信息安全成熟度评估模型比较分析

来源 :2020中国网络安全等级保护和关键信息基础设施保护大会 | 被引量 : 0次 | 上传用户:byddr
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  在技术实践中,成熟度模型通常被用于评价企业对其工作的组织能力与技术水平状态。在世界范围内,成熟度模型在信息安全管理工作中的应用非常广泛,其中一个典型案例就是ISO27000 系列信息安全管理体系标准。在企业信息安全管理体系建立的过程中,会遇到很多问题,包括:如何满足网络安全标准要求?在多大程度上满足这些要求?成熟度模型有助于解答这些问题,并能够在此基础上评估企业信息安全管理体系的成熟度。针对如何选择适合企业自身的信息安全成熟度模型问题,分析了信息安全相关的主要成熟度模型和最佳实践,并提出了一套度量指标,对模型对信息安全成熟度评估的适用性进行了分析。分析结果表明,最适合信息安全管理体系评估的成熟度模型为SSE-CMM、C2M2、NICE 和OISM3 等。
其他文献
Wi-Fi 无线局域网络覆盖得到了逐渐普及,后继多种用途的智能电子设备也通过无线网络认证的方式连接到无线局域网体系中。由于目前Wi-Fi 无线网络认证方式的不可靠性,攻击者可以利用破解Wi-Fi 无线网络密码的方式,渗透到无线局域网络,通过流量分析,窃取隐私信息,甚至控制终端设备,存在严重的安全隐患。实验模拟攻击者通过对无线网络认证密码的破解,连接到无线网络,使用网络封包分析软件Wireshark
由于公安机关、税务部门、银行、民航、保险等行业大多建立了自己的业务专网,而“互联网+政务服务”战略实质上需要业务专网与互联网之间,不同业务专网之间的数据交换,如何避免来自互联网及其他业务专网的网络威胁,安全地进行数据交换已成为亟待解决的重点问题。在研究分析现有数据交换技术的基础上提出了一种物理隔离环境下基于QR 码的数据交换系统,增加文件安全检测和数字签名模块确保数据的安全性和完整性,并通过实验证
业务安全是关键信息基础设施安全保障的核心目标,业务信息安全风险管理是实现业务安全的必经之路。业务信息安全风险管理是指通过对业务风险进行识别,对承载业务的资产、数据、服务进行风险管理,从而实现业务安全的方法。通过对业务与资产、数据、服务间的依赖风险建模,确定业务与资产、数据、服务之间的级联风险,采用基于图的风险分析方法建立业务风险依赖链,采用模糊逻辑理论动态评估业务信息安全风险,并针对基于等级保护框
网络安全靶场是针对网络安全攻防演练和网络新技术评估的重要基础设施,已成为各行业开展网络空间安全研究、学习、测试、验证、演习等必不可少的网络空间安全核心基础设施。随着高速铁路发展进入“智能铁路”时代,铁路行业重要信息系统将面临更多样化的网络安全风险和潜在威胁。研究构建铁路网络安全靶场,可以模拟系统拓扑机构和生产业务数据,建立铁路行业重要信息系统仿真试验环境,进一步为铁路行业开展新技术验证、防护体系的
论述了数据资产的产权、交易标的、定价、交易,指出数据资产比数据资源更合适作为网络安全等级保护的定级对象。在确权的前提下,数据资产可以根据其价格独立定级,并且其保护级别可以随着价格的变动而变动。
近年来,随着医疗服务对信息化的依赖,信息系统所维系的不仅仅是医疗服务业务的支撑和辅助,而是整个卫生服务行业的命脉。但由于目前存在着等级保护工作落实情况不到位、网络安全隐患普遍存在、安全防护水平相对落后等问题,医疗卫生行业关键信息基础设施的认定和检测工作刻不容缓。为了加强医疗卫生行业关键信息基础设施的安全性,帮助医疗卫生行业技术人员做好网络安全的保障工作,基于网络安全和医疗卫生行业关键信息基础设施大
传统网络安全设备因其自身技术特点的局限性,在对抗自动化工具发起的攻击时缺少有效的识别和阻断技术手段。从使用自动化工具的攻击者角度出发,针对其所使用的攻击方法、伪装手段,提出了两种用于防范、鉴别、跟踪和阻断自动化工具攻击的方法,并提高了攻击者的难度和成本。
介绍了零信任架构的出现背景、架构概念和关键能力,分析了在"新基建"和"新冠疫情"的双重刺激下,企业在远程访问场景中业务结构与安全风险的变化与应对难点。围绕"以身份为基石、业务安全访问、持续信任评估、动态访问控制"四大零信任架构关键能力,构建出了一套零信任远程访问安全体系参考框架,为新IT环境下的企业远程访问场景下的安全体系建设提供了一种创新思路和参考。
无线网络是通信系统的重要组成部分。由于开放性等特点,其安全面临严重的威胁。实时安全监测是无线网络安防行动有效开展的基本前提,因此,急需通过构建无线网络安全监测体系,增强无线网络系统的安全性能,应对无线网络安全威胁的挑战,提高对无线网络内部运行安全状态进行监控和对威胁事件进行预警的能力。无线网络可能会受到搜索攻击、信息泄漏攻击、无线认证欺骗攻击、网络接管和篡改和拒绝服务攻击等安全威胁。因此,探讨新形
与传统的浅层学习相比,深度学习具有强大的模式表达能力,摆脱了对特征工程的依赖,能有效提高恶意软件检测率.提出了一种基于多尺度卷积神经网络的恶意软件检测方法,先将实验样本的二进制可执行文件转换为固定长度的十六进制字符序列,然后通过词嵌入将固定长度的十六进制字符序列转换为一个低维向量,并将转换生成的低维向量输入多尺度卷积神经网络中,训练基于多尺度卷积神经网络的检测模型.该方法通过不同窗口大小的卷积运算