有做信息安全规划的朋友么...

信息安全管理实施指南（ISO17799：2005C）...

www.enrich-sys.comCWAT!...

以前实施一个ITIL项目过程中，关于信息安全的一点考虑，考虑结果就是“越想越复杂，越想越后怕”，大家有什么好的想法和意见，欢迎探讨！！...

历史发展阶段 管人管密码 管密钥管口令管配置管产品测评管产品采购管系统安全管等级划分 十个步骤准备和防范步骤1：确认关键基础设施资产以及相互依赖性，发现其脆弱性检测与响应步骤2：检测攻击和非法入侵步骤3：开发稳健的情报和执法功能，保持法律的一致步骤4：以实时的方式共享攻击警告和信息步骤5：建立响应、重建和回复能力,建立牢固的根基步骤6：为支持程序1－5，加强研究和开发步骤7：培训和雇用足够数量的安全专家步骤8：进行拓展，使公知晓提高计算机安全的必要性步骤9：通过立法和拨款，支持程序1－8步骤10：在计划的每一步骤和部分中，要完全保护公民的自由权、隐私权以及私有数据主要内容 网络与信息安全问题的起源网络与信息安全的任务常见不安全因素分析安全需求分析安全理论与技术分析安全技术应用安全设计与实践课程设计和安排 ...

...

...

恢恢天网 　 赞叹IT安全，能于五浊恶世，现不可思议大智慧神通之力，调伏刚强众生，知苦乐法，为网络苦众生，作大功德。若有黑客，感诸恶趣，罪报所及，当堕无间地狱，求暂停苦楚一念不可得。 IT安全系列：IT系统整体安全解决方案（一）（AMT研究院 袁磊） IT安全系列：IT系统整体安全解决方案（二）（AMT研究院 袁磊） ...

AMTeam.org消息：山东信息化事业是全国的先进典型，各项应用成果得到国家的肯定。因此随着信息化向纵深发展，信息安全成为瓶颈和热点。 记者在调查了解中发现，越是信息化做得好的地区，信息安全的需求越迫切，对信息安全的工作越重视。济南市是全国信息化的样板，其信息安全工作抓得非常到位。在同济南市信息化办公室副主任、市信息产业局副局长赵炳跃教授的交谈中得知，他们不仅在组织机构上设立了信息安全处，而且展开了可信体系的建设和应用工作，并在安全评估体系上开始着手准备，保障济南地区重要信息化系统安全运行。 赵炳跃教授是知名的信息化管理与应用专家。他领导的财税增收信息化工程为地方增加1亿多元的财政收入，是全国的一面旗帜。他提出的效益型信息化的观念正在cio中开始普及，所采用的信息安全措施也为各级CIO们所认同。因此，他认为今年山东信息安全市场的增长速度一定会是IT大市场里最耀眼的领跑者。 山东...

CSO（信息安全主管，Chief Security Officer） CSO仅管理信息安全方面的事务，直接向cio汇报。但是，随着组织规模的不断扩大，CSO的内涵也在不断延伸，CSO不仅处理IT安全方面的事务，而且开始处理公司所有的安全问题，如进出公司大门等等，他们直接向CEO汇报。 无论如何划分，CSO的任务是帮助公司实现自己的目标。CSO必须具备专业的交流、谈判和领导技巧，同时具备丰富的信息安全技术。Motorola公司的CSO—Bill Boni简单地描述CSO的职责是：‘懂得公司业务以及是什么使公司成功，能够辨认那些阻碍公司成功的风险因素，然后通过技术或常规的保护手段找到管理风险的方法。’” 一个真正的CSO知识要全面，不仅要懂信息安全技术，而且还要懂安全管理。 CSO必将成为网络信息安全行业不可缺少的中坚力量，未来企业的信息安全必将掌握在这类既懂管理、又...

出处：中国安全网  作者：佚名  时间：2007-01-17  网址：http://www.securitycn.net 信息安全事件管理v2.0 060712目 次前 言 III引 言 IV1 范围 12 规范性引用文件 13 定义 14 背景 14.1 目标 14.2 过程 25 益处和关键问题 45.1 益处 55.2 关键问题 66 信息安全事件及其原因示例 96.1 拒绝服务 96.2 信息收集 96.3 未授权访问 107 规划和准备 107.1 概述 107.2 信息安全事件管理策略 117.3 信息安全事件管理方案 127.4 信息安全和风险管理策略 157.5 ISIRT的建立 157.6 技术和其他支持 167.7 意识和培训 178 使用 178.1 概述 188.2 关键过程的概述 198.3 检测和报告 208.4 异常现象/事件评估...

