云计算信息安全测评框架研究

围绕云环境下安全模式与传统安全模式的差异,结合信息安全保障要求,对三种不同的云服务模式(包括IaaS,PaaS和SaaS)进行了安全需求分析,同时对美国云计算联邦风险评估管理计划(FedRAMP)中的安全控制措施和国内相关信息安全标准中的安全要求进行了对比分析,提出了云计算信息安全测评的基本框架,探讨了云计算信息安全测评需要特别关注的内容。

基于云计算信息安全测评的框架设计研究

近几年来,随着信息网络技术的不断发展,云计算已成为研究的热点,而云计算的信息安全问题也成为研究的重要。为此,本文对云计算信息安全测评的框架设计给予详细研究,旨在提高云计算信息安全水平。

企业信息安全测评中的风险分析与风险规避

信息安全测评活动在某些因素下会导致企业信息系统宕机、甚至重要数据信息的泄露和损坏情况的发生,给企业信息安全管理工作带来负面影响.本文通过对企业测评活动中存在的各类风险进行综合分析,提出具体的应对措施,帮助企业在规避相关风险的同时,确保测评活动的顺利实施.

基于模糊层次分析法的信息安全测评

根据信息安全测评的内容,建立了针对性的信息安全测评指标体系。使用模糊层次分析法,对信息安全测评结果进行综合评判,能够给出信息安全水平属于不同等级的概率值,为信息安全测评提供全面合理的评估结论。最后,通过对某信息系统进行信息安全测评的实例,验证了指标体系和评判方法的有效性。

构筑维护信息安全的警戒线——访中国国家信息安全测评认证中心主任 吴世忠

随着信息技术的飞速发展和广泛运用,人们对信息安全的关注也从一般性的讨论转为如何切实维护信息安全上面来,信息安全测评认证作为维护信息安全的重要手段之一,其产生和发展的情况如何?在维护信息安全方面具有哪些特点和作用?带着这些问题、本刊记者专访了中国国家信息安全测评认证中心主任吴世忠研究员。

应用为本 产业需从磨砺兴——访北京信息安全测评中心原主任孟亚平

与孟亚平相识多年,在这一个周末的上午,于安静处听她完整地聊自己系统地聊网络安全,还是第一次。从一个懵懂的女子到事事求真的职业人,从军旅尽责到产业奋力,从份内担当重任到卸任发挥余热,那些砥砺不舍理想,奋进不惧万难的种种,实在让我们赞叹不已。她却说:“人需事上磨,方立得住,方能静亦定,动亦定。得感谢所有的际遇和这些年的经历,丰富了我的眼界与经验,我才能有幸深刻体会见证这个产业的漫漫发展历程,才会有一些见微知著的个人己见,才能对这个产业尽些绵薄。”

中国信息安全测评中心挂牌

为深化我国信息安全技术测评工作，中国信息安全测评中心10月31日挂牌。 “信息安全测评认证是信息安全保障的基础性工作，特别是在当前我国信息技术与产业核心竞争力还不强，关键技术和设备受制于人的情况下，严格把住信息技术产品的市场准入关尤为重要。”测评中心负责人说。

集团公司信息安全测评及风险评估工作组在行动

习近平总书记在2014年初就指出:在信息时代,网络安全对国家安全牵--发而动全身,同许多其他方面的安全都有着密切关系。没有网络安全就没有国家安全,没有信息化就没有现代化。西安局集团公司因势而动,积极落实国铁集团关于加强网络安全和信息化工作的要求,深入开展网络及信息安全工作,集团公司科研所按照集团公司部署组建了信息安全测评及风险评估工作组。

信息安全测评认证的十年求索

由吴世忠、陈晓桦等同志编著的《信息安全测评认证理论与实践》一书新近被国家信息化专家咨询委员会授予国家信息化理论与实践研究成果一等奖。借此时机,吴世忠同志全面回顾了我国信息安全测评认证工作的十年风雨历程,取得的成绩和经验教训,在向人展示信息安全测评认证工作多彩画卷的同时,也指出了测评认证工作当前和今后所面临的新任务和新使命。

