电力系统信息安全风险管理体系的研究与应用

提出一种基于风险管理的信息安全管理体系,然后以中山供电局为实例,介绍电力系统信息安全风险管理体系的建立和推广过程、体系运转时遇到的问题与采用的方法,体系的审核方法等。重点介绍体系中的管理方法工具的运用,例如风险评估所采用的资产风险值CIA评估方法、体系落地时采用的"两单",体系运转的"四大机制"等,并在实际应用中通过检验,具有较高的指导和参考价值。     

电力企业信息安全基线标准体系研究

本文意在分析目前电力企业信息安全风险管理的困难,并剖析其原因所在,进而引出信息安全基线标准体系。在文中介绍了基线安全的概念、基线安全保障体系以及基线式安全模型,为电力企业信息安全风险管理提供一种新的思路。     

服务提升安全能力

目前的信息安全市场和客户都在日趋成熟起来,单纯提供产品和技术已不能完全满足客户的需求,客户所要求的是基于风险管理的成体系的安全管理。为此,3月中旬,赛门铁克公司向外界介绍了其信息安全服务部。据赛门铁克中国区首席安全顾问田成介绍:“信息安全不仅是一个技术问题,更是一个管理课题。所以赛门铁克参照相应的国际安全标准,发展了一整套安全风险管理和信息安全设计及实施方法。除了有信息领域的专业组织、专业知识库以及信息安全实验室外,赛门铁克信息安全服务人员还拥有遍布全球的安全威胁全球中枢神经系统。这套系统拥有遍及全球180…     

银行业信息科技风险管理能力探究

本文从国内外的信息安全风险管理法律法规出发,全面介绍了银行等金融机构如何构建一套动静结合的信息安全保障体系,全面提升银行业信息科技风险管理能力。     

VPN为金财工程提供安全保障--VPN技术在贵州省级国库集中支付管理系统中的应用

建立“金财工程”信息保障安全体系中最核心的是保卫国库集中支付业务和宏观预算业务的信息,由信息系统的需要决定网络安全配置与网络结构,本文介绍在贵州省采用以安全虚拟网络(SVPN)为主的安全解决应用方案。     

层次安全体系（HSS）及其在银行ATM网络中的应用

随着计算机和通讯技术的发展,金融电子化步伐的加快,金融讯息安全问题受到特别重视。在金融系统实施安全、严密、可靠的信息安全体系是十分必要的。本文以银行ＡＴＭ网络系统为应用背景,介绍了一种新的信息安全体系,称为“层次安全体系（ＨｉｅｒａｒｃｈｉｃａｌＳｅｃｕｒｅＳｙｓｔｅｍ）”。该体系综合采用现有的数据加密技术、信息鉴证技术、密钥管理技术和ＳＥＴ安全电子交易规范;适用于金融系统、证券系统、商用机密传输系统等安全性要求较高的系统,是一种可靠性高、安全性强的信息安全体系。     

RSA新推信息风险管理解决方案

安全解决方案提供商RSA和EMC信息安全事业部3月26日在北京宣布,近日将在华推出信息风险管理解决方案,为中国金融业提出了“以信息为核心”的安全新思维。     

RSA新推信息风险管理解决方案

安全解决方案提供商RSA，EMC信息安全事业部宣布近日在华推出信息风险管理（Information Risk Management）解决方案，为中国金融业提出了“以信息为核心”的安全新思维。     

基于生存力的信息安全风险管理

本文提出了一种新的信息安全风险管理方法，对信息安全风险的成因和可能带来的影响进行分析与评估，在此基础上构建全面的安全控制策略并实施，建立信息安全风险防范体系。     

信息安全管理系列专题之八 让信息安全体系走入企业

信息安全是企业关注的永恒话题。信息技术的应用,或许在一段时期内使企业有了“安全感”,但随着企业系统的日益复杂和安全需求的不断增加,建立与管理相结合的信息安全机制和体系成为必然趋势。本栏目举办“信息安全管理系列专题”,就是通过介绍目前为全球所关注的信息安全管理体系规范,让企业了解,信息安全不仅是技术问题,更是与企业的安全战略、业务目标和管理体系紧密结合的、一整套体系的建立和持续优化过程。我们希望这样一个抛砖引玉的专题内容,使读者在了解信息安全管理领域的最新进展和相应知识要点之外、还能激发思考与讨论,进而付诸实践。因此,本专题的最后一期,邀请科飞管理咨询有限公司吴昌伦、王毅刚先生结合一个虚拟电信运营商A公司的管理细节,进一步介绍读者关心的“为什么要建立信息安全管理体系,以及建立这个体系需要具备什么条件”等话题。     

