基于等级保护的安全运维系统的研究与设计

等级保护贯穿信息系统从设计研发、上线运维到废弃停用全生命周期的各个环节,运维是信息系统必要且关键的环节之一,文章通过对等级保护《基本要求》的理解和分析,对信息系统运维现状和产生的问题进行总结概括,研究和设计了一种安全运维系统,并介绍了该系统的设计思路、实现方法和应用前景。     

安全保护模型与等级保护安全要求关系的研究

该文指出等级保护安全建设整改需要依据技术标准落实各项技术和管理措施,建立信息系统安全防护体系将会借鉴各种流行的安全保护模型,进而分析和说明了各种流行的安全保护模型与等级保护安全要求之间的关系,给出了基于等级保护安全要求结合流行安全保护模型形成信息系统安全防护体系的思路。     

信息系统安全等级测评配置检查工具研究与实现

通过对FDCC在美国成功的案例与现有信息系统等级保护和风险评估的测评指标分析,建立广东电网公司的安全配置检查规范模型。并基于该模型,借鉴SCAP协议的设计思路设计了各种类型安全配置检查枚举库。给出安全配置测评自动化工具的系统架构、模块组成和界面设计,工具的成功研制对提升信息系统等级保护测评结果的科学性、准确性都起到了非常大的促进作用,同时加快了测评的进度,提升了工作效率。     

基于信息安全等级保护的安全测评服务框架研究

在等级保护工作全面开展的大背景下,等级测评机构如何发挥更大的技术支撑作用引起了业界广泛的关注。文章分析了等级保护工作面临的新挑战,提出了基于信息安全等级保护的安全测评服务框架。安全测评服务框架以信息安全相关标准为基础,以信息安全等级保护实施流程为时间线,针对信息系统备案单位在不同阶段的安全需求及工作重点开展有针对性的安全测评服务,提升信息系统备案单位信息安全管理水平及信息系统安全防护能力。等级测评机构可以通过安全测评服务框架充分发挥其信息安全专业机构的技术能力,在等级保护工作中发挥更大作用。     

基于虚拟机的信息系统结构安全研究

为了利用虚拟机技术建立满足《信息系统安全等级保护基本要求GB/T 22239-2008》要求的信息系统网络结构,首先分析了虚拟机的六大安全风险,然后提出了一个管理中心一个物理资源池多个虚拟安全域、一个管理中心多个物理资源池多个虚拟安全域和多个管理中心多个物理资源池多个虚拟安全域等三种虚拟机部署模式,最后以信息系统的Web服务器、应用服务器和数据库服务器部署的安全域为主要因素,提出了基于这三种虚拟机部署模式的信息系统部署架构。这三种部署架构分别满足等级保护一、二、三级的结构安全要求。     

基于组件的信息系统安全等级划分方法

为了在信息系统的安全评估工作中更好地应用《计算机信息系统安全保护等级划分准则》,该文在研究该准则与《信息技术安全技术信息技术安全性评估准则》的基础上,提出了一种基于安全组件进行安全等级划分的方法,并以前者第二等级为例给出了完整的安全描述和划分实例。     

车载信息系统的安全测评体系及方法

汽车信息系统的安全工作主要集中在分析、挖掘车载信息系统及其功能组件现存的安全漏洞及可行攻击方式的实验验证,缺乏全面、系统的车载信息系统安全测评体系及评估方法。论文在分析车载信息系统安全现状的基础之上,提出将车载信息系统的安全等级划分为：家用车载信息系统和商用车载信息系统,定义了两个等级车载信息系统的保护能力,并借鉴通用信息系统的安全等级保护要求,提出车载信息系统不同保护等级的基本安全要求,首次建立车载信息系统的安全等级测评体系。进一步建立层次化安全评估模型及算法,实现车载信息系统的定量安全评估。通过奥迪C6的安全测评案例证明,提出的等级测评体系及评估方法是可行、合理的,为分析车辆信息系统的安全状况提供支撑,填补了国内车载信息系统安全测评体系及评估方法的空白。     

解读国标《信息系统等级保护安全设计技术要求》

国家标准《信息安全技术信息系统等级保护安全设计技术要求》是根据中国信息安全等级保护的实际需要,按照信息安全等级保护对信息系统安全整改的要求制订的,对信息系统等级保护安全整改阶段技术方案的设计具有指导和参考作用。本文主要对第二级至第四级系统安全保护环境设计及系统安全互联设计技术要求进行解读,并给出设计示例,以帮助读者学习和理解该标准,并推进贯彻与实施。     

一种面向等级保护的软件安全需求分析方法研究

文章分析了在等级保护过程中进行威胁建模的必要性,结合《信息系统安全等级保护实施指南》提出一种基于威胁建模的软件安全需求分析方法,通过威胁-攻击图（TAG）评估攻击,根据评估结果及《信息系统安全等级保护基本要求》确定应对方案,将等级保护思想融入到软件安全设计阶段中,使得应对方案能更高效地改进软件设计以增强软件安全性,并通过实际案例对该方法进行了验证。     

基于WEB信息系统的安全架构研究

随着信息技术的快速发展,信息安全越来越引起广泛关注,基于Web信息系统的安全架构与策略研究也越来越深入。该文讨论了不同类型信息系统安全体系结构的特征,并研究了信息系统安全体系结构的构成要素,提出了基于Web信息系统安全架构的模型。     

等级测评中关键安全保护功能有效性测评技术研究

等级测评中关键安全保护功能是否有效保障信息系统具备相应的安全保护能力是目前等级测评需要解决的技术难点。文章结合等级测评的实际情况,以等级保护相关标准和法规政策等为基础,建立了关联测评对象与安全保护能力的有效性测评指标体系,给出了安全保护功能、控制有效性测评方法和安全保护功能综合评价方法,为信息系统具备的安全保护能力是否真实有效提供了一种确实可行的思路和判定方法。     

