关于信息系统安全保护等级评估工具

本文主要介绍信息系统安全保护等级评估的背景及国外相关研究进展,提出系统评估中的关键问题和技术,阐述信息系统安全保护等级评估方法和评估工具的实现,并对评估流程进行描述。     

信息系统安全保护等级评估工具研制

本文阐述了信息系统安全保护等级评估方法,介绍了评估系统的实现,并对评估流程进行了描述。     

安全保护等级划分实例

访问控制 用户自主保护级 该级别要求的访问控制为自主访问控制,通过隔离用户和数据,使用户具备自主安全保护的能力。 具有多种形式的控制能力,对用户实施访问控制,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏,     

等级保护与电子商务安全

科学的安全观追求的 是适度风险下的安全 认识论的规律告诉我们,人类对真理的认识是一个不断趋进的求极限过程,对真理的正确实现也需要在实践中经过检验。 现代信息系统是一个非线性的智能化人机结合的复杂大系统。由于人的能力的局限性,即便有再好的愿望,出于多     

基于等级保护的云计算安全评估模型

云计算应用与发展中最受关注的问题之一是安全。针对云计算服务安全水平量化的需求,以我国等级保护测评要求为基础,借鉴欧美相关机构的云计算风险控制与安全评估框架,通过德尔菲法构建云计算安全评估指标体系,使用层次化分析法计算出各指标项的权重。根据设计的指标体系,将模糊综合评判引入对云计算实例的分析。实际应用表明模型能为云平台安全提供有效的量化和与评估。     

信息系统安全保护等级应用指南

通用部分 安全要求与目标 无论是安全保护框架的描述,还是安全目标的设计,都要从安全功能的完备性、一致性和有效性等方面进行考虑。 完备性是指安全保护框架(PP)不应有安全漏洞,一致性是指安全保护框架(PP)中的安全功能应该平滑一致。 有效性是指安全保护框架(PP)中的安全功能应该是有效的。无论采用那一种设计方法,安全功能都必须是有效的,完全起作用的,不会被绕过的。     

信息技术安全评估准则CC与等级保护

1993年6月，TCSEC和ITSEC等信息技术安伞评估准则的发起组织开始联合起来，将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则。这一行动被称为CC项目，它的目的是解决原标准中出现的概念和技术上的差畀，并把结果作为开发中的国际标准提交给ISO。CC也成为中国制定等级保护制度的参考准则之一。     

基于等级保护的安全管理度量方法研究

本文提出了一种基于国家等级保护标准GB17895的安全管理度量方法．阐述了度量要素的提取及度量结果的量化等问题的解决方案，并依据ISO／IEC17799标准设计了安全管理度量的核查表。     

建设国际上公认的信息安全评估机构--访公安部信息安全等级保护评估中心朱建平

为促进信息系统安全等级保护制度的建设．贯彻落实《中华人民共和国计算机信息系统安全保护条例》的具体要求．经国家发改委批准，国家有关部门于2000年11月10日正式实施“计算机信息系统安全保护等级评估认证体系及互联网络电子身份认证管理与安全保护平台建设项目”，其中该项目的主要内容之一就是“在北京建立系统安全等级保护评估中心”。     

中美等级保护工作的比较思考

本文将我国和美国的信息系统等级保护工作步骤形象地比喻为“三步上篮”,文章中分别介绍了中式“三步上篮”和美式“三步上篮”,并将美式“三步上篮”进行了细致的评介,对比中式“三步上篮”加以总结和思考,得出的几点启示对我国等级保护工作有一定借鉴意义。     

基于等级保护的主机安全研究

主机是信息应用的核心,是绝大多数用户应用服务的运行中心和数据处理中心,足信息系统中敏感信息的直接载体,也是各类应用系统运行的平台,针对主机的攻击事件层出不穷,攻击手段多种多样,所以主机安全也是等级保护体系中安全建设的重要组成部分,研究如何在等级保护要求下科学有效部署主机安全保障系统,是当前信息安全保障工作中迫在屑睫的任务。     

基于等级保护的企业网络安全建设实践

按照等级保护要求,对企业网络安全建设进行了简要的分析,并提出了几个需要着重建设的方面.     

把握焦点问题推进等级保护工作实施

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号文)中．强调要实行信息安全等级保护制度。2004年1月召开的全国信息安全保障工作会议则再次将信息安全等级保护作为当务之急需要抓好的一项基础性工作：“抓紧建立信息安全等级保护制度．制定信息安全等级保护的管理办法和技术指南”。根据这些要求．     

等级保护与安全市场

每当新的政策法规出台，都会引起相关企业的结构调整，以适应游戏规则的变化其实规则的改变就是要促使参与者进行资源整合，以达到符合市场要求的最佳状态。随着等级保护制度的推广来自信息安全业界的关注越来越多。本期在等级保护栏目我们特别编发了一组企业老总谈等级保护的文章。这是来自厂商的声音。我们还将刊登更多的相关报道以期达到相互交流、互通信息的目的。     

等级保护下言息系统的量化综合评估

该文针对目前信息系统评估方法多从财务、管理效能方面进行评价,缺乏安全风险方面的考量这一现状,首次将信息安全风险引入信息系统的评价中,利用层次分析法构建了等级保护的评估模型.并以此评估了在等保三级安全要求下,单机工作模式和集中管控模式的优劣,验证了该评估模型的有效性.     

信息安全保障建设中的等级保护

2004年9月15日由公安部、国家保密局、国家密码管理局和国信办联合下发《关于信息安全等级保护工作的实施意见》(66号文件),明确实施等级保护的基本做法。2007年6月22日又由四单位联合下发《信息安全等级保护管理办法》(43号文件),规范了信息安全等级保护的管理。等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的,它是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。     

基于等级保护的安全管理度量方法研究

本文提出了一种基于国家等级保护标准GB17895的安全管理度量方法,阐述了度量要素的提取及度量结果的量化等问题的解决方案,并依据ISO/IEC17799标准设计了安全管理度量的核查表。     

关于等级保护的物理安全建设问题

目前计算机信息技术的迅猛发展,我国信息化建设逐渐走入成熟,各行业对信息系统的依赖越来越强,因而信息安全问题日益突出和严重。目前国家已经颁布了相关的信息安全等级保护的标准。等级保护基本技术要求涉及物理安全、网络安全、主机安全、应用和数据安全等几个重要的方面,本文以机房建设为例来探讨一下等级保护中物理安全建设问题。     

北京市信息办率先开展等级保护工作

信息安全等级保护是关系到信息化建设全局的重要举措．是做好信息安全保障工作的基础性工作。2004年．北京市在全国率先实行了信息安全等级保护制度．制定了相关规章制度．组织了专题培训．开展了风险评估、定级和安全测评等一系列工作．使北京市的信息安全等级保护工作有计划、按步骤地向前推进。     

在信息安全等级保护体系下构建云计算中心安全模型

文章从等级保护的管理制度和技术要求等方面分析了云计算中心常见安全风险,提出了应对的相关政策和法规要求,并在等级保护体系下为第四级云计算中心设计了基本安全模型。