信息安全管理测评研究

信息安全管理测评是信息安全管理的一部分,作为衡量信息安全管理状态及其绩效的信息安全管理测评方法学的研究已成为迫切需要解决的重要课题,其对组织信息安全保障体系的建设、管理和改进具有重要意义。     

云计算信息安全测评框架研究

围绕云环境下安全模式与传统安全模式的差异,结合信息安全保障要求,对三种不同的云服务模式(包括IaaS,PaaS和SaaS)进行了安全需求分析,同时对美国云计算联邦风险评估管理计划(FedRAMP)中的安全控制措施和国内相关信息安全标准中的安全要求进行了对比分析,提出了云计算信息安全测评的基本框架,探讨了云计算信息安全测评需要特别关注的内容.     

信息安全产品测评系统研究与实现

基于通用信息技术安全测评准则（CC）标准设计了模板化测评信息安全系统的CC应用软件工具箱。它能帮助认证机构、客户或授权个人生成与实现无关的一组安全要求的保护轮廓（PP）文档,也能帮助开发者为已有或计划的系统产品生成安全目标（ST）文档。     

基于信息安全等级保护的安全测评服务框架研究

在等级保护工作全面开展的大背景下,等级测评机构如何发挥更大的技术支撑作用引起了业界广泛的关注。文章分析了等级保护工作面临的新挑战,提出了基于信息安全等级保护的安全测评服务框架。安全测评服务框架以信息安全相关标准为基础,以信息安全等级保护实施流程为时间线,针对信息系统备案单位在不同阶段的安全需求及工作重点开展有针对性的安全测评服务,提升信息系统备案单位信息安全管理水平及信息系统安全防护能力。等级测评机构可以通过安全测评服务框架充分发挥其信息安全专业机构的技术能力,在等级保护工作中发挥更大作用。     

量化风险的等级保护测评方法及平台设计

研究了等级保护测评的相关技术,针对当前等级保护测评中存在的典型问题,如风险分析不够准确、测评效率低、测评结果客观性不足等,提出一种量化风险的等级保护测评模型,将系统业务重要性因素引入风险分析环节,能较为可观的量化风险.基于该模型,设计并实现了分布式的等级测评平台(RQEP),能大大提升等级测评的效率,使测评过程更加规范化、标准化.     

信息安全测评方法及应用

在信息安全日益成为信息技术热点的今天，对信息产品安全测评的方法与技术进行研究很有必要，本文主要介绍CC标准中规范的信息安全测评方法，并以主流的信息安全产品——防火墙为例，阐述该方法在具体实践中的应用。     

信息系统安全测评工具的设计与实现

目前世界上存在多种不同的风险分析指南和方法。如，NIST（National Institute of standards and Technology）的 FIPS 65；DoJ（Department of Justice）的SRAG和GAO（Government Accounting Office）的信息安全管理的实施指南。针对这些方法，由美国开发了自动的风险评估工具。英国推行基于BS7799的认证产业，BS7799是一个信息安全管理标准与规定，在建立信息安全管理体系过程中要进行风险评估。     

国家信息安全测评公告

（2016年第10号）中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,主要职能包括：为信息技术安全性提供测评服务;信息安全漏洞分析和信息安全风险评估;信息技术产品、信息系统和工程安全测试与评估;信息安全服务和信息安全人员资质测评;信息安全技术咨询、工程监理与开发服务等。     

国家信息安全测评公告

（2016年第5号）中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,主要职能包括：为信息技术安全性提供测评服务;信息安全漏洞分析和信息安全风险评估;信息技术产品、信息系统和工程安全测试与评估;信息安全服务和信息安全人员资质测评;信息安全技术咨询、工程监理与开发服务等。     

安全认证 任重道远——访中国信息安全产品测评认证中心主任王海生

在信息技术迅猛飞跃的今天．信息安全是国家安全的重要内容之一。信息安全的测评认证和等级保护日益受到世界各国的重视，对信息安全产品、信息系统、信息安全服务等进行分级测评认证已成为保障国家信息安全的必然趋势。     

信息安全等级保护测评机构的法律责任问题

实行信息安全等级保护是信息安全保障的重要方法,信息安全等级测评是信息安全等级保护的重要环节。本文讨论了测评机构的设立条件和应当履行的义务,分析了测评机构应当承担的法律责任,提出了制定和完善现有法律法规的建议。     

一种新的信息安全测评系统与方法的研究

信息安全风险测评是一个综合的复杂的系统过程,必然涉及到方方面面的众多因素,错综复杂,交错依赖.利用自动化的风险测评工具,人们可以提高风险分析与测评的效率.本文设计并实现了一个信息安全测评系统,风险测评系统实现了风险管理平台中信息收集层及信息处理层的功能,融合了漏洞扫描技术、威胁识别技术和风险测评技术.     

电力信息安全等级保护测评平台的设计与实现

介绍了电力信息安全等级保护测评平台的具体设计和实现方法。平台基于国家信息安全等级保护标准规范和技术要求,实现了等级测评的过程管理、结果评价和统计分析等功能,并充分考虑了电力行业信息系统的特征。平台具有集成性、自动化和可扩展性等特点,能够有效提高电力信息安全等级保护测评的工作效率。     

信息安全测评认证文章之一信息安全等级保护与分级认证

一、走近我国信息安全测评认证什么是信息安全测评认证?首先我们需要了解测试、评估、认证这3个相互关联却实质各异的概念。测试是一种技术操作,它按规定的程序对给定的产品、材料、设备等一种或多种特性进行判定。评估是对测试/检验产生的数据进行分析,形成结论的一种技术活动,由于目前计算机技术和自动化工具的发展,测试和评估往往是合为一体的。认证是指第三方依据程序对产品、过程或服务符合规定的要求给予书面保证(证书),用于评价产品质量和企业质量管理水平。认证以标准和测试、检验、评估的结果为依据。具体到信息安全测评认证,测评…     

信息安全等级保护测评工作实践与探讨

文章通过阐述被测信息系统在等级保护测评中存在的主要问题,分析了形成的原因,从等级测评价格参考规范,加强对托管数据中心的等级保护管理,加强商用密码和数字证书的安全管理和测评,测评报告的专家评审等方面,对测评工作提出建议。     

信息安全实验平台技术

围绕信息安全实验平台建设,探讨相关的内容和技术,并通过比较说明OSI参考模型和安全服务及安全机制的对应关系,分析实验平台的服务功能和技术支持,提出信息安全实验平台的参考框架,可以为师生创造一个内容丰富、功能稳定、安全真实的实验环境.     

工业控制系统信息安全测试平台研究

随着工业控制系统面临的安全威胁日益严重,保障工业控制系统信息安全已经上升到了国家安全战略的高度。开展工业控制系统信息安全测试平台的研究是保障工业控制系统信息安全的重要途径。针对现有一些测试平台的不足,提出了一种集检测、攻防、仿真和评估于一体的信息安全测试平台设计架构,详细描述了测试平台的组成情况,并论述了关键技术的研究进展情况以及下一阶段的研究目标。