等级保护制度下信息安全产品分级测评体系

<正>信息安全等级保护制度是我国信息安全保障工作的基本制度,是维护国家安全、社会秩序和公共利益的纲领性指南。等级保护制度的指导思想是按照系统重要程度和实际安全需求,合理投入,分级保护,从而有效提高我国信息系统安全建设的整体水平,保障信息系统安全,最终促进我国信息化建设的健康发展。信息安全产品作为信息系统的核心构件之一,其安全性直接影响了整个信息系统的安全性。尤其是2013年以来,棱镜门、RSA丑闻相继曝光,信息安全产品的安全可信测评,尤其是应用于三级及以上信息系统的信息安全产品的安全可信测评就显得尤为重要。因此,根据信息系统安全建设需求,对信息安全产品实施分等级测评,能够有效保证测评的针对性和科学性,同时节省测评需要的人力、物力和财力资源,最终推动我国信息安全产业和信息系统建设的健康可持续发展。     

信息安全等级保护建设

信息安全等级保护是国家信息安全保障的基本制度,等级保护的整体实施工作包括等级保护定级与备案、等级保护差距分析、系统安全建设与整改、等级测评等几个阶段。     

信息安全服务的概念与分类

在当前形势下,信息安全产业肩负着为国家信息化基础设施和信息系统安全保障提供信息安全产品及服务的战略任务。近年来随着信息技术的快速发展和广泛应用,信息安全产业的内涵也在不断丰富,外延不断扩大,产业结构正从技术、产品主导向技术、产品、服务并重调整,安全服务逐步成为产业发展重点。本文论述了信息安全服务的概念、分类、发展状况以及资质管理体系现状,希望以此为基础,为我国信息安全服务体系建设和管理提供有益的参考。     

国外信息保障体系发展综述与启示

<正>1引言信息化是当今世界发展的大趋势,是推动经济与社会变革的重要力量。大力推进信息化,是我国现代化建设全局的战略举措。近十余年来,信息技术在我国国民经济和社会各领域的应用效果日渐显著,信息已成为重要的战略资源。然而,伴随信息化而来的风险增加、漏洞丛生等负效应,乃至"棱镜事件"等国家级网络空间监视、信息窃取、网络攻击对抗等行为,对国家安全构成了巨大威胁。研究信息保障体系,就是研究如何构建合理完备的信息     

国防科技工业信息安全标准应用与发展探讨

随着社会经济发展,国防科技工业单位将信息技术融入设备研发、管理中,借助网络化技术实现信息交换。而信息在传输、运行、处理等过程中均可能造成信息泄露、完整性受损,因此,为了有效保证国防科技工业信息安全使用,需要依据不同安全等级科学合理选择安全技术标准;不断对信息安全标准体系进行完善,进而有效保证国防科技工业信息安全标准。基于此,对国防科技工业信息安全标准体系构建进行分析,并提出国防科技工业信息安全标准应用的对策。     

卫生行业信息安全需求

2.1信息安全现状为贯彻落实《全国卫生信息化发展规划纲要2003-2010》中的精神和要求,近些年来,卫生行政机关在信息化建设方面投入了很大精力,到目前为止,信息化工作已经取得了显著效果,多项业务已通过信息应用系统实现了     

国家发改委组织申报2009年信息安全专项重点扶持四大方面

11月14日国家发展和改革委员会委向工信部等相关部门发布通知,要求组织申报2009年信息安全专项,通知指出,专项将重点支持为国家信启、化建设及国家信息安全基础设施提供支撑的信息安全产品产业化、为基础信息网络和重要信息系统安全运行提供技术支持的信息安全专业化服务、面向国家电子政务建设的安全标准体系及重要信息安全产品的关键标准和采用自主信鼠化装备的信息系统示范工程等四大方面的专项。     

国家十二五规划纲要与信息安全认证工作展望

在国家十二五规划纲要第十三章全面提高信息化水平中,第三节是加强网络与信息安全保障,明确提出,健全网络与信息安全法律法规,完善信息安全标准体系和认证认可体系,实施信息安全等级保护、风险评估等制度。加快推进安全可控关键软硬件应用试点示范和推广,加强信息网络监测、管控能力建设,确保基础信息网络和重点信息系统安全。     

电信运营商与信息安全

网络宽带化、智能化趋势越来越明显,电信运营商也面临着严峻的信息安全挑战.本文根据运营商的信息安全目标和安全现状,提出了一种适合电信运营商的信息安全模型,并给出了信息安全建设的具体建议.     

