基于等级保护体系架构的中储粮安全运维管控平台

文章通过对中储粮信息系统安全等级保护建设的介绍,首先阐述了如何依据等级保护标准构建基于等级保护的信息系统安全体系架构和安全管理制度。然后论述了安全技术与安全管理的融合,静态防护与动态监控的融合,通过信息系统安全运维管控平台承载这种“融合”,从而实现基于等级保护安全架构的信息系统安全保障体系。     

解读国标《信息系统等级保护安全设计技术要求》

国家标准《信息安全技术信息系统等级保护安全设计技术要求》是根据中国信息安全等级保护的实际需要,按照信息安全等级保护对信息系统安全整改的要求制订的,对信息系统等级保护安全整改阶段技术方案的设计具有指导和参考作用。本文主要对第二级至第四级系统安全保护环境设计及系统安全互联设计技术要求进行解读,并给出设计示例,以帮助读者学习和理解该标准,并推进贯彻与实施。     

基于IPSEC的VPN的安全功能要求的设计与分析

《计算机信息系统安全保护等级划分准则》是我国计算机安全产品和系统必须遵循的标准,而CC是一个新的国际性通用标准,设计一个满足CC标准的网络安全产品或系统,目前国内还没有借鉴之处。文章对国际国内的安全标准现状进行了分析比较,研究了将我国的计算机信息系统安全保护等级的要求用CC标准来描述的问题,并对基于IPSEC的VPN的安全功能要求的实现进行了研究。     

国家信息安全等级保护政策中等级概念之间相互关系的分析

信息安全等级保护制度实施以来,在多个政策文件和技术标准中出现了等级的概念,本文分析和说明了信息系统重要程度等级、监督管理强度等级、安全保护能力等级概念之间的区别,并给出了在系统定级、安全保护和监督管理环节中上述等级概念之间的逻辑关系。     

云安全防护体系架构研究

针对云计算中心的安全需求探讨云安全防护体系的设计框架和建设架构,并论述等级保护背景下如何做好云计算中心的安全防护工作。从其本质上看,云计算中心仍然是一类信息系统,需要依照其重要性不同分等级进行保护。云计算中心的安全工作必须依照等级保护的要求来建设运维。云安全框架以云安全管理平台为中心,综合安全技术和管理运维两个方面的手段确保系统的整体安全。在安全技术方面,除了传统的物理安全、网络安全、主机安全、应用安全、数据安全、备份恢复等保障措施,还需要通过虚拟化安全防护技术和云安全服务来应对云计算的新特征所带来的安全要求。     

车载信息系统的安全测评体系及方法

汽车信息系统的安全工作主要集中在分析、挖掘车载信息系统及其功能组件现存的安全漏洞及可行攻击方式的实验验证,缺乏全面、系统的车载信息系统安全测评体系及评估方法。论文在分析车载信息系统安全现状的基础之上,提出将车载信息系统的安全等级划分为：家用车载信息系统和商用车载信息系统,定义了两个等级车载信息系统的保护能力,并借鉴通用信息系统的安全等级保护要求,提出车载信息系统不同保护等级的基本安全要求,首次建立车载信息系统的安全等级测评体系。进一步建立层次化安全评估模型及算法,实现车载信息系统的定量安全评估。通过奥迪C6的安全测评案例证明,提出的等级测评体系及评估方法是可行、合理的,为分析车辆信息系统的安全状况提供支撑,填补了国内车载信息系统安全测评体系及评估方法的空白。     

面向等级保护的数据安全保护系统研究与设计

文章以信息系统安全等级保护理论为指导,设计了一套数据安全保护系统。该系统以数据安全保护为主线,针对涉密数据的生成、使用、流转、外发和销毁的全生命周期,采用多项软硬件技术综合保障涉密数据的安全性。文章介绍了信息系统等级保护的基本概念以及数据安全保护系统的体系结构、主要功能。目前,该数据安全保护系统已研发完成,并取得了良好的应用效果。     

风险评估是等级保护的基础

本文认为信息及信息系统的分等级保护必须以风险评估为基础,介绍了风险评估与等级保护间的关系,提出了安全设计首先应该以风险评估的结果作为依据。并认为信息系统的等级划分在某种意义上是对残余风险的接受和认可,进而提出了信息系统保护应该是个性化的。     

