SP30(共5篇)
SP30 篇1
1 SP 800-30及其演变分析
1.1 SP 800-30:2002《IT系统风险管理指南》
SP 800-30是美国国家标准和技术研究院 (简称NIST) 发布的一系列支撑《美国信息安全管理法案》 (简称FISMA) 实施的重要标准和指南之一。该标准第一版发布于2002年7月, 名称为《IT系统风险管理指南》。标准将风险管理视为一个组织IT安全规划的重要组成部分, 提出一个组织的风险管理过程最重要的目标是保护组织以及组织履行其使命的能力, 而不仅仅是IT资产。因此, 风险管理过程不应当被看作是主要由操作和管理IT系统的专业人员实现的技术行为, 而应该是组织的基础管理职能。
第一版主要包括了风险管理概述、风险评估、风险削减以及评价与评估等方面的内容。在风险管理概述部分, 重点阐述了风险管理的重要性、如何将风险管理应用于系统开发生命周期 (SDLC) 的各阶段 (包括五个阶段:启动、开发或获取、实施、运行或维护、销毁) , 以及支持和参与风险管理过程中涉及到的关键人员的角色。一般地, 风险管理包括三个过程:风险评估、风险削减以及评价与评估。标准将风险评估过程分为九个主要步骤:系统特征描述、威胁识别、脆弱性识别、控制措施分析、确定可能性、影响分析、风险确定、推荐控制措施和编制结果文档, 并分别对每一步骤中涉及的活动进行了描述。风险管理的第二个过程是风险削减, 它包括对在风险评估过程中推荐的用于削减风险的控制措施进行优先级排序、评价和实施。标准在这一部分主要描述了风险削减措施、风险削减策略、控制措施实现方法、控制措施分类、成本-收益分析和残余风险等内容。由于风险管理是一个持续、渐进的过程, 因此, 标准提出积累良好的安全惯例, 对于持续的风险评价和评估十分重要。最后, 标准总结提出了对于成功进行风险管理有利的关键因素。
1.2 SP 800-30:2011《风险评估实施指南》
随着联邦信息系统认证认可制度从静态管理到持续监控战略的转变, FISMA风险管理框架也相应得到了改进和完善。为配合FISMA新的风险管理框架的实施, NIST启动了相应标准和指南的修订工作, 主要包括SP 800-39/37/53/53A/30等。2011年3月1日, NIST发布了SP 800-39《管理信息安全风险从组织、使命和信息系统的视角》最终版本, 它被称为在FISMA要求下进行联邦信息系统风险管理的“旗舰性文件”。2011年9月, NIST发布了SP 800-30的修订公开草案, 标准名称修改为《风险评估实施指南》 (Guide for Conducting Risk Assessments) 。由于2011年3月刚刚发布的SP 800-39已经替代原SP 800-30, 成为目前NIST系列标准中指导全面风险管理的权威来源, 因此更新后的SP 800-30主要专注于风险评估, 也就是风险管理过程四个步骤中的其中一个重要步骤。从标准内容和结构来看, 较2002年版本发生了很大的变化。
SP 800-30介绍了风险评估相关概念等基础知识, 重点给出了风险评估过程指南, 即准备风险评估的关键活动、实施风险评估的必要活动, 以及维护当前评估结果的方法等方面的指南信息。除了一个全面的信息安全风险评估过程之外, SP 800-30还描述了如何将该过程应用于SP 800-39中提出的风险管理架构的三层模型中, 即组织层、使命/业务过程层和信息系统层。为便于个人或组织使用该标准来进行风险评估, 标准中还提供了有关威胁源、威胁事件、脆弱性和诱发条件、发生的可能性、影响、风险及风险的优先顺序等支持性附录, 以供参考使用。
2 SP 800-30:2011内容解读
2.1 风险评估概述
