征文通知

为有力推动信息安全等级保护测评体系建设,总结和交流全国信息安全等级测评机构的工作经验,保障信息安全等级保护测评工作的顺利开展,全国信息安全等级保护测评体系建设工作会议拟于2011年6月份召开。     

信息安全等级保护制度在计算机网络建设中的应用研究

计算机网络安全是信息安全的前提条件,在互联网环境下,各个领域都在追求信息化的发展,推动了各个行业的进步。但是信息安全风险问题同样也需要得到重视。信息安全等级保护制度是我国实行信息安全保护的根本制度,依托这一制度,有关部门也发布了一系列的政策措施,在计算机网络建设工作中,借助于信息安全等级保护制度构建网络安全体系,以提高网络安全保护质量,更好推动网络信息化的健康发展。     

信息安全中的等级保护与分级保护初探

信息安全等级保护与分级保护是我国信息安全保障的基本制度。本文介绍了我国信息安全等级保护和涉密信息分级保护体系,并对等级保护和分级保护的关系进行了初步探讨。     

浅析信息安全中的等级保护与分级保护

为了保证涉密网络中的信息安全,国家保密法要求对涉密信息实施等级保护与分级保护.本文分别介绍信息安全中的等级保护和分级保护体系,探讨分级保护与等级保护的关系.     

发电企业信息安全等级保护研析与实施

随着网络技术在发电企业广泛应用,信息系统安全越来越受到重视,而信息安全等级保护作为防控信息系统风险的重要手段,发挥着至关重要的作用。文章介绍了发电企业信息安全等级保护的特点与防护重点,分析了等级保护的体系框架以及实施要点。     

信息安全测评项目中的风险管理与风险规避

随着等级保护工作的不断深入,各单位对信息安全也越来越重视,导致了现阶段信息安全测评项目的大量增加。文章运用项目管理的思想和方法,以风险管理的理论加强信息安全测评项目的风险管理,完成了在测评中的风险规避,对于提高项目实施的成功率和测评结果的准确率发挥了重要作用。     

信息安全等级保护测评体系建设试点工作稳步开展

为了推动信息安全等级保护测评机构建设,提高等级测评机构的技术和管理能力,规范等级测评活动,检验等级测评标;隹规范,为信息系统主管部门和运营使用单位开展等级保护工作提供支持。7月2日,公安部网络安全保卫局在北京召开了信息安全等级保护测评体系建设试点工作会议,会议由公安部网络安全保卫局处长郭启全主持。     

等级保护应用安全与OWASP Top10

应用系统是信息安全等级保护测评的核心对象,直接面对用户,受到的安全威胁最大。OWASP Top10是指应用系统的十大安全风险。文章从信息安全等级保护的角度,对OWASP Top10进行研讨分析,整理OWASP Top10与等级保护应用安全测评控制点之间的关系,探讨OWASP测试方法在等级保护应用安全测评中的使用。     

浅谈建立我们国家信息安全等级保护标准体系的必要性

适度安全永远是信息安全工程的根本原则,不同的资产价值以及用户对安全目标的不同期望值(即对残余风险的容忍程度)会要求用户根据预算和成本选择安全措施,使之符合自己对安全强度等级的需求。但是信息安全等级保护不可能不要一套标准和指南体系作为支撑,是直接利用现有的信息安     

标准化为等级保护插上翅膀--访国家信息化专家咨询委员会委员崔书昆

去年7月．公安部等四部委联合下发《关于信息安全等级保护工作的实施意见》．信息安全等级保护工作正式启动。等级保护制度建设离不开标准体系的支撑，为此，本刊记者采访了国家信息化专家咨询委员会委员崔书昆。     

基于等级测评的系统安全保护能力量化评价方法

采用层次分析法构建保护能力的评价指标体系,并以此为基础层层汇总计算各措施层指标的合成权重,作为保护能力得分量化的基础。同时,还在现有等级测评的基础上,创新性提出从“正反”两个不同的角度来度量信息系统的安全状况,安全保护能力评价结合了正向的保护状况和反向的风险情况进行综合判定。     

