企业信息安全工作实践

信息安全的重要性越来越受到国家和企业的重视,信息安全等级保护相关规范的出现,给各个企业的信息安全工作提供了一个很好的抓手,企业应该针对不同的信息系统,按照要求从定级、备案、安全建设和整改、等级测评五个方面入手开展企业信息安全工作,不仅能满足国家相关要求,也能从技术和管理两个方面开展工作,搭建企业信息化安全体系架构,提升企业的信息安全整体能力。     

基于等级保护要求的机房安全

信息技术在方便人们的工作和生活的同时,也带来了不可忽视的信息安全问题。如何保证机房内的信息设备处于良好的工作环境,使信息系统稳定可靠地运行,这非常重要。信息安全等级保护涉及物理安全、网络安全、主机系统安全、应用和数据安全等几个重要方面。机房安全属于物理安全,按照机房建设和相关技术标准,并结合信息系统安全等级保护的要求,是机房建设的根本要求,对保证机房安全极为重要。     

铁路高安全等级信息系统等级保护建设方案研究

信息安全是铁路信息系统建设的一个重要问题,目前我国铁路信息系统缺少统一的、标准化的信息安全解决方案。文章针对铁路信息系统安全防护体系的现状和不足,提出了在安全管理中心支持下的计算环境保护、边界防护以及通信网络保护的三重安全防护技术方案,对铁路高安全等级信息系统的等级保护建设及现有安全防护体系的整改提供了一定的参考。     

安全保护模型与等级保护安全要求关系的研究

该文指出等级保护安全建设整改需要依据技术标准落实各项技术和管理措施,建立信息系统安全防护体系将会借鉴各种流行的安全保护模型,进而分析和说明了各种流行的安全保护模型与等级保护安全要求之间的关系,给出了基于等级保护安全要求结合流行安全保护模型形成信息系统安全防护体系的思路。     

2010年信息安全等级保护工作力口快推进成效显著有力促进了国家信息安全保障工作的深入开展

近年来,经过全国各地区、各单位、各部门的不懈努力,我国信息安全等级保护制度不断推进实施。2010年,在信息系统定级备案工作基础上,全国信息安全等级保护安全建设整改、等级测评、监督检查工作成效显著,推进了我国信息安全保障工作的深入开展。本文回顾总结了2010年我国信息安全等级保护工作情况及取得的成效,并展望了2011年等级保护工作计划。     

2009年我国信息安全产品发展和管理工作情况分析

近年来,我国信息安全产品数量、类型不断增多、技术水平不断发展进步,应用日趋广泛。产品销售许可管理制度确保了各类产品在信息系统中的安全应用,在我国信息安全保障领域发挥了重要作用。随着国家信息安全等级保护制度的全面落实,信息安全产品成为等级保护安全建设整改工作的重要基础。为支持并服务于等级保护工作,满足各等级信息系统安全保护需求,公安部计算机信息系统安全产品质量监督检验中心自2008年以来开展了产品分级检测工作。     

国家信息安全等级保护安全建设指导专家委员会在京成立

为确保信息安全等级保护安全建设整改工作顺利开展,加强对重要信息系统运营使用单位及其主管部门的政策和技术指导,公安部于近期成立了国家信息安全等级保护安全建设指导专家委员会（以下简称＂专家委＂）。     

基于测试床模拟的通用安全评估框架

随着信息安全等级保护工作在国内的推进,信息安全测评技术趋向成熟,测试床在测评机构建设过程中已成为硬实力和软实力的象征。如何对目标信息系统进行深层次安全评估,如何对关键基础设施进行安全评估,安全防护措施是否真的起到应有的防护效用,系统安全防护是否在攻防博弈中占据优势是等级保护测评、建设、整改需要解决的关键问题。文章从信息安全评估的角度出发,在对已有软硬件资源整合的基础上,采用流程用例、算法用例、数据处理用例、测试用例的规约进行评估业务流程的规范和整合,提出了基于测试床模拟的通用安全评估框架,为深度安全评估、关键基础设施模拟、安全防护技术验证、安全攻防实验提供灵活的可扩展的解决方案。     

基于测试床模拟的通用安全评估框架

随着信息安全等级保护工作在国内的推进,信息安全测评技术趋向成熟,测试床在测评机构建设过程中已成为硬实力和软实力的象征。如何对目标信息系统进行深层次安全评估,如何对关键基础设施进行安全评估,安全防护措施是否真的起到应有的防护效用,系统安全防护是否在攻防博弈中占据优势是等级保护测评、建设、整改需要解决的关键问题。文章从信息安全评估的角度出发,在对已有软硬件资源整合的基础上,采用流程用例、算法用例、数据处理用例、测试用例的规约进行评估业务流程的规范和整合,提出了基于测试床模拟的通用安全评估框架,为深度安全评估、关键基础设施模拟、安全防护技术验证、安全攻防实验提供灵活的可扩展的解决方案。     

中国石油天然气集团公司全面开展信息安全等级保护工作为信息化建设保驾护航

近年来,为保障企业信息化健康、快速发展,确保生产业务安全高效运行,中国石油天然气集团公司（以下简称中国石油）高度重视重要信息系统安全保障工作。以开展信息安全等级保护工作为抓手,全面梳理业务信息系统,开展信息系统定级备案、等级测评、安全建设整改和安全检查等一系列工作,制定重要信息系统应急处置预案并组织演练,完善灾难恢复机制,建立重要信息系统安全监控机制,与信息安全专业技术单位建立战略合作联盟,全面推动中国石油重要信息系统安全建设,取得了很大成效。     

