国家信息安全等级保护政策中等级概念之间相互关系的分析

信息安全等级保护制度实施以来,在多个政策文件和技术标准中出现了等级的概念,本文分析和说明了信息系统重要程度等级、监督管理强度等级、安全保护能力等级概念之间的区别,并给出了在系统定级、安全保护和监督管理环节中上述等级概念之间的逻辑关系。     

等级测评项目实施问题思考

文章以等级测评项目实施情况为立足点,阐述了等级测评过程中有可能存在分歧的现象,细致描述了等级测评双方就同一个问题而形成的观点,并对问题形成的原因和解决问题的可行性进行了分析,提出消除剪刀差的思路和建议,为全国广大测评机构在解决等级测评实施问题方面提供了参考。     

解读国标《信息系统等级保护安全设计技术要求》

国家标准《信息安全技术信息系统等级保护安全设计技术要求》是根据中国信息安全等级保护的实际需要,按照信息安全等级保护对信息系统安全整改的要求制订的,对信息系统等级保护安全整改阶段技术方案的设计具有指导和参考作用。本文主要对第二级至第四级系统安全保护环境设计及系统安全互联设计技术要求进行解读,并给出设计示例,以帮助读者学习和理解该标准,并推进贯彻与实施。     

准备工作充分 信息交流互动 重庆市等级保护试点达到预期目标

1994年，国务院发布《中华人民共和国计算机信息系统安全保护条例》，规定了“重点保护国家事务、国家经济建设、国防建设、国间尖端科学技术等重要领域的信息系统的安全”；1998年，公安部会同了相关国家部门起草了《计算机信息系统安全保护等级制度建设纲要))，确立了安全保护等级制度的主要适用范围，建设目标、原则任务和实施步骤及措施等主要问题；1999年，国家技术监督局审查通过并正式发布了强制性国标——《计算机信息系统安全保护等级划分准则》GBl7859—1999，划分了信息系统的五个保护等级；2000年，国家计委下达由公安部主持开展的《计算机信息系统安全保护等级评估认证体系及互联网络电子身份认证管理与安全保护平台试点》项目建设的任务；2003年3月，国家计委、人民银行、湖北、浙江、陕西、四川、重庆五省市先后开始信息系统安全等级保护的试点工作．     

为电子政务护航 建立安全管理体系——国家计委完成等级保护试点

本刊北京讯 记者丁震报道 为配合等级保护工作的推广,今年三月,国家计委开始了等级保护的试点工作。 国家计委等级保护试点工作是在国家信息中心的计算机系统上实施,其日的是要保障电子政务安全。为确保等级保护试点工作顺利进行,国家计委和信息中心实     

多级安全的网络安全通信模式以及关键技术分析

信息系统实施分级保护机制以后,可以搭建起严谨的隔离与保护壁垒,构成数据孤岛。在实施等级保护中,必须要解决的问题就是信息系统之间的沟通。要满足信息系统之间的沟通,必须依靠网络安全通信。要实现等级保护环境中信息系统的通信需求,就必须深入探索面向多级安全的网络安全通信模式。     

浙江省开展等级保护做好四件事

信息系统安全保护等级制度的实施,需要国家推动和强制执行,相关部门大力推广和配合,以及社会各界共同努力和长期建设.浙江省作为全国信息安全等级保护工作的试点省,在信息安全等级保护方面做了大量的探索、准备工作.     

安全资讯

中国科大首次实现量子分解算法；保监会：全行业推行等级保护定级工作；梅州首个互动式网络警务室启动。     

一个安全标记公共框架的设计与实现

标记是实现多级安全系统的基础,实施强制访问控制的前提.如何确定和实现标记功能并使其支持多种安全政策是研究的目的.提出了一个安全标记公共框架,该框架基于静态客体标记和动态主体标记,引入了访问历史的概念,并给出了一个完备的标记函数集合.基于此框架,既可以实施多等级保密性安全政策,又可以实施多等级完整性安全政策.该框架在一个基于Linux的安全操作系统中的实现结果表明,基于该框架的安全系统在保证安全性的同时,还具有相当的灵活性和实用性.     

