2015年 第24卷 第2期
2015, 24(2): 1-4.
摘要
PDF 1897KB
摘要:
随着铁路行业信息化程度不断提高,信息安全风险日益成为影响行业核心业务的重要因素。本文从铁路行业安全管理现状入手,分析行业信息安全管理面临的挑战,探讨如何通过管理机构及多维管理制度的建设,结合信息安全综合管理平台,制定符合铁路行业的信息安全风险防范措施和管理办法。
随着铁路行业信息化程度不断提高,信息安全风险日益成为影响行业核心业务的重要因素。本文从铁路行业安全管理现状入手,分析行业信息安全管理面临的挑战,探讨如何通过管理机构及多维管理制度的建设,结合信息安全综合管理平台,制定符合铁路行业的信息安全风险防范措施和管理办法。
2015, 24(2): 5-7.
摘要:
分析中国铁路信息系统的安全现状和面临的信息安全威胁,提出铁路信息安全系统的顶层建设构思,构建基于铁路安全管理中心和PKI/CA认证中心支持下的安全应用环境子系统、区域边界防护子系统、通信网络防护子系统三重防护技术体系,以客票系统为例检验该体系的适用性。
分析中国铁路信息系统的安全现状和面临的信息安全威胁,提出铁路信息安全系统的顶层建设构思,构建基于铁路安全管理中心和PKI/CA认证中心支持下的安全应用环境子系统、区域边界防护子系统、通信网络防护子系统三重防护技术体系,以客票系统为例检验该体系的适用性。
2015, 24(2): 8-12.
摘要:
随着企业对信息系统安全性需求的增强,对渗透测试方法和技术的研究也越来越重要。本文对安全渗透测试工程师经常采用的方法和技术进行了综述类研究,总结了若干方法和技术及渗透测试流程,在此基础上结合等级保护测评基本要求中对于渗透测试的要求提出了渗透测试方法。
随着企业对信息系统安全性需求的增强,对渗透测试方法和技术的研究也越来越重要。本文对安全渗透测试工程师经常采用的方法和技术进行了综述类研究,总结了若干方法和技术及渗透测试流程,在此基础上结合等级保护测评基本要求中对于渗透测试的要求提出了渗透测试方法。
2015, 24(2): 13-16.
摘要:
信息安全漏洞是造成信息安全问题的重要原因之一,是实施网络攻防的关键要素,如何及时有效发现漏洞信息,减少对社会、国家信息安全的不利影响,对安全漏洞的研究成为信息安全领域的重点,漏洞分类研究是漏洞研究的基础。本文简要介绍及总结国内外关于安全漏洞的定义和分类,并对未来的安全漏洞分类工作进行了展望。
信息安全漏洞是造成信息安全问题的重要原因之一,是实施网络攻防的关键要素,如何及时有效发现漏洞信息,减少对社会、国家信息安全的不利影响,对安全漏洞的研究成为信息安全领域的重点,漏洞分类研究是漏洞研究的基础。本文简要介绍及总结国内外关于安全漏洞的定义和分类,并对未来的安全漏洞分类工作进行了展望。
2015, 24(2): 17-21.
摘要:
在整个信息安全体系中,物理安全处于基础地位,必须给予足够的重视。采用信息技术手段监控保障物理安全,成为必然的选择。本文通过介绍研发背景,从平台功能、系统架构、网络方案等角度出发,基于远程监控单元(RMU)、平台通信协议及多线程监控数据采集处理技术等关键技术手段,提出了一套物理安全监控平台主要技术方案,同时对平台特点和应用效果进行了分析与总结。
在整个信息安全体系中,物理安全处于基础地位,必须给予足够的重视。采用信息技术手段监控保障物理安全,成为必然的选择。本文通过介绍研发背景,从平台功能、系统架构、网络方案等角度出发,基于远程监控单元(RMU)、平台通信协议及多线程监控数据采集处理技术等关键技术手段,提出了一套物理安全监控平台主要技术方案,同时对平台特点和应用效果进行了分析与总结。
2015, 24(2): 22-27.
