基于信息安全等级保护的安全测评服务框架研究

在等级保护工作全面开展的大背景下,等级测评机构如何发挥更大的技术支撑作用引起了业界广泛的关注。文章分析了等级保护工作面临的新挑战,提出了基于信息安全等级保护的安全测评服务框架。安全测评服务框架以信息安全相关标准为基础,以信息安全等级保护实施流程为时间线,针对信息系统备案单位在不同阶段的安全需求及工作重点开展有针对性的安全测评服务,提升信息系统备案单位信息安全管理水平及信息系统安全防护能力。等级测评机构可以通过安全测评服务框架充分发挥其信息安全专业机构的技术能力,在等级保护工作中发挥更大作用。     

政府电子政务外网信息安全等级保护差异分析与规划

随着我国信息化建设的不断发展与深化,来自各方面的安全威胁严重影响现有信息系统稳定、持续的运行,而基层政府信息化系统面临着复杂的应用环境,系统安全环境十分复杂。本文以浙江省台州市路桥区政府(以下简称为路桥区政府)为例,探讨了基层政府政务外网在信息安全等级保护政策下的安全策略的可行性与必要性。随着信息化程度的不断深入,区政府信息系统面临越来越复杂多样的安全威胁,迫切需要对区政府电子政务外网信息系统的信息安全建设有一个统一的、可执行的、有效的规     

上海市电子政务外网安全保障体系研究与设计

文章结合上海市政务外网应用特点及发展趋势,从信息安全等级保护的角度提出了上海市政务外网安全保障模型,并进行了针对性的安全措施的设计,实现对各接入子网、应用托管等方面的安全防护,能够适应未来上海市政务外网业务发展的安全保障需求。     

等级保护测评过程中的风险分析

信息系统等级保护测评是对信息系统是否满足相应等级要求的符合性验证。在等级保护测评过程中,结合风险分析是等级保护测评的重要补充,使得最终测评结果不仅是信息系统是否达到对应等级的判断依据,也使测评结果更加契合企业实际安全状况,为企业后续改进提供明确的目标,使企业的后续整改工作能更好的落实。以最优的经济效益方式建设企业信息系统,使企业信息系统符合国家等级保护相关政策要求的同时不断提高信息系统安全性。形成一套符合企业实际情况,可以有效保护信息系统安全的等级保护体系。     

等级测评中关键安全保护功能有效性测评技术研究

等级测评中关键安全保护功能是否有效保障信息系统具备相应的安全保护能力是目前等级测评需要解决的技术难点。文章结合等级测评的实际情况,以等级保护相关标准和法规政策等为基础,建立了关联测评对象与安全保护能力的有效性测评指标体系,给出了安全保护功能、控制有效性测评方法和安全保护功能综合评价方法,为信息系统具备的安全保护能力是否真实有效提供了一种确实可行的思路和判定方法。     

浅谈二级信息系统等级测评的实施与体会

等级测评是开展信息安全等级保护工作的关键环节,是保障已定级信息系统科学、合理开展安全整改工作的主要抓手。为深化我市等级保护工作,主动应对互联网技术与信息化应用的快速发展,积极推进各重点单位开展等级测评和安全整改工作,2011年10月,我支队自主研发了“二级信息系统安全自测评平台”,通过该平台实现对全市二级信息系统等级保护工作的主动化、信息化、动态化管控,有效提升信息安全等级保护工作效能。     

信息系统等级保护测评实践

该文针对社会发展对信息化的依赖程度越来越高,而保障重要信息系统安全也是维护国家安全、保障社会稳定的重要组成部分这一事实.随着重要信息系统等级保护工作的深入,信息系统等级自测评与差距分析得到了广泛重视.文章系统阐述了自测评实践中的基本流程、测评方法与测评成果.     

落实等级保护 构筑安全“城堡”

等级保护实施过程中,公安机关作为牵头部门,网络安全保卫局、地方公安局和网监部门作为等级保护工作的行政管理部门,监督、检查、指导等级保护的各项工作。测评机构作为第三方服务机构,验证和评价信息系统安全建设、整改的情况,判断系统的保护能力是否达到了对应等级的要求,其测评结果将作为公安机关监督检查运营使用单位开展等级保护工作的重要依据。     

物联网和云计算对等级测评的影响探究

信息安全等级保护制度是国家信息安全保障工作的基本制度和基本策略。而等级测评是用来检验和评价信息系统安全保护水平的重要方法。新技术的出现如云计算、物联网、三网融合等,给传统等级测评技术带来了新的挑战。本文以物联网和云计算为代表,探讨了新技术发展对等级测评产生的影响,旨在推动等级测评技术的发展,为其深入研究提供理论参考。     

