信息安全

信息安全中的等级保护和风险评估的区别

       今天被人问到信息安全中的等级保护和风险评估的区别在什么地方。下午在回来的火车上,一没有美女相伴,也没有传说中的什么艳遇,基于很无聊等各种原因,就有了这篇充数的文章。纯属拙见,有不妥之处还望斧正。

       可以简单的理解为等保是标准或体系,评估一种是手段。

       等保其实就是帮助用户分析、评定信息系统的等级,以便在后期的工作中根据不同的等级进行不同级别的安全防护 ,而风险评估是帮助用户发现目前的安全现状,以便在后期进行整体的安全规划与建设。我们可以用风险评估这种手段检查等保的落实和执行情况。而风险评估的结果可作为实施等级保护等级安全建设的出发点和参考。

» 阅读全文

关键词: 风险评估 , 等保 , 信息安全

信息安全风险评估项目工序与流程

by amxku
2009-01-07
http://www.luoq.net
一个朋友要这些东西,顺便发出来,希望能有所帮助。个人拙见,有不妥之处还望斧正。仅以此文献给我伟大的妈妈!

一、项目启动
二、确定工作范围
三、制定整体实施计划
四、管理评估阶段
五、技术评估阶段
六、数据整理
七、项目验收

» 阅读全文

关键词: 流程 , 风险评估 , 信息安全

安全的本质

Value:一个有价值观的技术范畴

  • 安全是一个有价值观的技术。也就是你到底站在谁的立场上。一个安全技术如果离开了支持和保护的立场,就很难谈清楚。所以,从根本上,安全体现了强烈的对抗性。
  • 如果看看可信计算的思路就可以看出,其中的可信根,就体现着立场。

SaaS:其根本是人和人的关系

  • 安全的根本是人和人的关系,而不是机器和机器的关系。是人和人的对抗而不是机器和机器的对抗。
  • 能力和服务的对抗是其深层价值,服务的交锋面是决定性的;也就是攻防那个瞬间的能力对抗是决定性的。

AD:攻击和检测

  • 安全技术归结起来最关键的是攻击技术和检测技术。或者说,攻防攻防,防守中最重要的技术就是检测技术。或者说得更准确些,静态防护的关键是加密技术、动态防御的关键技术是检测。

Structurual & Integration:结构化、融合

  • 安全技术应用是一个广泛融合的过程,安全技术与网络技术、操作系统技术、数据库技术、开发技术、管理科学等等的融合
  • 安全是一个关联性很强的话题,结构化是解决问题的好办法。所以框架、体系结构是安全中一个重要的话题
  • 加密,我认为其是一个结构化手段,是锁、链条、粘合剂...

at: jordanpan 

关键词: 信息安全

对国内目前信息安全专家与标准的理解

juan_5515 北京

反思一下当前的安全标准热:
因为中国的信息安全发展目前相对落后,缺乏标准和理论体系,所以大家都把眼光投到国外,于是从Rainbows 到CC,从bs7799iso13335 ,SSE -CMM,IATF从NIST到GAO,NSA,到ITSM,ITIL,BS15000,以及英国的 ,加拿大的,澳大利亚的 ...,一时间大家纷纷大谈标准,以及各种基于标准的认证,尤其是在安全服务领域,有一部分人还对各种国外标准盲目迷信和崇拜,似乎不谈标准就什么也干不成,不谈标准就不够专业,纷纷找来五花八门的东西,一方面还得借助英汉词典读着这些艰深晦涩的东西。

» 阅读全文

关键词: iso13335 , bs7799 , 安全标准 , 工作 , 信息安全

等级保护

第一级:用户自主保护级 ;

第二级:系统审计保护级 ;

第三级:安全标记保护级 ;

第四级:结构化保护级 (系统整体安全设计);

第五级:访问验证保护级。

慢慢学习,先点一下。

» 阅读全文

关键词: 等级保护 , 信息安全

用cisco命令确定和跟踪DOS攻击源

跟踪和阻止denial of service (DoSattacks). 对付DoS attack 有三个步骤: intrusion detection, source tracking, and blocking. 本命令是针对source tracking。

» 阅读全文

关键词: 学习 , 信息安全 , cisco

关于信息安全

很多朋友弄不清楚“网络安全”和“信息安全”的概念。

面对很多名词的解释,理解也是似是而非。例如:信息安全管理、信息安全技术、风险评估、渗透测试、安全服务。

对他们之间的相互联系的理解有很多甚至是错误的。

我觉得主要的原因是现在国内的很多不负责任的网站,为了赚钱的目的,挂着“安全”或者“黑客”的名义误导人。

很多周围的朋友,自以为懂得一些安全技术中的一部分,或者有一些网络工作的经验加上自己对安全技术的爱好,或者对入侵渗透有稍微的接触,就自以为懂得了"信息安全"或"网络安全"。

我感觉这样是非常危险的。

虽然说实践是很重要的,懂得具体的技术,无论是维护网络、服务器、系统的安全也好,还是用来入侵(无贬义)也好,都是有必要的。

但是理论的知识依然不能缺乏,否则大方向、高层次的理解错误,很可能会误导学习方向和局限了今后的发展。

 

关键词: 学习 , 工作 , 信息安全

应用系统安全评估

应用系统这个词很大,首先要分好类,这样才能有一个全局的规划。
目前,我们可以把它分为由硬件、软件、湿件组成的三个领域,来考察应用系统的安全性。
硬件:应用系统的物理环境(开发环境、测试环境、生产环境),所使用的计算机、网络设备、网络基础架构。

软件:开发工具、测试工具等;规章制度、法律法规、备忘录、流程、文档等;

湿件:在应用系统的各个环节中所涉及到的人。

我想,无论目前的标准,是靠CC还是17799,还是生命周期、itil、IT内控,都逃不开这几个分类.
硬件的特点是,不宜也不易经常变动的。软件则是经常修改变动的。而湿件则完全是不可控的,目前我们的做法是依赖于硬件和软件的协同,来制约湿件,使他尽量在可能的控制范围内。
 PS:晕的,呵呵.鸭锅跟我说
开发过程阶段
开发的代码安全
测试阶段,开发完成后的测试
运行维护阶段,测试完毕的运行维护

应用系统评估主要是:开发设计阶段.  就是应用开发时的架构设计
看来还是要跟据具体的情况来定.适合客户的方案还是最好的

关键词: 学习 , 工作 , 信息安全

Total: 1312Next ›