《信息安全技术 云计算服务安全指南》等两项国家标准将开展试点试用

正日前,《信息安全技术云计算服务安全指南》和《信息安全技术云计算服务安全能力要求》两项国家标准已形成报批稿,并经全国信息安全标准化技术委员会主任办公会审议通过,将于近期报国家标准化管理委员会审批发布。《云计算服务安全指南》提出了政府部门云计算服务生命周期的全生命周期管理,《云计算服务安全能力要求》对政府部门使用的云计算服务提出了10类基本的安全能力要求。为配合有关部门工作需要,     

网络安全审查体系下的云基线

<正>我国的网络安全审查制度,针对的是关系国家安全和公共利益的系统所使用的重要信息技术产品和服务。在这个审查制度的框架下,主管部门还专门为政府部门云计算服务建立了一套审查工作机制。政府部门云计算服务安全审查是网络安全审查制度的一部分,沿袭了网络安全审查制度的基本思路,但突出了云计算服务的特性。我国的政府部门云计算服务安全审查制度充分参考了美国联邦政府的云计算服务安全审查制度FedRAMP(联邦风险及授权管理项目)。美国的制度中,对云计算服务的审查标准是FedRAMP云安全基线(baseline)。正是在充分借鉴这套基线的基础上,我们起草了中国的国家标准《信息安全技术云计算服务安全能力要求》,这是我国对云服务商的安全审查依据,目前标准已经报批,即将正式发布。FedRAMP云安全基线对我国的云安全审查标准有重大影响,这里分析其发展和应用情况。     

云服务安全审查标准研究取得进展

<正>网络安全审查是对关系国家安全和社会稳定信息系统中,使用的信息技术产品与服务进行测试评估、监测分析、持续监督的过程。云计算作为政府部门和重点行业采用的一种重要服务,其安全性也在审查范围内。因此,加强为政府部门和重点行业提供云服务的云服务商的审查,是保障云计算平台安全和国家信息安全的重要手段。云服务安全国家标准将为云服务安全审查提供重要依据。美国早在2009年就开始了联邦政府使用云计算的安全评估与授权的研究,并于2011年12月8日正式发布了《云计算环境中信息系统的安全授权》,建立了联邦政府风险和授权管理项目(FedRAMP),规定了对云计算安全控制措施的要     

《信息技术与标准化》出版增刊《信息安全国家标准优秀应用案例集》

正5月20日,由《信息技术与标准化》编辑部出版的增刊《信息安全国家标准优秀应用案例集》面世。增刊收录了二十三个信息安全国家标准优秀应用案例,覆盖了我国省、区、县、乡等多级政府部门和公安、税务、烟草等多个行业,以及安全技术、安全管理和安全测评等多类信息安全国家标准。增刊作为信息安全国家标准应用促进活动成果之一,其出版得到了全国信息安全标准化技术委员会秘书处的大力支持。近年来,全国信安标委先后组织了两届信息安全国家标准优秀应用案例征集活动,积极推动     

云计算服务安全审查国家标准应用试点启动

正近日,在中央网络安全和信息化领导小组办公室(以下简称"中央网信办")网络安全协调局的指导下,全国信息安全标准化技术委员会(以下简称"安标委")秘书处在北京举办了云计算服务安全审查国家标准应用试点启动会。来自杭州、襄阳、无锡、济南、成都等五个城市的网络安全和信息化主管部门负责人,以及曙光、华为、浪潮、阿里等企业和相关测评机构、科研机构等多家单位     

标准:以应用为导向

正标准作为一种可以共同使用和重复使用的规范性文件,应用是其天然使命。通常情况下,我们将可以传播新技术、增强产品互操作性、促进市场有效拓展的标准,称之为"好标准"。本期围绕如何应用和推广标准,刊发了云计算、物联网、信息安全等新一代信息技术标准最新态势。云安全在云计算普及中的重要性日益突显。为保证云应用的健康发展,我国开展了云服务提供商管理、云服务水平协议、云应用迁移等相关标准的研究。本期即刊登了《云安全联盟安全信任和保障注册项目研究》,介绍了云安全联盟安全信任和保障注册项目,并结合我国目前开展的工作,给出了相关建议。更具有实质意义的一步是,我国近日正式启动了云服务安全审查国家标准应用试点工作,正如中央网信办网络安全协调局筹备组负责人赵泽良司长在试     

全国信安标委主任办公会审查并通过五项信息安全国家标准

2009年7月22日，工信部杨学山副部长主持召开了全国信息安全标准化技术委员会主任办公会。会议审查并通过了五项信息安全国家标准报批稿：《信息安全技术公钥基础设施电子签名格式规范》、《信息安全技术鉴别与授权基于角色的访问控制模型与管理规范》、《信息安全技术公钥基础设施签名生成应用程序的安全要求》     

我国第一个服务器安全国家标准出台

国家标准化管理委员会和国家质量监督检验检疫总局联合发布的国标GB／T21028-2007《信息安全技术服务器安全技术要求》开始正式实施。这项由信息安全国家标准体系,是我国第一个服务器安全标准,填补了国内在服务器安全技术领域的空白。     