摘要:
本文以铁路车站客票网防火墙为研究对象,提出了一种基于正则表达式的防火墙安全配置核查方法。此方法使用正则表达式匹配代替人工评判,提高了核查的效率;同时,该方法的安全配置基于信息安全国家标准要求和实际业务需求制定,降低了核查的主观性。
本文以铁路车站客票网防火墙为研究对象,提出了一种基于正则表达式的防火墙安全配置核查方法。此方法使用正则表达式匹配代替人工评判,提高了核查的效率;同时,该方法的安全配置基于信息安全国家标准要求和实际业务需求制定,降低了核查的主观性。
2015, 24(2): 28-32.
摘要:
为提高高速铁路自然灾害与异物侵限监测系统(简称:灾害监测系统)安全,保障系统稳定运行,通过分析灾害系统监测面临的安全风险和安全需求,设计了灾害监测系统安全体系架构,结合具体模型和数据处理流程,重点从物理安全、网络安全、主机安全、应用安全和数据安全等不同方面对灾害监测系统软件的安全系统进行设计。应用结果表明,在不降低软件性能条件下,安全架构及设计方案对提高软件安全性有明显效果,可有效地提高灾害监测系统自身安全性。
为提高高速铁路自然灾害与异物侵限监测系统(简称:灾害监测系统)安全,保障系统稳定运行,通过分析灾害系统监测面临的安全风险和安全需求,设计了灾害监测系统安全体系架构,结合具体模型和数据处理流程,重点从物理安全、网络安全、主机安全、应用安全和数据安全等不同方面对灾害监测系统软件的安全系统进行设计。应用结果表明,在不降低软件性能条件下,安全架构及设计方案对提高软件安全性有明显效果,可有效地提高灾害监测系统自身安全性。
2015, 24(2): 33-37.
摘要:
信息安全是铁路信息系统建设的一个重要问题,目前我国铁路缺少统一、标准化的信息安全等级保护解决方案,伴随互联网发展,铁路出现一批面向互联网提供服务的信息系统,该类信息系统的上线应用,生产系统不可避免与外网互联,信息安全受到威胁日益加大。本文提出了互联网接入管理中心支持下的安全计算环境子系统、安全区域边界子系统、安全通信网络子系统保护三重防护技术体系结构,形成纵深防御体系。基于该体系并结合互联网信息系统的特点,对安全方案设计开展了研究,可为相关部门采取相应的防护技术和管理措施提供理论依据和参考。
信息安全是铁路信息系统建设的一个重要问题,目前我国铁路缺少统一、标准化的信息安全等级保护解决方案,伴随互联网发展,铁路出现一批面向互联网提供服务的信息系统,该类信息系统的上线应用,生产系统不可避免与外网互联,信息安全受到威胁日益加大。本文提出了互联网接入管理中心支持下的安全计算环境子系统、安全区域边界子系统、安全通信网络子系统保护三重防护技术体系结构,形成纵深防御体系。基于该体系并结合互联网信息系统的特点,对安全方案设计开展了研究,可为相关部门采取相应的防护技术和管理措施提供理论依据和参考。
2015, 24(2): 38-40.
摘要:
信息安全等级保护制度是国家信息安全工作的基本制度,铁路行业在信息安全等级保护方面做了大量工作,对整个行业的信息安全工作起到了促进作用。本文从行业标准、系统定级备案、安全现状评估、等级保护测评、建设整改、安全措施落实等角度对如何将该等级保护工作落到实处进行了阐述。
信息安全等级保护制度是国家信息安全工作的基本制度,铁路行业在信息安全等级保护方面做了大量工作,对整个行业的信息安全工作起到了促进作用。本文从行业标准、系统定级备案、安全现状评估、等级保护测评、建设整改、安全措施落实等角度对如何将该等级保护工作落到实处进行了阐述。
2015, 24(2): 41-44.