基于信息安全等级保护的安全测评服务框架研究

在等级保护工作全面开展的大背景下,等级测评机构如何发挥更大的技术支撑作用引起了业界广泛的关注。文章分析了等级保护工作面临的新挑战,提出了基于信息安全等级保护的安全测评服务框架。安全测评服务框架以信息安全相关标准为基础,以信息安全等级保护实施流程为时间线,针对信息系统备案单位在不同阶段的安全需求及工作重点开展有针对性的安全测评服务,提升信息系统备案单位信息安全管理水平及信息系统安全防护能力。等级测评机构可以通过安全测评服务框架充分发挥其信息安全专业机构的技术能力,在等级保护工作中发挥更大作用。     

以“等保”为核心的信息安全管理工作平台设计

随着信息安全等级保护工作的全面开展,由于传统工作方式的沿用,相继一些执行部门在信息安全等级保护工作的实施过程中亟需要一种现代化、信息化手段开展相关工作。本文通过对信息安全等级保护职能部门在落实等级保护工作中所存在主要问题的分析,同时结合执行部门自身的安全需求,提出一种现代化、信息化的以等级保护为核心的信息安全管理工作平台,并从概念、功能、结构以及重要模块等方面进行了详细的分析设计。     

2010年信息安全等级保护工作力口快推进成效显著有力促进了国家信息安全保障工作的深入开展

近年来,经过全国各地区、各单位、各部门的不懈努力,我国信息安全等级保护制度不断推进实施。2010年,在信息系统定级备案工作基础上,全国信息安全等级保护安全建设整改、等级测评、监督检查工作成效显著,推进了我国信息安全保障工作的深入开展。本文回顾总结了2010年我国信息安全等级保护工作情况及取得的成效,并展望了2011年等级保护工作计划。     

引入等级保护完善移动通信安全保障体系

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号,以下简称“27号文件”）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2004年9月发布的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号,以下简称“66号文件”）进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。     

政务终端安全面临的问题与对策研究

文章首先对政务终端安全和CGDCC进行分析,其次剖析政务终端安全在部署实施、技术支撑、安全建设等方面面临的问题。最后提出从调度、验证、审计等方面,结合等级保护标准,强化政务终端安全的解决方案。     

等级保护要求下的高校Web安全

自2010年等级保护制度开始落地实施,网络环境正在逐渐稳定。采用B/S架构的应用系统越来越多,Web应用安全问题凸显。高校作为一个人才的培养摇篮,其Web服务直接影响师生办公学习的效率,其安全稳健的运行对师生的意义重大。文章基于等级保护制度要求,对高校的Web安全进行探讨分析。     

武汉国土局等级保护应用实践

为了推动等级标准的实际执行与实施．对计算机信息系统安全等级保护评估工具进行实际使用与测试，验证安全等级保护评估方法与思路，公安部启动了计算机系统安全保护等级评估试点。选择了四个省和两个部委的6个单位和行业进行试点。武汉市规划国土资源管理局(以下简称武汉市规划国土局)被确定为湖北省的试点单位。     

信息安全平台抵御威肋

信息安全管理平台集中管理不同的安全设备和IT资源．帮助操作者从各个角度综合分析各个设备产生的报警信息，对重要资产实施完善的管理和等级保护。     

第1讲安全相关产品的实现

根据功能安全的理论,对安全相关产品的实现过程进行了梳理.具体给出了实现安全相关产品的脉络,即如何将一个产品设计成满足安全完整性等级要求的安全相关产品.设计过程从结构上说,主要包括硬件实现和软件实现；从安全完整性来说,主要包括硬件安全完整性的实现和系统安全完整性的实现.     

面向等级保护的软件安全需求分析方法研究

文章分析了在等级保护过程中进行威胁建模的必要性,结合《实施指南》提出一种基于威胁建模的软件安全需求分析方法,通过威胁一攻击图（TAG）评估攻击,根据评估结果及《基本要求》确定应对方案,将等级保护思想融入到软件安全设计阶段中,使得应对方案能更高效地改进软件设计以增强软件安全性,并通过实际案例对本方法进行了验证。     

一种面向等级保护的软件安全需求分析方法研究

文章分析了在等级保护过程中进行威胁建模的必要性,结合《信息系统安全等级保护实施指南》提出一种基于威胁建模的软件安全需求分析方法,通过威胁-攻击图（TAG）评估攻击,根据评估结果及《信息系统安全等级保护基本要求》确定应对方案,将等级保护思想融入到软件安全设计阶段中,使得应对方案能更高效地改进软件设计以增强软件安全性,并通过实际案例对该方法进行了验证。