基于SOA的商业系统的信息安全技术探讨

提出了一套有效的基于SOA的商业系统信息安全技术,解决商了业系统中亟待解决的安全问题,为商业系统提供了访问控制、数字签名、身份认证以及分布式入侵检测技术等安全性保障。     

基于磁盘过滤驱动的硬盘保护技术

针对传统利用中断方式的磁盘保护有不少安全隐患,分析了一种基于磁盘过滤驱动的硬盘保护工作机制。该机制的核心思想是在对上层操作系统透明的情况下,重定向对磁盘操作的I/O请求包,在重启系统后自动清除缓存数据。由于工作在操作系统内核层增强了保护功能的安全性。     

数字化校园数据中心安全问题研究

数据中心的信息内容涉及到个人的隐私以及学校的信息秘密,因此数据中心的安全问题极其重要.分析了数据中心的安全风险及威胁,从安全防护区域和安全防护层次两个角度综合考虑构建安全防护体系,运用安全检测和安全评估等技术手段进行持续改进,以控制新出现的安全风险与威胁,实现数据中心安全的动态防护.     

终端安全管理系统在气象网络中的研究与应用

终端安全管理系统是中国气象局信息安全防护体系的重要组成部分,为业务系统和办公网络的各类终端提供基本的安全保证。但是终端安全管理系统在气象业务环境下还没有形成有效的研究和经验积累。随着全国气象业务系统面临的安全风险不断增加,探索气象业务系统部署终端安全防护系统,保证气象数据的安全性的问题亟待解决。文中以气象业务系统的终端数据安全为出发点,根据中国气象局信息网络一体化建设的需要,结合CIMISS等业务系统的数据流转过程,通过研究在业务系统建立终端安全防护机制,引入一定的机器学习算法对安全事件进行分析与分类,在一定的范围内对安全事件进行归纳总结,发现存在的深层次问题并进行针对性整改,从而大幅降低终端用户的安全风险。     

基于GB17859-1999标准体系的风险评估方法

在信息系统的安全问题上,只能追求适度的安全风险。安全风险要适度,就必须正确选择系统的保护等级,而确定安全保护等级的基本方法是进行风险评估。文章首先介绍国内外信息系统安全等级保护的相关标准,着重论述了我国的GB17859-1999等级保护标准体系。在此基础上,提出了基于该标准体系进行信息系统等级保护风险评估的模型及方法。     

工业控制SCADA系统的信息安全防护体系研究

SCADA的安全性已引起了广泛的关注,文章首先介绍了工业控制SCADA系统面临的主要信息安全风险;然后提出了基于总体安全策略、安全技术体系、安全管理体系、安全服务体系和安全基础设施的SCADA安全防护体系,能有效保障SCADA系统的安全运行。     

工业控制系统信息安全防护体系研究

工业控制系统作为国家经济命脉的重要基础设施正面临着严峻的信息安全风险,工业控制系统信息安全防护体系建设迫在眉睫.分析了工业控制系统信息安全风险,结合电力行业工控系统信息安全需求,遵循先进成熟技术原则、分级保护原则、动态调整原则,提出了采用分层分域、纵深防御策略构建工业控制系统信息安全防护体系,阐述了安全风险评估体系、安全技术体系、安全管理体系的建设方案.     

电子政务系统软件应用安全技术研究

电子政务系统承担了社会管理的重要职能,软件应用安全直接关系到系统的信息安全。介绍了电子政务系统软件应用安全风险和防护需求,着重分析了与认证、通信、审计、资源控制、应用软件代码及容错等需求相对应的信息安全防护技术,为实际应用提供了技术应用参考。     

融合PKI基础设施的信息安全保障技术框架研究

传统的基于网络安全防护的安全技术已不能满足信息安全保障(IA)时代的安全需求,与此同时网络安防系统自身也存在各种安全风险和面临各种安全攻击,同样需要强化身份、认证、保密、完整、抗抵赖等安全保障。本文将通过强化密码基础设施的核心和基础安全支持服务功能,融合密码基础设施与网络安防技术,为信息系统及网络安全防护系统提供更加强壮的身份、认证、保密性、完整性及抗抵赖等安全服务。