共查询到20条相似文献,搜索用时 375 毫秒
1.
在等级保护工作全面开展的大背景下,等级测评机构如何发挥更大的技术支撑作用引起了业界广泛的关注。文章分析了等级保护工作面临的新挑战,提出了基于信息安全等级保护的安全测评服务框架。安全测评服务框架以信息安全相关标准为基础,以信息安全等级保护实施流程为时间线,针对信息系统备案单位在不同阶段的安全需求及工作重点开展有针对性的安全测评服务,提升信息系统备案单位信息安全管理水平及信息系统安全防护能力。等级测评机构可以通过安全测评服务框架充分发挥其信息安全专业机构的技术能力,在等级保护工作中发挥更大作用。 相似文献
2.
等级测评的技术测评报告是国家信息安全职能部门监督、检查信息系统运营使用单位执行信息安全等级保护制度情况的重要参考。本文设计了一个等级测评自动评价系统,该系统采用面向对象的知识分析方法,构建了等级测评知识库体系。同时,提出了拓扑结构展示和业务流程展示方法,并给出了基于知识库的等级测评自动评价系统的基本规则。该系统给出了一种等级测评自动评价过程,弥补了人工主观评价测评结果的缺陷,能够利用事实型知识、过程型知识以及规则型知识自动形成单个测评项的测评结果,结合业务流程与渗透测试情况进行关联分析和自动处理,进而得到单个测评项的关联分析结果和安全控制测评结果,并形成等级测评结论,实现了测评结论的准确性、可重现性和客观性。 相似文献
3.
4.
5.
服务器操作系统作为关键业务应用和重要信息数据的承载平台,在信息安全保障体系中处于非常关键的位置。文章从服务器操作系统安全入手,结合等级保护要求,分析等级保护中各级操作系统安全要求,重点阐述了在等级保护测评方面对服务器操作系统的测评标准及存在问题,同时也提出了对于等级保护测评标准及测评方法的修改建议。 相似文献
6.
信息系统等级保护制度是我国加强信息系统安全防护的重要措施,电子政务外网运行着电子政务的公共服务业务,开展等级保护与等级保护测评非常必要,政务外网[2011]15号文要求开展电子政务外网的等级保护与等级保护测评工作。该文就政务外网某网络系统开展等级保护测评为例,探讨等级保护的定级、测评对象与测评机构的选择、测评内容与方法的确定、骨干网络系统的漏洞测试、安全整改等内容。本次测评在属地电子政务行业产生了良好的示范效应。 相似文献
7.
李劲雄 《网络安全技术与应用》2021,(3):9-11
渗透测试作为网络安全等级保护测评的一种补充和验证,能够对等保测评的风险判定和结论形成提供有力的支撑。本文从渗透测试的方法、使用的工具、实施流程和结果等方面,阐述了渗透测试在网络安全等级保护测评中的应用以及对于等级保护测评结论的影响,为等级保护中的渗透测试实施和结果的应用提供了参考。 相似文献
8.
9.
质量控制是等级测评活动公正性、客观性和保密性的根本保证。当前,国内还没有形成以等级测评活动为主体的质量管理体系标准,对等级测评活动过程中的质量控制,成为等级测评工作研究的重点难点。论文通过对信息系统安全等级保护政策法规体系和标准规范体系的研究,对等级测评活动的质量控制进行了分析,给出了具体实施建议和参考。 相似文献
10.
11.
基于GB17859-1999标准体系的风险评估方法 总被引:1,自引:0,他引:1
在信息系统的安全问题上,只能追求适度的安全风险。安全风险要适度,就必须正确选择系统的保护等级,而确定安全保护等级的基本方法是进行风险评估。文章首先介绍国内外信息系统安全等级保护的相关标准,着重论述了我国的GB17859-1999等级保护标准体系。在此基础上,提出了基于该标准体系进行信息系统等级保护风险评估的模型及方法。 相似文献
12.
信息系统等级保护测评实践 总被引:25,自引:25,他引:0
该文针对社会发展对信息化的依赖程度越来越高,而保障重要信息系统安全也是维护国家安全、保障社会稳定的重要组成部分这一事实.随着重要信息系统等级保护工作的深入,信息系统等级自测评与差距分析得到了广泛重视.文章系统阐述了自测评实践中的基本流程、测评方法与测评成果. 相似文献
13.
14.
针对云计算中心的安全需求探讨云安全防护体系的设计框架和建设架构,并论述等级保护背景下如何做好云计算中心的安全防护工作。从其本质上看,云计算中心仍然是一类信息系统,需要依照其重要性不同分等级进行保护。云计算中心的安全工作必须依照等级保护的要求来建设运维。云安全框架以云安全管理平台为中心,综合安全技术和管理运维两个方面的手段确保系统的整体安全。在安全技术方面,除了传统的物理安全、网络安全、主机安全、应用安全、数据安全、备份恢复等保障措施,还需要通过虚拟化安全防护技术和云安全服务来应对云计算的新特征所带来的安全要求。 相似文献
15.
16.
17.
文章提出了一种针对国产通用基础软件的等级保护测评原型。该原型在深入对比分析国内外主要等级保护相关标准的基础上,充分考虑了国产通用基础软件自身的特点。原型的内容既涵盖了软件代码、体系结构风险等常规软件安全测试项目,还包括了身份鉴别、访问控制、完整性等等级保护中的要求。本文提出的测评原型既可以为建立国产通用基础软件的安全测试标准体系提供参考,也可以用来指导国产通用基础软件的安全性测试工作。 相似文献
18.
信息技术的发展使得政府和军队相关部门对信息系统安全问题提出更高要求。涉密信息系统安全有其独特性,风险评估区别于普通信息安全系统。文章以涉密信息系统为研究对象,首先阐述涉密信息系统的特点,针对其独特性对现有信息安全风险评估方法进行分析评价。然后将基于层析分析法的评估模型引入到涉密信息系统安全风险评估中。为涉密信息系统进行风险评估提供一种新的技术思路。最后通过实例分析,所提模型在处理涉密信息系统评估过程中对得到的离散数据分布无要求,与德菲尔法以及 BP 神经网络相比,该模型具有一定实用性和可扩张性,适合用于实际地涉密信息系统风险评估中。 相似文献
19.
文章分析了在等级保护过程中进行威胁建模的必要性,结合《实施指南》提出一种基于威胁建模的软件安全需求分析方法,通过威胁一攻击图(TAG)评估攻击,根据评估结果及《基本要求》确定应对方案,将等级保护思想融入到软件安全设计阶段中,使得应对方案能更高效地改进软件设计以增强软件安全性,并通过实际案例对本方法进行了验证。 相似文献
20.
分析国外信息基础设施关键性评价方法审视我国等级保护定级工作 总被引:2,自引:0,他引:2
文章通过分析比较关键信息基础设施保护对象与中国等级保护对象,研究国际基础设施关键性评价方法,反思中国等级保护定级理论和工作方法,提出了进一步改进等级保护定级工作对策和建议。 相似文献