信息系统安全测评工具的设计与实现

1

作者 刘海峰 张晓梅 +1 位作者 李嵩 孙铁 《信息网络安全》 2006年第6期30-33,共4页

关键词 评估工具 安全测评 信息系统 信息安全管理标准 信息安全管理体系 BS7799 设计 风险分析 实施指南 风险评估

在线阅读 下载PDF 职称材料

一种基于模型的信息安全风险评估方法 被引量：10

2

作者 李嵩 孟亚平 +1 位作者 孙铁 刘海峰 《计算机工程与应用》 CSCD 北大核心 2005年第29期159-162,共4页

基于模型的评估方法对信息安全风险评估具有重要的意义。该文提出一种基于统一建模语言、攻击树分析事件树分析模型的信息安全风险评估方法,运用面向对象的、半形式化的方法分析和描述安全风险相关要素,基于ATA模型深入分析评估关键信... 基于模型的评估方法对信息安全风险评估具有重要的意义。该文提出一种基于统一建模语言、攻击树分析事件树分析模型的信息安全风险评估方法,运用面向对象的、半形式化的方法分析和描述安全风险相关要素,基于ATA模型深入分析评估关键信息资产的安全风险,基于ETA分析安全事件对业务的影响,提高风险评估的精确性和客观性。基于模型的方法还有利于风险评估相关要素模式的抽象和复用,以及评估工具的开发和应用,提高风险评估的生产率。 展开更多

关键词 信息安全风险评估 基于模型 统一建模语言 攻击树分析 事件树分析

在线阅读 下载PDF 职称材料

信息安全策略开发的关键问题研究 被引量：11

3

作者 赵章界 李晨旸 刘海峰 《信息网络安全》 2011年第3期49-52,共4页

本文在辨析信息安全策略概念基础上,提出了信息安全战略和特定信息安全策略相结合、特定信息安全策略以资产安全保护策略和共性安全防护措施使用策略为经纬的安全策略架构,并针对安全策略生命周期中的关键活动给出了指导方法。

关键词 信息安全 安全策略

在线阅读 下载PDF 职称材料

一种综合运动会信息系统全生命周期网络安全保障思路研究 被引量：3

4

作者 荣晓燕 刘海峰 +1 位作者 李晨旸 高磊 《信息安全研究》 2020年第7期664-668,共5页

信息系统用于提高综合运动会办赛质量和工作成效,支撑赛事顺利进行,是综合运动会的重要组成部分.通过分析综合运动会信息系统的安全现状和特点,提出网络安全全生命周期管理的思路,采用IPDRR(盘点-保护-检测-响应-恢复)的网络安全综合保... 信息系统用于提高综合运动会办赛质量和工作成效,支撑赛事顺利进行,是综合运动会的重要组成部分.通过分析综合运动会信息系统的安全现状和特点,提出网络安全全生命周期管理的思路,采用IPDRR(盘点-保护-检测-响应-恢复)的网络安全综合保障框架,共同构建大型综合运动会信息系统整体安全合规,供赛事组委会应用参考. 展开更多

关键词 信息系统 全生命周期 安全保障 数据安全 个人数据安全 综合运动会信息系统 奥运会 冬奥会

在线阅读 下载PDF 职称材料

基于随机性检测的ZigBee协议安全传输测试方法研究 被引量：3

5

作者 汤永利 赵文静 +1 位作者 梁博 赵章界 《南京理工大学学报》 EI CAS CSCD 北大核心 2015年第1期78-83,共6页

为了有效鉴别和测试Zig Bee协议传输数据的加密措施,该文结合Zig Bee协议的安全工作模式,提出了基于随机性检测的Zig Bee协议安全测试方法。该方法综合考虑测试序列的随机性和测试的有效性,采用典型随机性检测算法构造合理的测试方案。... 为了有效鉴别和测试Zig Bee协议传输数据的加密措施,该文结合Zig Bee协议的安全工作模式,提出了基于随机性检测的Zig Bee协议安全测试方法。该方法综合考虑测试序列的随机性和测试的有效性,采用典型随机性检测算法构造合理的测试方案。同时通过对网络层与应用层数据帧结构特点的分析,以及Zig Bee设备中不同加密机制传输数据的测试,可有效鉴别传输数据是否加密;并通过分析负载数据加密字节的位置,可判断Zig Bee协议数据的加密层级。实验结果表明:该方法不仅适用于判断Zig Bee协议数据是否采取加密传输及其加密层级,而且也能用于测试Zig Bee协议数据的加密强度。 展开更多

