等级测评实施环节内容及过程质量控制

文章首先阐述了等级保护测评实施环节的质量控制存在的问题，借鉴ISO9001质量管理体系的方法，结合笔者对测评实施阶段质量控制的理解，针对等级保护测评实施环节的准备阶段、测评阶段和报告编制阶段，提出有利于测评实施环节质量提高的工作内容及质量控制方法的思路。     

信息安全等级测评师素质模型分析

随着信息安全等级保护工作在全国范围内的开展,信息安全等级测评体系的建设与测评工作已成为开展信息安全等级保护工作的关键环节。测评体系建设和测评工作实施的主体是测评机构和测评人员,等级测评师的岗位素质关系到信息安全等级保护测评工作的有效开展。本文通过文献研究、行为事件访谈法和问卷法等研究方法,建立了拥有4个维度、16个项目的适合信息安全等级测评师的通用素质模型。并对信息安全等级测评师素质模型进行了研究分析,为等级测评机构进行等级测评师的招聘、选拔和培训工作提供了新的理论依据。     

信息安全等级保护综合管理平台的设计与实现

为了规范在等级保护测评过程中等级保护测评机构工作的实施与管理,减少人为错误,提高工作效率,节约测评成本,在深入分析等级保护测评过程中存在的问题,并结合当前等级保护测评流程和方法的基础上。本文研究和设计了信息安全等级保护综合管理平台。通过该平台,测评机构不仅可以方便的对所有的等级保护测评项目进行管理,还能将该测评机构在各个项目测评实施过程中形成的知识和经验进行归纳和管理,形成较完备的等级保护测评知识体系。     

PDCA循环在等级测评项目质量管理中的应用探析

信息安全等级保护测评是等级测评机构依据国家信息安全等级保护制度,按照有关管理规范和技术标准,对国家重要信息系统安全等级保护状况进行检测评估。文章阐述了PDCA循环在等级测评项目质量管理中的应用,并最终得出通过在等级测评项目中应用PDCA循环,极大地提高了项目整体质量,确保实施项目质量目标。     

基于免疫选择的智能化等级测评模型研究

通过计算等级测评安全指标项的等级适应度和系统适应度,对安全指标项进行种痘和免疫选择来得到相应等级和特定系统的安全指标项和测评方案,为等级测评的智能化奠定了基础。并使用该模型对3种不同的系统进行测评实验,实验结果表明该模型能够在一定程度上实现等级测评活动的智能化。     

信息安全等级保护测评体系建设试点工作稳步开展

为了推动信息安全等级保护测评机构建设,提高等级测评机构的技术和管理能力,规范等级测评活动,检验等级测评标;隹规范,为信息系统主管部门和运营使用单位开展等级保护工作提供支持。7月2日,公安部网络安全保卫局在北京召开了信息安全等级保护测评体系建设试点工作会议,会议由公安部网络安全保卫局处长郭启全主持。     

基于测评知识库的自动评价系统研究

等级测评的技术测评报告是国家信息安全职能部门监督、检查信息系统运营使用单位执行信息安全等级保护制度情况的重要参考。本文设计了一个等级测评自动评价系统,该系统采用面向对象的知识分析方法,构建了等级测评知识库体系。同时,提出了拓扑结构展示和业务流程展示方法,并给出了基于知识库的等级测评自动评价系统的基本规则。该系统给出了一种等级测评自动评价过程,弥补了人工主观评价测评结果的缺陷,能够利用事实型知识、过程型知识以及规则型知识自动形成单个测评项的测评结果,结合业务流程与渗透测试情况进行关联分析和自动处理,进而得到单个测评项的关联分析结果和安全控制测评结果,并形成等级测评结论,实现了测评结论的准确性、可重现性和客观性。     

征文通知

为有力推动信息安全等级保护测评体系建设,总结和交流全国信息安全等级测评机构的工作经验,保障信息安全等级保护测评工作的顺利开展,全国信息安全等级保护测评体系建设工作会议拟于2011年6月份召开。     

信息安全等级保护中等级测评的CAE建模

CAE模型具有很强的层次性与结构性,被广泛用于复杂的信息安全测评过程中.采用CAE模型对等级测评的过程进行建模,将测评过程的多个层面简化为声明论据证据三种层次,并从测评指标的选择和测评结果的融合两个方面具体说明了CAE模型的作用.结果表明等级测评的过程完全可以归纳入CAE模型中,等级测评的过程与CAE模型的分解和推理过程是一致的,进一步验证了信息安全等级保护标准支持下的等级测评的有效性和合理性.     