AMTeam.org消息：近日，国内领先的信息安全服务与产品提供商联想网御科技有限公司，在首届“中国信息安全十大领军人物”以及“十大创新企业”评选中又喜获大奖，被评为十大创新企业，总经理任增强当选信息安全产业的十大领军人物之一。 此次“双十”评选是由《信息安全与通信保密》和国家信息安全评测认证中心联合举办，是国内首次由业内机构举办的大型信息安全产业评选活动。此次评选活动从报名到最终评选结束历时将近一年，评审小组由知名专家、学者、用户、政府官员、媒体组成，报名参加评选的企业和个人达到了近百家，充分显示出业内人士及企业对此次评选的高度重视。联想网御此次荣膺大奖，加上近期等级化安全体系的率先提出，使其再次成为业界及媒体的焦点，再次彰显了联想网御在安全领域的领军地位。 联想网御总经理任增强先生作为获奖企业的代表做了重要发言，他表示:“非常高兴联想网御在这次评选活动中连获双奖，感谢主管机构、...

随着信息技术、互联网应用的不断普及和深入，人们在使用信息技术和互联网时面临的风险也越来越大，IBM、HP等传统的IT巨头们都正在发力加速抢占信息安全方面的市场份额。对于大部分从IT技术出身的IT管理者们，一谈到信息安全，普遍都比较局限于技术方面，认为只要选择好的安全产品做好数据备份、防攻击、防病毒等就可以了。事实上，信息安全的话题是全方位的，贯穿了信息化的整个过程的所有环节，我们研究信息安全，应该把文化、意识、人、技术及环境等因素综合起来考虑。一、信息安全的保护对象狭义上，信息安全保护的核心时计算机系统加工或存储的数据；广义上，机构内部所有属于保密级的信息，如公司战略、市场计划、专有技术、软件代码等。广义的信息安全涉及的范围太广，我们在这里只谈狭义的信息安全。二、信息安全面临的威胁途径1. 天灾人祸：一谈到天灾人祸，大家很快就会联想到自然灾害和战争，这其实只是一个方面，这个对我们来说距离相...

信息安全是市场中炒作了很长时间，各厂商的解决方案和市场宣传也是铺天盖地，安全管理的概念已逐渐被人们接受和理解。但是在项目的运作当中，怎样保持管理主题始终如一，能够真正能够贯彻在项目实施中，是以非常值得考究的问题。往往最后，更像一个系统集成项目，各种管理软件、设备的集成堆砌。而主要管理的主要矛盾，制度的缺乏、组织的健全、安全管理流程等等问题依然。我困惑了，信息安全项目到底该怎样做？ 现在做信息安全的组织大体分两种（个人愚见）管理咨询公司或原来系统集成商与安全产品厂商。应该说他们各有优势和不足，前者在整体的管理咨询实施方法论和效果要比后者好的得多，而后者针对基层管理核技术实施要比前者占优势。那时选择后者还是前者，更或者二者权选呢？希望和大家做一下交流，应该怎样做信息安全，如何真正结局安全问题！！...

 政府的信息化建设是国民经济信息化建设的重要组成部分。推进政府部门政务工作的自动化、网络化、电子化,已是大势所趋。本文就电子政务信息安全问题进行探讨。 ...

信息安全的“暗伤” 在哪里？ 胡英 “城外的人想进去，城内的人想出来，人生的事，大抵如此。” 钱钟书老先生这句名言，用在信息安全领域再恰当不过。 没有进入这一领域的人，将它看成是摆脱IT困境，维持高速发展的最后一轮机会，于是，一窝蜂而上。 已经进入这一领域的人，过得好的并不多，很多在惨淡经营，有些在苦撑，有些在暗地里转型，有些干脆从此消失…… 信息安全产业并不像想象的那样充满了机会，产业在荆棘的道路上跋涉，反而处处布满了陷阱，被划上了道道“暗伤”。 我们披露这些“暗伤”，是为了引起业内更多的领导、专家、用户及厂商的重视，让幼小的信息安全产业能在一个健康有序的环境中顺利发展、壮大。 政策暗伤：收费繁多何时了？ 在发展初期，政策就像一把双刃剑，在保护企业和用户的同时，由于管理的不规范，也深深刺伤了产业。 在进入信息安全产业之前，许多...

