信息系统主机安全等级保护测评方法研究

随着等级保护在全国各个行业的推广,对《信息安全技术信息系统安全等级保护基本要求》和《信息安全技术信息系统安全等级保护测评要求》中的测评内容对应的测评方法和技术的研究越来越重视,本文针对主机测评技术进行分析研究,通过分析测评项,提出符合标准的测评指标、方法和实施步骤。     

互联网环境下铁路信息安全等级保护设计方案研究

信息安全是铁路信息系统建设的一个重要问题,目前我国铁路缺少统一、标准化的信息安全等级保护解决方案,伴随互联网发展,铁路出现一批面向互联网提供服务的信息系统,该类信息系统的上线应用,生产系统不可避免与外网互联,信息安全受到威胁日益加大。本文提出了互联网接入管理中心支持下的安全计算环境子系统、安全区域边界子系统、安全通信网络子系统保护三重防护技术体系结构,形成纵深防御体系。基于该体系并结合互联网信息系统的特点,对安全方案设计开展了研究,可为相关部门采取相应的防护技术和管理措施提供理论依据和参考。     

基于Markov链的信息安全风险评估模型

风险评估是信息系统安全保证的核心和关键。本文对现有的信息安全风险评估方法进行分析评价,比较包含FTA、FMECA、HazOp等在内的传统风险评估技术和以CORAS为代表的现代风险评估技术,将基于Markov链的评估模型引入到信息系统安全风险评估中,完善了基于模型的信息安全风险评估方法(CORAS)。首先,利用Markov链对信息系统进行建模;其次,构建基于Markov链的风险转移矩阵,定量计算信息系统的安全风险指标;最后,以网上银行信息系统为例进行了数值计算,量化了网上交易任务的风险指标。通过这种风险评估方法,能够确定信息系统中高风险的活动或子系统,为信息安全风险评估工作的开展提供了方法和实践基础。     

基于组件安全属性的列控中心信息安全风险评估方法

为评估列控中心TCC的信息安全风险,构建列控中心系统的组件安全属性,结合信息安全风险评估指标体系,提出一种基于组件安全属性模型CMOSA的列控中心风险评估方法。以组件的方式对列控中心系统进行划分,通过研究列控中心与其他子系统之间的信息交互过程,抽象出各组件的安全属性;结合AHP确定列控中心信息安全风险评估指标,以组件安全属性对风险评估指标的影响识别组件的风险值,利用改进VIKOR算法评价系统的风险值,为列控中心的信息安全风险评估提供一种定量分析手段。结果表明,在列控中心系统中,外接集中监测系统的辅助维护单元模块、驱动与采集单元模块的风险值最大,作为风险管理者,应采取具体的防护措施降低风险。     

基于等级保护思想的网络安全风险评估关键技术研究

研究提出一种基于等级保护思想的网络安全风险评估模型，解决等级测评之后对系统整体安全状况进行风险分析和评估的问题。通过分析等级保护和风险评估的异同，给出二者之间的关联关系；通过对资产、脆弱性、威胁3要素的识别及其赋值进行深入研究，提出三维度资产赋值法、脆弱性CVSS计算法，威胁发生频率和影响权重古林计算法，并构造安全风险象限图，根据安全事件在象限图中的落点位置，评估安全风险严重程度。研究成果有助于企事业单位在开展网络安全实际工作时实现等级保护测评和风险评估的有机结合。     

三级系统信息安全等级保护测评指标体系研究

依据《信息系统安全等级保护基本要求》中对三级系统的要求,本文建立了三级系统信息安全等级保护评价指标体系结构,并对三级信息系统各项测评指标进行了分解,使测评人员可以更有针对性地对信息系统标准符合性进行评价,依据分解后的指标体系,采用层次分析法和主观评价法确定了信息系统等级保护测评指标体系中各项指标所占的权重,得出更加精确的综合测评结果,为各行业的信息系统等级保护测评工作的开展提供参考。     

