信息安全风险评估与安全预算

我国信息化建设的不断加速,政府、企业、学校、医院等各类组织都在积极运用IT带来的种种好处,随着各部门对信息系统不断增长的依赖性,信息系统的脆弱性日益暴露,安全问题凸现出来。各类组织对于安全问题都表现出前所未有的关注,安全预算也逐年提高,如何通过有效的手段,保证有限的安全预算发挥出最大的效果,以保证组织的信息安全,本文期待和读者一同讨论。     

信息安全风险评估的探讨与实践

分析产生信息安全风险的原因,介绍了信息安全风险评估方法和评估工具,并尝试性地对广西自治区级电子政务网络平台进行安全风险评估.评估结果显示广西自治区级电子政务网络基本处于黄色预警等级,与网络信息系统的现状基本相符.     

网络信息安全如何进行风险评估

长期以来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等等。厂商在安全技术和产品的研发上不遗余力,新的技术和产品不断涌现;消费者也更加相信安全产品,把仅有的预算也都投入到安全产品的采购上。但实际情况是,单纯依靠技术和产品保障企业信息安全往往差强人意。复杂多变的安全威胁和隐患靠产品难以消除。要对信息系统进行准确的风险评估,要认识到风险来自何处？明确风险评估的关键要素以及各要素之间的内在联系。然后制定安全风险评估方法,风险评估做那些过程,认识我们平常对风险评估的错误理解。     

信息安全风险评估模型及其应用

信息安全风险评估是信息系统安全防御中的一项重要技术,作为自然科学与社会科学的交叉学科分支,信息安全测评和风险评估具有自身的特殊规律。为了识别风险的大小就必须进行风险评估,根据风险评估采取相应的风险防范措施来进行风险控制,风险评估中采用层次分析法与模糊数学计算结合起来的评估方法能使的评估结果更科学、合理。     

信息安全风险评估方法的比较分析

近年来,国内外信息安全风险评估的研究工作取得突飞猛进的进展,各种评估方法层出不穷,大大缩短了评估所花费的时间、资源,提高了评估的效率,改善了评估的效果。然而无论何种方法,基本上都遵循了风险评估流程,只是在具体实施手段和风险计算方面有所不同,其共同的目标都是找出组织信息资产面临的风险,并确定主要安全风险,从而分析其影响,以及目前安全水平与组织安全需求之间的差距。本文重点剖析了九种常见的信息安全风险评估方法及其优缺点。     

高校信息安全风险评估探索

通过对高校信息化现状的分析,结合我国即将推行的《信息安全风险评估指南》,指出高校进行信息安全风险评估的必要性,简要介绍了信息安全风险评估的概念,对高校信息安全风险评估过程进行了论述,并对高校如何实施信息安全风险评估提出了建议。     

刍议企业信息安全

21世纪是信息高速发展的时代,在日益激烈的市场竞争中,企业能否有立足之地,企业的信息安全将起着核心作用。在当今的信息时代,企业信息的安全技术已经逐步的由开始的单技术向信息综合技术发展,随着时代发展,企业需要一个全新的信息安全体系,在保证企业信息安全的同时,还能及时的对信息的变更进行传递。针对企业信息安全体系构建这一过程,进行论述。     

基于知识库的信息安全风险评估方法Crisk及其工具实现

在GB/T 20984-2007以及ISO/IEC27005:2011等标准的基础上,结合国内信息安全的状况,提出了一种新的基于知识库的信息安全风险评估方法,即Crisk风险评估方法及其辅助工具。Crisk利用知识库实现了对专家经验的利用,从而解决了评估过程主观化的问题,利用软件开发过程,实现了评估自动化的问题。     

企业信息化的网络安全建设

随着信息化建设的深入以及电子商务的开展,信息化已经成为我国各类型企业提高竞争力的有效武器.企业越来越依赖网络开展业务交易、进行内部资源共享和日常沟通,越来越多的企业利用信息化提高自身的竞争力.但是,随着开放程度的增加,企业信息化面临着严峻的威胁:黑客和计算机犯罪、病毒的蔓延和破坏、机要信息的流失与信息间谍的潜入、网上恐怖活动与内外勾结导致内部犯罪等等.     

