上海:信息安全风险评估的探索与实践

2005年2月至2005年9月期间,国信办下发通知和《信息安全评估试点工作方案》,要求分别在银行、税务、电力等重要信息系统以及北京市、上海市、黑龙江省、云南省等地方的电子政务系统开展信息安全风险评估试点工作。几个月来,试点单位积累了哪些经验,又发现了哪些不足,2005年12月16日,作为一次研讨性质的总结会“中国信息安全风险评估现状与展望高峰论坛”在京举行,与会的专家、学者、国家基础信息网络和重要信息系统风险评估试点单位的负责人纷纷表示,开展信息安全风险评估工作是社会发展和科技进步的必然要求,它将为推动我国信息安全保障工作的全面开展,进而为保障我国信息化建设的顺利实施产生深远的影响,但风险评估作为一种新的理念还需要人们去认同,作为一种方法论还需要人们去研究和把握,作为一种管理措施还需要主管部门大力推进。在交流经验的过程中寻找不足之处,在不同的期待声中谋求一条共同的发展之道,作为此次大会的特别支持媒体,这是我们策划此次特别报道的初衷,同时希望通过刊登这组文章,对我国的信息安全风险评估工作,起到积极的推动作用。

安全测评是确保信息安全的“第一道屏障”

“斯诺顿事件如同一记重拳，将众人的信息安全意识猛然击醒。信息安全最显著的特点是“出现的问题越大，受重视程度越高”，最显著的成效是“受重视程度越高，出问题的概率越小”。显然，在当今信息技术广泛应用，网络影响力日益增强的时代，信息安全的风险因受到各类威胁而不断增长。随着新技术、

信息系统安全评价体系在网络安全等级保护2.0测评中的应用研究

随着信息化发展,信息成为现时代最为活跃和关键的生产要素。同时伴随着社会对信息技术的依赖性增强,信息安全事件也不断增多,带来信息和网络危机。由此,对信息系统安全的研究,日益成为人们关注的焦点。本文基于构建信息系统安全评价体系的重要性,特别是对网络安全等级保护2.0工作具有的重要意义,采用层次分析法和德尔菲法相结合,测算信息系统安全评价指标权重值,构建信息系统安全评价体系及其模型,并将其应用于某云计算平台网络安全等级保护测评之中,最后依据实证结果形成本文结论,期望抛砖引玉,对安全评价指标体系的进一步的研究和应用有一定的参考价值。

信息系统安全测评五人谈

物理世界中,人们需要对高速公路、隧道、交通枢纽进行监测、对各色车辆实施年检,以保障鲜活、健康的城市动脉畅通无阻。而网络环境中高速发展的“信息高速公路”也同样需要“保安全”、“促发展”——“对信息系统进行安全测评”是解决这一问题的重要手段!面对强烈的社会需求,上海市政府58号令发布的《上海市公共信息系统安全测评管理办法》于2006年7月1日起正式施行。作为先行者,上海党政机关、交通、社保、医疗卫生、金融服务等163家公共事业单位,将在二年内全面进行“信息系统安全测评”,从而使其信息系统建设达到“世界发达国家、中心城市的先进水平”!

互联网金融信息安全评估指标体系研究

针对互联网金融安全保障体系中的信息安全评估问题,基于《互联网金融网络与信息安全技术指引》的具体要求,参考P2DR2安全模型的构成要素,提出适用于互联网金融信息安全评估的指标体系。引入层次分析法确定指标结构和权重,并结合模糊综合评价法给出互联网金融信息的总体评价结果。实例应用结果表明,该指标体系可以有效地评估互联网金融的信息安全水平,具有较强的实用性。

信息系统(网络)安全分析方法与评价模型

该文提出了信息系统安全性分析的思路,建立了由属性、因子、基本因子构成的层次分析方法,并介绍了基本因子的评分方法,以及属性节点的最弱环节、加权评估值、权重最弱环节等评价指标,为信息系统整体的量化评估奠定了基础。

基于云计算的信息安全风险分析与探索

从云计算等级保护出发,分析云计算模式下等级保护整体结构,从云计算环境中数据的安全性、隐私性、保密性、完整性、可用性,以及安全审计、标准、法律法规、未来发展以及服务质量等方面研究云计算中的信息安全风险,对其风险,提出相应威胁点所应该采取的防护措施,即从环境安全保障技术、云网络安全保障技术、虚拟化安全保障技术、云数据安全保障技术、云租户空间安全保障技术、云计算安全服务技术和云计算安全审计监管技术的体系架构和管理方面确保云计算安全。

信息安全风险评估中若干操作问题的研究

信息安全风险评估是一项复杂的、实践性强的系统工程,本文在分析信息安全风险评估相关标准、方法和技术体系以及总结实践经验的基础上,对信息安全风险评估过程的出发点、威胁和脆弱性的识别依据、影响威胁可能性的判断因素以及风险评估中的影响分析等四个操作层面的问题进行了分析和研究,并同时提出了许多可操作性的结论和建议.

