信息资产的分类与控制

根据《光明日报》2004年2月19日的统计数字，国内2003年电子政务信包安全市场规模超过5亿元，金融信息化安全市场规模约有4.5亿元。

人力防火墙管理系列之一——筑堵“人力”防火墙

在信息安全的所有相关因素中,人是最活跃的因素,人的行为是信息安全保障最主要的方面。人,特剐是内部员工,既可以是对信息系统的最大潜在威胁,也可以是最可靠的安全防线。

信息安全管理BS7799十大领域连载之五——实体、环境也“安全”

实体与环境安全(Pliyslcal andenvironmental socuriry)是讨论保护信息系统基础和设施、设备，存储介质免受非法的实物访问，自然灾害和环境危害。

让防火墙永驻人心

信息安全教育足实施信息安全的基础，在美国的安全保障国家策略中，安全意识的培训和教育列在第一位，从联邦政府到国防部门，很多都设有安全培训服务。为了提高信息安全和信息保障能力，美国政府拨款1．5亿美元，拟在7所院校建立“信息保障教育优秀学术中心”。

信息安全管理BS7799十大领域连载之六 通信和运营管理(上)

通信和运行管理是建立IT基础架构及维护IT正常运行的重要内容，BS7799中主要包括七个控制目标，本期先介绍操作程序和职责、系统计划和验收、恶意软件防护、内务管理这四个控制目标。

系统开发与维护

目前用户在采取安全控制措施时，比较多地把精力花在了网络安全措施的建立与维护上，而系统开发过程中的安全特性，往往被软件开发商与用户忽略了，软件开发商，只注系统主要功能的实现，用户也只把精力放在数据需求与功能需求的描述上。然而应用系统中的安全隐患，会使应用系统先天不足，从而导致潜在的业务损害。

你的人力防火墙安全吗?

人力防火墙能否正常起作用，还要进行详细测试才能判定，测试方法一般有问卷调查、现场测试、模拟安全演习、安全考核．心理测量等方法。

人力防火墙管理系列之三 人力防火墙:从自发到自觉

安全事件就是能导致资产丢失与损害的任何事件，为把安全事件的损害降到最低的程度，追踪并从事件中吸取教训，组织应明确有关事故、故障和薄弱点的部门，并根据安全事故与故障的反应过程建立一个报告、反应、评价和惩戒的机制，这也可称为人力防火墙的反应机制。安全事件的反应过程如下：

不是黑客、病毒那么简单

组织为达到保护信息资产的目的,应在“以人为本”的基础上,充分利用现有的ISO13555、BS7799、CoBIT、ITIL等信息系统管理服务标准与最佳实践,制定出周密的、系统的、适合组织自身需求的信息安全管理体系。 从宏观的角度来看,我们认为信息安全可以由HTP模型来描述:人员与管理、技术与产品、流程与体系。 在充分理解组织业务目标、组织文件及信息安全的条件下,通过ISO13335的风险分析的方法,通过建立组织的信息安全基线,可以对组织的安全的现状有一个清晰的了解,并可以为以后进行安全控制绩效分析提供评价基础。

BS7799系列讲座之三 与ITIL和COBIT融合

根据眦险评估的结果，综台利用各种信息安全技术与产品，在统一的IT服务管理平台上(ITIL)，以“适度防范”为原则，建立有效的“技术防火墙”，这是实现信息安全管理的可靠外部保证措施。

信息安全管理BS7799十大领域连载之六 通信和运营管理(下)

通信和运行管理是建立IT基础架构及维护IT正常运行的重要内容。BS7799中主要包括七个控制目标，上期已经介绍了操作程序和职责，系统计划和验收，恶意软件防护，内容管理四个控制目标。本期将介绍网络管理、备份介质处理与安全、信息与软件交互这三个控制目标。

政策先行

2004年春节后上班的第一天,某集团公司北京信息中心的网络管理员,打开了节日期间关闭的邮件服务器,刚上班的员工们都忙着下载和浏览积压的邮件,他们没有想到一场灾难正慢慢逼近:由于刚打开的邮件服务器的防病毒软件没有即时更新病毒库,邮件中央带的病毒迅速泛滥,很快就使网络及服务器无法正常工作。 信息中心主任带领手下5、6名管理员进行了为期一周的杀毒拉锯战,最终还是成为了病毒的手下败将,在没有办法的情况下,只好把所有的服务器格式化,重新安装服务器操作系统与应用软件。信息中心主任感慨地说“要是早制定了即时更新的防病毒策略,并严格遵守,就不会吃这么大的苦头了……”

信息安全管理BS7799十大领域连载之七 访问控制

访问控制是对主体(Subject)访问客体(Object)的权限或能力的一一种限制。

管好你的人员

在最近BS7799的培训班中,笔者曾经给学员们出过一道题: 如果有一个地下组织付给你100万元经费,让你去破解一个高度安全的系统(比如电子商务的网上支付系统),你如何最高效率地实现目标? 有的学员回答:“从内部突破,贿赂员工”,有的学员甚至认为:“

BS7799系列讲座之二 搭架子的学问

对于一个组织来说,比较切实可行的第一步是建立信息安全管理框架。 按照英国国家标准局制定的BS7799-1《信息安全管理实践规范》和BS7799-2《信息安全管理体系规范》,可以帮助在组织中建立一个初步的、易于实施和维护的管理框架,在框架内通过安全管理标准,提供组织在信息安全管理的各环节上一个最佳的实践指导。