信息系统安全等级测评结论简单量化研究

目前，等级测评普遍采用了定性化结论，文章提出了简单量化与整体分析、风险分析相结合的方法来定量化分析被测信息系统安全性，实现量化结论，通过量化分析各个不同行业同等级信息系统、同行业同等级信息系统实现一目了然的比较。     

信息系统安全等级保护物理安全测评方法研究

随着信息产业的高速发展,作为信息系统的基础——物理安全的重要性更加突出,文章根据国家规范对物理安全的相关要求,重点阐述了设备安全和环境安全检测问题,以期与读者共同探讨信息系统安全等级保护测评中物理安全测评的问题.     

国标《信息系统安全等级保护测评要求》修订浅析

GB/T28448-2019《信息安全技术网络安全等级保护测评要求》已于2019年5月10日发布,2019年12月1日起实施。GB/T28448-2019将代替2012年发布实施的GB/T 28448-2012《信息系统安全等级保护测评要求》。本文主要分析GB/T 28448的修订情况。     

信息系统安全测评工具的设计与实现

目前世界上存在多种不同的风险分析指南和方法。如，NIST（National Institute of standards and Technology）的 FIPS 65；DoJ（Department of Justice）的SRAG和GAO（Government Accounting Office）的信息安全管理的实施指南。针对这些方法，由美国开发了自动的风险评估工具。英国推行基于BS7799的认证产业，BS7799是一个信息安全管理标准与规定，在建立信息安全管理体系过程中要进行风险评估。     

信息系统等级测评中网络安全测评初探

随着信息技术的飞速发展和广泛应用,信息系统在给人们日常工作带来便利的同时,也面临着十分严峻的网络安全问题。网络安全测评是等级测评实施中的一个重要组成部分,它能够帮助系统运维、使用单位及时发现信息系统中存在的网络安全问题。本文简要介绍了网络安全测评的内容、方法及工作流程,并对网络安全测评实施中需要注意的问题进行了论述。     

基于模式匹配的无线网络安全配置核查工具

针对无线网络严重的安全现状,设计并实现一款基于模式匹配的无线网络安全配置核查工具。首先,依据等级保护的相关规定和对无线网络进行风险评估,制定无线网络安全配置核查规范;然后,针对现有检测方法的不足,提出一种基于模式匹配的自动化配置核查方法;最后,给出工具的系统架构、模块功能和具体实现。     

电力信息安全等级保护测评平台的设计与实现

介绍了电力信息安全等级保护测评平台的具体设计和实现方法。平台基于国家信息安全等级保护标准规范和技术要求,实现了等级测评的过程管理、结果评价和统计分析等功能,并充分考虑了电力行业信息系统的特征。平台具有集成性、自动化和可扩展性等特点,能够有效提高电力信息安全等级保护测评的工作效率。     

渗透测试在信息系统安全等级测评中的应用

信息安全等级测评中,对于不同等级的信息系统有不同强度的要求,通过渗透技术可以发现该目标系统的漏洞,并验证等级测评中发现的安全问题,渗透技术在等级测评过程中尤为重要。本文简要介绍了信息系统安全等级保护测评方式及工具,同时介绍了渗透技术的原理和步骤,详细说明了渗透测试工具在信息系统安全等级测评中的应用。分析说明合理使用渗透测试可以进一步对系统进行深层的评估,有助于增加等级测评结论的全面性和准确性。     

信息系统等级保护测评

随着互联网技术的快速发展,信息系统对政府、机构、企业的日常工作和生产起到越来越重要的作用,信息系统的安全性、可用性和连续性越来越受到重视。开展信息系统的等级保护测评工作是评测系统安全性的必要手段,是检验系统整体的安全部署是否完善的有效方法。     

PMBOK在信息安全等级测评项目中的应用

PMBOK指南是一部公认的项目管理专业标准。文章根据信息安全等级测评项目的特点,结合PMBOK指南中的规范、方法和过程,主要从项目的启动、规划、执行、监控和收尾五大过程组,对信息安全等级测评项目全过程进行描述,旨在提高测评工作条理性和规范化。     

一种信息系统授权管理安全模型及实现方案

本文提出了一种基于角色的信息系统授权管理安全模型,并对该安全模型的要素及联系进行了深入分析,提出了其数据模型和完整性要求。文中还提出了安全管理智能服务系统SMAS,并对其实现方法进行了详细说明。     

信息安全评估模型的研究与实现

提出一个信息技术安全评估模型.通过对安全测试评估的内容和功能的研究分析,给出了安全评估模型和安全评估平台的体系结构,介绍了系统实现情况.本评估模型具有对安全测试和评估过程进行组织、管理和调度等功能,并具有通用性、集成性和结构可配置等特点.     

