一个新的信息安全管理模型

在分析现有信息安全管理模型的基础上 ,根据组织机构的信息安全要求提出一个新的信息安全管理模型。与现有的信息安全管理模型相比该模型有下述优点 :通过把风险分析与评估结果映射成安全需求流 ,能更加合理地选择安全保护措施 ;通过模型中各个模块之间的信息交互 ,可把不同层次的管理部门有机地结合起来 ;通过建立基于Agent的入侵检测系统 ,可及时发现信息系统的薄弱环节和安全漏洞。     

An economic modelling approach to information security risk management

This paper presents an approach enabling economic modelling of information security risk management in contemporaneous businesses and other organizations. In the world of permanent cyber attacks to ICT systems, risk management is becoming a crucial task for minimization of the potential risks that can endeavor their operation. The prevention of the heavy losses that may happen due to cyber attacks and other information system failures in an organization is usually associated with continuous investment in different security measures and purchase of data protection systems. With the rise of the potential risks the investment in security services and data protection is growing and is becoming a serious economic issue to many organizations and enterprises. This paper analyzes several approaches enabling assessment of the necessary investment in security technology from the economic point of view. The paper introduces methods for identification of the assets, the threats, the vulnerabilities of the ICT systems and proposes a procedure that enables selection of the optimal investment of the necessary security technology based on the quantification of the values of the protected systems. The possibility of using the approach for an external insurance based on the quantified risk analyses is also provided.     

国家知识产权安全情报体系构建研究

[研究目的]知识产权对我国科技安全与经济安全等众多领域的安全问题都产生了日益重要的影响,维护知识产权领域国家安全对保障国家总体安全意义重大,而构建国家知识产权安全情报体系能够为维护知识产权领域国家安全提供情报支撑。[研究方法]从知识产权战略安全、知识产权创造安全、知识产权运用安全与知识产权保护安全四个维度分析了知识产权安全对情报的现实需求,并基于知识产权活动流程构建了国家知识产权安全情报体系,对体系的内涵进行解析并阐述了体系构建的支撑。[研究结论]国家知识产权安全情报体系包括国家知识产权战略安全情报、国家知识产权创造安全情报、国家知识产权运用安全情报与国家知识产权保护安全情报。安全情报分析机构、安全情报知识库、安全情报分析方法与工具、安全情报人才培养等构成了国家知识产权安全情报体系构建的支撑。     

基于界壳综合实力的企业信息系统安全评价研究

为方便宏观了解各行业、规模、地区的企业信息系统安全水平,基于界壳论,提出界壳综合实力概念,建立企业信息系统安全评价模型。首先,根据企业信息系统防护阶段构建三层界壳防护体系,即预防信息受损外层界壳、抵抗内外部攻击中间层界壳、系统更新与维护内层界壳。其次,利用主成分分析和界壳综合实力,确定各评价指标权重。最后,运用模糊综合评判法构建多维度企业信息系统安全评价模型。结果表明,企业属性为第三产业、大规模、华东时,信息安全系统界壳综合实力最强,各层系统界壳防护实力在同级比较时同样最强,即企业信息系统界壳综合实力最强,各层界壳防护能力同样较为突出。算例结果符合实际情况,说明了模型的有效性。     

数字经济关键信息基础设施安全保护义务:治理体系与改革建议

以《关键信息基础设施安全保护条例》为切入点，梳理分析运营者履行安全保护义务的主要环节与具体内容，评述现有治理体系的进步与不足，提出运营者应树立弹性安全的网络安全治理观念、完善网络安全信息共享制度、优化建立全生命周期的供应链安全管理体系的改革建议。     

信息系统数据安全防护策略浅析

随着IT技术的发展和计算机应用的普及,各类信息系统中存储的数据已成为政府和企业的核心竞争力,信息系统的数据安全性受到人们的广泛关注。文章主要分析了信息系统的数据安全防护策略,为数据安全性提供有效保障。     

信息社会下企业信息安全防范策略

随着信息社会的发展,公共信息网络对国民经济的发展和全社会的管理起着日益突出的作用。就目前的互联网信息网络安全的一些不足和存在的安全隐患以及面临的严峻态势,有必要建立一个全面的完整的安全监管防范控制体系。文章针对我国现代企业信息化现状和信息安全的特有特点,对现代企业信息安全防护体系的发展现状进行了分析,针对存在的问题提出了适合我国现代企业的信息安全防护策略,为我国企业信息安全建设提供指导。     

口令攻击与口令保护

口令是信息系统安全重要的防范措施.首先讨论了口令安全所面临的问题,比较分析了多种口令安全保护机制方法,然后提出了一种基于伪装的口令保护机制,有助于推进口令系统的主动式防御,确保网络信息安全.最后,指出了口令安全有待研究的问题.     

