August 11, 2008 12:36 | by
作者:冷漠 (C.R.S.T) 来源:http://www.lengmo.net
最近一直出差在外在做项目,在评估项目中学到很多东西,也积累了一点经验,总想抽时间整理下,也算是对自己前一段时间的工总结吧。
本次要总结的是关于风险评估项目中的渗透测试,可能提到渗透测试,大家就会想到黑客入侵,而渗透测试和黑客入侵的最大区别在于渗透测试是经过客户授权的,采用可控制、非破坏性质的方法和手段发现目标服务器和网络设备中存在的弱点。
最近一直出差在外在做项目,在评估项目中学到很多东西,也积累了一点经验,总想抽时间整理下,也算是对自己前一段时间的工总结吧。
本次要总结的是关于风险评估项目中的渗透测试,可能提到渗透测试,大家就会想到黑客入侵,而渗透测试和黑客入侵的最大区别在于渗透测试是经过客户授权的,采用可控制、非破坏性质的方法和手段发现目标服务器和网络设备中存在的弱点。
作者: Netlinking
在风险评估过程中,可以采用多种操作方法,包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。
在风险评估过程中,可以采用多种操作方法,包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。
March 25, 2008 20:24 | by
来源:电力安全管理
摘要:论述了基于风险的安全评估方法在当前电力系统发展和电力市场兴起的新形势下的重要意义,该方法能够定量地抓住决定安全性等级的因素:事故的可能性和事故的严重性。并在此基础上引入了风险指标,从而可以对电力系统安全性做出更科学、细致的评估。文中还介绍了基于风险的安全评估方法的研究内容和应用范围。
摘要:论述了基于风险的安全评估方法在当前电力系统发展和电力市场兴起的新形势下的重要意义,该方法能够定量地抓住决定安全性等级的因素:事故的可能性和事故的严重性。并在此基础上引入了风险指标,从而可以对电力系统安全性做出更科学、细致的评估。文中还介绍了基于风险的安全评估方法的研究内容和应用范围。
作者:刘雪勇 宋汇星
摘 要:大型电信运营业务支撑系统(BOSS)有其独特的复杂性,集中化改造后,对BOSS系统的信息安全保障能力也提出了更高的要求,安全评估方面的考虑也越来越多。从管理和技术两个方面探讨了大型电信运营业务支撑系统的安全评估方法。
摘 要:大型电信运营业务支撑系统(BOSS)有其独特的复杂性,集中化改造后,对BOSS系统的信息安全保障能力也提出了更高的要求,安全评估方面的考虑也越来越多。从管理和技术两个方面探讨了大型电信运营业务支撑系统的安全评估方法。
March 22, 2008 21:16 | by
来源:pcdog
当前,无论是政府还是企业,对于自身的信息安全都非常关注。因此,企业信息安全风险评估再一次引起了业界的关注。那么,此类评估有什么标准?对企业的价值又体现在何处呢?
当前,无论是政府还是企业,对于自身的信息安全都非常关注。因此,企业信息安全风险评估再一次引起了业界的关注。那么,此类评估有什么标准?对企业的价值又体现在何处呢?