云计算环境下网络信息安全技术研究

云计算不仅能够开展数据处理工作,能够为用户提供安全、可靠的信息服务,云计算本身具备灵活性强、扩展性强、储存模式佳的特点,属于一种应用较为广泛的计算机技术。本文从云计算环境下网络信息安全影响因素入手,接着阐述了云计算环境下网络信息安全技术,最后总结了云计算环境下网络信息安全防范策略,旨在为提升网络信息安全提供参考意见。     

信息系统商用密码应用策略分析及研究

2021年3月9日,GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》[1]作为我国商用密码技术应用的国家标准正式发布。依托该标准,本文针对商用密码在信息系统中的应用现状及问题,从环境、业务、管理三个方面对密码应用需求进行了分析,并对相应的商用密码应用改进策略进行了研究。通过以环境安全为基础,以业务安全为导向,以安全管理为保障,实现密码应用的合规性,构建起网络安全的纵深防御体系,进而提升密码应用能力。     

信息安全应急响应计划规范的制定及其应用

信息安全是国家安全的重要组成部分,信息安全应急响应工作是保障信息系统安全的重要手段.阐述了应急响应和应急响应计划的基本概念,说明了信息安全应急响应计划国家标准草案的编制背景,重点介绍了<信息安全技术信息安全应急响应计划规范>国家标准草案的主要内容及其应用.     

《基于互联网电子政务信息安全指南》国标草案征求意见

全国信息安全标准化技术委员会所属的信息安全管理工作组（WG7）于2006～2007年组织了国家标准《基于互联网电子政务信息安全指南》的起草工作,该标准规定了基于互联网电子政务信息安全保障框架、系统组成、信息安全技术、信息安全评估、信息安全管理、安全接口和信息安全保护实施过程。     

云计算下网络安全技术实现的路径分析

在互联网及分布式技术不断发展的基础上,云计算越来越受到关注.云计算能够提供移动服务,即对于资源有限的设备,可以通过付费方式,经由互联网访问云计算资源池中的数据或其他服务.然而,在云计算中,数据和各类服务暴露在互联网中,网络安全问题,包括数据遭恶意攻击或数据在存储过程的损毁等都是不可避免的.网络安全问题不但给国家、社会造成重大的影响,还对个人的工作和生活造成损失.搭建安全可靠的计算机信息安全机制、提高网络安全技术能力,是计算机及信息化工作发展的重要任务.本文从云计算及网络安全基本概念出发,探讨了云计算下网络安全技术的实现路径.     

基于云计算技术的应用安全服务

云计算已经获得了业界媒体、分析和讨论中越来越多的关注。文中首先介绍了云计算技术的背景,包括常见的云计算模式和一些开放的云计算技术;其次,重点介绍了基于云计算技术的应用安全服务内容,包括身份认证与访问控制服务、抗抵赖性服务以及密码计算服务,并根据以上内容总结了基于云计算技术的应用安全服务整体框架。最后,结合国内对云计算安全的研究提出了几点建议。     

面向云服务系统的网络安全评测方法

随着《信息安全技术网络安全等级保护基本要求》等国家标准的发布和实施,我国网络安全等级保护工作正式进入"2.0时代".如何进行面向云服务等网络系统的网络安全评测成为一项研究课题.文章基于上述背景,提出了一种面向云服务系统的网络安全评测方法,对云服务的一般网络架构进行梳理;对云服务的网络安全检测方法进行了阐述,对用户账户安全检测、网络系统入侵防护检测,网络数据安全检测等方法进行了说明.     

安全云服务平台技术研究

安全云服务是将云计算技术应用于业务应用安全领域,通过对安全设施资源及业务能力进行云化,形成安全能力资源池,并基于互联网提供按需的安全服务,从而实现安全即服务的一种技术和业务模式。安全云服务将传统安全技术和云计算技术进行了双向有机融合,能够提供更强大、更为有力的安全服务能力。文中对安全云服务平台的主要架构和服务模式进行了阐述,能够对国内安全云服务平台的建设提供一些参考。     

又一项国家标准内容公布

国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》,将于2021年10月1日起实施。这是贯彻落实《中华人民共和国密码法》,指导商用密码应用与安全性评估工作的一项基础性标准,对于规范和引导信息系统合规、正确、有效应用密码,切实维护国家网络与信息安全具有重要意义。     

运营商在云安全领域的探索

国内外云安全市场发展情况 我国企业创造的“云安全”概念,在围际云计算领域独树一帜。云安全包括两方面,一个是安全云计算,也就是说云计算技术在安全领域的具体应用,是云计算应用的一个分支,可以通过采用云计算技术来提升安全系统的服务效能,比如基于云计算的防病毒技术、挂马检测技术;     

国家标准《信息安全技术服务器安全技术要求》近日公布

近日，由浪潮集团研究的GB／T 21028-2007《信息安全技术服务器安全技术要求》被国家标准化委员会正式公布成为国家标准。该标准在编制过程中结合浪潮集团在服务器方面的优势，并融合其多项专利技术，制定出了符合我国国情的服务器安全技术要求，     

卫士通聚焦信息安全新兴发展领域

日前,由中国电子信息产业发展研究院主办,《网络运维与管理》杂志社承办的"2012中国信息安全技术大会"在京举行。本次会议主题为"新形势下的信息安全重点工作及新一代信息安全架构",围绕物联网、云计算、大数据安全等技术热点展开讨论。卫士通信息产业股份有限公司应邀参加会议并发表了主题演讲,与现场500余名嘉宾分享了卫士通在物联网、云计算、云存储等方面的研究成