信息安全风险评估标准化工作的历史和进展

说明了信息安全风险评估的基本概念以及我国政府对该项工作的战略部署，回顾了国内外信息安全风险评估标准的发展历史，介绍了当前我国信息安全风险评估国家标准的制定情况，并展望了我国信息安全风险评估工作在2004年的发展。     

云计算安全国家标准研究

云计算安全是当前网络安全领域的热点问题。为了建立实施云计算安全审查制度,中国电子受国家委托牵头起草了《云计算安全能力要求》国家标准。分析了云计算面临的主要风险,研究了加强云计算安全管理和编制云计算安全标准的难点与对策,提出了应对云计算安全风险的主要措施。     

ISO/IEC17799释疑

信息安全管理正在逐步受到安全界的重视,加强信息安全管理被普遍认为是解决信息安全问题的重要途径。但由于管理的复杂性与多样性,信息安全管理制度的制定和实施往往与决策者的个人思路有很大关系,随意性较强。信息安全管理也同样需要一定的标准来指导。这就是英国标准协会(BSI)制订并于1999年修订的《信息安全管理标准》(BS7799)受到空前重视的原因。如今BS7799的一部分已经在2000年末被采纳为国际标准,以标准号ISO/IEC17799发布,全名为《信息妄争管理操作规则》。我国很多行业已经在参照DS7799或ISO/IEC17799制定自己的行业信息安全管理法规。但需要指出,管理问题极为复杂,单纯依靠一部标准难免有失偏颇,况且国际信息安全界对ISO/IEC17799的争议很多。鉴于界内对BS7799或ISO/IEC17799的高度关注及其引发的各种争论,美国国家标准和技术研究所(NIST)在2001年3月发布了非官方性质的ISO/IEC17799 FAQ,以期通过对背景资料的介招,使围绕ISO/IEC17799。的讨论更有意义。本文作者从中摘录了部分材料,希望通过对ISO/IEC17799 FAQ的介绍,使大家能够从侧面更深入地了解ISO/IEC17799     

美国信息安全战略中的系统安全评估工作(下)

五、信息系统的安全要求NIST在2003年10月末发布了SP 800-53《联邦信息系统安全控制的建议》,为每一类别的信息和信息系统制定最小的信息安全要求。这些安全要求分为管理类、运行类和技术类控制,管理控制针对信息系统的安全管理以及系统风险管理,运行控制针对主要由人(与系统相对)来实施和执行的安全机制,技术控制则针对包含在计算机系统中并由计算机系统来执行的安全机制。它们均来自已被业界广为接受的安全规范,例如NIST SP 800-26、DoD8500、ISO/IEC 17799等。安全控制的体系结构得到了精心设计,它由三个主要部分组成:(1)“控制…     

从一国的综合角度看,信息时代存在哪些威胁?

信息技术这一人类历史上的又一次重大革命使世界发生了彻底的改变,大家顿感“忽如一夜春风来”。我们欣喜于万象更新的同时,却也看到了多种驱动力撞击而使IT界产生的某种无序。更深感在信息安全领域,很多人还怀有一些片面或错误的认识(比如笔者曾见到过某单位采购人员去购买防火墙时只问哪一种最便宜)。因此加强信息安全的教育普及也是信息安全工作者面临的一项迫切任务。在此,我们介绍美国政府的国家信息系统保护计划中对信息安全威胁的阐述,使公众对于信息安全面临的各类威胁有系统的认识,明确地理解这些威胁对我们的不同危害程度。我们希望,读者在阅读完文章后不再谈黑客色变,更不要再把黑客同信息安全问     

美“国家网络安全综合计划”揭开神秘面纱

引言 2008年1月,时任美国总统布什发布了一项重大信息安全政策,称为第54号国家安全总统令（NSPD54）,同时也是第23号国土安全总统令（HSPD23）,其核心是国家网络安全综合计划（CNCI,Comprehensive National Cybersecufity Initiative）。     

CC解释及对CC和CEM过渡版本的分析(三)

对CC第二部分改动的分析CCIMB对CC第二部分《安全功能要求》共做了六处改动,如表二所示: 其中,第019、038、058、098条解释请求已在前文作了分析,这里只分析RI055和RI065。RI055——     

当互联网不再是西方"和平演变"的工具--评荒谬的《全球在线自由法案》

本着"积极发展,加强管理,趋利避害,为我所用"的十六字方针,互联网在进入中国的十余年间,获得了高速的发展,从一个侧面推动了中国、经济和文化的进步.近年来,针对互联网中出现的违法和有害信息、网络攻击等违法犯罪情况,中国政府采取了积极措施,正在逐步建立法律规范、行政监管、行业自律和技术保障相结合的管理体制,努力构造健康有序的互联网环境.这一局面,恰恰是西方反华势力所不愿看到的.回首十余年前,在互联网刚刚进入中国时,这些人士欢欣鼓舞,认为中国离他们所希望的"民主"不远了,他们几十年来对中目的和平演变目标就要实现了.如今,美国前国务卿奥尔布赖特"中国不会拒绝互联网,因为他要现代化.这是我们的可乘之机,我们要利用互联网把美国价值观送到中国去"的声音依然在耳,这些人却遭遇了梦想与现实的巨大反差.于是,不甘于失败的反华势力坐不住了,他们又上演了一出拙劣的丑剧,这就是《全球在线自由法案》事件.     

《云计算服务安全能力要求》国家标准解析

介绍了国家标准《云计算服务安全能力要求》的编制背景、用途和适用范围,分析了标准编制原则,梳理了系统开发与供应链安全、系统与通信保护、访问控制等十类重点安全问题,解释并总结了标准遇到的安全措施实施责任等新问题及安全计划模版等创新点,以加强对该标准的理解。     

对信息安全风险评估中几个重要问题的认识

《国家信息化领导小组关于加强信息安全保障工作的意见》中,提出了要实行信息安全等级保护,并在其中强调,要重视信息安全风险评估工作。2004年1月召开的全国信息安全保障工作会议则进一步深化了对信息安全风险评估工作的要求,将其列为当前需要务必抓好的五方面工作之一,并作了明确部署,要求“开展信息安全风险评估和检查,抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范,并组织力量提供技术支持。”