分享到:

等级保护的三大误区

从2003年开始,部分厂商和方案商即开始跟踪等级保护项目,但围绕着等级保护的争论和误读就从来没有停止过。$$初期的争论焦点集中在“标准”是否应以强制的方式执行。对这一话题的争论以《信息系统安全保护等级管理办法》(圈内称之为43号文件)的出台画上了句号。之前一系列文件中经常出现的“建议”等字眼,43号文件中统一变为“应该”,这也表明了政府对此问题的看法。老问题解决了,但新问题却又出现,由于对政策“吃不透”,用户和安全系统集成商在系统建设中出现了多种误读。$$误区一:定级后就万事大吉$$在采访中不难发现,现阶段用户和安全系统集成商对等级保护的大部分误读都围绕着定级产生。我们先来看看政策的原件。根据《计算机信息系统安全保护等级划分准则》,国家将计算机安全保护划分为以下五个级别: $$第一级:用户自主保护级。该保护等级使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。 $$第二级:系统审计保护级。除具备...  (本文共2页) 阅读全文>>

权威出处: 电脑商报2008-03-03
《数字通信世界》2019年05期
数字通信世界

等级保护与三同步的过程结合

1网络与信息安全“三同步”网络与信息安全“三同步”,指在信息系统生命周期中,网络与信息安全要实现“同步规划”、“同步建设”、“同步使用”[1]。“三同步”是信息系统自身的要求。信息系统是为特定业务目标信息化而构建的,而信息安全是信息系统的安全保障。一般而言,信息系统生命周期包括规划、建设、使用/运营三个阶段。其中建设又包括系统分析、系统设计(概要设计/详细设计)、系统实施/编码、系统验收等阶段。只有落实“三同步”,在项目规划、建设阶段中强化落实安全要求,才能避免在后期的运营/使用阶段进行安全整改导致的业务风险大、改造难度大、投入成本高、耗时、耗力。只有落实“三同步”,才能有效形成信息系统的安全防护能力,为做好后续运维工作打下基础。2网络安全等级保护《网络安全法》规定“国家实行网络安全等级保护制度”[1]。等级保护,指对信息系统按等级进行保护,对信息产品/信息安全产品按等级进行管理,对信息安全事件按等级进行应对[2]。等级保护基于...  (本文共1页) 阅读全文>>

《浙江经济》2018年09期
浙江经济

等级保护再认识

等级保护进入2.0时代,对其重要性、保护对象、内涵、体系都需要再认识“春雨惊春清谷天,夏满芒夏暑相连。秋处露秋寒霜降,网络安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。近年来,随着互联网+、大数据、中国智造2025等重大战略的实施,云计算、物联网、大数据、工业控制、移动互联等新技术的应用发展,带来了一系列重大的网络安全新问题,原有的等级保护制度、标准体系已不能完全适应新形势的需要,社会上对等级保护产生一些质疑的声音,认为等级保护已经过时,等级保护缺乏技术含量,甚至认为等级保护测评已失去意义。然而,事实上,新形势下等级保护自身也在与时俱进,正在升级完善,应当用发展的眼光重新认识等级保护。随着《中华人民共和国网络安全法》的正式实施,国家对等级保护制度提出了新要求,等级保护进入2.0时代。2.0时代,云计算、大数据等新技术应用不断增多,网络安全的环境更加复杂...  (本文共1页) 阅读全文>>

《贵阳市人民政府公报》2016年24期
贵阳市人民政府公报

市人民政府办公厅关于印发《贵阳市大数据及网络情况摸排暨信息系统等级保护工作推进方案》的通知

筑府办函〔2016〕188号各区、市、县人民政府,高新开发区、经济技术开发区、贵阳综合保税区、贵州双龙航空港经济区管委会,市政府各工作部门,市属事业单位,市管企业:《贵阳市大数据及网络情况摸排暨信息系统等级保护工作推进方案》已经市人民政府研究同意,现印发你们,请认真遵照执行。2016年11月11日(此件公开发布)贵阳市大数据及网络情况摸排暨信息系统等级保护工作推进方案为深入实施国家信息安全等级保护制度,维护国家安全、社会稳定和公共利益,坚决遏制网络入侵攻击、控制破坏、篡改窃密等行为,保障全市大数据与网络安全科学健康有序发展,提升大数据及网络安全整体保护水平,贵阳市决定在全市范围内开展对大数据存储中心、云平台、重要信息系统、关键基础设施、政府网站的摸底调查工作,严格落实网络安全责任,健全完善全市各单位信息网络安全管理制度与技术措施,构建网络安全防护体系。根据工作实际,制定本方案。一、指导思想以习近平总书记“没有网络安全就没有国家安...  (本文共3页) 阅读全文>>

《铁路计算机应用》2015年02期
铁路计算机应用

铁路信息系统等级保护测评工作模式探讨

《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》)第十四条规定,信息系统建设完成后,运营、使用单位或者其主管部门应当选择规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第3级信息系统应当每年至少进行一次等级测评,第4级信息系统应当每半年至少进行一次等级测评。同时,信息系统运营、使用单位及其主管部门也应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第3级信息系统应当每年至少进行一次自查,第4级信息系统应当每半年至少进行一次自查。本文将探讨如何将等级保护自查和等级保护测评工作有效结合,实现铁路信息系统等级保护测评工作的常态化发展。在铁路行业推进等级保护测评工作的有序和高效开展,首要工作是制定并落实各项等级保护测评制度,其次,要组织人员编制《铁路信息系统等保测评指标体系》(简称“指标体系”)及《铁路信息系统等级保护测评作业指导手册...  (本文共3页) 阅读全文>>

《信息网络安全》2014年02期
信息网络安全

有效开展等级保护安全检查工作之我见

据不完全统计,截止2012年,我国已备案的信息系统达到了5万多个,每个信息系统开展等级保护工作留存的数据量有千余条,如果借助自动化检查产品开展等保工作不仅能提升等级保护工作效率,降低人员投入成本,还能更加高效精准地发现问题,防患于未然。目前国内的等级保护安全产品缺乏统一的行业标准规范,用户在产品选型过程中采购了与等级保护相关标准融合度低的产品现象时有发生,究其原因,主要包括:第一,部分等保脆弱性安全评估软硬件安全产品不支持针对管理层面、物理安全层面的检查,使得管理层面存在的诸多薄弱环节被忽视。第二,安全评估产品对等保基本要求的四大技术层面覆盖不全。目前市场上缺乏可融合多种检测技术的产品,检测时需分别借助不同的检查工具,工具间数据格式不统一,无法及时进行汇总分析,致使等保工作耗时费力且效果不明显。第三,基于远程安全检查的方式导致结果出入不一。传统的评估类产品是基于远程方式对目标信息系统外围进行漏洞扫描发现安全弱点,但这种方法无法从...  (本文共1页) 阅读全文>>