摘要:
我国已形成了一套以信息安全等级保护为基础,包含基础、应用、产品等类别的信息安全等级保护标准体系,将标准体系的若干重要标准在按照其在等级保护实施的不同阶段的作用划分为定级、规划、设计与建设以及运维阶段标准,从标准框架、主要内容、行业指导意义3个方面对标准进行解读,旨在以点带面阐述各类标准在信息等级保护不同阶段的应用和对行业开展等级保护工作的指导意义。
我国已形成了一套以信息安全等级保护为基础,包含基础、应用、产品等类别的信息安全等级保护标准体系,将标准体系的若干重要标准在按照其在等级保护实施的不同阶段的作用划分为定级、规划、设计与建设以及运维阶段标准,从标准框架、主要内容、行业指导意义3个方面对标准进行解读,旨在以点带面阐述各类标准在信息等级保护不同阶段的应用和对行业开展等级保护工作的指导意义。
2015, 24(2): 45-47.
摘要:
针对我国铁路行业等级保护测评工作中缺乏统一的评判标准和专业评测机构,测评工作缺乏行之有效的常态化管理机制等现状,结合其它行业等级保护测评工作模式对铁路信息系统等级保护测评工作模式展开研究和探讨,分析等级保护自查和等级测评的作用及工作内容,并将切实有效推进等级保护工作的开展,促使等级保护测评工作常态化。
针对我国铁路行业等级保护测评工作中缺乏统一的评判标准和专业评测机构,测评工作缺乏行之有效的常态化管理机制等现状,结合其它行业等级保护测评工作模式对铁路信息系统等级保护测评工作模式展开研究和探讨,分析等级保护自查和等级测评的作用及工作内容,并将切实有效推进等级保护工作的开展,促使等级保护测评工作常态化。
2015, 24(2): 48-50.
摘要:
通过对信息安全专项检查的内容和方法进行深入分析和细化,形成可操作性的自查内容和指标体系,并提出一套合理规范的自查方法及流程,将等级保护自查与等级保护测评工作有机结合,切实有效地推进铁路行业等级保护工作的高效开展。
通过对信息安全专项检查的内容和方法进行深入分析和细化,形成可操作性的自查内容和指标体系,并提出一套合理规范的自查方法及流程,将等级保护自查与等级保护测评工作有机结合,切实有效地推进铁路行业等级保护工作的高效开展。
2015, 24(2): 51-54.
摘要:
随着等级保护在全国各个行业的推广,对《信息安全技术信息系统安全等级保护基本要求》和《信息安全技术信息系统安全等级保护测评要求》中的测评内容对应的测评方法和技术的研究越来越重视,本文针对主机测评技术进行分析研究,通过分析测评项,提出符合标准的测评指标、方法和实施步骤。
随着等级保护在全国各个行业的推广,对《信息安全技术信息系统安全等级保护基本要求》和《信息安全技术信息系统安全等级保护测评要求》中的测评内容对应的测评方法和技术的研究越来越重视,本文针对主机测评技术进行分析研究,通过分析测评项,提出符合标准的测评指标、方法和实施步骤。
2015, 24(2): 55-58.
摘要:
随着国家对信息安全的重视不断提高,高速铁路客运服务系统联调联试亟需增加对客票安全系统的测试。本文从保护客票系统业务安全的角度出发,提出了一套信息安全联调联试方案,阐述了测试场景、测试内容、测试流程和测试方法等,并创新性的提出采用配置核查工具,开发基于正则表达式的测试脚本,实现对安全策略的配置核查功能。
随着国家对信息安全的重视不断提高,高速铁路客运服务系统联调联试亟需增加对客票安全系统的测试。本文从保护客票系统业务安全的角度出发,提出了一套信息安全联调联试方案,阐述了测试场景、测试内容、测试流程和测试方法等,并创新性的提出采用配置核查工具,开发基于正则表达式的测试脚本,实现对安全策略的配置核查功能。
2015, 24(2): 59-61.