等级保护中通信完整性技术的探讨

随着信息技术的高速发展和网络应用的迅速普及,用户对信息系统的依赖日益加深,面临的信息安全风险也与日俱增。实施信息系统安全等级保护测评,能够有效地提高我国信息系统安全建设的整体水平。数据完整性测评是等级保护测评中不可或缺的一部分,从一级开始等级保护测评中即有数据完整测试项。本文首先给出目前国际上数据完整性保证技术的概括,其次结合我国国情详细介绍MD5、SHA-1等国内广泛应用的数据完整性保证技术,最后通过比较为等级保护测评人员提供技术参考。     

浅谈行业测评机构在等级保护工作中的作用

文章结合行业测评机构近年来等级保护工作实践,介绍了行业测评机构的概况、行业标准规范的研究与编制,探讨了如何在信息系统全生命周期各阶段中开展等级保护工作,分析归纳了行业测评机构在开展等级保护工作中可以发挥的技术支撑作用。     

渗透测试在信息系统等级测评中的应用

文章介绍了渗透测试的相关内容、方法以及其在信息系统等级测评过程中的应用。渗透测试作为等级保护过程中的一个手段,从发现漏洞解决漏洞的思路提高了系统的安全性能。     

浅谈如何推进地市信息安全等级保护工作

当前,地市级单位信息安全等级保护工作进展情况参差不齐,存在缺乏长远与整体规划、技术措施未成体系、运维管理不规范等问题。管理部门要从给政策、教方法、找漏洞、多交流等方面积极作为,测评机构可以在改进服务与测评质量、建立覆盖信息系统全过程的安全服务机制上下功夫,从而与信息系统运营使用单位等形成工作合力,有效推动等级保护工作。     

气象信息系统等级保护测评实践

随着信息化的不断推进,气象信息业务系统有了很大的发展,信息系统的安全性、可用性越来越受到重视。以宁夏气象局三级信息系统为例,从信息系统情况调研、等级测评、系统加固等方面,阐述了信息系统安全等级保护主要内容。     

基于模糊集的高校网络安全等级保护体系研究

依据网络安全等级保护的相关法规指南,构建信息系统安全的测评指标体系和模型。该模型运用模糊综合评判决策方法,逐级确定网络和信息安全、应用安全等指标权重,计算出测评对象关于安全保护等级的测评值与其相对应标准之间的差距,对相关因素进行关联度分析并给予相应修正。结合某高校正在运行的某一测评对象进行等级测评实例分析,验证了该模型的实用性。     

信息安全等级保护测评工作实践与探讨

文章通过阐述被测信息系统在等级保护测评中存在的主要问题,分析了形成的原因,从等级测评价格参考规范,加强对托管数据中心的等级保护管理,加强商用密码和数字证书的安全管理和测评,测评报告的专家评审等方面,对测评工作提出建议。     

信息系统安全等级测评配置检查工具研究与实现

通过对FDCC在美国成功的案例与现有信息系统等级保护和风险评估的测评指标分析,建立广东电网公司的安全配置检查规范模型。并基于该模型,借鉴SCAP协议的设计思路设计了各种类型安全配置检查枚举库。给出安全配置测评自动化工具的系统架构、模块组成和界面设计,工具的成功研制对提升信息系统等级保护测评结果的科学性、准确性都起到了非常大的促进作用,同时加快了测评的进度,提升了工作效率。     

基于安全域的政务外网安全防护体系研究

文章分析了政务外网的安全问题,提出了政务外网的安全域翔分方法,对基于安全域的政务外网安全防护体系进行了详细阐述。     

等级保护测评库的建立与完善工作探讨

文章通过对等级保护测评机构工作职责、自身优势等方面的客观研究分析,提出测评机构在信息安全等级保护制度贯彻落实过程中,在完成等级测评任务的同时,充分发挥作用,整合有限资源,全力支持公安机关网络安全部门开展等级保护状况分析与评价工作,协助公安机关全面总结本地区各行业、各部门等级保护工作情况,助力公安机关持续深入地推进等级保护工作的周期性开展。     

等级保护与政务终端安全

计算机终端作为电子政务中承载着信息处理、存储和传输等工作的最基本单元，确保其安全性已成为电子政务信息安全保障工作中的重要环节。本文按照信息系统等级保护体系对计算机终端安全保护的要求，重点提出了在科学有效地部署计算机终端安全防护体系中应注意的问题，以及对应的措施。