网络安全等级保护测评中的网络及通信安全测评

2019年颁布的《信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)》(信安字[2019]12号)[1]在原有《网络安全等级保护基本要求(GB/T 22239-2008)》(信安字[2007]12号)[2]基础上进行了修订,使之更加切合当今中国的网络环境.针对新修版中的网络和通信安全层面部分内容,如...     

网络安全等级保护测评中测评结论的度量方法优化

文章分析了网络安全等级保护2.0时期国家标准的新变化对等级测评结论可能产生的影响,并用实际案例和数据论述了以往描述的基于测评指标和基于测评对象的定量分析方法存在的局限性.根据网络安全等级保护国家标准结构和内容的新特点,结合新的等级测评结论表述方法,文章提出了调整和优化定量计算产生等级测评结论的思路,给出了缺陷扣分的原理...     

气象信息系统等级保护测评实践

随着信息化的不断推进,气象信息业务系统有了很大的发展,信息系统的安全性、可用性越来越受到重视。以宁夏气象局三级信息系统为例,从信息系统情况调研、等级测评、系统加固等方面,阐述了信息系统安全等级保护主要内容。     

信息系统等级保护测评实践

该文针对社会发展对信息化的依赖程度越来越高,而保障重要信息系统安全也是维护国家安全、保障社会稳定的重要组成部分这一事实.随着重要信息系统等级保护工作的深入,信息系统等级自测评与差距分析得到了广泛重视.文章系统阐述了自测评实践中的基本流程、测评方法与测评成果.     

网络安全等级保护2.0工业控制系统安全测评实践

本文主要基于《基于安全类的基于类的网络安全技术的基本信息安全要求》的一般要求和行业要求,开发了基于2.0级保护标准的工业控制系统网络安全保护系统.结合P2DR和IATF安全模型对控制系统进行扩展的要求已分别开发了三个主要系统,即安全管理系统,安全技术系统以及运行和维护安全系统,从而确保了工业控制系统的稳定可靠运行.     

信息系统等级保护测评

随着互联网技术的快速发展,信息系统对政府、机构、企业的日常工作和生产起到越来越重要的作用,信息系统的安全性、可用性和连续性越来越受到重视。开展信息系统的等级保护测评工作是评测系统安全性的必要手段,是检验系统整体的安全部署是否完善的有效方法。     

网络安全等级保护测评中结论产生的定量计算方法研究

国家网络安全等级保护标准结构和内容的变化,尤其是与等级测评环节有关的标准的变化,带来了等级测评产生结论的变化,而如何通过定量计算方法合理准确地反映等级保护对象的安全保护状况和具有的安全保护能力,一直是安全等级测评探索的方向.文章研究分析了等级测评结论的产生原理,提出了基于测评指标和测评对象的定量分析方法,通过实例证明测...     

一种新的等级测评综合得分算法研究

信息安全等级保护测评报告模版(2015版)给出了信息系统等级测评综合得分算法,但该算法存在计算工作量大、计算结果不影响测评结论的问题.针对2015版等级测评综合得分算法存在的不足,文章提出了一种新的等级测评综合得分算法,该算法缩小了测评项符合程度的得分取值范围,简化了测评项加权得分的计算方法,大幅度降低了等级测评的计算...     

网络安全测评机构能力建设研究

文章通过分析网络安全测评过程中可能存在的风险和问题,从质量管理体系、人员管理、测评技术等方面,对安全测评能力建设进行分析和探讨,为测评机构规范化管理提供借鉴.     

网络安全等级保护测评中部分控制点的应用探究

网络安全等级保护（以下简称等保）制度是国家网络安全保障工作的一项基本制度,是贯彻落实《网络安全法》的关键支撑之一。按照相关标准和规范进行网络安全等保测评工作,可以判断信息系统的安全技术和安全管理状况,其结论可以作为进一步完善系统安全策略及安全技术防护措施的依据。在实际等级保护工作和测评反馈中,往往存在一些普遍性的重要控制点应用问题,如可信验证、恶意代码防范、入侵防范、访问控制、剩余信息保护等。本文针对以上问题,对恶意代码防范、入侵防范、访问控制、剩余信息保护共4个控制点开展了实际应用探索工作,对可信验证进行了初步研究。总体上,着力于探索研究控制点应用的可行性与扩展性,致力于缩减重要信息系统实际安防措施与相应安全等保要求之间的差距,为各类系统的实际等保工作提供经验参考。     

