信息安全风险评估ASMI方法论的应用研究

基于信息安全风险评估工作的发展现状,为进一步提高其科学性和实践价值,通过综合分析信息安全风险评估相关标准和实践方法,建立以追求信息安全客观风险为目标的信息安全风险评估思想,并构建了由安全现状（Aactuality）、参考基准（Standard）、测量模型（Model）和工程实施（Implementing）4个方面组成的信息安全风险评估方法论（简称ASMI方法论）。同时,还深入分析了ASMI方法论的组成要素、相互关系、应用方法和实践价值。该方法论有望对信息安全风险评估业务、信息安全保障体系建设和信息安全标准体系的协调发展起到积极的促进作用。     

外挂管理系统安全可靠性评估

为了评估外挂管理系统（SMS）工作的安全可靠性，提出了建立SMS的测试环境和对SMS安全可靠性进行测试的方法，并运用NHPP模型对测试数据进行拟合，用工作可靠度和残留故障数对SMS的安全可靠性进行了评估。     

物联网安全测评和风险评估技术研究

提出采用信息安全仿真、物联网安全测评和安全风险评估技术实现的物联网安全测评和风险评估服务平台的主要技术、平台结构和系统实现。此平台能够为物联网建设方案、安全技术手段进行测试与评估,推动我国物联网建设和物联网安全产业的发展。     

浅谈电力信息安全分析及其措施

电力信息系统安全和电力生产安全同等重要。随着通信技术和信息技术的飞速发展,电力企业也早已实现生产经营信息化,电网调度自动化、网络运营市场化和管理现代化,这都给电力企业的运营发展提供了极大的便利。同时网络的负面影响也渗透到电力企业和电力生产的各个方面。信息安全问题依旧时有发生,对电力系统的安全稳定、优质运行构成了严重的威胁。本文在对电力系统信息安全威胁和信息运行存在的问题进行了归纳总结及认真的分析研究,从电力信息系统安全教育、安全管理和技术措施等方面探讨了电力信息安全的应对策略。     

安全审计在信息安全策略中的作用

网络入侵会给信息系统带来灾难性的后果,为了降低网络入侵带来的风险,保障信息系统的安全,可以通过对信息系统的审计来分析信息系统的安全性.信息安全审计不仅仅是信息安全技术的有效发展,也成为辅助应急响应、信息系统风险评估和等级保护的重要策略补充.阐述了信息安全审计的主要作用,分析信息安全审计的必要性,从技术的角度叙述了信息安全审计的实现方法,从而保障信息系统的安全.     

基于等级保护的信息安全评估算法研究

对信息安全系统要进行安全评估,首先要考虑的问题为如何建立模型进行风险评估分析。针对这一问题,文中基于等级保护提出一种信息安全风险评估方法,并建立信息系统安全评估模型。以GBT 20984-2007作为评估依据,针对主机安全与网络安全建立层次结构,并利用权重计算方法RISK-Weight 算法完成对模型的计算与分析。实例测试结果表明,该评估方法降低人为主观因素的影响,实现对信息系统安全科学的量化评估。     

一种基于系统安全性差距分析的风险评估尺度和方法

本文提出一种基于信息系统安全性分析来定量计算信息安全风险的度量尺度，差距分析方法及相应的评估流程．通过差距分析法，可以定量地度量信息安全目的和安全现状的在安全保障控制措施和安全保障能力两方面差距，从而改进对信息安全的分析和设计以及如何提升信息安全保障能力．通过本文定义并计算整体信息安全风险度量尺度，还可以计算不同安全控制措施的产生的安全边际效益，进行安全投入产出效益分析．这种可计算的信息安全风险评估尺度和方法的有效性在实际工程中得到应用与检验．     

基于网状关联分析的电力监控网络信息安全智能预警方法

监控预警电力网络信息，动态感知潜在风险，能够有效保证网络安全运行。目前提出的预警方法故障位置定位能力较差，无法实现精准定位，导致预警实时性较低。为了解决上述问题，基于网状关联分析技术研究了一种新的电力监控网络信息安全智能预警方法，采集处理态势数据，在深入理解电力监控网络信息安全态势后，呈现感知结果，根据态势感知结果进行数据融合。深入挖掘网状关联规则，追踪电力网络安全信号，确定安全预警范围，建立关联矩阵，计算信号权重，分析指数变化，根据指数变化定位故障区域，实现安全预警。实验结果表明，基于网状关联分析的电力监控网络信息安全智能预警方法能够在0.5 s内确定故障区域，对于故障点定位准确率普遍在90%以上，具有很强的实时性，能够很好地保证电网正常运行。     

网管和安管要不要分家？

在很多人眼里，安全管理平台（SOC）与网络管理平台（NOC）是彼此分离的，但事实是：很多安全问题的产生，都可能是网络设备导致的；而很多网络问题的发生，也与安全事件有着千丝万缕的联系。那么，在企业网络越来越复杂、安全设备和应用系统不断增加的情况下，怎样才能做好网络管理和安全管理工作？     

电力系统信息网络安全防护措施分析

除了自然灾害的发生会导致电网瘫痪,电力信息系统如不能正常工作也将影响电网的安全运行。根据对电力系统信息安全的研究,设计电力系统的安全防护方案,制定电力信息系统防范措施以及系统如何恢复措施,准备信息安全应急预案这些都是非常重要的。本文从电力系统信息网络的安全角度出发,结合目前的电力信息系统和信息网络存在的一些电力信息安全问题,提出了防护电力系统信息网络安全的防护措施分析。     

