安全保护模型与等级保护安全要求关系的研究

该文指出等级保护安全建设整改需要依据技术标准落实各项技术和管理措施,建立信息系统安全防护体系将会借鉴各种流行的安全保护模型,进而分析和说明了各种流行的安全保护模型与等级保护安全要求之间的关系,给出了基于等级保护安全要求结合流行安全保护模型形成信息系统安全防护体系的思路。     

以“等保”为核心的信息安全管理工作平台设计

随着信息安全等级保护工作的全面开展,由于传统工作方式的沿用,相继一些执行部门在信息安全等级保护工作的实施过程中亟需要一种现代化、信息化手段开展相关工作。本文通过对信息安全等级保护职能部门在落实等级保护工作中所存在主要问题的分析,同时结合执行部门自身的安全需求,提出一种现代化、信息化的以等级保护为核心的信息安全管理工作平台,并从概念、功能、结构以及重要模块等方面进行了详细的分析设计。     

服务器操作系统的测评方法

服务器操作系统作为关键业务应用和重要信息数据的承载平台,在信息安全保障体系中处于非常关键的位置。文章从服务器操作系统安全入手,结合等级保护要求,分析等级保护中各级操作系统安全要求,重点阐述了在等级保护测评方面对服务器操作系统的测评标准及存在问题,同时也提出了对于等级保护测评标准及测评方法的修改建议。     

等级保护应用安全与OWASP Top10

应用系统是信息安全等级保护测评的核心对象,直接面对用户,受到的安全威胁最大。OWASP Top10是指应用系统的十大安全风险。文章从信息安全等级保护的角度,对OWASP Top10进行研讨分析,整理OWASP Top10与等级保护应用安全测评控制点之间的关系,探讨OWASP测试方法在等级保护应用安全测评中的使用。     

网络信息安全等级评价的几点法律思考

网络信息系统的安全等级是指国家信息安全监督管理部门根据计算机网络处理信息的敏感程度、业务应用性质和部门重要程度所确认的信息网络安全保护能力的级别。计算机信息系统的安全保护等级不同,其安全保护能力也不尽相同。实行信息系统安全等级保护制度是我国保障信息系统安全的一项关键制度,也是我国电子政务建设的重要思路。信息系统安全等级评价是等级保护制度的核心内容。信息系统安全等级评价（以下简称安全等级评价）是指评价机构根据国家信息安全等级技术标准和管理标准,对使用单位的信息网络进行安全等级检测、评价和监督的活动。安全等级评价既是连接系统建设单位和系统集成商之间的纽带,也是检测安全专用产品的重要环节。[编者按]     

多级安全的网络安全通信模式以及关键技术分析

信息系统实施分级保护机制以后,可以搭建起严谨的隔离与保护壁垒,构成数据孤岛。在实施等级保护中,必须要解决的问题就是信息系统之间的沟通。要满足信息系统之间的沟通,必须依靠网络安全通信。要实现等级保护环境中信息系统的通信需求,就必须深入探索面向多级安全的网络安全通信模式。     

等级测评中关键安全保护功能有效性测评技术研究

等级测评中关键安全保护功能是否有效保障信息系统具备相应的安全保护能力是目前等级测评需要解决的技术难点。文章结合等级测评的实际情况,以等级保护相关标准和法规政策等为基础,建立了关联测评对象与安全保护能力的有效性测评指标体系,给出了安全保护功能、控制有效性测评方法和安全保护功能综合评价方法,为信息系统具备的安全保护能力是否真实有效提供了一种确实可行的思路和判定方法。     

浙江省开展等级保护做好四件事

信息系统安全保护等级制度的实施,需要国家推动和强制执行,相关部门大力推广和配合,以及社会各界共同努力和长期建设.浙江省作为全国信息安全等级保护工作的试点省,在信息安全等级保护方面做了大量的探索、准备工作.     

基于信息安全等级保护的安全测评服务框架研究

在等级保护工作全面开展的大背景下,等级测评机构如何发挥更大的技术支撑作用引起了业界广泛的关注。文章分析了等级保护工作面临的新挑战,提出了基于信息安全等级保护的安全测评服务框架。安全测评服务框架以信息安全相关标准为基础,以信息安全等级保护实施流程为时间线,针对信息系统备案单位在不同阶段的安全需求及工作重点开展有针对性的安全测评服务,提升信息系统备案单位信息安全管理水平及信息系统安全防护能力。等级测评机构可以通过安全测评服务框架充分发挥其信息安全专业机构的技术能力,在等级保护工作中发挥更大作用。     

医院信息系统等级保护安全体系设计

针对医院的核心HIS系统,根据国家等级保护的要求而设计的安全体系方案.分别依据物理层、网络层、主机层、应用层的不同特点,结合国家等级保护标准,针对性的提出安全解决方案,并给出了各个安全节点需要实现的功能要求.通过实践检验的,将等级保护建设的要求真正落实到医院HIS系统安全建设中.充分结合实际安全需求的、全面符合等级保护建设要求的、战略策略高度统一的解决方案.     

