信息安全产品可信程度的确定

公安部、国家保密局、国家密码管理工作办公室和国务院信息办联合签发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)，提出“国家对信息安全产品的使用实行分等级管理”和“对信息系统中使用的信息安全产品的等级进行监督检查”。这些意见确定了在信息安全等级保护工作中，国家对信息安全产品管理的基本思路和基本要求。如何落实这些思路和要求，是一个值得探讨的问题。     

从信息安全等级保护看我国信息安全产品现状

随着我国信息安全等级保护制度的建立信息安全等级保护工作的不断推进信息系统对信息安全产品各种要求内涵在不断延伸．对信息安全产品的可控性、可靠性．安全性和可监督性要求越来越高。我国现有信息安全产品现状如何．能否满足信息安全等级保护的需要．如何生产出符台信息安全等级保护需要的产品等等都是我国信息安全界普遍关心的问题。     

信息安全保障建设中的等级保护

2004年9月15日由公安部、国家保密局、国家密码管理局和国信办联合下发《关于信息安全等级保护工作的实施意见》(66号文件),明确实施等级保护的基本做法。2007年6月22日又由四单位联合下发《信息安全等级保护管理办法》(43号文件),规范了信息安全等级保护的管理。等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的,它是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。     

信息安全等级保护试点工作的几点体会

阐述了信息安全等级保护工作的重要性,给出了信息安全等级保护试点系统的定级和测评实例,以基于灰色系统理论的灰关联分析方法对测评结果进行了计算分析,试点系统基本符合所定安全等级保护的要求。最后结合对信息安全等级保护试点工作的感受提出了几点建议。     

浅析信息安全中的等级保护与分级保护

为了保证涉密网络中的信息安全,国家保密法要求对涉密信息实施等级保护与分级保护.本文分别介绍信息安全中的等级保护和分级保护体系,探讨分级保护与等级保护的关系.     

电力信息安全保障解决方案及趋势分析

多层次的保护要求 目前在国家层面,已经出台了等级保护实施工作的指导文件：包括《信息安全等级保护管理办法》、《信息安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》等,作为符行业丌糕等级保护工作的基本依据：而在各大行业中,需要依据自己的情况与特点,制订出适用于行业的等级保护工作方法。     

首届全国信息安全等级保护技术研讨会(ICSP’2012)征文通知

基础信息网络与重要信息系统是国家关键基础设施,面临着日益严峻的威胁与挑战。信息安全等级保护制度是我国信息安全保障工作的基本制度,开展信息安全等级保护工作是保护我国信息化健康发展、维护基础信息网络与重要信息系统安全的根本保障。信息安全等级保护制度在实施过程中涉及到许多关键技术和产品,迫切需要开展针对关键技术、产品的研究和攻关,建立起以等级保护技术为核心的信息安全技术体系,推动等级保护工作的     

信息系统安全等级保护与项目管理

信息安全等级保护制度是我国在信息安全领域的一项基本的政策。等级保护的实施将对信息系统建设的项目管理带来重要的变化，符合等级保护的要求是等级保护制度下的项目管理的一项重要目标，成功的项目管理也是信息系统建设达到等级保护要求的必经途径。     

解读国标《信息系统等级保护安全设计技术要求》

国家标准《信息安全技术信息系统等级保护安全设计技术要求》是根据中国信息安全等级保护的实际需要,按照信息安全等级保护对信息系统安全整改的要求制订的,对信息系统等级保护安全整改阶段技术方案的设计具有指导和参考作用。本文主要对第二级至第四级系统安全保护环境设计及系统安全互联设计技术要求进行解读,并给出设计示例,以帮助读者学习和理解该标准,并推进贯彻与实施。     

信息安全分级认证推进大会隆重召开

日前,由国务院信息化工作办公室网络与信息安全组指导,中国信息安全产品测评认证中心主办,中国信息产业商会信息安全产业分会协办的“第三届中国信息安全论坛·信息安全分级认证推进大会”在京举行。会议重点围绕落实等级保护策略,推进信息安全产品分级认证,增强国内企业自身技术实力及市场竞争力等焦点问题问题进行了广泛探讨,并就信息安全产品分级认证的用户需求及2005年中国信息安全产品等级保护和分级认证的发展趋势进行了深入研究。会上,中国信息安全产品测评认证中心为近期通过测评认证的四川移动网上营业厅系统等2个信息安全系统、长…     