OFDM系统原理及仿真实现

随着通信网络和信息技术的迅速发展,对网络及其信息系统的安全要求越来越高。文章依据ISO／IECTR13335提出的关于IT系统安全的建议以及网管安全协议的服务机制,结合网络管理系统的实际情况,给出了一个进行网络管理系统安全风险评估的方法,包括评估原则和相关的评估内容。     

商业银行信息科技风险评估研究与实施

银行业数据大集中导致风险大集中,一旦发生信息安全事件,可能导致银行一夜关门。通过开展信息科技风险评估工作,提前发现和消除风险隐患显得尤为重要。简要总结ISO 27001、ISO 15408、ISO 13335、NIST风险管理框架、GB/T 20984这5个国内外风险评估标准,介绍了基线风险评估、重要系统风险评估、流程风险评估、资产风险评估的评估方法和管理类、技术类、辅助类风险评估工具,希望能推动银行业风险评估工作。     

国外云计算标准化组织介绍

作为一种将计算和存储任务分配到由大量计算机构成的云端的计算范式,云计算必将会引起IT行业的一场巨大变革.本文给出了研究云计算的国外标准化组织,并对ISO/IEC、IEEE、ITU-T云计算焦点组、分布式管理任务组、云安全联盟、美国国家标准技术研究所、网络存储工业协会在云计算方面的标准化成果进行了详细的介绍.     

结合安全域的思想建设安全运营中心

安全域的规划和安全运营中心的建设均是安全建设过程中的重要工作,二者的有机结合可以使网络更加清晰,安全管理更加有效。特别是对金融行业,此建设思路能更有效地计划、实施、检验和改进ISO/IEC17799国际标准中提出的信息安全管理系统(ISMS),也是信息安全技术手段向管理手段过渡的重要里程碑。     

美国联邦信息安全风险管理框架及其相关标准研究

论文首先概述了美国联邦信息安全风险管理框架的实现及其相关标准,接着对NIST风险管理框架的八个步骤进行了详细描述;最后在对中国的等级保护三步式和美国FISMA的三阶段进行简单分析比较的基础上,根据中国信息化建设及管理的现状,对中国下一步等级保护工作提出了看法。     

扩容优化CDMA网短信平台提升业务性能

江西电信CDMA 2000网络的短信业务量及业务种类的迅速增长,对短信平台业务处理能力提出了更高要求。通过新增短信平台调度中心,增强各调度中心处理能力,实现了平台业务能力扩容;不同类型短信业务分流至不同调度中心的优化策略,实现了短信业务的QoS保障。2009年运营数据表明,平台扩容及策略优化,确保了短信平台能力满足业务发展需求,并对重要业务实施了QoS保障,提升了短信业务性能。     

一种量化的移动智能终端风险评估方法

当前由移动智能终端潜在风险引发的安全威胁日益严峻,且目前尚不存在有效的量化风险评估方法。针对上述问题,依据ISO/IEC 27002：2005标准（GB/T 22081-2008）,提出一种适合移动智能终端风险量化评估的方法。该方法结合移动智能终端的特性,采用层次分析法（analytic hierarchy process,AHP）,建立4层风险评估指标体系,构造出判断矩阵,求出各项评估指标的权重及综合权重。对终端风险指标因素进行系统模糊综合评判,并给出隶属度矩阵的计算方法。举例说明基于层次分析法的模糊综合评估方法 （analytic hierarchy process and fuzzy synthetic evaluation method,Fuzzy-AHP）在移动智能终端风险评估中的应用。通过对比实例验证：该方法能够有效反映不同的安全配置下智能终端的安全等级。     

网络安全设备的统一管理方法研究

由于网络安全设备的管理接口难以实现标准化,安全管理系统要想对设备实施统一管理,就必须针对种类繁多的管理接口进行自底向上的设计,从而降低了系统的通用性和可维护性。利用XML在数据表示、传输和处理等方面的优势,设计了基于XML的通用管理接口,并通过接口转换组件,实现了安全设备专用管理接口到通用管理接口的接口转换,从而有效屏蔽了设备管理接口的异构性,实现了安全设备的模块化集成管理,提高了整体防护效能。     

SOC中的MBIST设计

随着超大规模集成电路的发展,设计的集成度越来越高,基于IP的SOC设计正在成为IC设计的主流.为了确保SOC的功能正确,可测性设计(Design for Test,简称DFT)显得尤为关键.DFT设计包括扫描设计、JTAG设计和BIST设计.另外,当前SOC芯片中集成了大量的存储器,为了确保存储器没有故障,基于存储器的...     

A prototype SECS message service for communication in thesemiconductor manufacturing environment

The authors describe the SECS message service (SMS), a bidirectional protocol that can be used to transfer SECS formatted messages over an ISO-compatible network. SECS is the current protocol standard for communications in the semiconductor manufacturing manufacturing environment. SMS represents a first effort that provides for the migration of communication methodologies in the semiconductor manufacturing environment into the ISO arena. SMS incorporates desirable features of the SECS protocol into an OSI application layer environment, thus achieving advantages of both environments. The SMS protocol provides four services to the end user: MESSAGE provides for the transfer of SECS formatted messages, CONNECT provides for the establishment of virtual circuit connections between applications in a SMS ISO environment, DISCONNECT provides for the graceful ending of such operations in which no data are lost, and ABORT provides for the abrupt termination of such connections in which data may be lost. The SMS design process has produced the additional result of a methodology for incorporation of desirable features of a non-ISO protocol into an ISO-compatible system