网络安全等级保护下的区块链技术测评研究

作为支撑数字经济高质量发展、赋能实体经济提质提效的核心基础设施,区块链技术的网络安全防护日益重要,而网络安全等级保护制度作为我国现行的网络安全领域的一项重要制度,在区块链领域做好网络安全等级保护实施就显得更为重要。该文从网络安全等级保护测评的角度探讨如何有效评估区块链系统的网络层、共识层、交易层和合约层。     

电子政务外网等级保护测评探讨

信息系统等级保护制度是我国加强信息系统安全防护的重要措施,电子政务外网运行着电子政务的公共服务业务,开展等级保护与等级保护测评非常必要,政务外网[2011]15号文要求开展电子政务外网的等级保护与等级保护测评工作。该文就政务外网某网络系统开展等级保护测评为例,探讨等级保护的定级、测评对象与测评机构的选择、测评内容与方法的确定、骨干网络系统的漏洞测试、安全整改等内容。本次测评在属地电子政务行业产生了良好的示范效应。     

等级测评中关键安全保护功能有效性测评技术研究

等级测评中关键安全保护功能是否有效保障信息系统具备相应的安全保护能力是目前等级测评需要解决的技术难点。文章结合等级测评的实际情况,以等级保护相关标准和法规政策等为基础,建立了关联测评对象与安全保护能力的有效性测评指标体系,给出了安全保护功能、控制有效性测评方法和安全保护功能综合评价方法,为信息系统具备的安全保护能力是否真实有效提供了一种确实可行的思路和判定方法。     

信息安全等级保护中等级测评的CAE建模

CAE模型具有很强的层次性与结构性,被广泛用于复杂的信息安全测评过程中.采用CAE模型对等级测评的过程进行建模,将测评过程的多个层面简化为声明论据证据三种层次,并从测评指标的选择和测评结果的融合两个方面具体说明了CAE模型的作用.结果表明等级测评的过程完全可以归纳入CAE模型中,等级测评的过程与CAE模型的分解和推理过程是一致的,进一步验证了信息安全等级保护标准支持下的等级测评的有效性和合理性.     

等级保护测评库的建立与完善工作探讨

文章通过对等级保护测评机构工作职责、自身优势等方面的客观研究分析,提出测评机构在信息安全等级保护制度贯彻落实过程中,在完成等级测评任务的同时,充分发挥作用,整合有限资源,全力支持公安机关网络安全部门开展等级保护状况分析与评价工作,协助公安机关全面总结本地区各行业、各部门等级保护工作情况,助力公安机关持续深入地推进等级保护工作的周期性开展。     

基于等级保护的中职学校信息系统网络安全研究与对策

本文从等级保护的理论概述入手,分析中职学校信息系统网络安全建设的现状及需求,结合等级保护建设要求,构建中职学校校园网全景架构图,并设计了校园信息系统安全防护工作的具体流程和措施。旨在通过基于等级保护2.0的安全建设实践,提升中职学校信息系统安全建设的整体水平,更有效的控制复杂的校园网络安全风险。     

石化等级测评活动的质量控制浅析

质量控制是等级测评活动公正性、客观性和保密性的根本保证。当前,国内还没有形成以等级测评活动为主体的质量管理体系标准,对等级测评活动过程中的质量控制,成为等级测评工作研究的重点难点。论文通过对信息系统安全等级保护政策法规体系和标准规范体系的研究,对等级测评活动的质量控制进行了分析,给出了具体实施建议和参考。     

网络安全等级保护测评中的自动化渗透测试方法

等级保护测评核心任务在于对信息系统安全能力进行分级验证与技术评估。渗透测试作为关键检测手段,承担着识别弱点、验证防护机制以及重构攻击链条的功能。提出一种面向等级保护测评任务的自动化渗透测试方法,融合敏感度量化模型、路径评分函数、载荷适配引擎以及行为映射机制,实现多源任务的结构表达和策略触发事件的联动捕获。在典型政务子系统中完成系统部署测试,设置8项核心指标验证所提方法的优势,为等级保护测评中高频渗透任务的自动执行和响应闭环提供技术支撑。     

网络安全等级保护建设探索

随着网络安全形势的日益严峻,国家有关部门先后出台了一系列文件,明确了等级保护的重要性.为了履行国家《网络安全法》法律义务,落实网络安全保护责任,单位需开展网络安全等级保护建设工作,按照技术与管理的需求进行建设实施,并加强日常运维与监管.