最新一份资深管理人调查显示，企业首席执行官进行外包时，普遍太过信赖客户的信息安全性。 Ernst & Young 全球信息安全调查访问了全球70个国家1233家企业，结果显示多数受访者都相当信赖外包企业的安全性，而没有积极作追踪了解实际的安全性如何。 “企业显然认为自己比较幸运，不需要特别去验证信息安全的掌控。”该份报告写到。 首席执行官对于安全普遍无知，但他们更希望合作伙伴也不要知道才好。55% 受访者表示不希望商业伙伴得知他们有任何的安全差错，以免带来负面的竞争关系、公众形象或股票价值。 　 新闻：八成企业CEO不过问外包信息安全性 2002年，60%的亚洲企业报告了信息安全遭到破坏的事件，2003年这个数据更是上升到77%。随着经济的全球化浪潮，企业对信息网络的依赖性越来越强...

AMTeam.org消息：世界上没有百分之百的安全。怎样才能采取性能价格比较好的措施，既保护关键财产，又降低投资成本呢？如何界定信息安全的综合成本？如何评估信息安全风险？如何使二者达到平衡？这些困扰了用户多年的问题，在公安部、信息产业部等部委近10年的努力后，实施信息安全等级保护制度再次成为信息化用户和产业界共同关注的焦点 。 中国的信息安全等级保护的源头最早可以追溯到1994年国务院发布的147号令，规定计算机信息系统必须实行等级保护。等级的管理办法和等级的划分标准，由公安部门和有关部门制定。1998年，公安部制定了等级保护制度建设的纲要，对等级标准划分作了一个基本规划。2003年9月发布的27号文，是国家信息安全建设方面重要的指导文件，其中明确提出了“积极防御、综合防范”的安全方针，2004年11月发布的66号文，明确提出了“等级保护是今后我们国家信息安全基本政策和根本...

信息安全产品市场走势 市场炙手可热 信息安全产品市场可以说是目前最炙手可热的市场，尤其是国内市场。在全球ＩＴ业前进脚步放缓的时候，依然能够保持持续高速增长。 在过去的一年里，得益于政府重视、政策扶持等多方面原因，我国安全产品市场发展迅猛，信息安全市场的容量也在以每年超过１００％的速度增长。据了解，１９９９年国内信息安全市场容量约９亿元，２０００年增至２０亿元，２００１年已经达到了５０亿元左右。 根据ＩＤＣ１２个国家２８５０家公司的调查显示，５６％的企业２００２年增加了安全方面的投入。ＩＤＣ亚太软件和服务研究副经理ＰｕｎｉＲａｊａｈ说：“增长最快的是安全产品，我们预计随着全球政治经济局势的继续不稳定，２００３年安全产品市场会继续保持增长。”在２００２年６月的“中国信息安全产业展会”上，信息产业部副部长苟仲文透露：２００...

    ——北京谷安风险管理学院邀请您 当前各行各业对信息安全的依赖与重要性已经是毋庸置疑，加强业界各方的交流，形成定期的讨论机制，现在在各地方已经是信息安全人士的追求所向。北京是一个集金融、通讯、能源等各行业的心脏聚集地，我们希望能在这样的一个地方，奥运前夕、北京的7月，组织一个大家的信息安全沙龙。沙龙将邀请国内一线的信息安全专家与培训讲师，共同讨论当前各行业信息安全面临的局势，讨论当前主要行业的需求和行业案例，介绍国际、国内的一系列安全认证考试指南，共同探讨CISA、CISP、CISSP、ITIL、ISO27001、ISO20000等认证在国内、国际的发展趋势，分享已考过学员的宝贵备考经验。期望通过本次沙龙的交流，使大家能够更多的了解信息安全在各行业的发展动态，了解国内各行业的CISA、CISSP等资质人员所处的岗位与地位...

政府信息安全立法对信息安全培训市场的影响        在我国电子政务建设中，信息安全管理人才非常缺乏，这需要我国对信息安全管理人员有更多的培训投入。信息安全培训主要应该依靠民间投入而不是政府投入，因为信息安全培训有着极大的经济效益，这些效益是培训市场的潜在利润。换句话说，只要创造良好的信息安全培训市场，就可以应用市场机制为我国信息化进程培育出急需的信息安全人才。然而，对比美国红红火火的信息安全管理的培训市场，我国的信息安全培训却寥寥落落，究其原因，主要是我国缺乏相应的法规制度。     为什么需要相应的法规制度呢？现代经济学认为，个人的理性行为并不必然导致集体的理性行为。也就是说对每个人都有利的事，不能担保每个人都会去做它。这是因为集体行为需要合作，而合作又需要克服利益的冲突...