内蒙古自治区出台《计算机信息系统安全保护办法》

2012年年初,内蒙古自治区出台了《内蒙古自治区计算机信息系统安全保护办法》（以下简称《办法》）,该办法依据《信息安全等级保护管理办法》的具体内容和要求,对信息安全等级保护的各项_T作进行了具体规定,并进一步明确了信息系统等级测评、信息安全服务机构管理、特殊功能信息技术产品管理以及违反《办法》相关规定应承担的法律责任。一是明确了信息系统等级测评工作。     

国家电网公司全面落实信息安全等级保护制度信息安全保障能力显著提高

国家电网公司以开展国家发展改革委高技术产业发展项目《电网信息安全等级保护纵深防御示范工程》为契机,按照国家信息安全等级保护制度要求,结合电网特色,努力探索,认真实践,在等级保护定级备案、安全建设整改和国产信息安全产品应用等方面取得了显著成效,极大地提升了电网信息网络安全防护能力。国家电网公司在贯彻落实信息安全等级保护工作中,领导高度重视,职能部门狠抓落实,按照《信息系统安全等级保护基本要求》等相关标准,结合电网特色,深化标准,明确要求,并将等级保护工作纳入日常电网安全运行工作,全面建成了信息安全等级保护纵深防御体系,为全国深入推进信息安全等级保护工作积累了宝贵经验。     

基于信息安全等级保护的安全测评服务框架研究

在等级保护工作全面开展的大背景下,等级测评机构如何发挥更大的技术支撑作用引起了业界广泛的关注。文章分析了等级保护工作面临的新挑战,提出了基于信息安全等级保护的安全测评服务框架。安全测评服务框架以信息安全相关标准为基础,以信息安全等级保护实施流程为时间线,针对信息系统备案单位在不同阶段的安全需求及工作重点开展有针对性的安全测评服务,提升信息系统备案单位信息安全管理水平及信息系统安全防护能力。等级测评机构可以通过安全测评服务框架充分发挥其信息安全专业机构的技术能力,在等级保护工作中发挥更大作用。     

安全管理中心技术实现方法研究

针对信息网日益突出的安全隐患,本文依据国家标准《信息安全技术信息系统等级保护安全设计技术要求》提出一种安全管理的技术平台实施方案。该方案从基础防护建设决策支持、安全有效性监管以及安全事件处理等方面,来满足管理者和技术人员的需求。     

基于等保2.0标准的互联网医院信息系统安全建设

随着我国经济及技术的快速发展,医院服务模式也在不断创新,其业务范围逐渐向互联网延伸,这就对医院网络系统安全建设提出新的挑战。相关部门发布了《信息安全技术网络安全等级保护基本要求》,将基础信息网络、信息系统、云计算平台、大数据平台、移动互联、物联网等作为等级保护对象,在原有通用安全要求的基础上新增了安全扩展要求,标志着我国网络安全等级保护工作正式进入"2.0时代"。等保2.0标准的出台,为互联网医院系统安全建设指明了方向,医院需要根据自身业务发展的需要对信息系统进行升级改造,以满足医院发展需求,从而促进自身信息系统安全水平。     

浅析专网安全防护系统实现

通过对专网涉密信息系统的分析研究,从网络运行安全、信息安全和安全保密管理等方面综合考虑。依照等级化保护进行安全防护体系设计与实现,保证涉密网中传输数据信息的安全性、完整性、真实性及抗抵赖性,形成事前防护,事中安全检测,事后审计取证于一体的安全防护体系,达到实体安全、应用安全、系统安全、管理安全,以满足专网涉密信息系统安全防护要求。     

信息安全产品等级与信息系统安全等级的关系

信息系统的等级是从管理的角度,根据信息系统的重要程度和遭到破坏后的危害程度,将信息系统分为五个安全等级。信息安全产品的等级是从信息安全技术的角度,在安全功能要求和安全保证要求两个方面,将信息安全产品分为五个等级。两者在安全防护能力的目标和要求上,是一致的。但是两者的安全等级有着本质上的不同。信息系统的等级,强调的是安全的最终结果,信息安全产品的等级,强调的是安全技术本身。达到了相应等级的信息安全产品,并不是都能够使用在相应等级的信息系统中。通过判断信息安全产品是否可信,在多大程度上可信,能够弥补产品技术等级的缺陷。     

基于等级保护的邮件系统网络安全防护措施与实践

信息安全等级保护是国家信息安全保障工作的基本制度,是信息系统安全防护的基本要求,主要通过部署软硬件并正确配置其安全功能来实现。按照《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)中二级等保的要求,分析了原有电子邮件系统的不足,通过改造邮件系统网络结构,配置符合要求的安全策略,并从网络安全、主机安全、备份恢复三个层面,对海洋业务中原有的邮件系统,提出有针对性的安全解决方案。通过实践检验和分析,该方案有效地加强了邮件系统的安全性、稳定性。     

公安部信息安全等级保护工作现场会在国土资源部召开

为进一步推动信息安全等级保护安全建设整改工作的开展,交流安全建设整改工作典型经验。6月10日,公安部网络安全保卫局在国土资源部信息中心组织召开了信息安全等级保护工作现场会。国家信息安全等级保护安全建设指导专家委员会专家和相关行业、部门代表等30多人参加了会议。会议由公安部网络安全保卫局赵林副主任主持,国土资源部党组成员、办公厅主任冀文林同志出席会议并讲话。     

国家信息安全等级保护政策中等级概念之间相互关系的分析

信息安全等级保护制度实施以来,在多个政策文件和技术标准中出现了等级的概念,本文分析和说明了信息系统重要程度等级、监督管理强度等级、安全保护能力等级概念之间的区别,并给出了在系统定级、安全保护和监督管理环节中上述等级概念之间的逻辑关系。