基于信息安全等级保护的安全测评服务框架研究

在等级保护工作全面开展的大背景下,等级测评机构如何发挥更大的技术支撑作用引起了业界广泛的关注。文章分析了等级保护工作面临的新挑战,提出了基于信息安全等级保护的安全测评服务框架。安全测评服务框架以信息安全相关标准为基础,以信息安全等级保护实施流程为时间线,针对信息系统备案单位在不同阶段的安全需求及工作重点开展有针对性的安全测评服务,提升信息系统备案单位信息安全管理水平及信息系统安全防护能力。等级测评机构可以通过安全测评服务框架充分发挥其信息安全专业机构的技术能力,在等级保护工作中发挥更大作用。     

基于测评知识库的自动评价系统研究

等级测评的技术测评报告是国家信息安全职能部门监督、检查信息系统运营使用单位执行信息安全等级保护制度情况的重要参考。本文设计了一个等级测评自动评价系统,该系统采用面向对象的知识分析方法,构建了等级测评知识库体系。同时,提出了拓扑结构展示和业务流程展示方法,并给出了基于知识库的等级测评自动评价系统的基本规则。该系统给出了一种等级测评自动评价过程,弥补了人工主观评价测评结果的缺陷,能够利用事实型知识、过程型知识以及规则型知识自动形成单个测评项的测评结果,结合业务流程与渗透测试情况进行关联分析和自动处理,进而得到单个测评项的关联分析结果和安全控制测评结果,并形成等级测评结论,实现了测评结论的准确性、可重现性和客观性。     

信息安全等级保护测评机构的法律责任问题

实行信息安全等级保护是信息安全保障的重要方法,信息安全等级测评是信息安全等级保护的重要环节。本文讨论了测评机构的设立条件和应当履行的义务,分析了测评机构应当承担的法律责任,提出了制定和完善现有法律法规的建议。     

电力信息安全等级保护测评平台的设计与实现

介绍了电力信息安全等级保护测评平台的具体设计和实现方法。平台基于国家信息安全等级保护标准规范和技术要求,实现了等级测评的过程管理、结果评价和统计分析等功能,并充分考虑了电力行业信息系统的特征。平台具有集成性、自动化和可扩展性等特点,能够有效提高电力信息安全等级保护测评的工作效率。     

服务器操作系统的测评方法

服务器操作系统作为关键业务应用和重要信息数据的承载平台,在信息安全保障体系中处于非常关键的位置。文章从服务器操作系统安全入手,结合等级保护要求,分析等级保护中各级操作系统安全要求,重点阐述了在等级保护测评方面对服务器操作系统的测评标准及存在问题,同时也提出了对于等级保护测评标准及测评方法的修改建议。     

电子政务外网等级保护测评探讨

信息系统等级保护制度是我国加强信息系统安全防护的重要措施,电子政务外网运行着电子政务的公共服务业务,开展等级保护与等级保护测评非常必要,政务外网[2011]15号文要求开展电子政务外网的等级保护与等级保护测评工作。该文就政务外网某网络系统开展等级保护测评为例,探讨等级保护的定级、测评对象与测评机构的选择、测评内容与方法的确定、骨干网络系统的漏洞测试、安全整改等内容。本次测评在属地电子政务行业产生了良好的示范效应。     

网络安全等级保护测评中渗透测试的应用

渗透测试作为网络安全等级保护测评的一种补充和验证,能够对等保测评的风险判定和结论形成提供有力的支撑。本文从渗透测试的方法、使用的工具、实施流程和结果等方面,阐述了渗透测试在网络安全等级保护测评中的应用以及对于等级保护测评结论的影响,为等级保护中的渗透测试实施和结果的应用提供了参考。     

农业部信息系统等级测评的成功经验和典型范例研究

文章简要地介绍了金农工程在农业信息化建设进程中的作用和农业信息安全等级保护建设的背景;对金农工程建设过程中所落实的信息安全等级保护工作进行了全面的介绍;阐述了等级保护在金农工程中所发挥的作用;对等级保护建设和测评工作中的体会进行了总结。实践证明,等级保护政策对金农工程一期项目的整体安全保障发挥了重要作用。     

石化等级测评活动的质量控制浅析

质量控制是等级测评活动公正性、客观性和保密性的根本保证。当前,国内还没有形成以等级测评活动为主体的质量管理体系标准,对等级测评活动过程中的质量控制,成为等级测评工作研究的重点难点。论文通过对信息系统安全等级保护政策法规体系和标准规范体系的研究,对等级测评活动的质量控制进行了分析,给出了具体实施建议和参考。     

信息安全等级保护试点工作的几点体会

阐述了信息安全等级保护工作的重要性,给出了信息安全等级保护试点系统的定级和测评实例,以基于灰色系统理论的灰关联分析方法对测评结果进行了计算分析,试点系统基本符合所定安全等级保护的要求。最后结合对信息安全等级保护试点工作的感受提出了几点建议。     

