准备工作充分 信息交流互动 重庆市等级保护试点达到预期目标

1994年，国务院发布《中华人民共和国计算机信息系统安全保护条例》，规定了“重点保护国家事务、国家经济建设、国防建设、国间尖端科学技术等重要领域的信息系统的安全”；1998年，公安部会同了相关国家部门起草了《计算机信息系统安全保护等级制度建设纲要))，确立了安全保护等级制度的主要适用范围，建设目标、原则任务和实施步骤及措施等主要问题；1999年，国家技术监督局审查通过并正式发布了强制性国标——《计算机信息系统安全保护等级划分准则》GBl7859—1999，划分了信息系统的五个保护等级；2000年，国家计委下达由公安部主持开展的《计算机信息系统安全保护等级评估认证体系及互联网络电子身份认证管理与安全保护平台试点》项目建设的任务；2003年3月，国家计委、人民银行、湖北、浙江、陕西、四川、重庆五省市先后开始信息系统安全等级保护的试点工作．     

专用信息系统安全体系评估

该文针对专用信息系统的网络安全评估体系进行了研究。根据计算机信息系统安全保护等级划分准则中安全评估的模型,提出专用信息系统安全评估体系总体设计思路,设计了单一安全的评估要素以及相应的检测内容,介绍了组成整体安全评估体系的7个模块以及各自的功能,构建了体系主体结构的层次框架。     

科研信息系统：加强风险评估 应对安全威胁

安全风险评估与安全威胁分析是信息系统安全工程的重要组成部分。本文对科研领域信息系统安全风险评估的关键要素、实施流程和评估准则进行了阐述,分析了安全威胁的主要来源、典型类别及发展趋势,并结合实际风险评估工作给出了科研领域不同类型信息系统安全威胁分析的重点内容和经验性策略,最后着重对计算机病毒、木马等恶意程序的威胁程度评估及威胁等级划分问题进行了探讨。     

基于IPSEC的VPN的安全功能要求的设计与分析

《计算机信息系统安全保护等级划分准则》是我国计算机安全产品和系统必须遵循的标准,而CC是一个新的国际性通用标准,设计一个满足CC标准的网络安全产品或系统,目前国内还没有借鉴之处。文章对国际国内的安全标准现状进行了分析比较,研究了将我国的计算机信息系统安全保护等级的要求用CC标准来描述的问题,并对基于IPSEC的VPN的安全功能要求的实现进行了研究。     

基于GB/T 18336在存储控制器领域的测评探索与应用

GB/T 18336《信息技术安全技术信息技术安全评估准则》对信息技术产品整个生命周期进行全面的安全评估和测试,提供了一个科学、客观、权威的信息技术产品安全评价方法。通过验证产品的保密性、完整性和可用性程度,确定产品是否足够安全,以及在使用中可能隐含的安全风险是否可容忍,产品是否满足相应评估保障级的安全要求。2022年1月,合肥大唐存储科技有限公司(以下简称“大唐存储”)的一款“存储控制器芯片DSS510”产品在中国信息安全测评中心(以下简称“测评中心”)正式通过了国内现行商用安全最高等级-EAL5+安全测评,该测评依据国家标准《信息技术安全技术信息技术安全评估准则》(GB/T 18336-2015)开展,该产品也是目前存储行业的全国首例且唯一通过EAL5+的存储控制器芯片。     

车载信息系统的安全测评体系及方法

汽车信息系统的安全工作主要集中在分析、挖掘车载信息系统及其功能组件现存的安全漏洞及可行攻击方式的实验验证,缺乏全面、系统的车载信息系统安全测评体系及评估方法。论文在分析车载信息系统安全现状的基础之上,提出将车载信息系统的安全等级划分为：家用车载信息系统和商用车载信息系统,定义了两个等级车载信息系统的保护能力,并借鉴通用信息系统的安全等级保护要求,提出车载信息系统不同保护等级的基本安全要求,首次建立车载信息系统的安全等级测评体系。进一步建立层次化安全评估模型及算法,实现车载信息系统的定量安全评估。通过奥迪C6的安全测评案例证明,提出的等级测评体系及评估方法是可行、合理的,为分析车辆信息系统的安全状况提供支撑,填补了国内车载信息系统安全测评体系及评估方法的空白。     

计算机信息系统安全等级评估试点工作现状

为切实加强重要领域信息系统安全的规范化建设和管理,全面提高国家信息系统安全保护的整体水平,2001年1月1日国家正式开始执行强制性国标《计算机信息系统安全保护等级划分准则》(GB 17859-1999)。在此基础上,公安部会同其他部门相继制定了一系列等级保护相关标准。     

《计算机信息系统安全等级保护管理要求》的系统地位及特点

《管理要求》的系统地位——4S的归纳(Sources,Series,Surroundingand Supporting》 1.《管理要求》的来源(Sources) 我们知道,我国颁布《计算机信息系统安全保护条例》在先,发布《计算机信息系统安全保护等级划分准则》(以下简称《准则》)在后,为了确保这样一个具有我国特色的,而且是原则性表述的《准则》能够有效实施,还必须     