多级安全的网络安全通信模式以及关键技术分析

信息系统实施分级保护机制以后,可以搭建起严谨的隔离与保护壁垒,构成数据孤岛。在实施等级保护中,必须要解决的问题就是信息系统之间的沟通。要满足信息系统之间的沟通,必须依靠网络安全通信。要实现等级保护环境中信息系统的通信需求,就必须深入探索面向多级安全的网络安全通信模式。     

等级保护思想在烟草行业信息安全体系建设的研究及应用

随着信息技术的高速发展,烟草行业对信息系统的依赖日益加深,面临的信息安全风险也与日剧增。为切实降低信息安全风险,文章引入等级保护思想,通过剖析思想特点、实施路径,研究等级保护与信息安全体系的业务融合关系,构建符合烟草特性的信息安全体系。     

物联网技术对传统等级保护测评工作带来的一些影响

信息化技术飞速发展,使得各类信息系统与网络设备迅速增加,由此带来的信息安全问题变得异常突出。信息安全等级保护制度是国家信息安全保障工作的基本制度和基本战略,等保测评是用来检验和评价信息系统安全保护水平的重要方法。新技术的出现给传统等保测评技术带来了新的挑战。本文以当下最热门的物联网技术为代表,探讨新技术发展对传统等保工作产生的影响。     

基于等级保护的财政信息系统安全建设探讨

以我国信息安全等级体系规范和标准为基础,分析财政信息系统的安全保护等级模型,讨论和设计财政信息系统网络安全域的划分和等级保护方案,提出方便有效地进一步完善财政信息系统安全的保障措施。     

基于域划分和接口分离的涉密信息系统边界防护技术

针对当前涉密系统互联互通需求,将涉密信息系统不同的安全域进行划分能够明确不同安全域的边界和各个安全域的职责。文章提出一种划分方式,这种划分有助于选择适当的安全域边界防护策略和安全域间的信息交换的进行。接着提出一种基于接口分离和归一化的安全域边界防护方法,降低涉密信息系统的安全保密管理成本,增强涉密信息系统的安全性。     

基于层次分析涉密信息系统风险评估

信息技术的发展使得政府和军队相关部门对信息系统安全问题提出更高要求。涉密信息系统安全有其独特性,风险评估区别于普通信息安全系统。文章以涉密信息系统为研究对象,首先阐述涉密信息系统的特点,针对其独特性对现有信息安全风险评估方法进行分析评价。然后将基于层析分析法的评估模型引入到涉密信息系统安全风险评估中。为涉密信息系统进行风险评估提供一种新的技术思路。最后通过实例分析,所提模型在处理涉密信息系统评估过程中对得到的离散数据分布无要求,与德菲尔法以及 BP 神经网络相比,该模型具有一定实用性和可扩张性,适合用于实际地涉密信息系统风险评估中。     

浅谈医院等级保护的建设

随着医院业务系统对信息化依赖程度的提高,信息安全影响医院业务系统是否能正常运行,一旦医院的信息系统出现故障,医院将面临巨大损失;同时医院数据中包含大量患者私密信息,如果信息泄露,将对医院和患者造成负面影响。近期医院信息安全事故频发,医院信息安全等级保护已经成为了医院信息化系统建设的重点。     

等级保护三级操作系统标准的自主访问控制实现

访问控制是安全操作系统必备的功能之一,从访问控制入手,介绍了自主访问控制的概念、特点、类型,对自主访问控制的原理和实施机制进行研究分析,同时结合信息安全等级保护中对操作系统访问控制的技术要求,重点介绍了符合三级标准的宿主型自主访问控制的实现方式。     

云安全防护体系架构研究

针对云计算中心的安全需求探讨云安全防护体系的设计框架和建设架构,并论述等级保护背景下如何做好云计算中心的安全防护工作。从其本质上看,云计算中心仍然是一类信息系统,需要依照其重要性不同分等级进行保护。云计算中心的安全工作必须依照等级保护的要求来建设运维。云安全框架以云安全管理平台为中心,综合安全技术和管理运维两个方面的手段确保系统的整体安全。在安全技术方面,除了传统的物理安全、网络安全、主机安全、应用安全、数据安全、备份恢复等保障措施,还需要通过虚拟化安全防护技术和云安全服务来应对云计算的新特征所带来的安全要求。     

财政信息系统安全分析和建设

以我国信息安全等级体系规范和标准为基础,分析和测试和财政信息系统的安全,讨论和设计财政信息系统网络安全域的划分和等级保护建设,提出方便有效地进一步完善财政信息系统安全的保障措施.