我国与ISO信息安全标准对比研究

[研究目的]信息安全标准作为信息安全保障的指导性技术文件在保障我国信息安全方面起到至关重要的作用。有必要对比我国和ISO信息安全标准的差别,以查找问题。[研究方法]该研究通过文献计量和知识图谱相结合的方法对402项我国信息安全标准和378项ISO信息安全标准,以及71项我国在研标准计划和82项ISO在研标准计划进行对比分析。[研究结论]研究发现,我国信息安全标准从体量和更新速度上略胜ISO。从主题上来看,我国标准着重于技术类和应用类标准的发展,并已超越ISO。但在信息安全管理体系和隐私保护方面,我国相对落后。此外,我国标准化工作效率和完成度仍有提升空间。     

数字图书馆的信息安全策略

本文主要以Sun So1aris操作系统为例，简要地论述了数字化图书馆的信息安全问题，针对主流操作系统，给出了相应的安全防范策略，详细地说明了如何加强服务器的自我保护，并给出了具体实例。     

数字图书馆的信息安全分析

信息安全问题是网络时代的图书馆所面临的一大挑战。本文结合数字图书馆的信息安全现状,对数字图书馆的信息安全问题和影响数字图书馆信息安全的因素做了详细的分析。     

大数据时代企业信息安全管理体系研究

大数据时代的信息安全管理体系研究是企业信息安全保障体系建设的重要组成成分,对完善企业信息安全体系建设,保障企业信息安全,提高企业信息化水平具有重要意义。针对大数据环境下企业信息安全管理体系进行理论框架和应用策略研究,分析安全管理现状,指出国内企业在大数据安全管理方面存在不足;探索大数据云安全管理体系构建,给出大数据云安全体系框架;研究大数据安全管理体系应用过程实施策略,给出过程模型及具体工作实施规划。为企业建立健全网络信息安全管理体系提供借鉴。     

构筑中国信息安全防御体系

本文论述了国家信息安全的战略意义、主体、内容和层次，并在此基础上提出了构筑中国国家信息安全防御体系的总体框架，即“中国信息安全球形三维防御体系”。     

物联网安全架构初探

物联网是信息技术发展到一定阶段的产物,是全球信息产业的又一次科技与经济浪潮,将影响到许多重大技术创新和产业的发展,受到各国政府、企业和科研机构的高度重视。同时,物联网的信息安全问题是关系物联网产业能否安全可持续发展的核心技术之一,必需引起高度重视。因此如何建立合理的物联网安全架构和安全体系将对物联网的安全使用和可持续发展有着重大影响。本文试图从不同层次分析物联网的安全需求,搭建物联网的安全架构体系,希望为物联网可靠的信息安全系统提供理论参考依据。     

政务APP个人隐私信息保护评价指标体系研究及实证分析

[目的/意义]构建政务APP个人隐私信息保护评价指标体系，对我国政务APP个人隐私信息保护进行科学合理评价，为完善政务APP个人隐私信息保护提出建议。[方法/过程]从隐私政策视角，利用专家访谈法与层次分析法，从"用户知情同意、信息安全控制、个人权利保障"3个维度构建我国政务APP个人隐私信息保护评价指标体系；并选取我国直辖市、省会城市和计划单列市的36个政务APP进行实证分析。[结果/结论]构建的政务APP个人隐私信息保护评价指标体系具有一定的实用性和可操作性，实证分析发现我国政务APP个人隐私信息保护问题严峻，政府部门应着重关注和解决。     

试论当代图书馆网络信息安全的三大关键性保障措施

针对当代图书馆网络信息安全现状,从国家级网络安全顶级设计、网络防范技术措施、管理手段保障三方面论述了图书馆网络信息安全问题。     

基于层次分析法的数字图书馆信息系统安全评价研究

数字图书馆信息系统安全评价受信息系统安全内容、特点和数字图书馆固有特性等方面因素的影响,而各影响因素不能都以定量的形式体现。文章以定性分析和定量分析相结合的思路,采用层次分析法确定指标体系及权重,给出了数字图书馆信息系统安全评价的方法,并进行了评价验证。该评估体系具有可行性和指导性,对数字图书馆信息系统安全防护和管理起到一定的指导作用。     

数据生命周期视角下高校科学数据安全内容框架构建

[目的/意义]科学数据安全是国家信息安全的组成部分,随着数据科学研究的兴起,高校科学数据安全的政策研究有待深入。[方法/过程]采用网络调查的方法,对美国U.S.News前50名大学的科学数据管理内容进行分析,从“涉及对象”“保护方法”和“科学数据生命周期”等角度梳理政策重点和空白点。基于科学数据生命周期,从“制度层”“基础设施层”“数据素养层”和“实施层”四个主要层次,构建了高校科学数据安全的内容框架,并分别讨论了科学数据生命周期不同阶段与科学数据安全相关的各个主体的职责。[结果/结论]高校科学数据安全内容贯穿科学数据生命周期,相关主体包括制度层、基础设施层、数据素养层、执行层。     

网络空间安全面临的挑战与对策

当前全球网络空间安全形势持续演变,外部环境日趋严峻,网络安全问题时刻影响着政治、经济、军事、文化、科技等各个领域。为了有效防范重大网络威胁,掌握网络空间自主权和话语权,我们需要清醒认识网络空间面临的安全挑战,落实关键信息基础设施安全保护要求,重点加强数据安全和供应链安全保障能力,建立健全国家网络空间安全保障体系。     

信息系统安全风险评估综述

随着信息技术和网络技术的飞速发展,国民经济、社会生活的各个方面对信息系统的依赖程度越来越高,安全问题也日益凸显.信息系统安全风险评估作为衡量系统安全性的重要手段,为信息系统的建设和管理决策提供了重要依据.本文对信息系统安全进行了定义,并与信息安全加以区别.描述了风险评估的模型,按照定量分析和定性分析方法介绍了典型的评估方法并做了具体的比较.最后探讨了当前我国信息系统安全风险评估中存在的问题及发展方向.