工业控制系统信息安全的未来趋势

随着经济建设的发展以及科学技术的进步,信息化和工业化融合的趋势明显加快,有效促进了社会发展。工业控制系统作为工业重要部分,其主要利用通用而标准的软硬件系统及通信协议,并通过各种方式连接互联网,保证系统开放性,对工业领域的生存与发展具有重要影响。目前,随着信息技术和网络技术的发展,各种网络信息安全问题不断出现,导致工业控制系统面临着严峻的信息安全问题,给社会造成了严重经济损失。笔者针对工业控制系统信息安全现状进行分析,并探讨其未来发展趋势,以便相关人士借鉴和参考。

浅谈当前工业控制系统信息安全解决方案

工业控制系统,简称ICS,主要可以分为以下部分:SCADA(数据采集与监视控制系统)、DCS(分布式控制系统)、PLC(可编程逻辑控制器)及其他类的控制系统等。现阶段工业控制系统已被广泛应用在我国社会市场的各行业各领域,如电力企业、水力企业、石化企业、医药行业、食品行业、汽车行业及航天工业等,是我国基础设施的构成部分之一,也与国家整体的战略安全息息相关。基于此,对工业控制系统的信息安全作出保障,并制定相关的解决方案,是现阶段工业技术员需要思考与分析的问题。本文首先对工业控制系统信息安全存在的问题进行介绍,再对工业控制系统安全解决方案展开研究与分析。

关于强化信息化项目风险管理的思考 学习《网络安全法》的新视角

伴随着云计算、大数据、移动应用等各种新技术、新模式、新业态的不断涌现，信息化项目规模更大、要求更高。2017年6月1日，我国《网络安全法》正式实施，在信息化项目管理方面也迎来了新要求，风险管理成为不可忽视的重要管理内容。多年来，信息化项目数量不断增多，

一种基于业务信息流的多目标信息系统安全评估方法

将通用安全评估准则与实际系统业务流程相结合 ,提出了多层次 (设备、业务信息流、管理 )、多目标 (全面安全、重点安全、全面兼重点安全 )的评估方法 ,从而得到系统对安全的支持程度 ,为同类型系统安全性的量化对比评估奠定基础。

基于SaaS类型云计算服务信息安全等级保护模型研究与设计

通过介绍SaaS类型云计算服务及传统信息系统安全等级保护模型,提出了一种基于SaaS类型云计算服务信息安全等级保护模型,能够适用于云计算平台上信息安全等级保护工作的开展。实践表明:该模型能够更好的适用于云计算平台,解决了云计算平台的信息安全等级保护检测难题。

信息安全策略分析

安全策略是信息系统建设与管理中的指导依据,一个完整的安全策略应该与具体的对象或活动相关联,阐述明确的要求,并用于指导具体设备的配置与系统开发工作。

证券期货行业互联网金融信息安全风险浅析

以互联网金融为时代背景,迅速发展的证券期货业信息系统对信息安全的要求达到一个前所未有的高度。本文由证券期货行业互联网金融的现状出发,阐述和预测了证券期货行业互联网金融的组成模式和发展趋势,重点对比传统证券期货业与互联网金融之间的差异,分析证券期货业互联网金融目前面临的信息安全风险,为证券期货业互联网金融风险的管理提供参考。

工业控制系统信息安全事件分析及对安全防护的启示

随着工业化和信息化融合的不断深入,工业控制系统不再与外界完全隔离,由此产生的一系列工业控制系统攻击事件对工业生产运行乃至国家安全带来重大安全隐患。文章分析了5个典型的工业控制系统信息安全事件,分析了它们的漏洞利用以及感染和传播病毒的方式,并在此基础上总结出工业控制系统信息安全技术防护重点以及安全测评重点。

上海市:加强智慧城市大数据安全保障

今年两会期间，智慧城市、个人信息保护、信息安全立法成为热点话题。在上海，智慧城市建设正如火如荼地展开，大数据平台成为智慧城市建设重要的任务。随着对个人信息保护的重视，与大数据相关的安全问题需要引起各方高度关注。当前，智慧城市包含上海大量的重要基础设施，其安全运行成为维系社会秩序的先决条件。

个人信息安全保障能力建设研究

在互联网、大数据时代背景下,迅速发展的大数据信息系统对个人信息保护的要求不断提高,安全事件频发,从法律法规层面将个人信息保护提升到一个前所未有的高度。从个人信息泄露造成影响的现状出发,深入分析了个人信息的泄露源、泄露风险、泄露原因、泄露方式和泄露渠道。最后在各个方向上提出了对个人信息保护的解决措施,以纵深防护的思想让恶意人员无法获取个人信息、无法使用个人信息和无法逃脱法律惩戒。为加强信息系统个人信息保护能力提供参考。

等级保护2.0之App个人信息保护测评方法的探讨

2019年5月13日《网络安全等级保护基本要求》正式发布,新标准新增了个人信息保护的要求。文章在分析移动App在个人信息保护中的必要性及难点的基础上,以App评估为切入点,结合近期发布的《个人信息安全规范》(征求意见稿)以及公安部等国家四部委“关于开展App违法违规收集使用个人信息专项治理”工作,探讨个人信息在采集、传输、保存、访问等过程中所面临的风险,为等级保护2.0中的个人信息保护要求提供一些测评思路。