信息系统的风险评估方法研究

本文在分析信息系统事故的基础上,对信息系统的风险评估模型以及信息系统风险评估程序进行了系统描述。同时,在对我国信息系统风险评估工具进行简要介绍的基础上,重点介绍了适用于企业日常安全管理的定性定量的信息系统评估方法,并对评估方法进行了对比分析,从而有利于信息系统评估工作在我国的推广应用。     

信息系统风险评估工具的分析与设计

英国信息安全管理标准BS7799是在信息系统网络评估中比较重要的一个标准，该文在深入分析该标准的基础上，讨论了基于该标准的信息系统风险评估工具的分析和设计，为信息系统风险评估工具的研究提供了可借鉴的经验。     

信息安全风险评估

信息安全是一个动态复杂的过程,保证信息安全、建立信息安全管理体系已成为目前社会各行业发展的首要任务.风险评估必须用到评估工具来完成对信息保护的工作,从而建立信息安全的管理体系.     

商业银行研发风险管控体系研究

依据国家监管要求．结合国家信息系统等级保护要求和业界先进实践,按照“主动防御、分级保护、同步建设、动态调整”的风险管控原则,结合商业银行研发过程风险管理实际情况,提出了覆盖软件研发领域全生命周期的研发风险管控体系,实现了信息系统研发风险的体系化与标准化管理,全面提升信息系统安全性。     

信息系统安全测评服务管理框架及指标

信息系统安全测评是降低信息系统安全风险的重要环节.要提高信息系统安全测评的效力,必须将安全测评要点贯穿于信息系统建设的整个生命周期.本文结合信息系统安全测评理论和实际测评经验,提出了信息系统安全测评服务管理框架,详细介绍了测评服务管理的阶段、内容以及指标设计等内容.     

基于Web的信息系统安全风险评估工具的设计

本文作者在对信息系统安全风险评估理论和方法进行深入研究的基础上,根据自身参与信息系统安全风险评估的工作实践,提出了一种基于Web的信息系统安全风险评估工具的设计思路,以解决安全评估标准的可操作性和具体实施与应用。     

安全措施延迟对信息安全风险的影响研究

现有绝大多数风险评估模型均是基于静态模型指导下的统计学方法,并未考虑到网络空间要素间的动态作用,已知的风险评估工具也不支持在风险分析和评估过程中考虑安全措施的延迟问题。针对上述问题,分析了安全防护措施延迟的原因,提出了一个考虑了延迟因素的信息安全风险评估动态模型,为基于时滞非线性模型所得的统计数据和定性评估所得的结果创建更为灵活的风险评估工具提供了可能。利用模型对安全措施延迟对信息安全风险的影响进行了仿真研究,结果表明,针对威胁及时采取安全措施能有效地降低信息安全风险。     

互联网应建立全新的社会秩序管理体系

互联网诞生之初的作用是一个互联互通的通信工具。当时的主要管理工作都是基于安全目的,保证信息的＂可用性、完整性、保密性＂。经过20多年发展,互联网的作用、身份已经发生了巨大的变化,和现实社会密不可分,成为一个虚拟社会。而在管理互联网的理念、手段、工具等方面没有大的突破,还局限在信息安全范围内,言必谈＂安全＂。既然是＂社会＂,就必然有社会学的属性、需要用社会学的体系、手段、机制,才能管理好＂社会＂,解决社会学问题。事实也证明,用非社会学的手段来解决社会问题,是无解的!     

一种安全操作系统风险评估模型

针对安全操作系统风险管理难以进行定量评判的问题,提出一种适用于安全操作系统风险等级定量评估的模型。通过引入风险矩阵法,将信息安全风险评估归纳为以专家矩阵、Borda法则和层次分析法为评估流程的风险等级评估模型,实现安全操作系统风险等级的定量评估,增强评估操作系统风险等级的客观性。通过实例应用对评估模型进行验证,结果表明该模型能有效评估出安全操作系统的风险等级。