更新后的SP 800-30主要为联邦信息系统和组织进行风险评估提供指南。该标准与下列一系列管理信息安全风险有关的安全标准和指南一起, 为联邦政府的统一信息安全框架提供支撑:
●SP 800-39《管理信息安全风险:从组织、使命和信息系统的角度》
●SP 800-37《联邦信息系统风险管理框架应用指南:安全生命周期方法》
●SP 800-53《联邦信息系统和组织推荐的安全控制》
●SP 800-53A《联邦信息系统和组织安全控制评估指南:建立有效的安全评估计划》
风险评估是SP 800-39中定义的风险管理过程中的一个关键内容。该风险管理过程包括: (1) 明确要执行的风险管理活动的背景 (例如, 风险框架) ; (2) 评估风险; (3) 对风险作出响应; (4) 监视风险。如图1中描绘了风险管理过程中的基本步骤, 包括风险评估步骤和有效开展此工作必需的信息和通信流。
●风险管理的第一步是阐述如何确定风险框架或确定风险背景, 也就是说, 给出风险决策所处的环境。确定风险框架的目的是制定风险管理战略, 以及阐述组织希望如何评估风险、如何响应风险及如何监视风险。
●风险管理的第二步是阐述组织如何评估已确定风险框架内的风险。风险评估的目的是识别 (1) 组织面临的威胁 (例如, 运行方面的、资产的或个人的) 或通过与其他机构或国家组织而产生的威胁; (2) 组织内外部的脆弱性; (3) 威胁利用脆弱性的潜在可能性对组织造成的损害; (4) 损害发生的可能性。
●风险管理的第三步是阐述组织应如何响应风险。
●风险管理的第四步是阐述组织应如何持续监视风险。
SP 800-39中将风险评估描述为一个组织风险管理过程的一项关键内容, 并给出了一个三层风险管理架构:组织层、使命/业务过程层、信息系统层。SP 800-30中指出, 在这三个层次中都应进行风险评估。在第一和第二层中, 风险评估用来对组织治理和管理活动、使命/业务过程或企业架构, 以及信息安全大纲资金等相关的信息安全风险进行评价。在第三层中, 风险评估可有效地支持FISMA风险管理框架的实施 (该框架包括六个步骤:安全分类、安全控制选择、安全控制实施、安全控制评估、信息系统授权和监视) 。在风险管理三层次架构中执行的风险评估, 是整个风险管理过程的一部分。它为组织高层管理者提供了是否需要采取行动对已识别的风险进行处理的相关信息。
图2中给出了SP 800-39中定义的风险管理层次结构。它提供了从战略层面到战术层面的多种风险的视角。传统的风险评估一般只关注第三层战术层 (例如, 信息系统层) , 因此, 往往忽视其他的重大风险, 诸如在第一层和第二层战略层评估到的风险。
2.2 风险评估实施过程
SP 800-30中给出的信息安全风险评估过程包括: (1) 风险评估过程的高层次概述; (2) 准备风险评估的必要活动; (3) 实施有效风险评估的必要活动; (4) 将风险评估结果保持在一个持续稳定的基础上所必要的活动。通常, 风险评估过程被分为三个步骤:准备、实施和维护。每个步骤还可以进一步细分为许多任务。图3中给出了风险评估过程的基本步骤及每个步骤的相关任务。
(1) 准备风险评估
该步骤的目标是建立风险评估的背景。这一背景的建立要考虑到组织的风险管理战略, 且要在风险管理过程的风险框架确定阶段中。战略包括诸如风险评估实施策略和要求有关的信息、使用的特定评估方法、要考虑的选择风险因素的规程、评估范围、分析的严谨程度、形式化程度, 以及有利于组织实现一致的、可重复的风险结论的要求。风险评估的准备阶段的任务包括下列内容:
●识别评估的目的、范围、假设条件和约束;
●识别可用做评估输入的信息来源;
●定义或完善风险模型。
(2) 进行风险评估
