Information Security Testing Model Based on Variable Weights Fuzzy Comprehensive Evaluation

Nowadays,clear evaluation models and methods are lacking in classified protection of information system,which our country is making efforts to promote.The quantitative evaluation of classified protection of information system security is studied.An indicators system of testing and evaluation is established.Furthermore,a model of unit testing and evaluation and a model of entirety testing and evaluation are presented respectively.With analytic hierarchy process and two-grade fuzzy comprehensive evaluation,the subjective and uncertain data of evaluation will be quantitatively analyzed by comprehensive evaluation.Particularly,the variable weight method is used to model entirety testing and evaluation.It can solve the problem that the weights need to be adjusted because of the relationship role which enhances or reduces security of information system.Finally,the paper demonstrates that the model testing and evaluation can be validly used to evaluate the information system by an example.The model proposed in this paper provides a new valuable way for classified protection of information system security.

基于贝叶斯网络的等级保护测评辅助方法

当前在等级保护测评活动中,测评指标众多,为减少人工审核所耗费的时间和资源,引入了贝叶斯网络作为一种辅助方法。首先,该方法以现有机构的大量测评数据为基础构建贝叶斯网络模型,模型以测评指标为父节点,测评指标中的各检查点为子节点,通过工具Netica计算得出各测评指标和检查点的概率;然后,通过专家验证调整部分预设关系得出各测评指标和检查点基准概率;最后,以此准概率与测评中新得到的数据进行对比,可为等级保护测评活动提供辅助检验、预测的功能。

网络安全等级保护测评中网络和通信安全测评研究

目前,网络安全等级保护系列国家标准大部分已基本修订完成,近期将正式颁布。文章针对新版国家标准《信息安全技术网络安全等级保护基本要求》 (送审稿),分析了其中网络和通信安全层面控制点的变化,并对该层面重要控制点的测评方法进行了详细阐述,为测评机构开展网络安全等级保护测评工作提供了参考。

一种新的等级测评综合得分算法研究

信息安全等级保护测评报告模版(2015版)给出了信息系统等级测评综合得分算法,但该算法存在计算工作量大、计算结果不影响测评结论的问题。针对2015版等级测评综合得分算法存在的不足,文章提出了一种新的等级测评综合得分算法,该算法缩小了测评项符合程度的得分取值范围,简化了测评项加权得分的计算方法,大幅度降低了等级测评的计算工作量,实现了对信息系统等级测评结论的定量判定。实验结果表明,新的等级测评综合得分算法能够对信息系统进行合理评价,有效提高了等级测评结论的准确性和科学性。

基于模糊理论的安全控制测评模型的研究

提出了一种综合运用层次分析法和模糊综合评判法来定量评判和分析测评数据的方法,解决了受主观影响的不确定性问题,并建立了相应的评判模型。最后通过一个应用实例验证了模糊综合安全控制测评模型的合理性和科学性。

基于公开数据的河北网络安全等级保护测评项目分析及机构能力评估研究

收集河北省网络安全等级保护测评机构的项目数据和基本状况,针对项目信息进行数据分析,并结合有关国家标准建立了一套用于测评机构能力评估的模糊综合评价模型。首先收集公开的河北省网络安全等级保护测评机构的项目数据,针对缺失的指标数据,使用随机森林方法进行拟合填充,重点针对2016年-2019年的项目信息进行数据分析;其次,基于国家标准,以问卷形式集合专家对该标准指标的相对重要性意见,之后通过模糊层次法将专家意见量化,形成各个指标的权重;最后,通过逐层累乘计算各层次指标的综合权重和专家打分比例,并根据最大隶属度原则做出判断,得出能力评估结论。

国家网络安全等级保护测评体系标准应用实践

以网络安全测评机构能力评估标准为核心,由测评过程类标准、安全要求类标准和分析方法类标准等共同构建的等级保护测评体系标准,通过相互衔接与配合,深入应用于等级测评专业化测评队伍能力建设、技术监督、专业平台工具研发等各个环节。在应用实践中,做到了与国家相关法律法规及政策配套协调,为市场准入和质量监管提供重要依据和参考,在网络安全测评行业管理、网络安全产业推进中发挥了重要作用。

基于等级测评的系统安全保护能力量化评价方法

采用层次分析法构建保护能力的评价指标体系,并以此为基础层层汇总计算各措施层指标的合成权重,作为保护能力得分量化的基础。同时,还在现有等级测评的基础上,创新性提出从"正反"两个不同的角度来度量信息系统的安全状况,安全保护能力评价结合了正向的保护状况和反向的风险情况进行综合判定。

面向铁路行业的信息安全测评体系的研究

针对铁路行业主要信息系统面临的日益增加的安全威胁,在已建成的国家高速铁路核心系统检测业务的基础上,构建铁路核心业务系统的模拟仿真测试平台,开展对测评实验室体系建设、环境建设及平台建设方案的研究,提出了一个面向铁路核心业务系统的信息安全测评体系建设方案,为保障铁路核心业务信息系统的安全、稳定运行,为铁路核心业务系统信息安全等级保护的整改和信息安全防护体系的建设提供参考依据。

