信息安全专用芯片研制与应用风险评估机制初探

提出针对信息安全专用芯片研制与应用进行全周期风险管理,给出了风险评估的具体步骤,揭示了风险管理与信息安全专用芯片生命周期及安全目标的关系,针对信息安全专用芯片研制与应用提出了若干建议.提出的风险评估和全生命周期风险管理理念对于其他信息安全设备研制与应用也具有借鉴意义.     

利用风险评估完善信息安全风险管理体系

众所周知，风险管理泛指评估风险、确认风险、回应风险的过程。随着信息化的发展，信息化的风险与风险管理问题已经成为各个国家、国际组织所普遍关注的问题。     

基于生存力的信息安全风险管理

本文提出了一种新的信息安全风险管理方法，对信息安全风险的成因和可能带来的影响进行分析与评估，在此基础上构建全面的安全控制策略并实施，建立信息安全风险防范体系。     

电子政务系统中的安全风险管理

电子政务的开展以信息技术为基础,如何解决电子政务系统的安全问题已成为一个迫在眉睫的课题。本文从安全风险管理的角度出发,论述了电子政务系统面临的风险,介绍了风险评估与风险消除的一般方法。     

基于模型的安全风险评估方法

网络信息安全的本质是风险的管理和控制,风险评估是风险管理和控制的核心组成部分.安全风险评估技术既需要有严密的理论、又需要与实践经验相结合,其可操作性成为安全风险评估成功的关键.针对当前安全风险评估中的实践问题,提出一种可操作的基于模型的安全风险评估方法.     

马尔科夫逻辑网在信息安全风险管理中的应用

针对现有的企业安全风险管理中,风险处理方案的制定和管理措施的选择缺乏量化手段、手动风险分析方式耗时过长等问题,提出了一种基于马尔科夫逻辑网的信息安全风险管理方法。首先利用马尔科夫逻辑网对被评估系统组件及服务间依赖关系进行描述,进而利用马尔科夫逻辑网的边际推理模型来预估不同安全管理措施情况下的系统可用性值,从而为管理措施的选择提供了量化依据。案例研究表明,该方法能够为企业信息系统安全风险管理措施的选择提供可靠的量化依据,且方法实施简单易行。     

风险评估“热”了

国务院信息化力公室网络与信息安全组副组长吕诚昭日前指出:“曾强风险意识、加强风险管理是信息安全保障的重要内容。组织机构和企业必须加强信息安全风险评估工作。” 为了引导广大行业用户和企业用户,正确理解和认识信息安全风险评估的意义。内涵、实施策略,以及风险评估的方法论。《高端导刊一安全》栏目以“信息安全风险评估”为话题,邀请专家。厂商和用户代表畅谈各自对风险评估、风险管理、等级保护的观点。 栏目热线;jiez@ccu.com.cn     

风险分析方法研究

风险分析是信息系统风险管理的重要组成部分,是建立信息系统安全管理体系的重要前提。试图探讨一套可用于定性及定量风险分析的模型,即用风险树分析法对信息系统安全事件发生概率以及导致安全事件的必要条件－－风险模式进行分析,进而用风险模式,影响及危害度分析法对风险模式的危害度及风险损失进行分析,最后用风险矩阵对风险作出最后的评估与决策。     

风险评估在重要信息系统安全保护实践中的应用

风险评估和重要信息系统安全保护是我国信息安全评估中的重要工作,目前我国安全评估的方法比较匮乏,安全保护具有落地难的问题.本文对风险评估和重要信息系统安全保护之间的关系、风险评估和重要信息系统安全测评的结合以及风险管理在重要信息系统安全保护中的应用三个方面进行研究,阐述风险评估在重要信息系统安全保护中的应用.本文为安全评估工作提供了一种结合风险评估的重要信息系统安全评估方法.     

基于风险驱动的企业信息安全管理体系构建

信息化技术在企业中得到了广泛的应用。但企业也面临着信息不可靠、易篡改等潜在风险。为此,在分析信息和信息资产特性的基础上,剖析信息资产、风险管理和信息安全管理体系之间的密切关系,通过风险管理识别信息安全管理体系中的短板,驱动信息安全管理体系的持续改进,全方位确保企业信息资产安全。     

浅谈网络安全的风险评估方法

随着网络技术的日新月异,网络安全越来越成为人们关注的热点问题。网络安全的风险评估,在网络安全技术中具有重要的地位,有利于及时了解网络系统的安全状况。在计算机网络的运行过程中,对网络系统的总体安全性能进行评估,可以为安全体系的构建提供依据,有效地进行网络安全风险管理。本文以网络安全为切入点,在概述网络安全风险评估的基础上,重点探讨了网络安全的风险评估方法,旨在说明网络安全风险评估的重要性,以期为网络安全的风险评估提供参考。     

赛博空间安全框架设计及风险评估方法

从赛博空间的安全需求出发,通过安全引擎和移动安全中间件技术,解决移动终端的异构性与安全性的难题,提出一个赛博空间抽象层面的安全体系结构并进行了技术描述。该体系结合风险管理技术,集成多种不同的安全技术和安全层次,实现了赛博空间环境下的有效防护。同时,基于隐马尔科夫理论,提出了基于隐马尔科夫模型的信息安全风险评估方法,计算机仿真实验结果表明,该方法实现了对赛博空间安全风险的定量评估,有一定的可行性。     

一种安全操作系统风险评估模型

针对安全操作系统风险管理难以进行定量评判的问题,提出一种适用于安全操作系统风险等级定量评估的模型。通过引入风险矩阵法,将信息安全风险评估归纳为以专家矩阵、Borda法则和层次分析法为评估流程的风险等级评估模型,实现安全操作系统风险等级的定量评估,增强评估操作系统风险等级的客观性。通过实例应用对评估模型进行验证,结果表明该模型能有效评估出安全操作系统的风险等级。     

校园网络系统风险管理及对策研究

本文主要从风险的定义、风险管理的一般原则和方法谈起,提出了校园计算机网络系统实行风险管理的必要性和过程,对加强网络系统的安全性提出了建设性意见.     

综合风险评估工具的设计与实现

研究了信息安全风险评估工具的分类方法与发展趋势,在分析国内外多种风险评估方法的基础上,设计并实现了一个综合风险评估工具。该工具是多专家评估系统,集成了安全管理评价工具、系统软件评估工具和风险评估辅助工具3类工具的功能,运用定量和定性相结合的方法进行风险评估,为提高风险评估效率、确保评估结果的科学性提供了有力支持。     

信息系统安全风险模型-RC模型

该文首先介绍了信息系统的风险和风险管理,讨论了两个典型的安全风险模型,分析了它们的不足,然后以风险管理为基础,从风险时间变化的宏观角度出发建立了风险模型-RC模型。该模型对信息系统安全风险进行了直观和清晰的描述,对于强化信息系统的健壮性,降低信息系统的安全风险有重要的指导作用。     

校园网安全监控系统的研究与实现

随着校园网络的不断发展,针对校园网络开放性的黑客攻击越来越多,对校园网安全保障能力的要求越来越高,同时随着网络中设备数量的快速增长,也带来了巨大的安全监控及管理问题。在进行校园网安全风险分析的基础上,参考ISO1335风险管理模型建立校园网安全风险模型,并以此为依据设计实现校园网安全监控系统,解决和完善了校园网网络安全事件监控管理问题。     

一种基于威胁分析的信息安全风险评估方法

在信息安全领域中,信息风险评估是风险管理和控制的核心组成部分,是建立信息系统安全体系的基础和前提。分析了信息安全风险评估的标准及流程,提出一种基于威胁分析的量化风险评估方法ISSREM。该方法采用多属性决策理论,计算信息系统相对威胁程度,有利于评估者进行比较和选择,通过对威胁频率的灵敏度分析,使评估结果更具客观性和准确性。给出ISSREM的计算模型及用该方法进行风险评估的主要步骤,并结合实例对该定量评估方法进行分析,验证了该方法的合理性与有效性。     

商业银行研发风险管控体系研究

依据国家监管要求．结合国家信息系统等级保护要求和业界先进实践,按照“主动防御、分级保护、同步建设、动态调整”的风险管控原则,结合商业银行研发过程风险管理实际情况,提出了覆盖软件研发领域全生命周期的研发风险管控体系,实现了信息系统研发风险的体系化与标准化管理,全面提升信息系统安全性。