信息系统安全等级测评配置检查工具研究与实现

通过对FDCC在美国成功的案例与现有信息系统等级保护和风险评估的测评指标分析,建立广东电网公司的安全配置检查规范模型。并基于该模型,借鉴SCAP协议的设计思路设计了各种类型安全配置检查枚举库。给出安全配置测评自动化工具的系统架构、模块组成和界面设计,工具的成功研制对提升信息系统等级保护测评结果的科学性、准确性都起到了非常大的促进作用,同时加快了测评的进度,提升了工作效率。     

关于信息系统安全保护等级评估工具

本文主要介绍信息系统安全保护等级评估的背景及国外相关研究进展,提出系统评估中的关键问题和技术,阐述信息系统安全保护等级评估方法和评估工具的实现,并对评估流程进行描述。     

安全保护模型与等级保护安全要求关系的研究

该文指出等级保护安全建设整改需要依据技术标准落实各项技术和管理措施,建立信息系统安全防护体系将会借鉴各种流行的安全保护模型,进而分析和说明了各种流行的安全保护模型与等级保护安全要求之间的关系,给出了基于等级保护安全要求结合流行安全保护模型形成信息系统安全防护体系的思路。     

关于美国信息系统等级保护和信息产品策略的研究

分析美国信息系统分级的思路,从信息系统的分级、安全措施的选择以及安全产品的策略三个方面对联邦和国防部进行了比较,得出了系统处理信息的重要性可以作为划分等级的重要依据以及坚持信息安全技术和产品的发展要始终处于政府的监督、引导和控制之下的结论。这对于我国信息系统和产品等级保护工作有重要的借鉴意义。     

信息系统等级保护测评

随着互联网技术的快速发展,信息系统对政府、机构、企业的日常工作和生产起到越来越重要的作用,信息系统的安全性、可用性和连续性越来越受到重视。开展信息系统的等级保护测评工作是评测系统安全性的必要手段,是检验系统整体的安全部署是否完善的有效方法。     

信息系统安全保护等级评估工具研制

本文阐述了信息系统安全保护等级评估方法,介绍了评估系统的实现,并对评估流程进行了描述。     

基于等级保护的电力信息安全监控系统的设计

随着电力信息化建设的深入,电力企业基本建立了信息安全防护体系,采取了很多安全防护措施,对其进行安全监控和管理越来越重要.依据GB/T 22239-2008和电力行业信息系统安全等级保护的基本要求,提出了基于等级保护的电力信息安全监控系统框架,设计了安全事件的关联分析规则.利用电力信息安全监控系统,能快速、准确地定位安全事件,提升电力系统安全防护体系的应急处理能力.     

烟草行业信息安全运维管理体系建设的思考

湖南烟草商业系统信息化建设的实施为烟草系统承担的专卖管理和服务实现电子化、网络化和透明、高效开辟了广阔的空间。然而信息系统的安全问题也变得更加突出、严重。认识信息系统安全的威胁,把握系统安全的影响因素和要求,建设系统信息安全运维管理体系,对保证湖南烟草信息系统的有效运行具有重要意义。     

浅谈基于ITIL的规范运维保障体系在企业中的建设与应用

该文通过对质量管理体系、ITIL和信息系统安全等级保护三套标准进行分析,提出了一种以质量管理体系为框架,ITIL流程控制为主线,等级保护管理标准为保障的综合运维保障体系建设方法。并通过梳理实施过程中各项主要工作的关系,根据分段实施、稳步推进原则,总结了一条可操作、可落地的规范运维保障体系实施路线。     

高校服务器运维安全审计系统的研究

随着社会信息化水平的提高,各种服务器、交换机、路由器等硬件设备越来越多,需要建设运维权限集中管理和审计系统,规范运维人员对服务器的操作行为,提升对信息系统运维操作的监管能力,提高网络与信息安全管理水平。     

高校服务器运维安全审计系统的研究

随着社会信息化水平的提高,各种服务器、交换机、路由器等硬件设备越来越多,需要建设运维权限集中管理和审计系统,规范运维人员对服务器的操作行为,提升对信息系统运维操作的监管能力,提高网络与信息安全管理水平。     

轨道交通企业信息系统的安全规划

针对轨道交通企业信息系统,研究了信息安全规划的一些基本问题.制定了信息安全规划的目标,确定了规划的内容,重点对信息安全体系结构设计、基于等级保护的安全信息系统和信息安全管理体系的建设等工作进行了分析.相关方法已经在一个实际的轨道交通企业信息系统安全规划过程中得到了应用,从而验证了所采用方法的合理性和可行性.