基于故障树的等级测评专家系统模型研究*

结合等级测评、风险评估和专家系统的相关技术,提出了一种将故障树和专家系统技术用于等级测评结果的综合分析模型。该模型通过将评价标准转换成规则固化在知识库中,利用故障树对知识进行展示和分析,并利用不确定推理方法对评估事实进行推理,得到该信息系统存在的安全问题可能会发生什么安全事件,从而紧密地将等级保护要求和用户安全需求联系在一起,极大地提高了用户实践等级保护的积极性,并为等级测评与风险评估有机结合提供了一种新的思路。另外,本系统还利用粗糙集理论从信息安全事件中自动获取推理规则,使得推理规则能随着安全状态的变化     

等级测评中关键安全保护功能有效性测评技术研究

等级测评中关键安全保护功能是否有效保障信息系统具备相应的安全保护能力是目前等级测评需要解决的技术难点。文章结合等级测评的实际情况,以等级保护相关标准和法规政策等为基础,建立了关联测评对象与安全保护能力的有效性测评指标体系,给出了安全保护功能、控制有效性测评方法和安全保护功能综合评价方法,为信息系统具备的安全保护能力是否真实有效提供了一种确实可行的思路和判定方法。     

电子政务外网等级保护测评探讨

信息系统等级保护制度是我国加强信息系统安全防护的重要措施,电子政务外网运行着电子政务的公共服务业务,开展等级保护与等级保护测评非常必要,政务外网[2011]15号文要求开展电子政务外网的等级保护与等级保护测评工作。该文就政务外网某网络系统开展等级保护测评为例,探讨等级保护的定级、测评对象与测评机构的选择、测评内容与方法的确定、骨干网络系统的漏洞测试、安全整改等内容。本次测评在属地电子政务行业产生了良好的示范效应。     

等级保护应用安全与OWASP Top10

应用系统是信息安全等级保护测评的核心对象,直接面对用户,受到的安全威胁最大。OWASP Top10是指应用系统的十大安全风险。文章从信息安全等级保护的角度,对OWASP Top10进行研讨分析,整理OWASP Top10与等级保护应用安全测评控制点之间的关系,探讨OWASP测试方法在等级保护应用安全测评中的使用。     

基于免疫选择的智能化等级测评模型研究

通过计算等级测评安全指标项的等级适应度和系统适应度,对安全指标项进行种痘和免疫选择来得到相应等级和特定系统的安全指标项和测评方案,为等级测评的智能化奠定了基础。并使用该模型对3种不同的系统进行测评实验,实验结果表明该模型能够在一定程度上实现等级测评活动的智能化。     

信息系统安全等级测评配置检查工具研究与实现

通过对FDCC在美国成功的案例与现有信息系统等级保护和风险评估的测评指标分析,建立广东电网公司的安全配置检查规范模型。并基于该模型,借鉴SCAP协议的设计思路设计了各种类型安全配置检查枚举库。给出安全配置测评自动化工具的系统架构、模块组成和界面设计,工具的成功研制对提升信息系统等级保护测评结果的科学性、准确性都起到了非常大的促进作用,同时加快了测评的进度,提升了工作效率。     

量化风险的等级保护测评方法及平台设计

研究了等级保护测评的相关技术,针对当前等级保护测评中存在的典型问题,如风险分析不够准确、测评效率低、测评结果客观性不足等,提出一种量化风险的等级保护测评模型,将系统业务重要性因素引入风险分析环节,能较为可观的量化风险.基于该模型,设计并实现了分布式的等级测评平台(RQEP),能大大提升等级测评的效率,使测评过程更加规范化、标准化.     

基于风险权值的等级评测模型研究

信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段,是信息安全等级保护制度建设的重要科学方法之一。文章基于风险评估的核心思想,从现有的风险评估和等级测评模型入手,介绍了风险评估的框架、流程,还分析了现有等级测评的基本流程和等级测评模型。并进一步建立了一种新的基于风险权值的等级测评模型。该模型在对整个信息系统的符合情况进行统计分析时,用风险权影响统计分析结果。使统计分析结果更贴近信息系统的实际安全状况,解决了统计分析结果受信息系统规模大小的影响。     

基于信息安全等级保护的安全测评服务框架研究

在等级保护工作全面开展的大背景下,等级测评机构如何发挥更大的技术支撑作用引起了业界广泛的关注。文章分析了等级保护工作面临的新挑战,提出了基于信息安全等级保护的安全测评服务框架。安全测评服务框架以信息安全相关标准为基础,以信息安全等级保护实施流程为时间线,针对信息系统备案单位在不同阶段的安全需求及工作重点开展有针对性的安全测评服务,提升信息系统备案单位信息安全管理水平及信息系统安全防护能力。等级测评机构可以通过安全测评服务框架充分发挥其信息安全专业机构的技术能力,在等级保护工作中发挥更大作用。     

内蒙古自治区出台《计算机信息系统安全保护办法》

2012年年初,内蒙古自治区出台了《内蒙古自治区计算机信息系统安全保护办法》（以下简称《办法》）,该办法依据《信息安全等级保护管理办法》的具体内容和要求,对信息安全等级保护的各项_T作进行了具体规定,并进一步明确了信息系统等级测评、信息安全服务机构管理、特殊功能信息技术产品管理以及违反《办法》相关规定应承担的法律责任。一是明确了信息系统等级测评工作。     