基于仿生控制机理的信息系统内生免疫体系研究

随着信息通信系统的架构日益复杂,承载的数据量呈指数级增长,现有的安全防护体系存在严重缺陷:先建网络、后做防护导致安全防护难以到位;集中式防御模式导致信息系统对外服务能力下降严重;防御机制与信息系统的安全状况关联不大导致防御效能低下。如何从根源上突破以上瓶颈成为未来信息系统安全的核心问题,需要改变被动式防御方式,实施主动式防御。本文提出一种基于仿生控制机理的内生免疫体系,通过研究人体的高效神经控制特征:遍布系统并与功能器官高度融合的海量神经元、由一系列基本动作为基础要素进行任务的执行、实时反馈并对偏差动作进行校准、具有大脑这样的综合分析处理中心进行分析和决策。基于上述特征构建了信息系统类神经系统控制架构,通过全方位部署安全神经元,将功能和安全融入到基本功能模块中,构建一种以任务为导向的执行动作细粒度监控机制,根据任务执行条件调用基本模块执行操作,在执行过程中感知执行路径,通过反馈发现错误,根据策略进行校准。通过对构建的仿生控制模型分析表明,这种基于仿生控制的机制能够维持信息系统的安全状态。通过构建原型系统对任务在不同策略下的运行模式进行了分析,系统包含通信模块与加解密模块,模块中融入了安...     

基于IPSEC的VPN的安全功能要求的设计与分析

《计算机信息系统安全保护等级划分准则》是我国计算机安全产品和系统必须遵循的标准,而CC是一个新的国际性通用标准,设计一个满足CC标准的网络安全产品或系统,目前国内还没有借鉴之处。文章对国际国内的安全标准现状进行了分析比较,研究了将我国的计算机信息系统安全保护等级的要求用CC标准来描述的问题,并对基于IPSEC的VPN的安全功能要求的实现进行了研究。     

基于等级保护的网络安全技术的应用研究

从物理安全、主机安全、网络安全、应用安全和数据安全五个方面介绍网络信息安全等级保护建设,结合特定的信息系统(医院信息管理系统),介绍基于等级保护的网络安全技术要求、安全策略及安全技术,可供用户的等级保护建设参考。     

国家信息安全等级保护政策中等级概念之间相互关系的分析

信息安全等级保护制度实施以来,在多个政策文件和技术标准中出现了等级的概念,本文分析和说明了信息系统重要程度等级、监督管理强度等级、安全保护能力等级概念之间的区别,并给出了在系统定级、安全保护和监督管理环节中上述等级概念之间的逻辑关系。     

浅谈二级信息系统等级测评的实施与体会

等级测评是开展信息安全等级保护工作的关键环节,是保障已定级信息系统科学、合理开展安全整改工作的主要抓手。为深化我市等级保护工作,主动应对互联网技术与信息化应用的快速发展,积极推进各重点单位开展等级测评和安全整改工作,2011年10月,我支队自主研发了“二级信息系统安全自测评平台”,通过该平台实现对全市二级信息系统等级保护工作的主动化、信息化、动态化管控,有效提升信息安全等级保护工作效能。     

基于等级保护的网络安全技术的应用研究

从物理安全、主机安全、网络安全、应用安全和数据安全五个方面介绍网络信息安全等级保护建设,结合特定的信息系统（医院信息管理系统）,介绍基于等级保护的网络安全技术要求、安全策略及安全技术,可供用户的等级保护建设参考。     

准备工作充分 信息交流互动 重庆市等级保护试点达到预期目标

1994年，国务院发布《中华人民共和国计算机信息系统安全保护条例》，规定了“重点保护国家事务、国家经济建设、国防建设、国间尖端科学技术等重要领域的信息系统的安全”；1998年，公安部会同了相关国家部门起草了《计算机信息系统安全保护等级制度建设纲要))，确立了安全保护等级制度的主要适用范围，建设目标、原则任务和实施步骤及措施等主要问题；1999年，国家技术监督局审查通过并正式发布了强制性国标——《计算机信息系统安全保护等级划分准则》GBl7859—1999，划分了信息系统的五个保护等级；2000年，国家计委下达由公安部主持开展的《计算机信息系统安全保护等级评估认证体系及互联网络电子身份认证管理与安全保护平台试点》项目建设的任务；2003年3月，国家计委、人民银行、湖北、浙江、陕西、四川、重庆五省市先后开始信息系统安全等级保护的试点工作．     

中国石化深入开展信息安全等级保护工作有效保障企业生产业务信息系统安全

近年来，中国石化在集团公司党组的领导下，紧紧围绕公司战略发展目标，大力推进信息化建设和应用，信息系统已经成为公司生产运营和经营管理的“中枢神经系统”，保障信息系统的安全可靠运行直接关系到公司的健康发展。为此，中国石化始终坚持以信息安全等级保护工作为核心，把等级保护的相关政策和技术标准与企业自身的安全需求深度融合，采取一系列有效措施，使等级保护制度在全公司得到有效落实，有效保障了公司的生产业务信息系统安全。     

基于等级保护的中职学校信息系统网络安全研究与对策

本文从等级保护的理论概述入手，分析中职学校信息系统网络安全建设的现状及需求，结合等级保护建设要求，构建中职学校校园网全景架构图，并设计了校园信息系统安全防护工作的具体流程和措施。旨在通过基于等级保护2.0的安全建设实践，提升中职学校信息系统安全建设的整体水平，更有效的控制复杂的校园网络安全风险。