如何有效地监管等级测评机构

立足于信息安全等级保护工作,吸取浙江省在等级保护测评机构的管理上的经验,研究和探讨如何有效地管理等级保护测评机构,以确保测评机构管理和技术能力得到不断提升,保证测评机构在等级测评上的独立性、公正性和合规性,并对促进等级测评的顺利开展提出改善方向和意见。     

浅谈信息安全产品标准如何体现等级保护的要求

文章从国家等级保护系统建设的基本要求出发,结合作者在信息安全产品检测以及系统测评中的实际经验,阐述了以等级保护要求为基础实施信息安全产品分级管理的必要性,并就信息安全产品标准分级实施的可行性及方法进行了探讨。     

信息安全等级测评系统设计

阐述了信息安全等级测评过程、模型和测试方法。探讨了使用TTCN-3核心语言将测评标准转换为测试套的可能性,提出了用一致性测试模型进行信息安全等级测评的方法。根据一致性测试模型,给出了信息安全等级测评系统的设计方案。这一方案用强描述性规范化语言把权威的标准条款定义为测评标准库,再通过高层描述语言的通用转换平台转化为测试任务,然后由分布式的测评管理平台调度测评执行平台进行测评。     

信息系统安全等级保护整改建设研究

阐述了开展信息系统安全等级保护整改建设的重要意义,依据国家信息安全等级保护建设有关标准规范要求,提出了信息系统安全等级保护整改建设方案,并对信息系统安全等级保护整改建设技术实现措施进行了全面的论述。     

基于GB17859-1999标准体系的风险评估方法

在信息系统的安全问题上,只能追求适度的安全风险。安全风险要适度,就必须正确选择系统的保护等级,而确定安全保护等级的基本方法是进行风险评估。文章首先介绍国内外信息系统安全等级保护的相关标准,着重论述了我国的GB17859-1999等级保护标准体系。在此基础上,提出了基于该标准体系进行信息系统等级保护风险评估的模型及方法。     

基于模糊集的高校网络安全等级保护体系研究

依据网络安全等级保护的相关法规指南,构建信息系统安全的测评指标体系和模型。该模型运用模糊综合评判决策方法,逐级确定网络和信息安全、应用安全等指标权重,计算出测评对象关于安全保护等级的测评值与其相对应标准之间的差距,对相关因素进行关联度分析并给予相应修正。结合某高校正在运行的某一测评对象进行等级测评实例分析,验证了该模型的实用性。     

工业控制系统可靠性设计与测试评估技术研究

目前我国的工业控制系统发展迅速,但其可信性较低,为解决这一问题,我们开展了工业控制系统的可靠性设计和测试评估技术研究。研究形成了工业控制系统可靠性设计规范和工业控制系统可靠性测试评估规范,另外还生成了工业控制系统可靠性设计和测试评估的软件操作平台。     

医院信息系统等级保护安全体系设计

针对医院的核心HIS系统,根据国家等级保护的要求而设计的安全体系方案.分别依据物理层、网络层、主机层、应用层的不同特点,结合国家等级保护标准,针对性的提出安全解决方案,并给出了各个安全节点需要实现的功能要求.通过实践检验的,将等级保护建设的要求真正落实到医院HIS系统安全建设中.充分结合实际安全需求的、全面符合等级保护建设要求的、战略策略高度统一的解决方案.     

财政信息系统安全分析和建设

以我国信息安全等级体系规范和标准为基础,分析和测试和财政信息系统的安全,讨论和设计财政信息系统网络安全域的划分和等级保护建设,提出方便有效地进一步完善财政信息系统安全的保障措施.     

基于故障树的等级测评专家系统模型研究*

结合等级测评、风险评估和专家系统的相关技术,提出了一种将故障树和专家系统技术用于等级测评结果的综合分析模型。该模型通过将评价标准转换成规则固化在知识库中,利用故障树对知识进行展示和分析,并利用不确定推理方法对评估事实进行推理,得到该信息系统存在的安全问题可能会发生什么安全事件,从而紧密地将等级保护要求和用户安全需求联系在一起,极大地提高了用户实践等级保护的积极性,并为等级测评与风险评估有机结合提供了一种新的思路。另外,本系统还利用粗糙集理论从信息安全事件中自动获取推理规则,使得推理规则能随着安全状态的变化