基于GB17859-1999标准体系的风险评估方法

在信息系统的安全问题上,只能追求适度的安全风险。安全风险要适度,就必须正确选择系统的保护等级,而确定安全保护等级的基本方法是进行风险评估。文章首先介绍国内外信息系统安全等级保护的相关标准,着重论述了我国的GB17859-1999等级保护标准体系。在此基础上,提出了基于该标准体系进行信息系统等级保护风险评估的模型及方法。     

信息系统等级保护测评实践

该文针对社会发展对信息化的依赖程度越来越高,而保障重要信息系统安全也是维护国家安全、保障社会稳定的重要组成部分这一事实.随着重要信息系统等级保护工作的深入,信息系统等级自测评与差距分析得到了广泛重视.文章系统阐述了自测评实践中的基本流程、测评方法与测评成果.     

物联网技术对传统等级保护测评工作带来的一些影响

信息化技术飞速发展,使得各类信息系统与网络设备迅速增加,由此带来的信息安全问题变得异常突出。信息安全等级保护制度是国家信息安全保障工作的基本制度和基本战略,等保测评是用来检验和评价信息系统安全保护水平的重要方法。新技术的出现给传统等保测评技术带来了新的挑战。本文以当下最热门的物联网技术为代表,探讨新技术发展对传统等保工作产生的影响。     

云安全防护体系架构研究

针对云计算中心的安全需求探讨云安全防护体系的设计框架和建设架构,并论述等级保护背景下如何做好云计算中心的安全防护工作。从其本质上看,云计算中心仍然是一类信息系统,需要依照其重要性不同分等级进行保护。云计算中心的安全工作必须依照等级保护的要求来建设运维。云安全框架以云安全管理平台为中心,综合安全技术和管理运维两个方面的手段确保系统的整体安全。在安全技术方面,除了传统的物理安全、网络安全、主机安全、应用安全、数据安全、备份恢复等保障措施,还需要通过虚拟化安全防护技术和云安全服务来应对云计算的新特征所带来的安全要求。     

浅谈信息安全产品标准如何体现等级保护的要求

文章从国家等级保护系统建设的基本要求出发,结合作者在信息安全产品检测以及系统测评中的实际经验,阐述了以等级保护要求为基础实施信息安全产品分级管理的必要性,并就信息安全产品标准分级实施的可行性及方法进行了探讨。     

安全保护模型与等级保护安全要求关系的研究

该文指出等级保护安全建设整改需要依据技术标准落实各项技术和管理措施,建立信息系统安全防护体系将会借鉴各种流行的安全保护模型,进而分析和说明了各种流行的安全保护模型与等级保护安全要求之间的关系,给出了基于等级保护安全要求结合流行安全保护模型形成信息系统安全防护体系的思路。     

通用基础软件等级保护测评原型的研究

文章提出了一种针对国产通用基础软件的等级保护测评原型。该原型在深入对比分析国内外主要等级保护相关标准的基础上,充分考虑了国产通用基础软件自身的特点。原型的内容既涵盖了软件代码、体系结构风险等常规软件安全测试项目,还包括了身份鉴别、访问控制、完整性等等级保护中的要求。本文提出的测评原型既可以为建立国产通用基础软件的安全测试标准体系提供参考,也可以用来指导国产通用基础软件的安全性测试工作。     

基于层次分析涉密信息系统风险评估

信息技术的发展使得政府和军队相关部门对信息系统安全问题提出更高要求。涉密信息系统安全有其独特性,风险评估区别于普通信息安全系统。文章以涉密信息系统为研究对象,首先阐述涉密信息系统的特点,针对其独特性对现有信息安全风险评估方法进行分析评价。然后将基于层析分析法的评估模型引入到涉密信息系统安全风险评估中。为涉密信息系统进行风险评估提供一种新的技术思路。最后通过实例分析,所提模型在处理涉密信息系统评估过程中对得到的离散数据分布无要求,与德菲尔法以及 BP 神经网络相比,该模型具有一定实用性和可扩张性,适合用于实际地涉密信息系统风险评估中。     

面向等级保护的软件安全需求分析方法研究

文章分析了在等级保护过程中进行威胁建模的必要性,结合《实施指南》提出一种基于威胁建模的软件安全需求分析方法,通过威胁一攻击图（TAG）评估攻击,根据评估结果及《基本要求》确定应对方案,将等级保护思想融入到软件安全设计阶段中,使得应对方案能更高效地改进软件设计以增强软件安全性,并通过实际案例对本方法进行了验证。     

分析国外信息基础设施关键性评价方法审视我国等级保护定级工作

文章通过分析比较关键信息基础设施保护对象与中国等级保护对象,研究国际基础设施关键性评价方法,反思中国等级保护定级理论和工作方法,提出了进一步改进等级保护定级工作对策和建议。