关键词 物联网安全 随机性检测 ZIGBEE协议 加密测试 数据帧结构

在线阅读 下载PDF 职称材料

一种基于层次分析法的大规模信息系统风险评估方法 被引量：8

6

作者 李晨旸 张晓梅 李媛 《计算机应用与软件》 CSCD 北大核心 2013年第10期322-325,共4页

大规模信息系统涉及到的资产种类多、数量多、分布范围广且网络结构复杂,在相关风险评估及等级测评实践中遇到了效率低下、结果不全面、灵活性差等问题。提出一种基于层次分析法的大规模信息系统风险评估方法。该方法结合大规模信息系... 大规模信息系统涉及到的资产种类多、数量多、分布范围广且网络结构复杂,在相关风险评估及等级测评实践中遇到了效率低下、结果不全面、灵活性差等问题。提出一种基于层次分析法的大规模信息系统风险评估方法。该方法结合大规模信息系统的特点,以层次分析法为基础,引入节点分类、风险调整等流程实现了定性与定量相结合的风险评估,有效解决了上述问题,为大规模信息系统的风险评估及等级测评工作提供了方法,同时为提高大规模信息系统等级测评的结果判定的准确性提供了思路。 展开更多

关键词 大规模信息系统 风险评估 层次分析法 等级测评

在线阅读 下载PDF 职称材料

大数据应用中的个人信息分级保护研究 被引量：7

7

作者 高磊 李晨旸 赵章界 《信息安全研究》 2019年第5期394-399,共6页

近年来,大数据技术得到广泛应用,对促进政府和企业管理决策的科学化和精细化、提升公共服务水平都具有重大意义.但是,大数据技术自身存在诸多安全隐患,数据安全问题尤为突出,数据分类分级保护机制尚不完善,导致在个人信息应用方面数据... 近年来,大数据技术得到广泛应用,对促进政府和企业管理决策的科学化和精细化、提升公共服务水平都具有重大意义.但是,大数据技术自身存在诸多安全隐患,数据安全问题尤为突出,数据分类分级保护机制尚不完善,导致在个人信息应用方面数据泄露和滥用等问题频发.从个人信息在大数据中的应用现状进行分析,总结个人信息所面临的安全风险,同时从大数据应用背景下个人信息的属性进行分析,提出个人信息的分类、分级方法及其重要程度的判定原则,并结合系统数据安全保护等级和安全评估形式,给出各级个人信息的安全保护要求. 展开更多

关键词 大数据 个人信息 属性分析 分级保护 数据安全

在线阅读 下载PDF 职称材料

云计算平台安全能力评估体系和评估指标研究 被引量：6

8

作者 贺海 刘海峰 成金爱 《信息安全研究》 2020年第11期990-995,共6页

云计算平台作为提供云服务的基础性支撑平台,在承担着重要的安全功能和无限的数据价值的同时,也意味着云计算平台已成为主要的攻击目标而面临着巨大的安全风险.如何评估云计算平台的安全能力是当前迫切需要解决的重要课题.与传统信息系... 云计算平台作为提供云服务的基础性支撑平台,在承担着重要的安全功能和无限的数据价值的同时,也意味着云计算平台已成为主要的攻击目标而面临着巨大的安全风险.如何评估云计算平台的安全能力是当前迫切需要解决的重要课题.与传统信息系统相比,云计算平台有其自身的特点和特殊性,传统的测评方法不能准确评估云计算平台的安全能力,目前也尚未建立可行的评估云计算平台安全能力的评估体系.基于实践经验的总结,从动态安全评估、性能效率评估、静态合规核查3个层面构建了云计算平台安全能力评估体系,设计了科学合理的评估指标和评估方法,可以全方位检验云计算平台的实际安全能力,可以横向比较各云计算平台的实际安全能力,可以支撑测评机构开展对云计算平台安全能力的评估工作,也有利于云服务商针对风险问题提升安全服务能力. 展开更多

