信息安全产品测评系统研究与实现

基于通用信息技术安全测评准则（CC）标准设计了模板化测评信息安全系统的CC应用软件工具箱。它能帮助认证机构、客户或授权个人生成与实现无关的一组安全要求的保护轮廓（PP）文档,也能帮助开发者为已有或计划的系统产品生成安全目标（ST）文档。     

国家信息安全测评公告

（2016年第5号）中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,主要职能包括：为信息技术安全性提供测评服务;信息安全漏洞分析和信息安全风险评估;信息技术产品、信息系统和工程安全测试与评估;信息安全服务和信息安全人员资质测评;信息安全技术咨询、工程监理与开发服务等。     

入侵检测系统的测评方法

本文对入侵检测系统进行了简要介绍,并给出了一套行之有效的入侵检测系统测试评估方法,提出了测评IDS的难点并展望了IDS测评技术的发展方向。     

国家信息安全测评公告

（2016年第10号）中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,主要职能包括：为信息技术安全性提供测评服务;信息安全漏洞分析和信息安全风险评估;信息技术产品、信息系统和工程安全测试与评估;信息安全服务和信息安全人员资质测评;信息安全技术咨询、工程监理与开发服务等。     

工业控制系统信息安全产品标准及测评方法

1工控系统安全现状1.1工控系统现状目前,各类信息安全均面临着广泛的威胁,而工控系统尤为突出,主要是因为工业控制领域信息安全的先天不足:(1)工控设备(如PLC、DCS等)以及工控协议本身普遍在设计之初就较少考虑信息安全方面的问题。工控设备主要关注的是功能安全,系统的稳定性及可靠性方面;互联网通常都通过加密、身份认证等方式来保证协议传输的安全性,如SSH、HTTPS协议。而工控协议基本都是采用明文方式传输,并且缺少身份认     

军民共筑信息安全之“盾”——访解放军信息安全测评认证中心主任袁建军

我国的信息安全风险评估工作从2003年启动，经过三年，历经调研、标准编写和试点工作三个阶段后，终于取得了阶段性的成果，于去年9月8日在上海召开了总结大会。会议确定在总结好试点工作的基础上，今年将在全国范围推行信息安全风险评估工作。解放军信息安全测评认证中心作为军队单位，参加了对国家重点信息系统的风险评估试点工作。记者采访了该中心主任袁建军，就有关问题做了进一步了解。     

《信息安全测评理论与技术》专辑前言

由于信息安全问题直接影响到国安安全,世界各国都高度重视,并纷纷通过颁布标准、实行有效的测评认证制度等方式,对信息技术产品和信息系统实行严格的管理和控制.     

信息安全测评认证系列文章之三信息安全产品等级认证程序

产品认证是依据产品标准和相应技术要求,经认证机构确认,并通过颁发认证证书和认证标志来证明某一产品符合相应标准和相应技术要求的活动。一、简介中国信息安全产品测评认证中心(以下简称“认证中心”)是经中央批准成立、代表国家开展信息安全测评认证的职能机构,依据国家有关     

信息安全测评工具及安全测评工具评估平台的相关研究

在大数据与互联网技术的支撑下,各种网络技术不断发展。大众在享受信息化带来的众多好处时,也面临着日益突出的信息安全和信息保密问题。公司内部商业秘密保全、网络银行存取款安全保障、电子商务交易等均需要完整的信息系统来保障其安全运行。为保障信息系统的安全运行,准确地对信息系统安全性进行测评,解决手动测评的局限性,信息安全测评工具应运而生。但由于信息技术的敏感性和特殊性,大众对信息安全测评工具存在一定的怀疑,因此安全可靠的信息安全测评工具的构建至关重要。     

信息产品安全测评工具箱的研究与开发

论文以实际项目为背景,介绍了信息产品安全测评的研究背景和意义,阐述了信息系统安全测评工具箱的研究与开发要点,总结了系统的结构、功能、特点,最后提出了今后要进一步研究的问题。     

量化风险的等级保护测评方法及平台设计

研究了等级保护测评的相关技术,针对当前等级保护测评中存在的典型问题,如风险分析不够准确、测评效率低、测评结果客观性不足等,提出一种量化风险的等级保护测评模型,将系统业务重要性因素引入风险分析环节,能较为可观的量化风险.基于该模型,设计并实现了分布式的等级测评平台(RQEP),能大大提升等级测评的效率,使测评过程更加规范化、标准化.     

