网络安全等级保护测评中测评结论的度量方法优化

文章分析了网络安全等级保护2.0时期国家标准的新变化对等级测评结论可能产生的影响,并用实际案例和数据论述了以往描述的基于测评指标和基于测评对象的定量分析方法存在的局限性。根据网络安全等级保护国家标准结构和内容的新特点,结合新的等级测评结论表述方法,文章提出了调整和优化定量计算产生等级测评结论的思路,给出了缺陷扣分的原理和缺陷扣分的定量计算方法,并比较了各种定量计算方法在计算结果上的差异,提出了适合新标准的测评结论定量计算公式。     

基于信息安全等级保护的安全测评服务框架研究

在等级保护工作全面开展的大背景下,等级测评机构如何发挥更大的技术支撑作用引起了业界广泛的关注。文章分析了等级保护工作面临的新挑战,提出了基于信息安全等级保护的安全测评服务框架。安全测评服务框架以信息安全相关标准为基础,以信息安全等级保护实施流程为时间线,针对信息系统备案单位在不同阶段的安全需求及工作重点开展有针对性的安全测评服务,提升信息系统备案单位信息安全管理水平及信息系统安全防护能力。等级测评机构可以通过安全测评服务框架充分发挥其信息安全专业机构的技术能力,在等级保护工作中发挥更大作用。     

信息系统等级保护测评

随着互联网技术的快速发展,信息系统对政府、机构、企业的日常工作和生产起到越来越重要的作用,信息系统的安全性、可用性和连续性越来越受到重视。开展信息系统的等级保护测评工作是评测系统安全性的必要手段,是检验系统整体的安全部署是否完善的有效方法。     

电子政务外网等级保护测评探讨

信息系统等级保护制度是我国加强信息系统安全防护的重要措施,电子政务外网运行着电子政务的公共服务业务,开展等级保护与等级保护测评非常必要,政务外网[2011]15号文要求开展电子政务外网的等级保护与等级保护测评工作。该文就政务外网某网络系统开展等级保护测评为例,探讨等级保护的定级、测评对象与测评机构的选择、测评内容与方法的确定、骨干网络系统的漏洞测试、安全整改等内容。本次测评在属地电子政务行业产生了良好的示范效应。     

信息系统等级测评中网络安全测评初探

随着信息技术的飞速发展和广泛应用,信息系统在给人们日常工作带来便利的同时,也面临着十分严峻的网络安全问题。网络安全测评是等级测评实施中的一个重要组成部分,它能够帮助系统运维、使用单位及时发现信息系统中存在的网络安全问题。本文简要介绍了网络安全测评的内容、方法及工作流程,并对网络安全测评实施中需要注意的问题进行了论述。     

信息安全等级保护技术测评常见问题的分析与对策

近年来,我国信息安全形势严峻,黑客攻击、病毒感染、信息泄密等安全问题日益突出,威胁着我国的社会稳定和国家安全。信息安全等级保护是保障我国信息安全的基本制度。通过对被测信息系统进行测评,可以帮助被测单位验证信息系统是否具备相应安全保护能力,提高其信息安全建设和保障能力。文章着重阐述了被测三级信息系统（S3A3G3）技术测评中普遍存在的一些安全问题,分析了其形成原因,探讨了相应的解决对策。     

气象信息系统等级保护测评实践

随着信息化的不断推进,气象信息业务系统有了很大的发展,信息系统的安全性、可用性越来越受到重视。以宁夏气象局三级信息系统为例,从信息系统情况调研、等级测评、系统加固等方面,阐述了信息系统安全等级保护主要内容。     

信息系统等级保护测评实践

该文针对社会发展对信息化的依赖程度越来越高,而保障重要信息系统安全也是维护国家安全、保障社会稳定的重要组成部分这一事实.随着重要信息系统等级保护工作的深入,信息系统等级自测评与差距分析得到了广泛重视.文章系统阐述了自测评实践中的基本流程、测评方法与测评成果.     

信息安全等级保护中等级测评的CAE建模

CAE模型具有很强的层次性与结构性,被广泛用于复杂的信息安全测评过程中.采用CAE模型对等级测评的过程进行建模,将测评过程的多个层面简化为声明论据证据三种层次,并从测评指标的选择和测评结果的融合两个方面具体说明了CAE模型的作用.结果表明等级测评的过程完全可以归纳入CAE模型中,等级测评的过程与CAE模型的分解和推理过程是一致的,进一步验证了信息安全等级保护标准支持下的等级测评的有效性和合理性.     