AMTeam.org消息：近日，2005年CAeTrust信息安全年会上，CA公司发布了其最新推出产品eTrustIAMr8套件，该产品以完整的、集成的、模块化的IAM解决方案帮助用户打造一个全面、集成和开放式的身份识别和访问管理架构。并且，CA公司还将近期收购的Netegrit公司的专门针对基于Web和企业应用而设计的访问管理解决方案整合进eTrustIAM产品中，壮大了CA身份识别和访问管理的产品线。最新的eTrust IAM再加上CA新近推出的SOC3+1安全运维中心解决方案，CA公司此次描绘出了新的信息安全蓝图：最终提供给客户一个全面、集成和开放式的身份识别和访问管理体系结构，从而帮助IT部门更好地确保自身环境的安全，同时成功应对不断增加的IT管理复杂性和逐年增多的内部、外部终端用户。 ...

中国银行计算机信息安全策略纲要(试行)　　1.前言　　随着信息技术的不断发展，金融信息安全与我国经济建设、社会安定和国家安全紧密相连。中国银行各项业务已经由传统手工处理转向高科技信息系统处理模式，信息技术已成为银行赖以发展的基础。中国银行信息系统是技术密集、资金密集、大型复杂的网络化的人机系统，其安全问题日益突出。　　金融信息安全的风险来于管理层、技术层和操作层。银行信息系统所面临的主要威胁是：　　（1）人为的失误：计算机技术人员及业务人员在信息系统的设计、开发、安装、使用过程中，都有机会产生人为的错误或失误。　　（2）欺诈行为：来自于银行内部员工或银行外部人员，欺骗性地修改或产生信息系统的数据，盗窃银行资金，进行金融犯罪。　　（3）内部人员破坏行为：由于对工作不满或其他原因，有意在程序中设置“后门”或程序炸弹，并对设备、数据、系统进行故意破坏的行为。　　（4）物理...

三个小时传遍全球的红色代码病毒造成的慌乱可能还使人记忆犹新，如何选择正确的安全产品及有效的管理摆脱这种慌乱状态，成为7月31日在北京新世纪饭店举行的“2003中国信息安全大会”所有与会者共同关心的问题，而“安全与管理”也是本次大会的主题。 　　截止到2003年6月，中国的网民人数达到6800万人，网民数字居全球第二。其中网上购物以及进行交易的人数占40.7%，网上支付的比例第一次超过货到付款，成为主要的付款方式。与此同时。网络攻击不断发生，59.4%的计算机在过去的一年里被非法入侵，估计到2007年，由此造成的损失将达到6.7亿美元(-IDC)。 　　 　　追根溯源依法管理 　　信息安全作为国家安全的一个重要组成部分，近年来得到了快速发展，2002年，其市场份额达到72.5亿美元，而且在全球经济疲软和IT产业增长乏力的情况下，信息安全产业却一枝独秀快速增长。中国电子信息产业发展研究...

即便信息安全预算在增长，并有多种技术可供选择，对于信息安全人士来说，2003年还是令人困惑的一年。EnterDriCeStrategy Grout9的资深分析员Jon Oltsik撰文表示。  他认为，与2003年相比，信息安全在2004年依旧是热点，宏观来看可能没有变化，但具体而言则会有所不同。即便2004年对于信息安全业来说是个好年景，但让公司重视信息安全并融入其文化依旧是个缓慢的过程，毕竟安全和业务之间存在着巨大的鸿沟。 新规范提升无线内容安全性 根据OMA介绍，DigitalRights Management 2．0 En—abler Release(数字版权管理2．0技术发布，简称DRM 2．0 En—abler Release)提高了内容供应商在音乐曲目、影像和游戏等付费内容上的安全性。  OMA的DRM工作组副主管Wmms Bu...

 公司信息安全规划                         作者：陈小平   20080524一、公司网络安全持续改造项目1、公司的网络是接入互联网的，因此网络存在以下四大问题：(1) 无主管的自由王国包括有害信息、非法联络、违规行为等。(2) 不设防的网络空间包括国家安全、企业利益、个人隐私。(3) 法律约束脆弱包括黑客犯罪、知识侵权、避税。(4) 网络资源紧缺及肆意使用包括IP地址、域名、带宽、P2P下载等。2、信息系统安全领域存在的挑战(1) 系统太脆弱，太容易受攻击；    (2...

