安全管理正成为当前全球的热门话题，建立健全信息安全管理体系对企业的安全管理工作和企业的发展意义重大。本文从我国信息安全管理的现状入手，对国际和国内信息安全标准的情况进行了梳理，在理解信息安全管理模型的基础上，提出了准备策划、确定范围、调查评估、建立框架、文件编写、运行改进和体系审核等建设思路。     

技术与管理的融合——中央电视台新址信息安全管理平台建设

随着网络化、信息化的迅猛发展,企事业单位大量运用信息和网络技术构建安全基础设施。信息安全管理平台能够将多样的安全基础设施和海量的安全事件进行统一管理分析,从风险管理的角度关注业务系统的安全。本文以中央电视台新址信息安全管理平台建设为背景,详细阐述信息安全管理平台在整体安全体系中的重要作用,以及如何利用信息安全管理平台,实现信息安全技术与管理的融合。     

对南方电网电力信息网络安全架构问题的探讨

随着能源互联网技术的迅速崛起,南方电网电力信息网络架构也在随之改变,在改变的过程中,也面临着种种安全挑战.为满足更高级别安全能力,南方电网电力设计了新一代电力信息网络安全架构模型,并提出相应构建措施.统一设计信息安全顶层,将信息安全问题专业化处理,并融合新一代信息安全防护体系,以提高南方电网电力信息安全的保障能力.     

从PDR模型的发展过程看信息安全管理

基于对入侵检测的保护、检测、响应(PDR)模型的研究,分析了信息安全模型在信息系统安全建设中所起的指导作用,明确了针对信息系统所存在的安全隐患应当采取哪些措施。     

电信运营商与信息安全

网络宽带化、智能化趋势越来越明显,电信运营商也面临着严峻的信息安全挑战.本文根据运营商的信息安全目标和安全现状,提出了一种适合电信运营商的信息安全模型,并给出了信息安全建设的具体建议.     

一、二、三内网安全保护通——“一KEY通”局域网综合安全保护系统确保内网安全

1.前言从某种意义上来说,内网安全是外网安全的一种扩展和提升,它是基于更加科学和客观的信任模型建立起来的。内网安全集中关注的对象包括了引起信息安全威胁的内部网络用户、应用环境、应用环境边界和内网通信安全，内网安全从更加全面和完整的角度对信息安全威胁的途径进行了分析、处理和控制，使信息安全成为一个完整的体系，而不是一个片面堵漏的解决方案。     

策马风云敢为先--启明星辰风险评估

网络信息安全的本质是安全风险管理,而风险评估是风险管理的基础。信息时代,信息化程度日益提高,同样信息网络安全问题且异常严重,频繁发生的安全事件,使许多系统遭受巨大的损失。为此许多组织花了较大的投资、付出许多心血来建设网络信息安全,但均收效甚微,安全是相对的、动态的便成为不争的“理由”。如何从本质上管理应对安全问题,成为目前最为关键的问题。专家指出,一个完善的信息安全系统是简洁的、易于控制和管理的体系,同时还应具有高的性价比。那么要满足一个信息安全系统如此的高要求,就得必须提高系统的抗风险、抗破坏能力;进行风…