该阶段的目标是产生信息安全风险列表, 该列表中的风险可按照风险级别进行优先排序, 用以做出风险响应决策。为完成该目标, 组织要分析威胁和脆弱性、影响和可能性, 以及与风险评估过程相关的不确定性。这一步还包括收集必要的信息, 作为每项任务的一部分内容。该步骤的执行要按照风险评估过程第一步中建立的评估背景。风险评估的期望是按照特定的定义、指南, 以及第一步中确定的方向, 充分地覆盖整个威胁空间。进行风险评估包括下列特定任务:
●识别与组织相关的威胁源和可能由这些威胁源产生的威胁事件;
●识别组织内可能通过特定的威胁事件被威胁源利用的脆弱性, 及可能成功利用的诱发条件;
●确定已识别的威胁源引发特定威胁事件的可能性, 及该威胁事件成功发生的可能性;
●确定威胁源 (通过特定威胁事件) 利用脆弱性对组织运行和资产、个人、其他组织以及国家造成的负面影响;
●确定信息安全风险, 威胁利用脆弱性的可能性及这种利用产生的影响的组合, 包括与风险决定相关的不确定性。
这些以顺序方式表示每项特定任务是从清晰的角度考虑的。但是在实践中, 这些任务之间可能会有重叠。根据风险评估的目的, 风险评估者可能找到有利的重新排序。
(3) 维护风险评估
这一步的目标是随着时间的推移保持组织目前特定的风险知识。为支持不断改进的风险管理决策, 组织要维护风险评估以便将风险监视中检测到的任何改变融入进去。风险监视为组织提供了一种持续改进的方式, 以用来a.核查符合性;b.决定风险响应措施的有效性;c.识别风险影响对组织信息系统及系统所运行的环境的改变。维护风险评估包括下列特定任务:
●持续监视风险评估中识别的风险因素, 并了解这些因素的后续变化;
●更新影响组织执行监视活动的风险评估的关键组件。
结合上述风险评估的三个步骤及相关的任务, 表1中汇总了风险评估过程涉及的所有任务。
4 结论
SP 800-30:2011针对如何结合SP 800-39中给出的风险管理三层架构进行风险评估给出了详细应用指导。SP 800-30的主要贡献在于对风险评估过程的详细描述, 标准从通用的风险评估三步骤出发, 即准备、实施和维护, 对每一步骤包含的主要任务进行了细分和描述, 有利于组织依据此标准开展风险评估工作。从FISMA实施的整体背景来看, SP 800-30仅是其中有关风险管理内容的一部分内容, 但鉴于风险评估在整个风险管理活动中的重要性, 熟悉此标准对于理解FISMA风险管理框架的实施具有非常重要的参考意义。
诺基亚:SP下乡 篇2
2010年5月,诺基亚正式宣布在中国市场推出一款名为“生活通”的服务。
“生活通”是诺基亚的互联网业务品牌Ovi下面的一个子品牌,主要为新兴市场设计。2009年7月,该服务首先在印度市场商用,到2010年4月,活跃用户已经超过了150万。
此次在中国市场推出“生活通”的主要商业模式为:诺基亚与内容提供商(CP)合作,以短信的形式向用户推送服务。如果用户选择了包月服务,每月的服务费为5-8元,由中国移动代为收取,然后再与诺基亚进行分成。
在这种合作模式中,诺基亚的定位与中国移动等其他SP基本雷同。目前已经与诺基亚达成合作的CP包括:39健康网、农信通科技、英国文化协会、北京四中网校、新浪、空中网等。
诺基亚互联网服务部新兴市场互联网服务总监徐伟利表示,中国目前的农村人口为7.3亿,约占全国人口的53%,农村手机用户只有7200万,尚未拥有手机的6亿多农村用户就是诺基亚未来手机和网络业务拓展的空间。
目前,诺基亚两款同时发布的价格在250-300元的超低端手机1800和1616,内置了该项服务。
诺基亚大中国、韩国及日本高级副总裁梁玉媚表示,到年底之前,诺基亚将推出超过10款支持该项服务的手机。