关键词 云计算平台 安全能力 评估体系 评估指标 评估方法 IAAS

在线阅读 下载PDF 职称材料

一种基于安全域的云计算网络安全保障方法研究 被引量：8

9

作者 刘海峰 荣晓燕 +1 位作者 李晨旸 廖军 《信息安全研究》 2020年第4期362-366,共5页

划分安全域是一种提高云计算网络安全性的有效方法,通过网络分割,划分不同的云计算安全域,在各安全域的边界部署适当的防护措施,将具有相同特征和安全需求的资源进行统一防护,使得防护手段更具有针对性,从而达到深度防御的目的.分析了... 划分安全域是一种提高云计算网络安全性的有效方法,通过网络分割,划分不同的云计算安全域,在各安全域的边界部署适当的防护措施,将具有相同特征和安全需求的资源进行统一防护,使得防护手段更具有针对性,从而达到深度防御的目的.分析了网络安全保障层次,给出了云计算安全域划分步骤及安全域要素,并提供了云计算典型安全域及控制实践. 展开更多

关键词 云计算 安全域 安全控制 网络安全 网络分割

在线阅读 下载PDF 职称材料

美国联邦政府云计算安全策略分析 被引量：8

10

作者 赵章界 刘海峰 《信息网络安全》 2013年第2期1-4,共4页

云计算在经济高效、敏捷和创新等方面的突出优势,受到各国政府的广泛重视。文章在考察美国政府云计算安全进展基础上,详细分析了美国政府在云计算安全组织建立、安全管理框架设计、安全基线制定、评估和授权、安全服务采购等方面的策略... 云计算在经济高效、敏捷和创新等方面的突出优势,受到各国政府的广泛重视。文章在考察美国政府云计算安全进展基础上,详细分析了美国政府在云计算安全组织建立、安全管理框架设计、安全基线制定、评估和授权、安全服务采购等方面的策略,这些策略可以为中国政府部门采购和管理安全的云服务提供参考。 展开更多

关键词 政府 云计算 安全

在线阅读 下载PDF 职称材料

基于风控和合规的云计算网络安全矩阵控制研究 被引量：5

11

作者 荣晓燕 刘海峰 +1 位作者 刘国伟 刘凯俊 《信息安全研究》 2020年第3期266-271,共6页

云计算是一种广泛应用的计算模式,通过互联网实现广泛接入、易扩展、快速弹性、可度量等特征.随着云计算的迅猛发展及应用,大量信息系统运行在云上,海量数据存储或运行在云端,云计算安全凸显重要.为保障云上信息系统安全,防范云端数据... 云计算是一种广泛应用的计算模式,通过互联网实现广泛接入、易扩展、快速弹性、可度量等特征.随着云计算的迅猛发展及应用,大量信息系统运行在云上,海量数据存储或运行在云端,云计算安全凸显重要.为保障云上信息系统安全,防范云端数据的丢失、泄露及非法访问等安全事件发生,基于风控和合规2个角度,采用矩阵管理思路,借鉴PDCA的管理流程,提出云计算责任矩阵、资产矩阵、风险矩阵、合规矩阵、控制矩阵、检查矩阵这6个矩阵概念进行实践综合,对云计算网络安全进行管理控制. 展开更多

