信息系统安全测试框架

提出一种信息系统安全测试的框架,包括信息系统安全测试的策略、基础理论、方法和工程等,为建立一个标准的、一致性的信息系统安全测试对比基准提供了基础。给出4种信息系统安全测试分析方法和2种测试方式。

基于CMM的信息系统安全保障模型

通过分析信息安全和安全保障发展的历史,在比较、分析和综合各种已有的安全体系架构和模型的基础之上,从时间与空间角度分析信息系统安全保障的构成;在综合分析信息安全问题产生的内外因基础上,从组织安全角度提出一种统一的基于能力成熟度模型信息系统安全保障的分级模型。

一种基于系统安全性差距分析的风险评估尺度和方法

本文提出一种基于信息系统安全性分析来定量计算信息安全风险的度量尺度,差距分析方法及相应的评估流程.通过差距分析法,可以定量地度量信息安全目的和安全现状的在安全保障控制措施和安全保障能力两方面差距,从而改进对信息安全的分析和设计以及如何提升信息安全保障能力.通过本文定义并计算整体信息安全风险度量尺度,还可以计算不同安全控制措施的产生的安全边际效益,进行安全投入产出效益分析.这种可计算的信息安全风险评估尺度和方法的有效性在实际工程中得到应用与检验.

思索信息安全:内涵与外延

IT技术日新月异,企业IT系统越来越来越复杂。安全威胁无处不在,"信息新安全"已经成为当今社会关注的重要问题之一,硬件要安全,软件要安全,无处不在的接入网络也要安全……信息安全产业迎来了自己的需求"井喷"时代。"信息社会,安全基石"。对于众多安全企业而言,在看到巨大市场前景的同时,如何协助行业部署新一代信息安全的"马其诺防线"……无限商机的背后,一场没有硝烟的战争已经打响。

RS-UM信息系统安全保障评估模型

以GB/T20274信息系统安全保障评估框架为基础,介绍了信息系统安全保障模型及其评估指标体系,给出了评估方法的形式化描述和评估流程,提出了一种基于粗糙集(rough set,RS)和未确知测度(unascertained measure,UM)理论的信息安全评估模型。在标准处理阶段,模型采用粗糙集理论获取关键指标,简化评估指标体系;在综合评估阶段,采用未确知测度模型分析客观数据,实现了对信息系统安全保障能力的定量化综合评价。

ISMS概念模型探索

ISO 27001给出了信息安全管理体系要求方面的最佳实践标准,但并没有说明体系要求方面内在的逻辑关系。该文将ISO 27001分解为过程方法要求和安全控制要求2个部分,在过程方法上按照PDCA的循环模型重新解构了过程方法要求之间的关系,在安全控制上按照主体访问客体的方式重组了安全控制要求之间的关系。

从时空角度构建通用系统安全体系框架

从业网络与信息安全多年,我们一直按着网络与信息安全行业前人提出的各种方法、经验做着网络与信息安全,有IATF的纵深防御、动态安全的PDCR、木桶理论、风险理论等,但这些理论、方法怎么来的却一直没有一个很好的说法,大多说网络与信息安全业界一直就是这么做的,

对我国信息系统认证与认可过程的探讨

该文首先简要介绍了美国的信息系统认证与认可过程和我国现阶段的信息系统测评认证的现状。通过我国与美国的信息系统认证与认可过程的比较,分析了我国现阶段信息系统测评认证过程特点,并对今后信息系统测评认证的发展给出了相关建议。

基于GB/T 20274的信息系统安全技术保障评估及计算机实现

国家标准GB/T 20274定义了信息系统的安全技术保障要素集,并建议以能力成熟度等级的形式度量信息系统的安全技术保障性。本文首先对安全技术保障度量的能力成熟度等级进行量化处理;其次将信息系统组件的安全技术保障性表示成向量的形式,在向量和向量∞-范数的基础上重新阐述了信息系统的安全技术保障模型;最后,给出了信息系统的安全技术保障的计算机实现算法。仿真实验结果验证了本文算法能有效地实现信息系统的安全技术保障的评估。

大数据对国家网络安全的风险评估

当前大数据的战略地位非常重要。无论是国际和国内,产业、学者还是政府,一个共识就是大数据已成为国家发展的“未来的新石油”。此外,大数据在新的科技革命,特别是在“云、物、大、移、智”等新技术新应用领域中处于核心地位。网络空间安全有多个层次和多个角度,其中数据安全是网络空间安全核心内容。综上所述,大数据具有重大的现实意义和未来的战略意义。