数字化企业的信息安全体系及实施方案

分析了数字化企业的总体框架结构、安全需求,构建了数字化企业完整的信息安全体系,包括物理安全、网络安全、支撑层系统安全、应用层系统安全、数据及资料安全;针对数字化企业数据及资料等企业内部信息安全问题,提出了一套包括身份鉴别、设备集中控制、文档权限管理、文档加密、安全审计等功能系统的综合解决方案;基于所构建的信息安全体系,提出了一种典型数字化企业的信息安全实施方案。     

信息安全及其等级保护

在信息化时代，市场经济和社会发展要求网络实现互连互通。在互联互通、信息共享的环境下，信息安全问题十分重要。为保障我国有个安全、稳定、和平的建设和发展环境，应确立适合国情和WTO市场经济环境的计算机信息系统安全保护基本政策，采取强有力的措施，建立安全保护体系并形成长效机制。以提高国家计算机信息系统的整体安全防护水平和应付突发事件的能力，保障全社会安全，促进各项事业健康发展。     

信息安全——企业信息化建设中的重中之重

在信息化高度发达的今天，信息安全是企业管理中不容忽视的问题，它涉及到企业生产经营、发展建设的方方面面，是企业在竞争激烈的商场中立于不败之地的根本保证之一。但在现实中，企业的信息安全普遍存在着一些这样那样的问题，这些问题必须引起我们的高度重视，只有这样才能确保我们的企业健康成长。     

电网信息安全风险评估系统的设计与实现

针对电网信息系统安全评估存在的关键问题,基于国家电网信息安全评估细则,着重研究电网信息安全评估应用模型及其系统实现.所设计系统具有资产评估、威胁评估、脆弱评估以及系统安全风险综合评估等功能,使得对电网信息的安全评估工作达到半自动化管理水平.     

浅谈信息化过程中的信息安全问题

党的十七大明确提出了一条＂以信息化带动工业化,以工业化促进信息化＂的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分,由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。本文对信息化过程中的信息安全问题进行了探讨。     

精细化资产管理 强化企业信息安全

企业的高速发展，往往伴随着IT资产规模日趋壮大。一个运营良好的IT系统意味着企业更高层次的业务能力提升、流程优化和服务质量改善，但庞大的系统使IT管理者不得不花费更多精力去确保这些分散的IT资产得到合理使用，而稍有不善，则可能造成IT资产浪费，甚至威胁整个信息系统安全。要确保企业IT系统高效稳定的运转，并不是一件容易事，究竟如何才能突破IT资产管理的瓶颈？日立信息系统有限公司软件事业部总经理森保治先生的理论，或将带给人们一些启发。     

我国公安部门信息安全保障技术体系建设探讨

信息、信息技术已经成为国家实力和国家安全的重要决定因素。结合我国信息安全发展的现状和存在的问题。提出了我国公安信息安全技术体系建设的目标、建设思路,以及信息安全技术体系的建设核心内容和关键技术,并对我国公安部门开展信息安全技术体系建设的保障措施提出了建议。     

基于体系观的信息安全建设透视

信息安全是一个综合性工程,既要强调对抗风险的抵御能力,又要有破坏发生后的恢复能力,构建以物理环境、通信与操作、访问控制、信息系统开发与维护为框架的策略集合是安全防御的常态技术环境。此外,移动应用的迅猛发展为安全防御带来了新挑战,访问控制、数据安全及应用软件安全是移动环境的关键性问题。在高校信息安全建设实践中,安全等级保护的国家标准是标尺和指导。     

企业信息安全法制建设研究

本文分析了我国企业信息安全立法的现状,探讨了企业信息安全立法需要注意的一些问题,在借鉴国外成功经验的基础上,提出了提出了我国企业信息安全立法的模板。     

网络信息安全防御体系探讨

网络信息安全防御体系是近年来信息安全领域探讨的一个重要问题.本文介绍了PDR模型,探讨了PDRR、WPDRRC动态模型,并提出了包括:法律规范、安全管理、物理安全、网络安全、系统安全和应用安全的纵深防御体系.     

计算机网络信息安全形势分析与防护

日趋成熟的网络技术使得社会经济高速发展,人们生活更加便利,各行各业在享受网络信息技术带来高效益的同时,网络信息的安全也日益受到关注。简述了网络信息安全的概念,分析了我国网络信息安全形势,提出了网络信息安全防护措施。