事实上,诺基亚早有打通中国农村市场的决心。但值得注意的是,早在4年前,中国移动各地分公司就在全国范围内推出了以农村用户为主要目标的“农信通”业务,向农民推送相关信息,包月费仅为3元。但发展情况并不理想,用户量非常少。
SP30 篇3
关键词:大唐,SP30-iHotel系统,应用研究
1 项目简介
为了适应电信业竞争和酒店对个性化服务的需求, 加大交换机的推广力度, 公司在原酒店业务系统的基础上开发了一套稳定的、满足用户个性化需求的升级换代产品:SP30-i Hotel酒店管理系统。作为交换产品的一种延续, 酒店管理系统有着自己的继承性和独立性, 它充分发挥了交换机的Centrex功能, 在保留了原有酒店话务台的来去话转接、立即计费及话费查询等基本功能的基础之上, 还具备个性化的语音提示、更加人性的叫醒服务、语音信箱留言以及信息记录等多种新增功能。
2 方案说明
2.1 i Hotel系统构成
i Hotel酒店管理系统总体上可以分为两大部分, 即酒店应用设备部分和电信局端设备。其中酒店应用设备主要包括话务台 (带话务员头机) 、计费台、IVR语音系统、接口机;电信局端设备包括SP30CN交换机和CDBS数据库。各组成部分的主要功能如下:
SP30CN交换机:利用SP30CN交换机自带的centrex群功能, 通过交换机与酒店管理系统的有机结合, 为centrex群内的酒店用户提供语音及数据交换业务。
CDBS数据库:主要负责存储各个话务台数据、用户数据、计费数据、对交换机收发各种控制信息。这样既减轻了交换机的处理负担, 又提高了整个系统的稳定性。是本系统的核心部分之一。
话务台:话务台与CDBS数据库之间可以通过以太网或MODEM拨号的方式进行通信, 具有修改用户权限及属性业务、话务排队、接听、转接来去话以及插入等功能。
IVR语音服务器:IVR语音服务器的主要功能是进行交互式语音处理。由于有IVR系统, 呼叫者可通过话机按钮输入他的信息, 也可接受需要的信息, 从而为整个酒店用户提供所需个性化语音和语音信箱的服务。
计费台:计费台即计费结算系统, 主要完成从交换机CDBS数据库侧实时采集立即话单数据, 结合系统资费信息进行计费 (生成的计费结果将在计费台本机保存) , 并向PMS (酒店管理系统服务器) 传送话单。
接口机:接口机作为SP30CN交换机和PMS之间的通信数据传输通道, 可以将PMS系统所发出的各种CHECK IN/OUT (包括话机开关权限, 增删业务等) 消息传送到交换机执行, 同时将PMS系统发出的用户语音信箱登记、注销、变更命令信息传送到语音交互系统 (IVR) , 以及交换机和IVR的确认信息 (如房态管理等) 也是通过接口机传送到PMS系统。
2.2 i Hotel系统组网方式
酒店应用设备与局端设备的连接方式主要有2M中继复用器、以太网等几种方式, 分别适用于不同的情况:
方式一:2M中继连接中继复用器
适用于对链路连接质量要求较高的酒店, CDBS数据库在局端且与酒店之间的距离较长。同时酒店和电信局之间已有或可以铺设2M中继线。其组网图如下:
其中中继服务器的作用是将中继里的帧信号, 复用成IP包, 通过TCP/IP协议, 在网上传输。
方式二:以太网连接
需利用已有的局域网, 且必须保证局端设备与酒店应用设备在同一网段的情况。
3 某酒店应用实例研究
3.1 原有设备情况简介
河北一城集团准备改造酒店话务管理系统, 并提出以下需求:
设立总话务台, 完成各酒店所有来话的人工转接, 外线号码连选, 最初设立5个话务台, 要求提供连接8到10个话务台的端口能力, 8个酒店前台分设话务台。话务台合计13个。
通话记录传送到酒店管理系统, 由酒店管理系统完成话单的统一结算、统一查询、统一打印和客房话机呼出权限的设置。
入局呼叫统一接入, 由总话务台实现人工转分机。
