张百川(网路游侠)的博客

张百川(网路游侠,www.youxia.org)专注:网络安全、系统安全、应用安全、数据库安全、运维安全。

导航

分页:« 首页...«1[2] [3] »...尾页 »

[置顶] 张百川(网路游侠)安全博客——提供安全产品代购服务

[置顶] 欢迎给www.youxia.org投稿-信息安全QQ群欢迎加入!

2009年6月15日

风险评估在电厂二次系统安全防护建设中的实践 转载

  摘要:分析了电力二次系统所面临的风险,简要阐述了电力二次系统安全防护相关规定,介绍了风险评估在国内电力二次系统安全建设中的应用。《电力二次系统安全防护规定》对电力二次系统的安全建设提出了具体的建设目标,本文结合风险评估,对电力二次系统安全防护建设中的关键点进行了分析,提出一些意见。
  关键词: 电力二次系统 风险评估 安全
  引言
  电监会5号令《电力二次系统安全防护规定》和电监安

More...

Tags: 风险评估  
发布:网路游侠 | 分类:信息安全 | 评论:0 | 引用:0 | 浏览:

2009年6月9日

信息安全风险评估项目工序与流程

by amxku
2009-01-07
http://www.amxku.net
一个朋友要这些东西,顺便发出来,希望能有所帮助。个人拙见,有不妥之处还望斧正。仅以此文献给我伟大的妈妈!



一、项目启动
1.双方召开项目启动会议,确定各自接口负责人。
==工作输出
1.《业务安全评估相关成员列表》(包括双方人员)
2.《报告蓝图》
==备注
1.务必请指定业务实施负责人作为项目接口和协调人;列出人员的电话号码和电子邮件帐号以备联络。

More...

Tags: 风险评估流程  风险评估工具  信息安全风险评估  风险评估  风险评估过程  
发布:网路游侠 | 分类:信息安全 | 评论:0 | 引用:0 | 浏览:

2009年5月26日

安全——注意一小步,安全一大步

  近期去给某个客户进行公司业务的讲解,在会议室休息的间隙,我打开笔记本的无线网卡,发现了1个AP,并且没有安全验证机制,于是——就连上了。
  后来继续讨论的时候,和用户提到这个问题,用户说不是吧?某个工程师在我笔记本电脑上试了某个内部的FTP,能连上,能下载。我说我只要能连进来,就能做很多事情……
  于是,20分钟后,就连上了内网的3个内部系统的数据库,里面理所当然的包括很多不适合公开的

More...

Tags: 无线渗透  无线攻击  渗透测试  风险评估  安全评估  
发布:网路游侠 | 分类:游侠随笔 | 评论:1 | 引用:0 | 浏览:

2009年4月26日

信息安全中的等级保护和风险评估的区别

  等级保护的基本概念
  信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。
  根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。
  等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级

More...

Tags: 等级保护  风险评估  等保  
发布:网路游侠 | 分类:信息安全 | 评论:0 | 引用:0 | 浏览:

2009年2月10日

网络信息风险评估的常用方法剖析

在风险评估过程中,可以采用多种操作方法,包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。

  基于知识的分析方法

  在基线风险评估时,组织可

More...

Tags: 风险评估  定性风险评估  定量风险评估  风险评估方法  
发布:网路游侠 | 分类:信息安全 | 评论:0 | 引用:0 | 浏览:

2009年2月10日

风险评估中的定性与定量

定量风险评估
在定量风险评估中,目标是试图为在风险评估与成本效益分析期间收集的各个组成部分计算客观数字值。 例如,您用替换成本、生产率损失成本、品牌名誉成本以及其他直接和间接商业价值来估计各个企业资产的真实价值。 计算资产暴露程度、控制成本以及在风险管理流程中确定的所有其他值时,尽量具有相同的客观性。

注:本节在一个较高层次介绍定量风险分析中的部分步骤,不是对使用安全风险管理项目中方法的说明性指导。

此方法有一些固有的难以克服的明显缺点。 首先,没有正式且严格的方法来有效计算资产和控制措施的价值。 换言之,尽管该方法可以向您提供更多详细资料,但财务价值实际上掩盖了数字是估计而来这一事实。 如何可以精确且正确地计算高度公开的安全事件可能对您品牌造成的影响? 如果可行,您可以检查历史数据,但通常情况下是不行。

More...