启明星辰基于等级保护的安全保障体系建设解决方案

方案描述启明星辰信息技术有限公司从行业的实际安全需求出发,在全面体现GB17859-1999的等级化标准思想的基础上,以公安部《信息系统安全保护等级定级指南》和《信息系统安全     

安全等级保护咨询服务浅议

一、等级保护发展概况早在1994年,国务院147号令中就明确提出了国家计算机信息系统将实行安全等级保护,随后发布了以《计算机信息系统安全保护等级划分准则》(GB17859-1999)为核心的一系列标准,并围绕这些标准进行了一系列研究活动。     

基于企业网的信息安全防护系统的设计与实现

该文针对来自网络内部的攻击,采用“禁止一切”的安全策略,基于包过滤技术及VxD手段提供了一套企业网内部的网络安全防护解决方案。系统描述了企业网信息安全防护系统的设计准则、技术原理和实施方案,并提出了系统的前景意义。     

内部网安全解决方案

在与外部环境物理隔离的内部网中,分析资产及其脆弱性和面临的威胁,进行风险分析,确认安全需求,制定安全策略,采用可靠的安全技术实现物理安全、设备安全和信息安全,建立一套自上而下的安全组织机构和有关管理的规章制度,可保障内部网安全可靠有效地运行。     

信息安全评估标准的研究和比较

信息安全评估标准是对信息安全产品或系统进行安全水平测定、评估的一类标准，本文介绍了国内外现有的信息安全评估标准．并对这些标准的特点、应用方式、适用范围和实用价值进行了详细的比较、讨论；最后研究了安全评估标准中面临的问题及进一步完善方法。     

通用标准CC的研究与实现

随着计算机技术及Internet的不断发展，如何保证信息系统安全成为一个重要课题．针对这个问题，设计实现了基于信息技术安全性评估准则(通用标准)的系统评估方法和软件．首先在分析通用标准结构的基础上，设计了安全功能和保证要求的体系结构；接着针对保护轮廓和安全目标这两个通用标准的核心文档进行了分析与设计，并指出了文档结构中的内在联系；然后提出了针对标准结构和其内在关联应完成的评估要素；最后给出了评估系统的设计和实现．通过实际保护轮廓和软件产品的安全目标实例分析表明本文所提出的评估方法和系统能够指导信息系统的评估和实践．     

论《信息安全》课程引入数字水印技术基础知识

近年来许多高校都开设了《信息安全》这门课程,但在实际教学过程中存在教材内容陈旧的问题,数字水印技术是多媒体信息领域的一个新兴研究热点,属于信息安全领域的一个重要研究分支,将其作为《信息安全》课程的补充教学内容,有助于学生扩大知识面、紧跟科技发展潮流。对《信息安全》课程引入数字水印技术的必要性和可行性进行详细的分析和阐述。     

Information Security management: A human challenge?

This paper considers to what extent the management of Information Security is a human challenge. It suggests that the human challenge lies in accepting that individuals in the organisation have not only an identity conferred by their role but also a personal and social identity that they bring with them to work. The challenge that faces organisations is to manage this while trying to achieve the optimum configuration of resources in order to meet business objectives. The paper considers the challenges for Information Security from an organisational perspective and develops an argument that builds on research from the fields of management and organisational behaviour. It concludes that the human challenge of Information Security management has largely been neglected and suggests that to address the issue we need to look at the skills needed to change organisational culture, the identity of the Information Security Manager and effective communication between Information Security Managers, end users and Senior Managers.     

面向业务:信息安全保障业务发展新趋势

如今信息安全在信息社会扮演极为重要的角色,直接关系到政府运作、企业经营和人们的日常生活,信息安全服务也已成为信息安全保障体系的重要内容。然而国内信息安全服务行业却存在很多问题,管理者的信息安全意识不足,安全服务以事件应急响应为主,忽视为客户提供主动、系统的面向业务的服务。针对这一现状,本文提出了基于业务的信息安全服务体系(Business-based Information Security Service System,BISSS),利用企业架构(Enterprise Architecture,EA)对机构及其信息系统进行分析,以信息系统的业务属性为出发点和依据,为客户提供覆盖整个信息系统生命周期的安全服务。     

基于行程压缩编码的信息隐藏算法

计算机信息技术的发展使信息安全已经越来越受到人们的重视,信息隐藏技术是在Internet和多媒体等技术的迅猛发展的基础上发展起来的一项安全技术,该文首先对信息隐藏的概念作了简要的介绍,然后结合具体实践,就如何利用行程编码进行信息隐藏的算法进行具体论述,给出了具体的例子,并针对该方法的特点提出一个可行的改进算法。     

信息安全技术发展趋势分析

信息时代信息安全越来越重要。信息安全技术的发展为信息安全提供了有力保障。本文介绍了信息安全技术的分类以及主要信息安全技术的现状、发展趋势,其中主要介绍了密码学、安全操作系统、网络隔离技术、网络安全行为监管技术、容灾与应急处理技术、身份认证技术及可信计算技术的现状与发展趋势。