基于ISO／IEC 27002信息安全风险评估知识库的构建

本文首先介绍了风险评估知识库的概念及作用,在此基础上提出了基于IS027002的信息安全风险评估知识库的一种构建方式。该知识库主要用于信息安全风险评估知识的培训教学和自学辅导,以增进员工对风险评估的了解,提高其风险防范意识,规范业务工作流程。随后,文章详述了知识库的信息来源、制作过程、采用的技术工具以及运行环境,并重点介绍了知识库的结构及其内容安排。其中,部分内容结合典型实例予以说明。文末提出了未来该知识库需改进的地方。     

信息安全风险评估通用模型研究

信息安全风险评估是信息安全系统工程的重要组成部分,是建立信息系统安全体系的基础与前提.针对目前风险计算缺乏统一的标准和具体的计算方法,结合实际的风险评估工作,提出了一种信息安全风险评估的通用模型.通过分析系统的资产、弱点和威胁,根据安全设备产生的安全事件,实时地评估信息系统风险的方法,为有效地进行风险评估提供了通用可行的方案.     

层次化的企业信息系统风险分析方法研究

信息安全风险分析方法是系统风险评估的重要工具。在现代企业信息安全风险评估过程中,合理、准确的风险分析方法是评估任务能否成功完成的关键。以企业的业务流程为基础,对业务流程中的各个信息处理环节进行层次化的分解,建立了一种层次化的企业信息系统风险分析方法。     

高校档案管理信息化的优势及安全风险评估研究

高校档案管理信息化与传统档案管理方式相比较,优势非常明显。但是档案管理的信息化建设会引起信息安全的问题,为了加强信息安全管理,引入了针对具体行业的信息安全风险评估,即高校档案管理信息安全风险评估。对其相关内容的深入研究和存在的一些问题分析,有利于推动我国高校档案管理的数字化信息安全建设。     

基于AHP和模糊综合评判的信息安全风险评估方法

通过对省属高校校园网络系统进行信息安全风险的研究,针对校园网络系统潜在发生的安全问题,构建其评估指标体系并详细分析基本要素,提出了一种基于AHP和模糊综合评判的信息安全风险评估方法,可有效解决风险评估中定性指标的定量评估问题。结合实例的分析证明了该方法有较强的科学性和实效性,比较适宜应用于信息安全风险评估领域。     

市场失灵角度的信息安全外部性分析与研究

频发的网络信息安全事件使得解决网络信息安全投资问题迫在眉睫.在企业投资成本和利润不同的情况下,应用博弈理论计算了网络信息安全的投资过程,提出了相互依赖的信息安全投资风险模型.用风险评估方法对企业信息安全风险进行量化,提出安全风险量化模型,通过适当投资提高系统的安全稳健性.该方法为信息安全的风险管理提供了新思路,为企业确定自身的投资策略提供了依据.     

《信息安全风险评估》课程教学探讨

信息安全风险评估是构建信息安全保障体系的重要手段,通过该课程的教学能培养学生分析信息系统,评估其面临的安全威胁及安全风险的能力,进而采取相应的安全措施。从信息安全风险评估课程的教学现状出发,分析了课程特点,对该课程的教学从多个方面进行了探讨。     

IT服务管理体系实践之信息安全管理

本文在信息安全风险评估的基础上,对信息安全管理作出了有益的探索,除信息安全管理的原则外,文中还对信息安全管理的主要因素分别作出包括目标和方针的简要解释,并给出了与之相关的管理文档名称和应包含的主要内容。     

电子政务中信息安全的风险评估与防范措施

电子政务建设已成为国际上新一轮公共行政管理改革和衡量国家竞争力水平的重要标志之一。我国政府把电子政务建设作为今后一个时期我国信息化工作的重点,信息安全从而成为国家安全的重要组成部分。为保证信息安全,建立信息安全管理体系已成为目前安全建设的首要任务。风险评估作为信息安全管理体系建设的基础,在安全防范体系建设的各个阶段发挥着重要的作用。探讨了电子政务在安全风险评估方面的现状和发展方向,提出了安全防范上的一些措施和己见。     

浅析金融风险管理的发展趋势

市场风险管理部门定期对各业务单位进行风险评估。整个风险评估的过程是在全球风险经理领导下由市场风险管理部门、各业务单位的高级交易员和风险经理共同合作完成的。由于其他高级交易员的参与,风险评估本身为公司的风险管理模式和方法提供了指引方向。     

