关于建立信基系统安全性评估准则的几点考虑

"十五"期间,我国将大力推进信息化建设,江总书记指出要用信息化带动工业化的发展.电子政务、电子商务以及国家关键基础设施信息化建设的步伐非常快.但是,信息化建设需要以信息安全为前提.因此,在信息化建设中如何构造健全的信息安全保障体系显得尤为重要.在构造信息安全保障体系时,对信息安全问题需要做到心中有数;并且我们整个信息安全产业界需要统一思想,对信息安全问题有着大致相同的认识.这样,建立信息系统安全性通用评估准则这样的一个国家标准就显得非常重要,对构造我国的信息安全保障体系具有非常重要的战略地位.     

关于建立信息系统安全性评估准则的几点考虑

“十五”期间,我国将大力推进信息化建设,江总书记指出要用信息化带动工业化的发展。电子政务、电子商务以及国家关键基础设施信息化建设的步伐非常快。但是,信息化建设需要以信息安全为前提。因此,在信息化建设中如何构造健全的信息安     

信息安全要未雨绸缪

从国际经验来看,随着信息化程度的提高,信息系统相应的信息安全问题将会日益显现。     

对我国信息系统认证与认可过程的探讨

该文首先简要介绍了美国的信息系统认证与认可过程和我国现阶段的信息系统测评认证的现状。通过我国与美国的信息系统认证与认可过程的比较,分析了我国现阶段信息系统测评认证过程特点,并对今后信息系统测评认证的发展给出了相关建议。     

思索信息安全：内涵与外延

IT技术日新月异,企业IT系统越来越来越复杂。安全威胁无处不在,"信息新安全"已经成为当今社会关注的重要问题之一,硬件要安全,软件要安全,无处不在的接入网络也要安全……信息安全产业迎来了自己的需求"井喷"时代。"信息社会,安全基石"。对于众多安全企业而言,在看到巨大市场前景的同时,如何协助行业部署新一代信息安全的"马其诺防线"……无限商机的背后,一场没有硝烟的战争已经打响。     

一种复杂信息系统安全评估与认证的等级划分方法

如何对金融、证券、交通和电力等国家关键基础设施信息系统进行保护,是目前各国普遍关注的战略性问题,对这些信息系统的安全评估与认证是保障其安全的重要手段和环节。但如何规范日趋复杂的信息系统的安全保障体系建设以及如何进行复杂信息系统的安全评估和认证是信息化进程中所面临的一项挑战。     

基于安全案例与证据推理的风险评估方法

介绍了利用安全案例和证据推理评估信息系统安全风险的新方法。该方法具有两个重要特色：首先,安全案例结构化融合了各种风险要素、相关防护措施以及内在相互影响。其次,该方法便于进行性价比分析以促进有效的安全风险管理。同时,也解释了一些理论概念,并实例讲解了如何使用这个方法。此外,也比较了所提方法与其他现存风险评估方法的优缺点。     

ISMS概念模型探索

ISO 27001给出了信息安全管理体系要求方面的最佳实践标准,但并没有说明体系要求方面内在的逻辑关系。该文将ISO 27001分解为过程方法要求和安全控制要求2个部分,在过程方法上按照PDCA的循环模型重新解构了过程方法要求之间的关系,在安全控制上按照主体访问客体的方式重组了安全控制要求之间的关系。     

信息系统安全测试框架

提出一种信息系统安全测试的框架,包括信息系统安全测试的策略、基础理论、方法和工程等,为建立一个标准的、一致性的信息系统安全测试对比基准提供了基础。给出4种信息系统安全测试分析方法和2种测试方式。     

一种信息系统安全测度的框架

本文尝试从安全测度角度来统一解释目前通行的用于评价信息系统安全性的安全评估,风险分析,安全技术评估准则,安全审计等方法,分析它们各自的特点及应用范围,并提出一种信息系统安全测度的框架。