网络安全等级保护测评中的网络及通信安全测评

2019年颁布的《信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)》(信安字[2019]12号)[1]在原有《网络安全等级保护基本要求(GB/T 22239-2008)》(信安字[2007]12号)[2]基础上进行了修订,使之更加切合当今中国的网络环境。针对新修版中的网络和通信安全层面部分内容,如:通信传输、边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范等控制点安全测评进行了综述,分析了与旧版之间的区别和重要改变,并将今后网络和通信安全测评的主要方法和思路进行了总结。对等保2.0时代的网络和通信安全测评工作有一定的借鉴意义。     

等级保护在信息安全中的应用研究

信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。本文介绍了等级保护重要性和划分原理。以及等级保护在一些行业中的应用。     

对美国信息系统等级化保护的探讨

信息安全等级保护制度是我国在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于印发(关于信息安全等级保护工作的实施意见)的     

面向等级保护的软件安全需求分析方法研究

文章分析了在等级保护过程中进行威胁建模的必要性,结合《实施指南》提出一种基于威胁建模的软件安全需求分析方法,通过威胁一攻击图（TAG）评估攻击,根据评估结果及《基本要求》确定应对方案,将等级保护思想融入到软件安全设计阶段中,使得应对方案能更高效地改进软件设计以增强软件安全性,并通过实际案例对本方法进行了验证。     

基于等级保护的智能电网信息安全防护模型研究

在分析电力信息系统安全等级保护建设情况的基础上,结合智能电网信息安全需求,提出一种基于等级保护的智能电网信息安全防护模型,从物理、终端、边界、网络、主机、应用和数据几方面描述针对智能电网特点的信息安全防护建议,以提升智能电网整体信息安全防御能力,对智能电网信息安全防护及建设具有一定的指导意义和作用。     

安全保护模型与等级保护安全要求关系的研究

该文指出等级保护安全建设整改需要依据技术标准落实各项技术和管理措施,建立信息系统安全防护体系将会借鉴各种流行的安全保护模型,进而分析和说明了各种流行的安全保护模型与等级保护安全要求之间的关系,给出了基于等级保护安全要求结合流行安全保护模型形成信息系统安全防护体系的思路。     

基于等级保护的言息系统综合监控及评估系统设计

在日益复杂的网络环境下,单一的数据采集方法和检测系统难以检测各种复杂的信息安全事件。文章研究如何以《信息系统安全等级保护基本要求》为标准,开发信息安全综合监控及评估系统,综合多种采集技术对源自不同设备和安全系统的信息进行融合,实现信息系统资产的实时安全监控,实现安全评估常态化,协助系统使用单位开展基础信息网络和重要业务信息系统的等级保护工作。     

属性综合评价系统在信息系统安全等级保护中的应用

本文在建立信息系统保护等级评价指标体系的基础上,应用属性综合评价系统对信息系统安全保护等级进行综合评定,为评定信息系统是否符合相应等级的保护要求提供了一种符合实际和准确的评价模型。     

基于决策支持系统辅助等保自主定级的研究

在信息安全等级保护工作中,不少企业在自主定级工作中缺乏量化的客观依据做支撑。这些企业涉及定级相关的内容大多未经充分调研,也未充分掌握定级的流程方法,导致定级过程主观性强,结果不准确。本文利用知识推理、产生式规则及程序语言,并结合可信度计算,遵循系统定级的一般过程和要求,设计了决策支持系统的主要模型并构建了辅助定级的决策支持系统,使一些半结构化问题趋向于结构化问题,得到适当解决。为了验证本文设计的决策支持系统的有效性,在某证券公司实际工作环境中使用了该系统辅助定级。辅助定级的结果表明,本文设计的决策支持系统是科学有效的。     

基于等级保护的云计算安全评估模型

云计算应用与发展中最受关注的问题之一是安全。针对云计算服务安全水平量化的需求,以我国等级保护测评要求为基础,借鉴欧美相关机构的云计算风险控制与安全评估框架,通过德尔菲法构建云计算安全评估指标体系,使用层次化分析法计算出各指标项的权重。根据设计的指标体系,将模糊综合评判引入对云计算实例的分析。实际应用表明模型能为云平台安全提供有效的量化和与评估。