信息安全产品等级与信息系统安全等级的关系

信息系统的等级是从管理的角度,根据信息系统的重要程度和遭到破坏后的危害程度,将信息系统分为五个安全等级。信息安全产品的等级是从信息安全技术的角度,在安全功能要求和安全保证要求两个方面,将信息安全产品分为五个等级。两者在安全防护能力的目标和要求上,是一致的。但是两者的安全等级有着本质上的不同。信息系统的等级,强调的是安全的最终结果,信息安全产品的等级,强调的是安全技术本身。达到了相应等级的信息安全产品,并不是都能够使用在相应等级的信息系统中。通过判断信息安全产品是否可信,在多大程度上可信,能够弥补产品技术等级的缺陷。     

信息安全测评认证系列文章之二--信息安全产品等级评估综述

一、等级评估简介现代社会越来越依赖于信息系统,信息系统的安全性也越来越成为企业、团体、乃至国家效益与稳定的关键。国家的信息化程度越高,其所面临的信息安全挑战就越多。如何成功地处理信息安全问题,从而在充分利用信息技术发展带来的好处的同时,保障发展的安全,具有极大的现实意义。网络安全产品分级评估的对象是信息技术产品和系统的安全功能及相应的保证措施,评估过程是为满足这些要求的产品和系统的安全功能以及相应的保证措施确定一个可信级别,使各种独立的安全评估结果具有可比性。不同的应用场合(或环境)对信息技术产品或系统…     

信息系统安全保护等级评估工具研制

本文阐述了信息系统安全保护等级评估方法,介绍了评估系统的实现,并对评估流程进行了描述。     

安全产品分级 只选对的——级别是产品的可信度标签

做好信息系统的安全保障工作需要多少投资?许多信息系统的主管往往心中无数。同样的，科研单位和企业应该开发什么样的安全产品?信息安全专家应该如何对安全产品进行正确的评审?信息安全职能部门应该如何对信息系统的安全工作进行有效监督?这往往也很难说清楚。     

基于检索特征的科技论文可信等级的评估方法

期刊的影响因子、特征因子、h-指数等各种评价指标, 为查找高质量的期刊提供了参考依据, 但仍不全面, 且存在不足。为此, 基于传统检索特征, 增加考虑期刊影响力随时间衰减的特性, 突出和扩大对低影响力期刊的区分度, 提出一个增强的论文综合评价公式, 并通过算法形成论文的可信等级。最后, 利用JCR统计的数据进行实例分析, 并与期刊的影响因子、特征因子的排序进行比较, 验证其有效性。     

软件可信评估综述

软件可信评估是近年来计算机科学的一个新的研究热点和难点,对软件可信评估的研究有助于促进软件产业的振兴与发展。首先分析了软件可信评估的必要性;然后对可信评估的研究现状进行综述,主要包括体现可信的属性特征和软件可信等级的定义、软件可信评估模型、软件可信评估实现方案四个方面;同时分析了目前可信评估中存在的不足以及造成这些不足的根本原因;最后指出了可信评估的未来发展趋势。     

IDS产品在等级保护中的应用

IDS产品在等级保护中的应用，我觉得有以下几点值得关注，第一，针对规避IDS入侵方法的解决办案。目前，自专门针对IDS检测过程中技术环节缺陷的攻击手法，如多态缓冲溢出攻击等，等级保护中IDS产品的应用应该注意达方面的问题；第二，IPS功能。现在IDS的及时阻断功能越来越受到重视，它可以在入侵行为正在进行时，通过几种有效的手段(如：通知防火墙、发TCP RESET包等)及时对攻击进行阻断，因此在一些国家重要部门的信息系统可以考虑强制要求具备这种能力；     

关于信息系统安全保护等级评估工具

本文主要介绍信息系统安全保护等级评估的背景及国外相关研究进展,提出系统评估中的关键问题和技术,阐述信息系统安全保护等级评估方法和评估工具的实现,并对评估流程进行描述。     

信息技术安全评估准则CC与等级保护

1993年6月，TCSEC和ITSEC等信息技术安伞评估准则的发起组织开始联合起来，将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则。这一行动被称为CC项目，它的目的是解决原标准中出现的概念和技术上的差畀，并把结果作为开发中的国际标准提交给ISO。CC也成为中国制定等级保护制度的参考准则之一。     