March 13, 2008 19:38 | by
最近手又痒了,没事就在淘宝上逛逛。。看看有没有合适的书,无意中看到这本书,虽然很多东西在项目中都遇到过了,不过这书讲的好像更全面点,而且讲了很多细节方面的东西和相关的注意点。。。所以就买了本,也不贵,26 块钱。。呵呵···
可是我的习惯就是喜欢买书,但是真正看完的倒是没几本,哎。。有很多都是翻了一半,就不看了,而有的书刚翻了一点,哎。。没
可是我的习惯就是喜欢买书,但是真正看完的倒是没几本,哎。。有很多都是翻了一半,就不看了,而有的书刚翻了一点,哎。。没
来源:网络
一、BS7799信息安全管理体系标准的发展
随着在世界范围内,信息化水平的不断发展,信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织
一、BS7799信息安全管理体系标准的发展
随着在世界范围内,信息化水平的不断发展,信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织
来源:IT 安全世界
随着各类组织的信息化程度的提高,使得信息系统越来越复杂,在业务运作的过程中生成大量的数据,组织的发展对信息的依赖程度也越来越大,这样信息安全管理成了组织风险管理的重要组成部分。如何保障信息安全是每个现代组织所面临的共同问题,信息安全风险评估逐渐被引入组织的管理体系当中。目前,我国也正在制定相应的风险评估及风险管理指南。国际上的风险评估(管理)指南,基本上比较注重可操作性和通用性,对于风险评估的过程描述得比较清晰,也强调了风险评估的准备阶段的要求和任务,笔者认为风险评估作为一个过程,应该特别注意其策划阶段的活动,本文主要结合实施风险评估的一点经验,简单提出在策划阶段应关注的一些问题。
随着各类组织的信息化程度的提高,使得信息系统越来越复杂,在业务运作的过程中生成大量的数据,组织的发展对信息的依赖程度也越来越大,这样信息安全管理成了组织风险管理的重要组成部分。如何保障信息安全是每个现代组织所面临的共同问题,信息安全风险评估逐渐被引入组织的管理体系当中。目前,我国也正在制定相应的风险评估及风险管理指南。国际上的风险评估(管理)指南,基本上比较注重可操作性和通用性,对于风险评估的过程描述得比较清晰,也强调了风险评估的准备阶段的要求和任务,笔者认为风险评估作为一个过程,应该特别注意其策划阶段的活动,本文主要结合实施风险评估的一点经验,简单提出在策划阶段应关注的一些问题。
来源:网络
在完成一个信息安全系统的设计与实施之后,并不代表着信息安全事务的完结。随着新技术、新应用的不断出现,以及所导致的信息技术环境的转变,意味着信息安全工作人员要不断地评估当前的安全威胁,并不断对当前系统中的安全性产生认知。通过动态的安全防护技术才能让企业规避风险、管理风险。
在完成一个信息安全系统的设计与实施之后,并不代表着信息安全事务的完结。随着新技术、新应用的不断出现,以及所导致的信息技术环境的转变,意味着信息安全工作人员要不断地评估当前的安全威胁,并不断对当前系统中的安全性产生认知。通过动态的安全防护技术才能让企业规避风险、管理风险。
随着Internet 网的发展,企业上网在我国也成了一种趋势,虽然企业上网的原因各种各样,有的是政府行为,有的是企业自发的行为,但是不可否认的是几年来企业上网的层次也有所变化。在 Internet发展的初期阶段,企业上网的含义指的是企业有自己的主页,但很快人们发现这种层次对企业深层次的环节如生产、销售、营销并没有什么太大的促进作用,于是企业慢慢地过渡到比较高的层次,建立自己的网站与局域网,并且与 Internet连接,使企业的上下游伙伴及驻地机构、办事处都能实时了解企业的信息,即过渡到
信息产业是当今推进生产力发展最活跃的因素,企事业单位不是要不要信息化,而是什么时候选择什么方式从哪个领域采取什么步骤进行信息化。但由于认识的误区、经验的不足,有许多项目在需求调研阶段就没有明确的范围或偏离了方向,进度、资金、工作量估计严重不足,而业主往往在项目交付后才学会提需求,使项目没完没了。项目实施方由于管理水平的低下和软件本身的智力密集性,研发过程很难控制,个人英雄主义普遍存在,致使软件项目的成败把握在个别人手里。因此,许多企业感叹: 信息化项目的教训多,经验少。
来源: IT168
在以前的文章中我曾经说过,定期的对企业的安全工作进行缺口分析是非常重要的。不过,固然定期的审查安全策略和过程非常重要,同样不可轻视的还包括在这个过程中进行网络风险评估。
在以前的文章中我曾经说过,定期的对企业的安全工作进行缺口分析是非常重要的。不过,固然定期的审查安全策略和过程非常重要,同样不可轻视的还包括在这个过程中进行网络风险评估。
January 28, 2008 10:44 | by
来源:信息安全论坛
当前,银行业对信息科技的高度依赖,使得信息技术系统的安全性、可靠性和有效性直接关系到整个银行业的安全和金融体系的稳定。随着我国银行业科技进步的步伐逐渐加快,特别是近两年来银行业信息和数据逻辑集中程度的不断提高,信息科技风险已经成为
当前,银行业对信息科技的高度依赖,使得信息技术系统的安全性、可靠性和有效性直接关系到整个银行业的安全和金融体系的稳定。随着我国银行业科技进步的步伐逐渐加快,特别是近两年来银行业信息和数据逻辑集中程度的不断提高,信息科技风险已经成为