基于BS7799的风险评估分析方法

信息是组织机构的一项重要资产。信息系统的安全建设已经越来越受关注,风险评估作为风险管理的基础其重要性不言而喻。描述了一种基于BS7799信息安全风险评估定性定量相结合的分析方法用来判定组织的安全风险级别。     

基于信息系统架构的信息资产识别技术

信息资产识别是信息安全风险评估工作的核心环节。文中提出了基于信息系统架构，涵盖信息安全相关的所有资产的一个参考分类框架，在此基础上分析信息资产之间的依存关系和依存程度．然后依据依存程度识别信息资产的安全价值。评估者以此为工具识别信息资产时，可以做到清晰、规范和全面。     

高校数字化校园信息安全策略探讨

数字化校园信息安全是基于数字化校园的关键业务顺利开展的重要保证。本文从分析数字化校园信息安全的现状入手,结合自身信息安全管理的经验,探讨了数字化校园信息安全的防御策略,并在此基础上提出了典型的数字化校园信息安全的系统解决方案。     

论信息安全等级保护与电子商务安全

简要论述了信息安全的相对性，安全风险评估与适度保护关系，安全保护的目标。信息安全在电子商务应用中的重要性和作用，电子商务存在的安全风险，今后的解决方向，安全保护体系的建立以及我国在这个方面所做的工作。     

企业ISMS的完善研究——以A企业为例

随着企业和网络技术的快速发展,原有网络安全管理体系（ISMS）已不能满足企业的需求。为保障企业各类重要业务安全有序地进行,必须建立更为完善的ISMS。本文以A企业为例,利用国际上广泛采用的能力成熟度模型对ISMS进行成熟度度量,指导企业建立、评估、改善自身的ISMS,从而达到完善ISMS、有效控制信息安全风险、确保信息安全保密、企业的业务连续。     

浅谈网络安全风险的评估方法

随着现代计算机网络技术的飞速发展,网络风险评估作为保障信息安全的基本前提,它能够提供网络系统所存在的漏洞,为安全体系的构建提供依据,进而提升网络系统的生存能力.本文通过分析网络系统风险的概念及评价体系建设原则,针对风险评估的流程进行探讨,并就应注意的几个问题提出几点建议.以期通过本文的阐述为网络管理人员更好地制定安全策略提供有效的技术支持.     

物理隔离网闸的应用成效分析——以湖北日报传媒集团网为例

湖北日报传媒集团业务办公网络与互联网相联.同时,处理内部敏感信息的计算机以独立专网方式运行,与集团业务办公网络物理隔离.这种专网运行方式在最大限度保证信息安全保密的同时,也带来一系列的问题与不便.专网内计算机终端的防病毒软件升级只能人工操作,及时性难以保证;与业务办公网的数据交换不方便、不利于控制.改变这种状况的便捷方式就是将专网与业务办公网实现物理互联,在其互联处部署相关安全设备进行保护.物理隔离网闸设备可以提供更好的隔离效果和安全防护能力,确保专网的信息安全.对此进行了论述.     

浅谈网络安全风险评估中应注意的问题

信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性.本文针对风险评估的流程进行探讨,并就应注意的几个问题提出几点建议.     

数字化校园信息安全立体防御体系的探索与实践

针对数字化校园中日益复杂多样化的网络攻击对教育信息化应用造成的严重破坏行为,传统的静态化、片面化的被动型信息安全防御体系已经无法满足新型应用环境下的安全需求.对此,从信息安全的4个层次——物理安全、网络安全、数据安全和内容安全出发,提出了数字化校园信息安全立体防御层次化安全模型,保障了信息安全的机密性、可控性等安全属性.在该模型中的网络安全层,提出了数字化校园网络安全全过程主动防护模型APPDRRCC,设计了各阶段的安全防护策略,实现了从前期的风险评估到后期的追踪反击全过程主动防御.该模型在校园网中的实际应用结果表明:数字化校园信息安全立体防御体系能够实现防御的立体化、动态化和主动性,该方案是有效、可行的.     

密码技术及其在信息安全中的应用

信息技术的发展产生了对安全技术的需求,政府上网与电子政务、企业上网与电子商务的快速推进使信息安全的观念、理论和技术日益走进普通大众。必须掌握安全问题和相应的安全业务、密码技术的基本方法以及密码技术在信息安全业务上的应用。