等级保护与安全市场

每当新的政策法规出台，都会引起相关企业的结构调整，以适应游戏规则的变化其实规则的改变就是要促使参与者进行资源整合，以达到符合市场要求的最佳状态。随着等级保护制度的推广来自信息安全业界的关注越来越多。本期在等级保护栏目我们特别编发了一组企业老总谈等级保护的文章。这是来自厂商的声音。我们还将刊登更多的相关报道以期达到相互交流、互通信息的目的。     

等级保护 安全评估

等级保护的关键过程 从政策因素讲,《关于加强信息安全保障工作的意见》,奠定了国家关于信息安全保障的基本国策。要求各部门、各单位从实际出发,综合平衡安全成本和风险,优化信息安全资源配置,确保重点,实行信息安全等级保护。 一般而言,实施信息安全等级保护大致有下列几个关键过程: 分析业务系统和相关信息和信息系统     

信息安全测评认证系列文章之四信息安全产品等级评估程序

1999年，ISO／IEC15408(CC)正式发布后得到许多国家的认可，目前已被广泛应用于IT安全评估，并且已有17个国家参与了CC互认。为了与国际接轨，2001年我国正式发布了国家标准GB／T18336《信息技术安全技术信息技术安全性评估准则》，就是等同于CC的标准。     

基于CMM的等级保护测评机构能力评估方法研究

文章以能力成熟度模型（CMM）为原型,对等级保护测评机构的测评能力级别划分以及关键过程实践的选取方法进行模型化、指标化,提出符合国家等级保护测评机构基本管理要求和机构自身需求的能力评估思路,以便监管部门更好地开展机构管理。同时,为机构自身的能力建设提供参考方法,确保等级保护测评机构工作能力的可度量性、可控性和持续性发展。     

基于等级保护的云计算安全评估模型

云计算应用与发展中最受关注的问题之一是安全。针对云计算服务安全水平量化的需求,以我国等级保护测评要求为基础,借鉴欧美相关机构的云计算风险控制与安全评估框架,通过德尔菲法构建云计算安全评估指标体系,使用层次化分析法计算出各指标项的权重。根据设计的指标体系,将模糊综合评判引入对云计算实例的分析。实际应用表明模型能为云平台安全提供有效的量化和与评估。     

网络安全评估

首先指出网络安全评估具有重要意义，然后给出参照CC的网络安全评估实施框架，重点讨论了TOE评估依据－安全指标的建立，并给出EAL1级和EAL2级TOE评估的内容，最后说明实施评估还有很多问题有待考虑。     

一种面向等级保护的多级安全域间可信互联方法

通过分析等级化信息系统安全应用支撑平台的设计结构,针对不同等级间信息系统的互联会导致许多额外风险等问题,将可信网络连接(TNC)思想引入到定级系统应用平台的互联中,提出了一种面向等级保护的多级安全域间可信互联方法,设计了域间多级可信网络互联的框架,说明了架构运行的控制流程,并将其应用到具体的等级化信息平台的互联中,给出了实际互联方案,并对互联可信性进行了分析。为保障等级化安全应用平台跨域互联的可信性和安全性,特别是减少不同等级应用平台互联带来的额外风险,提供了有效的互联技术框架和方法。     

基于证据的可信软件过程评估方法

现有软件过程可信性评估方法中,评估结果往往基于评估人员的主观经验,其准确性和客观性无法得到保证.为解决这个问题,提出了一种基于证据的可信软件过程评估方法(evidence-based trustworthy software process assessment method,EB-TSPAM).该方法以可信软件过程管...     

基于状态的网络行为可信性评估

目前,网络的不可信给网络的安全提出了新的挑战,针对网络传输本身的可信问题,通过研究网络交换机的功能原理与配置选项．分析网络交换机的特性及其行为状态,提出了适合由交换机组成的网络的可信评估框架,同时也对反映网络功能的状态给予描述,在此基础上分析出网络状态与配置行为问的关系,进而评估网络配置行为的可信性。它将可信网络的内容从可信接入扩展到可信网络的设备上,以保证网络设备自身运行可信性需求。