Tags: 定性风险评估  定量风险评估  风险评估  定性分析  定量分析  
发布:网路游侠 | 分类:信息安全 | 评论:0 | 引用:0 | 浏览:

2009年2月5日

风险评估:为你的企业信息化多加上一把锁

  随着网络安全产品、技术的不断发展,越来越多的管理者发现,若想对自己的业务、资产、风险有一个直观清晰的了解,对自己的信息基础设施安全性有一个清晰的认识,最有效的方法便是对整个组织系统做一次全面的风险评估。

  笔者认为,聘请外部专业风险评估公司进行对自身的风险评估是比较切实有效的途径。这种公司起初并不清楚用户的系统,因此在评估时不会有偏见,而且它可以从攻击者的角度来全面考察用户信息系统的安全性,可以客观地发现系统漏洞、资产威胁、管理等一系列安全隐患。而用若是采用内部员工进行风险评估,由于对内部流程和操作太过熟悉以至于他们可能很容易地混淆技术风险和运行风险,且出现要么更多的关注业务流程带来的风险,要么过多的关注技术细节带来的风险。总之,专业风险评估公司能够努力屏蔽“不识庐山真面目,只缘身在此山中”的影响,较为容易地找到问题的症结所在。那么,应该选择什么样的外部公司进行风险评估呢?

More...

Tags: 风险评估  风险评估资质  安全服务资质  
发布:网路游侠 | 分类:信息安全 | 评论:0 | 引用:0 | 浏览:

2009年2月5日

浙江省电力公司首家通过信息系统安全等级保护测评

  为规范信息安全等级保护管理,提高信息安全保障能力和水平,2007年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定并发布《信息安全等级保护管理办法》。国家电网公司积极落实各项要求,将浙江省电力公司等四个单位作为系统内开展信息系统安全等级保护工作的试点,探索统筹开展信息系统安全等级保护测评、信息安全产品评测的工作模式……

More...

Tags: 浙江省电力公司  浙江电力  等级保护  等级保护测评  风险评估  
发布:网路游侠 | 分类:业界资讯 | 评论:0 | 引用:0 | 浏览:

2009年1月5日

关于“风险评估是不是作秀”

  前一段信息与网络安全行业的知名网站ChinaCISSP论坛曾经有个议题:风险评估是不是作秀。
  议题的说明:
--------------------------------
辩题:风险评估是不是作秀
  正方观点:是作秀,因为风险评估主观和不确定因素过重,其结果要么被认为是不正确的,要么只是为已有的结论寻找依据而已。
  反方观点:不是作秀,风险评估有科学理……

More...

Tags: 风险评估  风险评估方法  风险评估的意义  资产赋值  脆弱性分析  威胁分析  等级保护  分级保护  
发布:网路游侠 | 分类:游侠随笔 | 评论:0 | 引用:0 | 浏览:

2008年9月11日

关于加强国家电子政务工程建设项目信息安全风险评估工作的通知

关于加强国家电子政务工程建设项目
信息安全风险评估工作的通知

中央和国家机关各部委,国务院各直属机构、办事机构、事业单位,各省、自治区、直辖市及计划单列市、新疆生产建设兵团发展改革委、公安厅、保密局:

  为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),加强基础信息网络和重要信息系统安全保障,按照《国家电子政务工程建设项目管理暂行办法》(

More...

Tags: 风险评估  信息安全风险评估报告格式  风险评估格式  风险评估报告格式  
发布:网路游侠 | 分类:信息安全 | 评论:2 | 引用:0 | 浏览:
分页:« 首页...«1[2] [3] »...尾页 »

Powered By Z-Blog 1.8 Walle Build 91204 Using ThinkTwice Theme Designed By Sino Blog

Auto Publisher Copyright 2005-2009 Www.YouXia.Org . 陕ICP备05000100号