新型网络信息系统安全模型及其数学评估

从系统功能的意义上分析了网络信息系统安全所面临的威胁,建立了一种新型通用网络信息系统安全模型,确定了影响网络信息系统安全性能的相对独立的基本因素和相应的子因素。采用模糊数学的理论,建立了一种新型综合安全评估数学模型和模糊相似选择方法。通过示例应用分析,以量化方式评估示例网络信息系统的安全性能,确定了网络信息系统的量化安全等级和排序,从而验证了该系统安全模型及数学评估理论的有效性和新颖性。     

模糊评价在信息系统安全综合评测中的应用

随着我国信息化的快速发展,信息安全变的越来越重要,信息安全等级保护、信息安全风险评估和安全检查作为我国信息安全保障的重要手段和制度越来越被政府和各行各业重视．笔者通过积累多年的信息安全测评经验,以及结合金融行业和国税总局等多个全国联网大系统的风险评估、等级保护测评和安全检查三项整合工作的经验总结,提出在信息系统信息安全三合一整合的综合信息安全测评中采用基于模糊综合评价方法论,进行信息安全的综合评价具有实际的可操作性和指导意义．     

基于不完全信息博弈模型的信息系统安全风险评估方法

博弈理论具有的目标对立性、关系非合作性和策略依存性等特征与网络攻防对抗过程保持一致，将博弈理论应用于网络信息安全已经成为研究热点，但目前已有的研究成果大都采用完全信息博弈模型，与网络攻防实际不符。基于此，为提高信息系统风险评估的准确性，本文构建不完全信息条件下的静态贝叶斯攻防博弈模型，将其应用于网络信息系统安全风险评估，构建相应的信息系统安全风险评估算法。通过仿真实验验证了本文模型和方法的有效性，能够对信息系统安全威胁进行科学、有效的评估。     

无线局域网中实现信息系统安全等级保护的要求

文章对无线网络安全防护措施进行了分析,并以安全保护等级为三级（S3A3G3）的信息系统为例,给出了《信息安全技术信息系统安全等级保护基本要求》以及网络安全层面要求与无线安全防护措施的对应关系。     

企业通信专网安全管理现状及对策分析

在信息化时代背景下,为了满足专用网络用户的业务信息安全防护需求,对相关企业的通信专网安全管理工作质量提出了更高要求。新时期相关企业按照同一网络按需交互或者隔离多密集信息的规划思路,对企业通信专网进行了专业化管理。文章对安全管理现状进行了分析,并提出了相应的管理对策。     

车载信息系统的安全测评体系及方法

汽车信息系统的安全工作主要集中在分析、挖掘车载信息系统及其功能组件现存的安全漏洞及可行攻击方式的实验验证,缺乏全面、系统的车载信息系统安全测评体系及评估方法。论文在分析车载信息系统安全现状的基础之上,提出将车载信息系统的安全等级划分为：家用车载信息系统和商用车载信息系统,定义了两个等级车载信息系统的保护能力,并借鉴通用信息系统的安全等级保护要求,提出车载信息系统不同保护等级的基本安全要求,首次建立车载信息系统的安全等级测评体系。进一步建立层次化安全评估模型及算法,实现车载信息系统的定量安全评估。通过奥迪C6的安全测评案例证明,提出的等级测评体系及评估方法是可行、合理的,为分析车辆信息系统的安全状况提供支撑,填补了国内车载信息系统安全测评体系及评估方法的空白。     

对网络安全综合评价方式的应用的探讨

网络安全是一项系统和复杂的工程,与此密切相关的计算机网络信息安全问题越来越受到人们的普遍关注,因此,制定有效和科学的网络安全策略是确保网络信息安全的重要保障,而这离不开对网络安全的风险评估,制定有效的网络安全综合评价方式同样显得尤为重要。本文从探讨网络安全综合评价方式着手,从评价原理和评价模型两个方面分别对三种网络安全综合评价方式进行了探讨,以供比较和参考。     

基于等级保护的言息系统综合监控及评估系统设计

在日益复杂的网络环境下,单一的数据采集方法和检测系统难以检测各种复杂的信息安全事件。文章研究如何以《信息系统安全等级保护基本要求》为标准,开发信息安全综合监控及评估系统,综合多种采集技术对源自不同设备和安全系统的信息进行融合,实现信息系统资产的实时安全监控,实现安全评估常态化,协助系统使用单位开展基础信息网络和重要业务信息系统的等级保护工作。     

谈医院信息系统网络安全维护及管理

医院信息系统正常稳定运行保障的网络安全问题是绝对不能忽视,因此,针对计算机网络本身可能存在的安全问题,实施网络安全保护方案,以确保计算机网络自身的安全性,是医院信息中心主管要认真对待的重要问题。本文主要阐述了医院信息系统网络安全的理论,指出了医院信息系统网络安全维护的主要技术,从而提出了医院信息系统网络安全管理的相关对策,最后得出结论,医院的各级领导、组织和部门工作人员都应该并且必须高度的重视信息系统网络安全维护及管理。     

基于等级保护的财政信息系统安全建设探讨

以我国信息安全等级体系规范和标准为基础,分析财政信息系统的安全保护等级模型,讨论和设计财政信息系统网络安全域的划分和等级保护方案,提出方便有效地进一步完善财政信息系统安全的保障措施。