关键词 云计算 基线 合规 风险控制 网络安全

在线阅读 下载PDF 职称材料

结构化对等网测量方法研究 被引量：4

12

作者 闫佳 应凌云 +2 位作者 刘海峰 苏璞睿 冯登国 《软件学报》 EI CSCD 北大核心 2014年第6期1301-1315,共15页

网络测量是深入开展结构化对等网研究的基础,结构化对等网络协议设计、共享内容检索、态势感知乃至安全性的研究都需要以网络测量为前提.在节点分布对等、实时变化显著、未知瞬发扰动频繁的结构化对等网络中,获得其准确、完整的网络信... 网络测量是深入开展结构化对等网研究的基础,结构化对等网络协议设计、共享内容检索、态势感知乃至安全性的研究都需要以网络测量为前提.在节点分布对等、实时变化显著、未知瞬发扰动频繁的结构化对等网络中,获得其准确、完整的网络信息更是十分困难的.通过形式化分析结构化对等网节点搜索过程,研究节点信息在全网分布情况与查询返回率之间的关系,将历史测量数据与具体对等网特征信息相结合挖掘节点搜索优化策略,提出了一种网络资源占用显著降低、搜索速度较快、信息完备率较高的搜索测量优化方法.KAD网络是目前得到大规模部署运行的为数不多的结构化对等网络之一,以KAD网络为主要研究对象开发了KadCrawler对等网搜索系统,进行了大量测量和分析,验证了搜索优化方法的可行性和有效性;同时,对当前KAD网络拓扑结构特征、节点重名等现象进行了初步分析,发现KAD网络近年来发生了显著的变化. 展开更多

关键词 网络测量 P2R结构化对等网络 KADEMLIA KAD网络

在线阅读 下载PDF 职称材料

一种面向程序动态分析的循环摘要生成方法 被引量：2

13

作者 聂楚江 刘海峰 +1 位作者 苏璞睿 冯登国 《电子学报》 EI CAS CSCD 北大核心 2014年第6期1110-1117,共8页

动态测试数据生成方法相对于传统Fuzz测试方法能有效的提高软件测试与漏洞分析的效率.本文针对动态测试数据生成过程中对循环进行处理时的路径覆盖效率较低与约束求解困难的问题,提出了一种使用归纳变量构建循环摘要,并通过符号计算提... 动态测试数据生成方法相对于传统Fuzz测试方法能有效的提高软件测试与漏洞分析的效率.本文针对动态测试数据生成过程中对循环进行处理时的路径覆盖效率较低与约束求解困难的问题,提出了一种使用归纳变量构建循环摘要,并通过符号计算提取循环摘要的方法.本文通过将循环摘要应用于软件动态分析过程中,验证了使用循环摘要能有效的提高约束求解与循环路径遍历的效率. 展开更多

关键词 循环 软件测试 漏洞分析 符号计算

在线阅读 下载PDF 职称材料

基于矩阵概率检验的Zigbee协议随机性检测方法 被引量：1

14

作者 汤永利 王真 +2 位作者 张雯雯 刘海峰 郭玉翠 《数据采集与处理》 CSCD 北大核心 2014年第6期991-997,共7页

随机性检测是研究密码算法基础理论的重要内容。为了有效测试与鉴别物联网系统中Zigbee协议采用密码算法的安全性,本文结合Zigbee网络的特点,在二元矩阵秩检验的基础上,对测试方式进行了合理的组织与划分,提出基于矩阵概率检验的Zigbee... 随机性检测是研究密码算法基础理论的重要内容。为了有效测试与鉴别物联网系统中Zigbee协议采用密码算法的安全性,本文结合Zigbee网络的特点,在二元矩阵秩检验的基础上,对测试方式进行了合理的组织与划分,提出基于矩阵概率检验的Zigbee随机性检测方法,解决了二元矩阵秩检验单纯从线性相关性判断随机序列的片面性,并能有效地判断Zigbee协议是否实施了加密机制以及加密强度。仿真结果表明,该算法具有误差较小、可靠性高等特点,检测结果更具说服力,为物联网系统的信息安全测评提供理论和实践指导。 展开更多