信息系统安全需求分析方法研究

1 引言在人类社会的发展和生存越来越依赖于信息的今天,信息系统已成为人们用于产生、传送、使用、管理信息的主要工具和手段。然而,随着计算机和通信网络技术的飞速发展,信息系统的安全保密问题也日益突出和复杂化。怎么才能确保信息系统的有效性和安全性,已经成为社会普遍关注的重点问题。为此,在新信息系统的构建以及旧信息系统的维护和扩     

CC与SSE-CMM结合的信息安全评估方法

The information security evaluation is an important part of information field. It is a general method to execute evaluation to the information security products under the instruction of Common Criteria (CC).A new method of information security evaluation, based on the combination of CC and Systems Security Engineering Capability Maturity Model (SSE-CMM),has been proposed in the paper. The basic idea of this method is using the reference of the security system engineer. Based on the experiment of a Target of Evaluation (TOE)in CC, the evaluation result of security assurance by this new method is proved to be more accurate, more comprehensive and more acceptable.     

国家信息安全测评公告(2018年第6号)

中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,主要职能包括：为信息技术安全性提供测评服务;信息安全漏洞分析和信息安全风险评估;信息技术产品、信息系统和工程安全测试与评估;信息安全服务和信息安全人员资质测评;信息安全技术咨询、工程监理与开发服务等。根据国家职能授权,测评结果定期向社会公布。特此公告。     

国家信息安全测评公告(2018年第8号)

中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,主要职能包括:为信息技术安全性提供测评服务;信息安全漏洞分析和信息安全风险评估;信息技术产品、信息系统和工程安全测试与评估;信息安全服务和信息安全人员资质测评;信息安全技术咨询、工程监理与开发服务等。根据国家职能授权,测评结果定期向社会公布。     

信息安全等级保护技术测评常见问题的分析与对策

近年来,我国信息安全形势严峻,黑客攻击、病毒感染、信息泄密等安全问题日益突出,威胁着我国的社会稳定和国家安全。信息安全等级保护是保障我国信息安全的基本制度。通过对被测信息系统进行测评,可以帮助被测单位验证信息系统是否具备相应安全保护能力,提高其信息安全建设和保障能力。文章着重阐述了被测三级信息系统（S3A3G3）技术测评中普遍存在的一些安全问题,分析了其形成原因,探讨了相应的解决对策。     

安全认证 任重道远——访中国信息安全产品测评认证中心主任王海生

在信息技术迅猛飞跃的今天．信息安全是国家安全的重要内容之一。信息安全的测评认证和等级保护日益受到世界各国的重视，对信息安全产品、信息系统、信息安全服务等进行分级测评认证已成为保障国家信息安全的必然趋势。     

基于信息安全等级保护的安全测评服务框架研究

在等级保护工作全面开展的大背景下,等级测评机构如何发挥更大的技术支撑作用引起了业界广泛的关注。文章分析了等级保护工作面临的新挑战,提出了基于信息安全等级保护的安全测评服务框架。安全测评服务框架以信息安全相关标准为基础,以信息安全等级保护实施流程为时间线,针对信息系统备案单位在不同阶段的安全需求及工作重点开展有针对性的安全测评服务,提升信息系统备案单位信息安全管理水平及信息系统安全防护能力。等级测评机构可以通过安全测评服务框架充分发挥其信息安全专业机构的技术能力,在等级保护工作中发挥更大作用。     

一种新的信息安全测评系统与方法的研究

信息安全风险测评是一个综合的复杂的系统过程,必然涉及到方方面面的众多因素,错综复杂,交错依赖.利用自动化的风险测评工具,人们可以提高风险分析与测评的效率.本文设计并实现了一个信息安全测评系统,风险测评系统实现了风险管理平台中信息收集层及信息处理层的功能,融合了漏洞扫描技术、威胁识别技术和风险测评技术.     

渗透测试在信息系统安全等级测评中的应用

信息安全等级测评中,对于不同等级的信息系统有不同强度的要求,通过渗透技术可以发现该目标系统的漏洞,并验证等级测评中发现的安全问题,渗透技术在等级测评过程中尤为重要。本文简要介绍了信息系统安全等级保护测评方式及工具,同时介绍了渗透技术的原理和步骤,详细说明了渗透测试工具在信息系统安全等级测评中的应用。分析说明合理使用渗透测试可以进一步对系统进行深层的评估,有助于增加等级测评结论的全面性和准确性。