医院信息系统安全等级保护测评方案的设计

医院信息系统的发展是建立在信息安全、可靠的基础上。文章根据国家及行业信息安全等级保护的标准,结合某三级甲等医院的具体情况,从等级保护测评流程、测评对象、测评方法、测评工具、单元测评、整体测评等方面,对某三甲医院的信息系统等级保护测评方案进行设计。通过测评,发现医院信息系统存在的安全隐患,为该医院信息化建设的下一步整改提供科学、合理的依据。

等级保护标准在“测评能手”软件开发中的应用

为了确保网络安全等级保护标准在测评行业的科学规范、高质高效的推广应用,上海市信息安全测评认证中心以“测评能手”软件为技术服务核心,探索建立一整套符合等级保护标准应用实践要求的测评过程管理和风险分析模型,解决等级测评中标准应用方法不规范、尺度不一致、结果不统一等系列问题,有力保障全国等级保护测评工作的程序规范性、方法科学性和结果客观性。

信息系统安全等级保护建设与测评方法简析

随着计算机、网络技术的飞速发展,信息系统正在越来越多地融入到社会的各个方面,信息系统安全也得到越来越多的关注。信息系统安全等级保护作为一项保障信息系统安全手段,也受到大中小企业的广泛重视。本文针对信息系统安全等级保护建设过程中首要的定级阶段进行探讨,并分享了信息系统安全等级保护测评的实践经验。

性能测试在等级测评中的应用

为了保证信息系统的可用性和服务质量,《信息系统安全等级保护基本要求》中对于不同等级的信息系统,提出了服务保证类的各项要求。但由于系统的复杂性,等级测评中仅通过访谈和检查,很难准确判定被测系统是否符合相关要求。介绍性能测试的分类、方法,比较性能测试在等级测评和常规测试项目中使用的异同,提出在等级测评中,应引入性能测试以获取具有说服力的判定证据。以LoadRunner为例介绍了性能测试工具的使用,以及等级测评中应用性能测试的特点和注意事项。

网络安全等级保护制度下的数据安全研究

通过深度剖析网络安全和数据安全的内在联系,探讨将数据安全保护纳入网络安全等级保护工作流程的必要性与可行性,提出具体的工作步骤与实施过程。在落实等级保护的基础上,有序推进数据安全保护,快速、有效、体系化地开展数据安全保护工作,实现网络基础设施安全和上层业务数据安全一体的真正数据安全。

电力信息系统等级测评工作需要注意的几个问题

文章简要概述了电力信息系统的等级保护测评工作,特别谈到了生产控制类信息系统是电力信息系统中的一类重要系统,实施生产控制类信息系统的等级测评应有别于管理信息类信息系统的等级测评,概括了在实施电力生产控制类信息系统等级测评时应注意的几个问题,也对持续提高测评电力生产控制类信息系统能力提出了几点建议。

基于信息安全等级保护测评全过程实施的研究与探索

针对等级保护测评工作开展全过程,从项目的前期调研,到项目实施,再到整改进行研究与探索。

SaaS云服务模式互联网医院安全等级测评实践

为了应对疫情对医院医疗资源、诊疗模式的冲击,互联网医院系统需要得到推广与普及。在提供就医问诊便利的同时,其业务连续性与数据安全性保障问题日益突出。本文针对使用SaaS云服务模式的互联网医院系统如何开展网络安全等级测评工作,从互联网医院系统网络结构、测评指标的选择与判定方法、综合得分计算和测试与漏洞分析等几个方面详细论述了具体实施方法。评测实践结果表明,对互联网医院系统网络安全等级测评有助于提升医院的安全防范意识和防范措施,可以有效预防风险发生。

商密评估和等保测评同步推进的可行性分析及工程建模

近些年,我国处于网络安全产业高速发展的阶段。商密评估和等保测评作为网络安全产业的两大支柱,存在较大的相关性。二者检测内容类似,均为信息安全类检测;检测方法类似,均为人工核查和设备扫描;交付内容类似,均为检测类报告。将两个工作合二为一,同步展开,可以节约大量人力、财力和时间。文章通过喷泉模型、瀑布模型、迭代模型、增量模型等工程模型,为同步展开等保测评和商密评估建模。经过理论分析,该模型可以大幅度提高工作效率。

等保测评项目管理及报告生成系统设计与实现

为了克服传统的等级保护测评项目实施过程中人工分析和计算工作量大,报告编制任务繁重等问题,文章设计了基于Delphi 7开发平台的等保测评项目管理及报告生成系统,旨在汇总测评信息,自动化地分析数据并计算出测评结果,生成测评报告。系统设计采用C/S体系架构,SQL Server2008作为数据库管理系统。实践表明,该系统自动化地实现了等级保护测评的项目管理和报告生成功能,极大地提高了工作效率、降低了成本。

基于等级保护的应用系统安全

国家对信息系统进行安全等级保护制度。本文对信息系统安全等级保护实施过程中应用系统测评的技术要点进行了介绍。