银行保安信息系统的设计与实现

本文介绍以ＩＢＭ－ＰＣ３８６计算机，Ｖ－ＬＩＮＫ２Ｃ语音接口卡及自动电话拨号机组成的银行保安信息系统的工作原理，主要功能部件的构成和工作原理，工作语音库的建立和裁剪方法，以及整个系统的硬件组成和软件设计方法。     

基于PHP+XML的人才信息管理系统实现与安全设计

人才的考核、管理是组织人事部门的一项重要任务。通过分析甘肃省领军人才的考核管理需求,提出一种基于PHP和XML技术的人才信息管理系统解决方案。在详细分析系统需求的基础上,确定了系统总体架构、主要功能和业务流程,阐述了系统实现过程中采用的关键技术和对考核指标数据的处理方法,最后研究了系统的安全性。甘肃省943名领军人才、262个所在单位、78个主管单位全部通过该系统实行网络化管理。系统的使用极大提高了人才管理的工作效率,为下一步组织人事部门对人才的决策支持提供数据依据。     

基于粗集的信息融合系统评价指标体系优化研究与实现

测试评估系统在C3I信息融合的发展过程中起着极其重要的作用。讨论信息融合系统评估的一般理论和利用粗糙集理论的属性约简算法,对多传感器信息融合的跟踪评价指标集进行优化的方法,为建立一个适应多个领域的融合评价平台提供一个可行性方案,针对移动目标构建了航迹模拟系统的评价指标,并对其进行了优化,给出了一些用于定量评估的性能指标的定义和测试评估系统的构建方法及过程,并基于软总线结构进行了软件设计。通过实例分析,使得该评估指标体系的可靠性和实用性得到了验证。     

基于AMP的ATM信息安全在线评估系统的研究

民航空中交通管理ATM(Air Traffic Management)信息系统是航空交通运输安全保障的核心.利用系统安全工程的理论,针对ATM信息系统的信息安全评估,提出了一种基于AMP(Apache+MySQL+PHP)的ATM信息安全在线评估系统.该评估系统从系统工程的角度,从战略、管理、技术和工程四个方面综合考虑,通过对ATM信息系统进行运行数据统计、安全专项测试和安全管理规范检查三项内容的评估,实现ATM信息系统的在线评估;完成针对ATM信息系统可能存在的安全隐患和系统漏洞进行分析,并根据评估结果给出相关的改进建议和措施.该系统的研究有助于加强ATM信息系统的安全性,保障航空交通运输的安全.     

基于领域工程的卫生监督信息系统研究与实现

在领域工程理论的指导下,通过分析研究卫生监督领域各业务领域的特点,采用面向特征的领域分析方法,结合面向对象的软件工程思想,得出了该领域的可继承的业务通用构件及系统体系结构,并阐述了卫生监督信息系统的领域分析、领域设计和领域实现的详细建模过程。     

服务器系统安全内核研究与实现

服务器信息安全面临日益严重的安全威胁。病毒和蠕虫、木马等恶意程序对服务器系统的安全造成威胁。操作系统需要从内核层对安全威胁的主题和客体等加以鉴别控制。在内核层对文件、注册表、进程等作强制访问控制。从系统资源和网络隐蔽通信方面,研究和论述了操作系统安全内核的实现。系统已应用于企业网站、各类服务器等网络安全要求较高的应用场所。强制访问控制,系统地对每个进程、文件、注册表、网络通信等都被赋予了相应的安全属性。安全属性由管理员按照严格的规则来设置。结合最小特权原则和安全审计,在应用层对服务器或集群作安全控制。     

一种基于PROLOG的ES建造工具库的研究与实现

本文描述了一基于ＰＲＯＬＯＧ的专家系统建造工具库ＰＴＥＳ的实验系统。ＰＴＥＳ是用ＰＲＯＬＯＧ编写的，该系统根据支持基于规则的知识表示及近似推理对ＰＲＯＬＯＧ的知识处理能力进行了扩充。ＰＴＥＳ的推理机制使用了可能性逻辑及模糊集合理论作为其逻辑基础并以一种形式化的方法提供了处理非确定事实及非确定规则的能力。     

电动汽车信息安全网关的设计与实现

车联网的应用和发展是汽车技术发展的趋势。车联网在提高车辆性能以及提供高效便利服务的同时也给汽车带来了信息安全隐患。针对车联网对汽车的信息安全带来的问题,分析车联网信息安全研究现状,设计电动汽车信息安全网关ISG(Information Security Gateway),实现了电动汽车的控制器局域网CAN(Controller Area Network)与以太网的互连。在IP层上移植了IPSec(Internet Protocol Security)协议,对进出CAN总线的数据信息进行协议转换、加/解密处理、完整性校验,防止攻击者窃听和篡改电动汽车与外界的通信信息,也防止攻击者通过入侵CAN总线来控制车辆的运行。实验测试表明,电动汽车信息安全网关从数据源认证、数据完整性、数据机密性三个方面保障电动汽车的信息安全。