关键词 ZIGBEE协议 矩阵概率检验 随机性测试

在线阅读 下载PDF 职称材料

审计缓冲区的形式化模型及其验证 被引量：1

15

作者 丁志军 刘海峰 蒋昌俊 《计算机科学》 CSCD 北大核心 2006年第5期98-103,共6页

审计系统作为安全信息系统的一个重要组成部分,对于监督系统的正常运行、保障安全策略的正确实施、构造计算机入侵检测系统等都具有十分重要的意义。审计缓冲区的管理是审计系统的核心部分,本文利用时序 Petri 网对审计缓冲区管理的实... 审计系统作为安全信息系统的一个重要组成部分,对于监督系统的正常运行、保障安全策略的正确实施、构造计算机入侵检测系统等都具有十分重要的意义。审计缓冲区的管理是审计系统的核心部分,本文利用时序 Petri 网对审计缓冲区管理的实现方案进行建模,进而对系统的安全性和活性进行了分析和验证。该方法利用时序逻辑扩充了 Petri 网缺乏描述系统事件之间时序关系的局限性,同时发挥了 Petri 网对系统并发和物理结构的有效描述及分析的优势,达到了系统验证的目的。 展开更多

关键词 审计 时序PETRI网 缓冲区 验证

在线阅读 下载PDF 职称材料

一种基于密码云的政务云密码应用研究 被引量：8

16

作者 陈亚男 李晨旸 +1 位作者 刘海峰 荣晓燕 《信息安全研究》 2020年第9期844-848,共5页

密码技术是网络安全的核心技术,保护政务云平台及云上应用安全的过程中,需要构建以密码为核心的安全防护体系.以北京市政务云服务模式为例,对政务云密码应用需求进行研究,提出一种集中部署独立密码云平台的方案,划分管理责任,密码计算... 密码技术是网络安全的核心技术,保护政务云平台及云上应用安全的过程中,需要构建以密码为核心的安全防护体系.以北京市政务云服务模式为例,对政务云密码应用需求进行研究,提出一种集中部署独立密码云平台的方案,划分管理责任,密码计算资源虚拟化,密钥集中管理,并提供政务云平台与密码云之间的安全通信,满足政务云平台及云租户的密码应用需求. 展开更多

关键词 政务云 密码应用 密码云 虚拟化 密钥管理 安全通信

在线阅读 下载PDF 职称材料

大数据时代政府数据管理政策研究及建议 被引量：2

17

作者 李媛 刘国伟 《信息安全研究》 2019年第5期388-393,共6页

大数据时代的到来在全球范围内方兴未艾,大数据技术的实施应用正在大踏步地向政府领域进军,其带来的治理理念、治理方式、制度体系和基础设施等方面的改革都不断冲击着政府数据管理.对主要发达国家当前的数据管理政策及平台建设情况进... 大数据时代的到来在全球范围内方兴未艾,大数据技术的实施应用正在大踏步地向政府领域进军,其带来的治理理念、治理方式、制度体系和基础设施等方面的改革都不断冲击着政府数据管理.对主要发达国家当前的数据管理政策及平台建设情况进行了对比分析,梳理了我国主要地方政府已出台的数据开放和治理政策文件,以及上线运行的数据门户系统,在此基础上,归纳总结了国内政府数据管理存在的问题及原因,并给出了关于进一步完善政府数据管理的措施和建议. 展开更多

关键词 大数据 政府数据 数据管理 政策 数据门户

在线阅读 下载PDF 职称材料

文化的全球化与本土化——读《文化帝国主义》

18

作者 薛峰 《华中农业大学学报（社会科学版）》 2005年第Z1期64-65,共2页

20世纪90年代,西方思想界“文化转向”以后,西方学者对文化全球化问题给予了广泛关注。其中英国约翰.汤林森博士的《文化帝国主义》从媒介帝国主义、民族国家的话语、批判全球资本主义的话语以及对现代性的批判四个层次来剖析文化帝国主... 20世纪90年代,西方思想界“文化转向”以后,西方学者对文化全球化问题给予了广泛关注。其中英国约翰.汤林森博士的《文化帝国主义》从媒介帝国主义、民族国家的话语、批判全球资本主义的话语以及对现代性的批判四个层次来剖析文化帝国主义,在一系列问题上提出了自己独到的见解,颇具启示意义。 展开更多

关键词 文化 全球化 本土化 《文化帝国主义》

在线阅读 下载PDF 职称材料