卫生行业信息安全管理要求

信息安全发展至今,人们越来越认识到安全管理在整个信息安全建设过程中的重要性,而作为信息安全管理方面最著名的国际标准——ISO 27001(即之前所称的BS 7799标准),则成为可以指导我们现实工作的最好的参照。     

信息安全动态保障体系建设探讨

在信息系统安全保障体系建设过程中,一般会把信息系统安全建设分为三大体系,即技术体系、管理体系以及运维体系。那么在实际操作中,如何进行三大体系的建设?三者之间有什么关系?如何让三大体系进行有机结合,形成一套动态的信息系统安全保障体系?文中首先阐述了通过等级保护的相关技术标准,来建立信息系统安全技术体系架构,并提出了基于等级保护的信息系统安全保障体系架构模型;然后阐述了如何通过等级保护或ISO27001来建立安全管理体系;其次分析了建立安全运维体系所必须具备的三大条件;最后论述了在建立和完善三大体系的同时,如何才能把技术和管理结合起来,如何才能把静态防护与动态监控结合起来,从而构建一套动态的信息系统安全保障体系。     

浅议信息安全标准在商业银行的应用

在商业银行的发展越来越依赖于信息系统的情况下,信息系统已经成为银行生存、发展的关键因素。当前,银行生产系统规模日趋庞大,信息系统数量越来越多,信息系统内部和信息系统之间的关系越来越复杂,确保信息系统安全、降低信息系统风险,满足监管部门的检查要求,已成为商业银行的核心管理目标之一,也是各家银行不断加大内部控制、管理力度的重要方向。而信息安全标准的采用对商业银行信息安全体系建设具有重要意义。     

建设符合等级保护要求的信息安全体系——电子政务信息系统等级保护工作的研究与探索

通过建设符合等级保护要求的信息安全体系,作者提出了建设的原则:1)重点保护原则;2)"谁主管谁负责"原则;3)分区域保护原则;4)同步建设原则;5)动态调整原则.和实施的步骤,包括:定级阶段、规划设计阶段、等级保护实施,等级测评与运行维护阶段.     

战术互联网信息安全风险评价指标体系研究

战术互联网是战术通信系统的骨干网络,其信息安全问题已成为影响中国军队机动通信保障能力的重要因素。通过增加初级指标项对传统德尔菲法进行改进,构建了战术互联网信息安全风险评价指标体系,运用层次分析法确定了风险因素的指标权重,为制定战术互联网风险控制策略提供了量化依据。     

基于PKI的网络教学系统信息安全策略

网络教学发展非常迅速,但是相应的网络安全措施还相对滞后.文中结合网络教育的一般模式和公钥密码系统,通过对网络教学模式的通信安全需求分析,提出对网络教学过程中基于公钥系统的信息加密,身份认证、数字签名等信息安全策略应用模式,并对网络教学中的信息安全模式进行风险评价,确保教学信息的安全、学生身份的认证,保障了网络教学的安全和顺利进行.     

Research status and development trends of security assurance for space-ground integration information network

Space-ground integration information network consists of space-based backbone network, space-based access network, the node net of foundation, Internet, mobile communication network, which has important significance for the realization of the target of national security strategy. Firstly, the characteristics of space-ground integration network, such as exposed channel, heterogeneous network integration, etc, were analyzed. Also, the corresponding threats from the physical layer, operation layer, data layer were introduced. Secondly, a comprehensive study on current status of surviv-ability, anti-jamming, secure access, secure routing, secure handoff, secure transmission and key management were made. Finally, combined with research status, the important trends were proposed.     

信息物理系统攻击与检测研究综述

对信息物理系统攻击及防御技术的现有研究进行了总结,概括了现有攻击的主要类别,总结了描述攻击行为的几个模型,并得到了对信息物理系统的攻击呈协同化趋势的结论。我们还分析了这种协同与传统意义上网络协同攻击的区别,针对这种现状及现有防御措施的不足,提出了信息物理系统攻击检测的发展方向。     

国内外信息安全标准研究现状综述

文中对2008年以来国内外信息安全标准的研究动态做了综述。国外标准方面,主要介绍了国际标准组织ISO／IEC、ITU—T近期发布和预发布的信息安全标准,以及研究重点;国内标准方面,介绍了信息安全国家标准、行业标准、管理规范的研究现状,重点阐述了信息安全国家标准的体系以及与信息保障体系的关系、近期发布情况和研究动态,分析了当前信息安全技术国内外研究热点、重点。     

以风险评估为基础分等级建设信息技术保障体系

等级保护的思想为合理建设信息保障体系提供了一个基础,在这个基础上还应该结合风险评估的方法,对信息系统所面临的风险进行全面科学的评估,这是建设信息系统安全保障体系的关键所在。论文以风险评估为基础,合理使用信息系统安全技术标准,分层分等级地建设信息系统安全技术保障体系。     

信息系统安全保障评估标准综述

在分析信息系统安全保障的基础上,详细介绍GB／T 20274《信息系统安全保障评估框架》的基本原理和主要内容,包括安全技术．管理、工程保障控制要求和信息系统安全保障级的评定等内容,并对其应用进行了研究,旨在阐述GB／T 20274及其配套性标准《信息系统保护轮廓和信息系统安全目标编制指南》和《信息系统安全保障通用评估方法》的主要内容并理清其内在联系。