摘要:
依据《信息系统安全等级保护基本要求》中对三级系统的要求,本文建立了三级系统信息安全等级保护评价指标体系结构,并对三级信息系统各项测评指标进行了分解,使测评人员可以更有针对性地对信息系统标准符合性进行评价,依据分解后的指标体系,采用层次分析法和主观评价法确定了信息系统等级保护测评指标体系中各项指标所占的权重,得出更加精确的综合测评结果,为各行业的信息系统等级保护测评工作的开展提供参考。
依据《信息系统安全等级保护基本要求》中对三级系统的要求,本文建立了三级系统信息安全等级保护评价指标体系结构,并对三级信息系统各项测评指标进行了分解,使测评人员可以更有针对性地对信息系统标准符合性进行评价,依据分解后的指标体系,采用层次分析法和主观评价法确定了信息系统等级保护测评指标体系中各项指标所占的权重,得出更加精确的综合测评结果,为各行业的信息系统等级保护测评工作的开展提供参考。
2015, 24(2): 62-65.
摘要:
本文介绍了铁路行业信息安全等级保护工作现状,并与电力、金融等行业等级保护工作进行了对比分析,从等级保护工作实施程度、行业标准制定、行业评测机构成立几方面,指出了当前铁路等级保护工作存在的不足,为未来铁路等级保护工作的进一步开展和推进提供参考。
本文介绍了铁路行业信息安全等级保护工作现状,并与电力、金融等行业等级保护工作进行了对比分析,从等级保护工作实施程度、行业标准制定、行业评测机构成立几方面,指出了当前铁路等级保护工作存在的不足,为未来铁路等级保护工作的进一步开展和推进提供参考。
2015, 24(2): 66-68.
摘要:
我国信息安全管理工作遵循分等级保护原则,要求各行各业按照等级保护思想对本行业的信息系统进行安全防护。铁路行业的信息系统具有行业特色,并与运输安全息息相关,信息系统安全的好坏需要专业的测评机构进行把控。本文就行业测评机构的优势、作用和必要性进行了分析。
我国信息安全管理工作遵循分等级保护原则,要求各行各业按照等级保护思想对本行业的信息系统进行安全防护。铁路行业的信息系统具有行业特色,并与运输安全息息相关,信息系统安全的好坏需要专业的测评机构进行把控。本文就行业测评机构的优势、作用和必要性进行了分析。
2015, 24(2): 69-70.
摘要:
2014年4月8日,微软公司宣布XP操作系统正式退役,这对运行在XP操作系统下的信息系统安全防护提出了新要求。本文对后XP时代信息安全面临的隐患进行了分析,提出了后XP时代信息安全防护措施及我国信息安全建设建议。
2014年4月8日,微软公司宣布XP操作系统正式退役,这对运行在XP操作系统下的信息系统安全防护提出了新要求。本文对后XP时代信息安全面临的隐患进行了分析,提出了后XP时代信息安全防护措施及我国信息安全建设建议。
2015, 24(2): 71-75.
摘要:
本文通过综合分析云计算系统存在的安全风险,结合云计算系统分层架构特点,提出了一种基于“一个中心、五个层面,两重保障”策略的云计算安全防护方案。该方案针对云计算系统安全风险设计,并与云计算系统分层架构特点相适应,为云计算技术全方位安全防护提供了一种新的方法。
本文通过综合分析云计算系统存在的安全风险,结合云计算系统分层架构特点,提出了一种基于“一个中心、五个层面,两重保障”策略的云计算安全防护方案。该方案针对云计算系统安全风险设计,并与云计算系统分层架构特点相适应,为云计算技术全方位安全防护提供了一种新的方法。
2015, 24(2): 76-78.
摘要:
本文对大数据涉及的关键技术进行概括,分析了大数据时代信息安全所面临的挑战和机遇,最后给出了我国大数据环境下的信息安全建设的建议。
本文对大数据涉及的关键技术进行概括,分析了大数据时代信息安全所面临的挑战和机遇,最后给出了我国大数据环境下的信息安全建设的建议。
2015, 24(2): 79-81.
摘要:
本文分析铁路客票系统的局限性,根据物联网的3层体系结构,设计一套基于物联网技术的铁路客票系统,能有效解决系统操作效率低下的问题,提高旅客的通行效率。并对信息安全问题进行分析,提出整体的信息安全体系架构。
本文分析铁路客票系统的局限性,根据物联网的3层体系结构,设计一套基于物联网技术的铁路客票系统,能有效解决系统操作效率低下的问题,提高旅客的通行效率。并对信息安全问题进行分析,提出整体的信息安全体系架构。
我要投稿