铁路信息系统网络安全风险评估指标体系研究

借鉴国内外信息系统网络安全风险评估方面的经验和教训，结合铁路行业网络安全和信息化治理体系要求，从安全管理保障、安全技术保障和安全运维保障3个层面，建立铁路信息系统网络安全风险评估体系，开展定性与定量相结合的检查评估方法研究。该研究可为从事铁路网络安全管理人员、维护人员开展网络安全风险评估、安全自查工作提供理论依据和技术参考，对铁路信息系统网络安全管理工作具有重要意义。     

铁路物流信息系统安全等级评价方法的研究

论文在物流信息系统的基本安全因素基础上,结合铁路物流信息系统的实际情况,提出影响铁路物流信息系统安全的因素集合.利用专家打分法和层次分析法,计算出各因素的权重.再利用模糊综合评价方法和模型,计算出铁路物流信息系统各安全影响因素的单项安全等级集合,从而生成铁路物流信息系统安全评价分数,对系统的安全等级进行定量的分析.应用这一套方法,对中铁快运物流信息系统的安全等级进行评价,结果比较合理.     

信息安全等级保护重要标准解读

我国已形成了一套以信息安全等级保护为基础,包含基础、应用、产品等类别的信息安全等级保护标准体系,将标准体系的若干重要标准在按照其在等级保护实施的不同阶段的作用划分为定级、规划、设计与建设以及运维阶段标准,从标准框架、主要内容、行业指导意义3个方面对标准进行解读,旨在以点带面阐述各类标准在信息等级保护不同阶段的应用和对行业开展等级保护工作的指导意义。     

建立铁路行业信息安全等级保护测评机构必要性分析

我国信息安全管理工作遵循分等级保护原则,要求各行各业按照等级保护思想对本行业的信息系统进行安全防护。铁路行业的信息系统具有行业特色,并与运输安全息息相关,信息系统安全的好坏需要专业的测评机构进行把控。本文就行业测评机构的优势、作用和必要性进行了分析。     

城市轨道交通安防系统探讨及建议

中国城市轨道交通建设正大规模实施,按照轨道交通运营承载实体及轨道交通的客流特点,结合国内安全形势及维稳、反恐需要,轨道交通安全防范系统承担巨大的安防压力.简述国内轨道交通安全防范系统的现状,如系统建设各行其是、系统繁简不一、系统目标各有不同,就轨道交通安防系统建设发展变化及发展趋势进行探讨,建议形成较为完备的轨道交通安防系统建设规范及行业标准,成立统一的行业风险评估机构,扩大安防系统信息数据采集范围,强化安防系统功能.通过对国内轨道交通安防系统的探讨分析及建议,以期达成行业共识,并推动轨道交通安全防范系统的建设.     

铁路网络与信息安全风险管理研究

本文建立了三维结构的铁路网络与信息安全管理体系,分别从技术要素、管理要素和信息安全生命周期的角度对铁路信息安全风险进行深刻剖析.技术因素主要分为环境安全、系统安全、网络安全与应用安全;管理因素主要分为人员、机构和制度;信息系统生命周期从规划、设计、实施、运维到废弃的全生命周期过程中,针对技术因素的各个方面,都从安全风险的识别、评估和控制三个层次的纵深防御体系,进行了深入的研究与分析.本文对于有效降低铁路信息安全风险,提高铁路信息系统的安全性,保障铁路网络和信息系统安全、持续、稳定运行有着积极的推动与借鉴作用.     

铁路信息系统安全风险评估研究

简述了信息系统安全风险评估的内容,探讨铁路信息统安全风险评估的实施方法,对如何加强铁路信息系统安全风险评估工作提出了建议.     