中国科学技术大学信息安全测评中心主任 蒋凡——严控网贷操作风险

互联网金融的繁荣带来了经济社会的变革，但也在一定程度上带来了新的挑战与风险。这些挑战和风险既有传统金融理论框架下的支付清算风险、金融创新对央行货币政策的挑战，也有迥异于传统金融模式下的信息安全、个人信息保护和互联网金融操作风险。

信息安全认证与信息安全测评概念剖析

信息安全测评认证是维护信息安全的必不可少的重要手段。那么,什么是信息安全测评与认证?信息安全测评与信息安全认证有何区别? 第一、信息安全测评与信息安全认证的类型相同 根据国际标准化组织(ISO)的定义,认证与测评都是合格评定活动。因此,信息安全测评与信息安全认证是信息安全领域的合格评定活动,信息安全测评为信息安全认证提供必要的技术依据。

信息安全测评的方法及其应用

所谓信息安全测评是指中立的第三方对信息产品、信息安全产品、信息系统或是专门的信息服务,通过科学、规范、公正的测试和评估,对它们作安全性评价.测评的对象是产品或过程、服务.测评的依据是国家标准、行业标准或权威机构确认的技术规范.测评的方法是对产品进行抽样测试检验和对供方的质量保证能力即质量体系进行检查评审,以及事后定期监督.测评的性质是由具有检验技术能力和政府授权认证资格的权威机构,按照严格程序进行的科学公正的评价活动.

基于PDCA的信息系统入网安全测评管理机制研究

针对信息系统在上线后才进行安全测评所导致的诸多问题,研究信息系统入网安全测评,并结合PDCA过程模型,详细讲述了应用PDCA过程方法,建立信息系统入网安全测评管理机制的全过程,简要介绍了入网安全测评的结果判定并给出了判定的公式。已建立的入网安全测评管理的PDCA过程模型,将"技术+管理"的系统方法应用其中,对今后的信息安全管理体系建设起了很好的借鉴作用。

国内外信息安全测评认证的发展现状与趋势

测评认证标准的发展历程 信息化已成为当今时代发展的重要特征,尽管各国政府推动的信息安全产品测评认证得到了前所未有的发展,但与技术的革新和市场的需求相比,仍然相对滞后。从1984年美国开始首次进行安全产品评估以来,到2000年前,总共只有242件产品通过了相关的认证。测评认证依据的标准走过了三个阶段:

信息安全等级测评师素质模型分析

随着信息安全等级保护工作在全国范围内的开展,信息安全等级测评体系的建设与测评工作已成为开展信息安全等级保护工作的关键环节。测评体系建设和测评工作实施的主体是测评机构和测评人员,等级测评师的岗位素质关系到信息安全等级保护测评工作的有效开展。本文通过文献研究、行为事件访谈法和问卷法等研究方法,建立了拥有4个维度、16个项目的适合信息安全等级测评师的通用素质模型。并对信息安全等级测评师素质模型进行了研究分析,为等级测评机构进行等级测评师的招聘、选拔和培训工作提供了新的理论依据。

加强信息技术产品高保障级测评,提升关键信息基础设施安全保障水平

信息技术产品作为关键信息基础设施的基本组成单元,其安全性高低是决定关键信息基础设施抗攻击能力强弱的重要因素。随着国家网络强国建设的推进,高安全等级产品及其测评越来越受到业界的重视。高安全等级测评是什么?怎么做?有何意义?中国信息安全测评中心(以下简称“测评中心”)信息安全实验室主任张宝峰接受了我刊采访,就以上业界关心的问题进行了回答。

集约化信息安全测评平台的研究和应用

针对信息安全测评服务的迫切需求,介绍了一个集约化信息安全测评平台的设计和实现,包括平台的体系结构、构成子系统和主要原理。该平台集成应用网络主机、数据库、Web应用漏洞检测等多种关键技术,实现了一体化的信息安全测评功能。该平台已经投入使用,通过文中的实例说明它能够为信息系统的使用提供有效的安全评估建议。