云计算的安全风险评估

云计算及其安全挑战关于云计算,目前还没有统一的标准定义,比较主流的观点是美国国家标准技术研究所(NIST)将云计算的定义为:软件、平台和基础设施的服务化,并依据部署方式不同分为私有云、公共云等不同的类型。另外我国李德毅院士也提出一个看法,认为云计算是一种基于互联网的大众参与的计算模式,其计算资源包括计算能力、存储能力、交互能力等,都是动态的,被虚拟化了的,而且以服务的方式提供。可以看出,国内外对云计算的定义都非常的相近。我们通过对国际上云计算的一些观点剖析后认为,云计算本身不是一个全新的技术,是信息时代网络计算技术的组织、应用与服务方式的创新模式。

信息化与信息安全的发展助力应急变革与创新

第一，新信息技术的创新发展与应用为应急技术提供了新的发展机遇。近几年，以互联网、移动互联网、云计算为代表的这类新技术、新应用，已成为强大的发展动力，推动着中国社会、经济的进步。现在各处无不在谈物联网，甚至包含了像车联网这样的新技术等各方面的内容。实际上，物联网、车联网、移动互联网、云计算等技术，都是在互联网发展和高度信息化应用的基础上，逐渐形成的一个广泛互联海量数据和信息智能化处理的网络空间结构。并可以非常及时方便地提供各种服务、运行、运作。

高墩大跨连续刚构预应力混凝土裂缝的预防和施工控制

结合相关工程施工经验和工程实践，对高墩大跨连续刚构预应力混凝土的裂缝成因进行了归纳分析，并对老庄河特大桥混凝土裂缝的预防及施工控制进行研究。

加强我国重要信息系统安全的五道防线

能源、金融、交通、电信等国家重要信息系统直接关系到现代社会的国计民生,西方国家将其统称为＂关键信息基础设施＂,这些信息基础设施是基于软件的高度相互依赖的系统,极易受到传统的物理破坏和新兴的虚拟威胁。本文根据对我国国家重点行业信息系统的风险评估结果,总结提炼了我国国家重点行业信息系统所面临的安全风险,建议国家重点行业立即开展＂收口、看门、补漏、锁库、底线＂五大安全保障工程,从攻击链的逻辑构建信息安全保障体系。

浅谈桥梁墩身砼冬季施工技术

本文依据黄延高速公路六标施工中的实际问题，重点从砼受冻破坏理论并结合实例探讨分析。

基于GB/T 20274的信息系统的安全技术保障度量与评估模型

为了实现现代信息系统的安全低风险运行,研究了信息系统的安全技术保障度量及评估模型。基于国家标准GB/T 20274定义了信息系统安全技术保障评估的安全技术保障要素集,并建议以能力成熟度等级作为信息系统的安全技术保障程度的度量。依据信息系统中组件组合后的相互关系将信息系统安全技术保障要素划分为组合独立性安全技术保障要素、组合互补性安全技术保障要素以及组合关联性安全技术保障要素,并且通过引入访问路径的定义和组件之间的依赖和关联关系,给出了信息系统安全技术保障的形式化评估模型及项目实现。

一种信息系统安全测度的框架

本文尝试从安全测度角度来统一解释目前通行的用于评价信息系统安全性的安全评估,风险分析,安全技术评估准则,安全审计等方法,分析它们各自的特点及应用范围,并提出一种信息系统安全测度的框架。

工业控制系统信息安全研究进展

工业控制系统(ICS)广泛用于电力、石油石化、核能、航空、铁路、公路、水处理、地铁等行业,是这些国家关键基础设施运行的"大脑"和"中枢",2010年"震网病毒"事件更进一步敲响了工业控制系统信息安全严峻性和现实性的警钟。该文提出了工业控制系统信息安全的内涵,综述了工业控制系统信息安全的现状,讨论了工业控制系统信息安全相关的关键技术,并对工业控制系统信息安全的主要挑战和研究方向进行了展望。

关键基础设施信息物理攻击建模和影响评价

震网病毒等事件实证了信息安全攻击能对关键基础设施带来严重物理影响。针对这类特殊信息安全攻击——信息物理攻击,该文提出了信息物理攻击分析模型、攻击建模和攻击影响度量指标。在化工厂物理仿真系统中对这些特殊的信息物理攻击模式和影响进行了测试和评价。实验结果表明:相对鲁棒于物理扰动的传统工业控制算法脆弱于今天的蓄意信息物理攻击,以及相关信息物理攻击策略和参数的特点和影响。