对自动售检票系统进行风险评估的探讨

自动售检票(AFC)系统作为地铁运营体系的核心部分,其信息的安全性需要得到充分保证.深圳地铁为了提升AFC系统的安全性,建立了信息安全管理体系.结合该体系建立过程,对风险评估的流程和重点进行了探讨.风险评估是在对AFC系统的资产、威胁和脆弱性进行详细的识别和估值后,再计算风险值,得出了系统中一系列存在风险的业务范围和较全面的安全需求.     

城市轨道交通信号系统信息安全风险辨识

从城市轨道交通信息安全面临的严峻形势出发,介绍城轨交通信号系统组成,并对信号系统各子系统功能进行阐述。城轨交通信号系统是保证列车安全、准点、高密度运行的重要技术装备,主要由列车自动监控子系统、列车自动防护子系统、列车自动运行子系统、联锁子系统组成。根据信息安全风险分析模型,识别城轨交通信号系统信息安全的威胁来源及核心资产。由于城轨交通系统属于工业控制系统的典型系统,城轨信号系统则具备工控系统的一般性特点,继承工控系统的脆弱性。针对国内城轨交通信息安全研究的空白之处,结合工控系统不同层级结构的脆弱性,从技术和管理两个方面进行信号系统的信息安全风险辨识,通过分析发现存在物理安全、网络安全、主机安全和应用安全等层次上的风险。风险辨识结果反映出城轨交通信息安全存在大量的薄弱环节,以期为日后的研究和防护工作的开展打下基础。     

运用模糊综合评判法评价铁路工程承包风险

研究目的铁路施工企业工程承包中潜藏着众多不确定风险,这些风险涉及面广、影响因素多、损失危害程度高,在投标时采用有效的方法对工程承包风险进行准确分析,可以提高投标决策效率,进而提高工程效益。研究方法在充分研究铁路工程承包风险因素的基础上,介绍了层次分析法和模糊综合评价法用于铁路工程承包风险分析评价的步骤方法,为铁路工程承包风险分析和评价提供了定性与定量相结合的综合评价方法。研究结果通过中铁十六局投标兰武二线乌鞘岭隧道实例演示了操作过程,证明了该方法的科学性和可行性。研究结论在铁路工程承包中,风险是客观存在的,且具有较大的不确定性和模糊性。用模糊数学工具将许多观念性的难以精确度量的风险因素量化,既克服了传统优化法仅限于解决定量问题的缺点,又弥补了采用经验估计的方法较难解决复杂问题,且容易产生偏差又不易得出确切结果的不足,大大提高了决策效率和准确性。因此将模糊综合评判法应用到铁路工程承包风险评价是科学合理的。该方法在实际应用中所面临的主要困难是对专家意见的采集和处理。     

铁路“十二五”发展规划环评探究

研究目的:铁路“十二五”发展规划是我国第一个开展行业规划环评的项目,无成熟经验可借鉴,本文针对铁路“十二五”发展规划特点,遵照相关法律法规、强制性标准、规定、规范,探索性的重点提出铁路规划环境影响评价方法、评价内容以及相关建议.研究结论:从环境保护角度对铁路“十二五”发展规划拟定的发展目标、布局提出原则要求,为规划的编制、优化和审批决策提供参考,对于在规划层面促进“十二五”铁路的科学发展、安全发展、可持续发展提供重要保障;同时,就后续实施提出针对性建议.     

信息系统安全风险评估模型及其在铁路客票系统中的应用

提出一种基于模糊综合评判理论的信息系统安全风险综合评估模型与方法,实现量化信息系统安全风险的目标。通过确定信息系统的安全风险因素集、指标集以及因素的权重系数集,建立安全风险模糊综合评估矩阵,并应用于铁路客票预定与发售系统的安全风险评估。铁路客票预定与发售系统包括信息资产和物理资产,受到来自系统本身、外部环境以及人为和自然界的安全威胁。应用建立的信息系统安全风险评估模型,定量计算铁路客票预定与发售系统Web组件的安全风险值。根据计算值确定信息系统中的高风险组件,为系统管理与使用部门采取相应的防护技术和管理措施提供理论依据,增强系统安全性。