基于等级保护的财政信息系统安全建设探讨

以我国信息安全等级体系规范和标准为基础,分析财政信息系统的安全保护等级模型,讨论和设计财政信息系统网络安全域的划分和等级保护方案,提出方便有效地进一步完善财政信息系统安全的保障措施。     

浅析信息安全中的等级保护与分级保护

为了保证涉密网络中的信息安全,国家保密法要求对涉密信息实施等级保护与分级保护.本文分别介绍信息安全中的等级保护和分级保护体系,探讨分级保护与等级保护的关系.     

信息系统安全等级保护物理安全测评方法研究

随着信息产业的高速发展,作为信息系统的基础——物理安全的重要性更加突出,文章根据国家规范对物理安全的相关要求,重点阐述了设备安全和环境安全检测问题,以期与读者共同探讨信息系统安全等级保护测评中物理安全测评的问题.     

通用型安全操作系统解决方案浅析

在信息安全领域,随着攻击技术的不断升级和数据泄露事件的激增,业界越来越重视服务器操作系统的安全问题。文章从等级保护安全操作系统研究入手,介绍了两种安全操作系统解决方案,对比了通用型安全操作系统相比传统自主研发的安全操作系统的优势所在。文中重点阐述了通用型安全操作系统解决方案的技术优势和实现原理,结合增强型DTE、RBAC、BLP三种访问控制安全模型,重构操作系统的安全子系统(SSOOS),动态、透明提升操作系统安全等级,以实现通用型安全操作系统的解决方案。     

云安全防护体系架构研究

针对云计算中心的安全需求探讨云安全防护体系的设计框架和建设架构,并论述等级保护背景下如何做好云计算中心的安全防护工作。从其本质上看,云计算中心仍然是一类信息系统,需要依照其重要性不同分等级进行保护。云计算中心的安全工作必须依照等级保护的要求来建设运维。云安全框架以云安全管理平台为中心,综合安全技术和管理运维两个方面的手段确保系统的整体安全。在安全技术方面,除了传统的物理安全、网络安全、主机安全、应用安全、数据安全、备份恢复等保障措施,还需要通过虚拟化安全防护技术和云安全服务来应对云计算的新特征所带来的安全要求。     

无线局域网中实现信息系统安全等级保护的要求

文章对无线网络安全防护措施进行了分析,并以安全保护等级为三级（S3A3G3）的信息系统为例,给出了《信息安全技术信息系统安全等级保护基本要求》以及网络安全层面要求与无线安全防护措施的对应关系。     

基于GB17859-1999标准体系的风险评估方法

在信息系统的安全问题上,只能追求适度的安全风险。安全风险要适度,就必须正确选择系统的保护等级,而确定安全保护等级的基本方法是进行风险评估。文章首先介绍国内外信息系统安全等级保护的相关标准,着重论述了我国的GB17859-1999等级保护标准体系。在此基础上,提出了基于该标准体系进行信息系统等级保护风险评估的模型及方法。     

军内网络安全防护体系框架研究

随着网络信息技术的快速发展,网络信息安全也越来越受到人们的重视。广为泛滥的病毒传播和越来越多的黑客入侵事件,使人们充分认识到网络信息安全防护体系建设的重要性和紧迫性。文章主要通过对网络安全防护体系的分析,提出适合军内网络安全防护体系框架,该防护体系不仅能有效抵御外部网络入侵,而且对内部网络攻击也起到重要的防护作用,为后续军内网络建设提供一定的借鉴作用。     

浅谈金融业信息系统等级保护工作的常态化简

近年来,信息系统信息安全等级保护制度已成为我国一项基本国策,如何持续地做好将信息系统等级保护工作,提高自身信息系统安全防御能力,已成为金融机构必须关注的问题。本文主要结合人民银行实际的信息安全管理工作,对单位开展信息安全等级保护工作的情况进行了分析,并就如何实现信息系统等级保护工作常态化提出了几点想法。