新的安全思路是从盒子外面回到盒子里面，如果把盒子里的东西放到一个安全的地方，把盒子腾空，并且只有用户知道这些东西在哪里，怎么打开，怎么使用。用道家的说法就是以无形胜有形，或许只有空盒子才是最安全的。 谈到信息安全，总给人一种老大难的印象。因为一方面传统上以防火墙、入侵检测等为骨架的安全防御策略总不能做到尽善尽美，各种安全威胁层出不穷。另一方面新的安全需求也在对信息安全提出新的要求。也许正因为如此，我们才有动力去尝试以一些新的思路来改变我们的网络安全防范模式。 来自美国研究公司Gartner的一份统计报告显示:现有的公司在2012年需要管理的数据量是2005年数据总量的约30倍。这份报告指出，随着企业对网络交易的依赖日渐增加，如何安全管理公司的所有信息，已是越来越多的企业普遍面临的难题。 近日，IBM宣布已与几十个企业集团合作，共同成立一个称之为数据管治协会 (Data Gov...

信息安全需要立体防护 －－冠群金辰软件有限公司总经理陈葵访谈 陈友梅 对于信息安全，企业是否认为只要具备了防病毒软件、防火墙、入侵检测系统这三件宝，就可以抵御一切攻击呢？其实并不尽然。3月27日，冠群金辰软件有限公司陈葵总经理应邀参加赛迪网聊天栏目——安全“聊”法。在与网友共同分享了信息安全最新技术及其应用之后，我们发现，企业现阶段更应该需要立体防护，即：建立一个深层次的安全防御体系。作为国内著名的信息安全厂商，冠群金辰今年又将如何去推动这一理念的实施呢？ 　　 冠群金辰软件有限公司总经理 陈葵 将“主动防护”实施到底 陈葵在谈到冠群金辰今年所倡导的深层防御体系的初衷时说：“我们认为用户的网络至少包括边界、网络、主机层三层概念。首先，从边界的角度考虑，边界就像用户居住的‘大院’围墙，它的安全是建立在防止未经许可的攻击和内容进来，而且在边界就要...

...用Oracle系统处理采购、销售、财务数据，3间分公司各有4人需要用到Oracle系统，另有总公司财务经理需常出差。为使此公司以最低成本达到最好的使用&管理效果，我们在总部部署宇斯盾EWEB远程接入平台，将Oracle系统发布，授权13个远程使用用户（以动态密码方式登陆），立刻实现了分公司使用Oracle系统目标，总公司财务经理出差到任何地方，只要有网络，也可以即时处理公司业务。资源共享，信息安全，这就是宇斯盾EWEB远程接入的无限魅力。 宇斯盾EWEB远程接入平台的运用，为企业带来的不仅是目前的方便，更多的是长远的利益：* 降低企业管理成本，并成功控制后续维护成本* 加强了企业信息安全控制* 大大提高管理工作效率* 信息的及时、准确收集，为管理层决策提供可靠依据* 统一了各分部的核算方法，减轻了财务分析控制的难度* 方便了出差、外出人员的办公需要，提高了企业的应急处理能...

...

...

转一篇！发重莫怪！...

...

...

...

...

...

...

由中国科技情报协会主办其安全专业委员会承办的本次论坛组织可听众200余人，据说来了两明院士和大概10名左右的专家。 本次论坛的演讲嘉宾有北大、中科院等单位。说到论坛，无论从规模上和论坛主体上多没有特色。...

前几日看到的,还不错,虽然现在还不能理解内容!!!...

  ...

  ...

  ...

  ...

  ...

不错...

也要的。...

《信息安全事件管理》...

AMTeam.org消息：4月21日，中国人民银行、中国银行业监督管理委员会、中国证券管理委员会、中国保险监督管理委员会联合组织的全国金融信息安全保障工作会议在北京召开。会议结合当前金融信息安全保障工作实际，认真学习和贯彻落实全国信息安全保障工作会议精神和《国家信息化领导小组关于加强信息安全保障工作的意见》要求，统一思想，提高认识，交流了中国金融信息安全保障工作经验，研究部署了新时期金融信息安全保障工作。国务院信息化工作办公室副主任杨学山、中国人民银行副行长苏宁出席会议并讲话。苏宁表示，经过20多年的建设发展，中国金融系统信息化水平有了较大程度的提高。信息技术在提高金融系统服务水平、促进业务创新、提升核心竞争力等方面发挥了重要作用。随着金融信息化的深入发展，金融对计算机信息系统的高度依赖，信息安全的重要性日益突出，并成为确保国家金融安全的重要保证。近年来，为防范和化解金融信息技术风险，...

电子政务信息安全与行业封闭问题...