各酒店之间打电话使用内部小号 (5位, 首位号码代表酒店) 直拨。
各饭店内部特服号码的使用 (拨3位短号) 。
以太网链路组网结构
说明:
如上图所示, 区域1为大唐电信设备利用各个酒店之间的局域网连接示意, 所有话务台、酒店数据库、酒店接口机均挂接在此局域网中, 需要在目前的酒店群局域网中通过对以太网交换机的设置对其划分单独的VLAN (虚拟局域网) 段。
区域2为酒店管理系统侧, 酒店管理系统服务器通过此局域网与各个前台终端相连, 大唐电信酒店接口机与此服务器通过RS232串口通讯方式相连接。
根据河北一城集团方面的功能需求, 图中的“接口机”在现场实际配置的是具有计费结算功能的“计费台”。
3.2 特点
充分利用各个子酒店之间的局域网资源, 通过在BM侧加入酒店数据库的方式实现所有话务台均为TCPIP稳定连接方式。
3.3 实施方法
在BM侧加入酒店数据库系统CDBS, 利用酒店现有的局域网环境, 将所有话务台、接口机均通过TCPIP连接到CDBS, 接口机与酒店管理系统之间通过RS232串口方式连接。
参考文献
[1]刘向东, 李志洁, 王存睿, 姜楠.以太网交换机原理实验设计[J].实验室研究与探索, 2011 (01) .
[2]刘尚麟.千兆以太网交换机软件系统的设计与实现[D].西南交通大学, 2004.
SP:整肃后的回暖 篇4
信产部首度向运营商施压,要求其在与增值业务商(SP)合作时,不得滥用市场支配地位,忽视SP们的正当权益。这一信息来自2006年12月信产部下发的《关于开展电信行业“诚信服务、放心消费”行动的通知》,它的出现,无异于让处于生死边缘的SP们看到了一线生机。
2006年,伴随着中移动、中联通的SP整肃风暴,SP们的业绩一路下滑至谷底,但不要忘了,风暴的发起者仍然是政策制订者信产部。这给了SP行业大洗牌的机会,一大批行走于灰色地带的SP被清出市场,清洁了市场环境,但也引发了“民怨”。一位SP人士曾经私下抱怨,“我们的WAP网站流量一直超过移动梦网,移动在掌握了这么多资源的情况下还不如我们,它能不着急吗?”从SP的角度看,运营商整肃SP带有“私心”,而不能否认的是,运营商也的确成为了SP行业整顿的既得利益者。连一家独大如腾讯者,都要将移动QQ并入中移动的飞信平台,“私心”一说,似乎并非空穴来风。
SP30 篇5
目前国内智能插座市场,说起来有些难堪。和普通插座相比,智能插座的价格要贵上好几倍,但提供的功能,却远没有达到让消费者爱不释手,或者深刻改变使用习惯的地步。时间一久,等这股智能家居热潮退去,消费者都会扪心自问“凭什么多花钱,买这么个不实用的玩意儿?”
而一些目光远大,不想圈一桶钱就跑的智能插座厂商们,都在努力更新智能插座产品,做出令消费者满意的产品出来,Broadlink的SP mini智能插座就很努力,它在压低成本的同时,尽力做出了小清新范儿。
体验Broadlink SP mini智能插座
SP mini智能插座是笔者见过长得最好看的一款产品,白净的机壳、纤细的机身和黄色指示灯,令插座整体外观跳出了传统插座的印象,看起来很有科技感。在插座正面,提供了三插孔+两孔的标准设计(符合插座3C认证标准和新国标),以满足不同家电需求。在SP mini智能插座底部,有个开关键,当笔者按下开关键后,电源接通,同时插座Wi-Fi指示灯亮起。反之,则会断掉电源,指示灯熄灭。而在SP mini智能插座两侧,还设计了散热孔,方便插座里的Wi-Fi模块散热。
SP mini智能插座使用起来很方便,笔者在手机中安装《易控》APP后,让SP mini智能插座处于打开状态,然后输入家里的Wi-Fi账户和密码,点选“配置”。等待约一分钟后,当APP里出现智能插座图标,就意味着两者配对成功可以使用了。
【SP30】推荐阅读: