浅析企业信息安全系统总体设计

随着企业信息化建设的不断深入,企业信息安全所面临的威胁已经渗入企业的生产,经营,生产资料采购.设备资产,管理信息等各个方面,急需从全局的高度构筑企业信息安全保障体系框架.本文以系统工程的思想和方法,简单介绍了构建企业信息安全保障体系的一般步骤;并从物理安全.网络安全,系统安全、应用安全和管理安全五个方面论述了企业信息安全保障技术体系框架及其关键技术.     

电力企业基于风险管理的信息安全保障体系建设

本文简要论述了电力企业构建企业信息安全保障体系的必要性,从组织体系、物理环境、网络平台、应用系统、客户端等方面入手,分析了企业信息安全的现状和目前存在的一些问题,描述了信息安全保障体系的建设原则、建设内容以及要采取的措施。     

论信息安全保障体系在大型企业的实施

近年来,信息化战略已经成为三一集团的核心经营战略,已初步形成了集团层面统一的信息化运营平台,但在信息化给企业带来利益的同时,信息网络的安全问题日益突出.本文就三一集团信息安全保障体系建设的过程进行了分析,提出了大型企业建设信息安全保障体系的方案.从策略体系、组织体系、管理体系和技术体系等4个方面就具体实施策略进行了深入讨论,最后用数据证明该方案的合理性与可行性.     

信息安全保障体系建设中的管理执行力探究

当信息系统的安全问题直接关系到国家安全、经济命脉和社会秩序,从信息安全保障体系建设的角度看,技术层面和管理层面须良好结合。信息系统管理制度的有效执行使信息安全保障体系建设中的各种制度能够落实到实处,关不断提高信息安全保障水平。     

信息安全保障体系建设研究

阐述了信息安全保障体系的作用和意义,分析了信息安全管理的现状及存在问题,研究构建了信息安全保障体系模型,并提出了建设策略。     

国家大剧院信息安全保障体系探索

首先讨论了国家大剧院的信息安全状况,分析了国家大剧院存在的信息安全问题及面临的风险。接着针对国家大剧院的安全问题和风险,提出了包括安全技术、安全管理和安全运维服务三大体系在内的信息安全保障体系。最后阐述了信息安全保障体系的建设对国家大剧院的意义。     

加快发展产业实现自主可控

全国信息安全保障工作会议提出,要用五年左右时间基本建成国家信息安全保障体系。实现这个目标,需要组织和动员全社会的力量,而信息安全产业要为构筑国家信息安全保障体系提供物质基础和技术支撑,担负着更为光荣而艰巨的任务。     

科研信息化安全保障体系建设方案

本文提出了一种以扩展的P2DR模型为核心,结合国内外相关标准、政策法规进行安全保障体系方案构建的方法。以中国科学院信息安全保障体系建设为例进行了应用分析,从信息安全管理体系、信息安全技术体系和信息安全运维体系三个角度,为满足科研信息化安全需求提出了具有典型示范作用的方案样板,是信息安全保障理论在实践领域的一次成功应用。     

保护企业资源计划系统（ERP）免受网络攻击的七步骤

企业建立、实施ERP系统必须建立ERP系统的安全保障体系，建设技术和管理上的安全防护措施，保护自己的软硬件和信息资产的安全，避免企业信息遭到攻击、泄露或篡改，给企业造成严重的经济损失。根据工作经验，提出保护ERP的七个步骤，对企业ERP系统减少网络攻击大有裨益。     

构建自主可控的电子政务信息安全体系的对策建议

近年来,我国电子政务基础设施建设取得了长足的发展,但是同建成自主可控的电子政务信息安全体系的目标仍存在一定的差距。利用当前信息基础设施更新换代和信息通信新技术迅猛发展的难得机遇,把掌握信息产业核心技术的自主知识产权作为提高我国产业竞争力和推动经济发展方式转变的突破口,创造良好的创新环境,对提高我国电子政务系统的自主可控能力,完善国家电子政务信息安全保障体系建设具有重要的现实意义。     

高校网络信息安全解决方案

该文以目前高校信息化建设过程中所出现种种安全问题为切入点,结合实际工作经验,提出了一套由信息安全技术体系和信息安全管理体系所构成的高校网络整体信息安全解决方案。     

基于熵的信息安全分析方法研究

信息系统安全一直是人们研究的热点。但是,目前重在对各种系统安全防护技术的研究与实现,对信息系统的安全性的量化分析研究却不成熟。为了更好地对信息系统的安全性进行量化分析,本文结合熵的理论分析了熵与信息安全之间的关系,提出了信息安全熵的概念。系统的各个安全属性及系统整体的安全性均可以通过信息安全熵来度量。信息安全熵的值越小,系统越安全。基于熵的信息安全分析方法是对信息系统安全进行分析的一种新探索。     

金融信息系统安全保障体系构建研究

随着金融信息系统规模的不断壮大和体系的日趋完善,信息资源无疑为金融行业的高效服务和快速发展带来了便捷和机遇,但也在无形中增大了潜在风险,毕竞信息系统的安全性直接关乎金融行业的稳定性。对此,本文从金融信息系统安全保障体系的重要性出发,结合其面临的安全问题,就体系的构建策略进行了研究。     

User preference of cyber security awareness delivery methods

Operating systems and programmes are more protected these days and attackers have shifted their attention to human elements to break into the organisation's information systems. As the number and frequency of cyber-attacks designed to take advantage of unsuspecting personnel are increasing, the significance of the human factor in information security management cannot be understated. In order to counter cyber-attacks designed to exploit human factors in information security chain, information security awareness with an objective to reduce information security risks that occur due to human related vulnerabilities is paramount. This paper discusses and evaluates the effects of various information security awareness delivery methods used in improving end-users’ information security awareness and behaviour. There are a wide range of information security awareness delivery methods such as web-based training materials, contextual training and embedded training. In spite of efforts to increase information security awareness, research is scant regarding effective information security awareness delivery methods. To this end, this study focuses on determining the security awareness delivery method that is most successful in providing information security awareness and which delivery method is preferred by users. We conducted information security awareness using text-based, game-based and video-based delivery methods with the aim of determining user preferences. Our study suggests that a combined delivery methods are better than individual security awareness delivery method.     

ORACLE数据库的管理措施与技术分析

数据库系统作为信息系统的基础软件,其安全性问题备受关注。确保数据库的安全利用和有效监控,是一个必须解决的问题。本文在对数据库系统安全相关理论和技术进行探讨的基础上,基于增强安全的思想,对于ORALCE数据库的应用系统的安全增强进行了研究和探讨。     

The practical application of a process for eliciting and designing security in web service systems

Best practices currently state that the security requirements and security architectures of distributed software-intensive systems should be based on security risk assessments, which have been designed from security patterns, are implemented in security standards and are tool-supported throughout their development life-cycle. Web service-based information systems uphold inter-enterprise relations through the Internet, and this technology has been revealed as the reference solution with which to implement Service-Oriented Architectures. In this paper, we present the application of the Process for Web Service Security (PWSSec), developed by the authors, to a real web service-based case study. The manner in which security in inter-organizational information systems can be analyzed, designed and implemented by applying PWSSec, which combines a risk analysis and management, along with a security architecture and a standard-based approach, is also shown. We additionally present a tool built to provide support to the PWSSec process.     

信息系统应急预案自动启动管理系统研究

文章旨在研究政府部门的信息系统应急预案起动机制,并得出经济可行的解决方案。文章在参与的区县一级政府各机关众多信息系统现场测评工作中,发现大多数系统在应急预案启动方面滞后,因此文章由参加的所有测评项目中选取具有代表性的150个信息系统为研究对象,通过对应急预案的分类、响应及现实需求进行分析,设计了一套信息系统应急预案自动启动管理系统。     

Survey and analysis on Security Requirements Engineering

Security Requirements Engineering is a new research area in software engineering, with the realization that security must be analyzed early during the requirements phase. Many researchers are working in this area; however, there is a lack in security requirements treatment. The security requirements are one of the non-functional requirements, which act as constraints on functions of the system. Organizations are depending on information systems for communicating and sharing information. Thus, IT security is becoming central in fulfilling business goals, to guard assets and to create trustworthy systems. To develop systems with adequate security features, it is essential to capture the security requirements. In this paper, we present a view on Security Requirements, issues, types, Security Requirements Engineering (SRE) and methods. We analyzed and compared different methods and found that SQUARE and Security Requirements Engineering Process methods cover most of the important activities of SRE. The developers can adopt these SRE methods and easily identify the security requirements for software systems.     

主动式信息安全服务系统的研究

为了提高信息安全技术在应用系统中的主动性，利用Agent的智能性和可移动性特点，提出了一种基于Agent的主动式信息安全服务系统的模型．详细介绍了两类安全功能Agent的结构．采用JADE平台，实现了原型系统．实验数据分析表明：原型系统可为应用系统主动提供用户认证、加／解密、数字签名／验证等信息安全服务功能．     

初探计算机网络安全系统的构建简

随着信息和网络技术的不断进步,为人们的生产和生活带来了巨大的方便,但计算机网络体系的安全也面临着越来越严重的威胁,对个人、企业和国家的信息及财产安全造成了严重危害,因此必须加强计算机网络安全系统的构建,以充分保障信息和财产的安全性。本文对计算机网络安全的概念进行了阐述,对影响计算机网络体系安全的因素进行了初步分析,并提出了几点解决措施。