分享到:

关于信息安全等级保护的思考

一、为什么要等级保护 $$信息安全保护存在的主要问题与政策: 正确的信息安全政策和策略是搞好国家信息安全保护工作的关键,而正确的信息安全保护政策和策略必须依赖于对信息安全问题的正确认识和信息安全保护抉择的正确取向。 $$社会发展的不同阶段有不同特质的信息安全问题,在社会发展要求网络化信息系统互连互通的信息化时代,信息安全问题的实质直接表现为国家主权、政治、经济、国防、社会安全和公民合法权益保障。 $$引发信息安全问题的因素有多个方面,有外部因素和内部的,但最主要的因素在于内部。信息安全政策不确定、信息安全发展方向不明朗;信息安全保护工作组织管理制度不健全,安全责任制不落实,导致管理混乱与不规范、安全管理与技术规范不统一、没有形成配套体系;信息安全市场和服务混乱、不规范;国家监管机制(执法队伍及其技术支撑体系)不健全,监管手段缺乏等。因此导致:国家对信息安全状况很难有效把握;信息系统主管、建设、使用者对如何搞好信息信息系统安全建设...  (本文共5页) 阅读全文>>

《网络安全技术与应用》2004年06期
网络安全技术与应用

关于信息安全等级保护中认证认可工作的思考

一、信息系统安全认证认可的概念辨析认证、认可是在多种领域使用的两个词汇,常因忽视了使用的场合而被误用。认证和认可的英文分别为“Certification”和“Accreditation”。在2003年11月1日开始执行的《中华人民共和国认证认可条例》(以下简称《条例》)中,“认证”指“由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动”;“认可”则指“由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员能力和执业资格,予以承认的合格评定活动”。传统的信息安全认证认可概念依然适用于信息安全领域,但信息安全等级保护中又有自己的认证认可概念。所谓传统概念适用于信息安全领域,是指在信息安全等级保护中,无论是对信息安全产品的认证,还是对信息系统的认证,均是依据标准展开的合格评定活动,自然应该受到《条例》的制约,从事认证的机构也必须得到国家认监委的认可。但在信息安全领域,又有...  (本文共3页) 阅读全文>>

四川大学
四川大学

网络信息系统风险评估方法研究

随着信息化进程的推进和深入,信息系统在各行各业应用的广度和深度不断拓展,信息系统的重要性愈显突出。信息安全问题逐渐受到信息系统所有者、管理者和使用者的重视。由于信息系统的重要性、计算机网络的开放性、信息系统组成部分的脆弱性和用户的有意、无意不当操作或恶意的破坏企图,使信息系统面临许多风险,这是信息安全问题产生的根本原因。基于成本和效益的考虑,以及对信息技术不断发展的现实等认识,解决信息安全问题的思路不是倾尽人力、物力、财力,将风险彻底降为零,达到绝对的安全(事实上,也无法达到绝对的安全),而是以把风险降低到信息系统可以接受的水平,从而使信息系统的安全性得到提高为目标的。为了达到该目标,必须知道信息系统面临哪些风险,其分布情况和强度(包括发生的可能性与发生后的损失)有多大。这是信息系统风险评估工作的基本内容。信息系统风险评估的研究由来已久,在评估流程和方法,以及工具软件的开发上都有很多成果,但体系性、理论性和实用性都存在着很大争议...  (本文共154页) 本文目录 | 阅读全文>>

《中国新通信》2018年18期
中国新通信

关于信息安全工作的思考

一、信息系统安全等级保护思想的形成20世纪80年代初,美国国防部成立“国家计算机安全标准”等系列标准,其中包括“可信计算机系统评估标准”[1](TCSEC)等近40个相关标准。TCSEC标准是国际计算机系统安全评估的第一个大型系统标准,具有划时代的意义。TCSEC集成了安全产品的安全特性和可靠性,并建立了四个类别和七个级别。1994年,“中华人民共和国计算机信息系统安全保护条例”规定“计算机信息系统实行安全级保护,安全级别划分和安全级别保护的具体标准由公安部会同有关部门制定。”1999年,中国公安部组织制定了强制性国家标准-“计算机信息安全保护等级分类指南”(GB17859-1999)。2003年,“全国信息化领导小组关于加强信息安全保护工作的意见”明确提出“实行信息安全等级保护”,“我们必须关注基础信息网络和与国家安全,经济命脉和社会稳定有关的重要信息系统的保护。要加强信息安全等级保护体系的建设,制定保护信息安全等级的管理措施...  (本文共1页) 阅读全文>>

《科技创新与生产力》2011年08期
科技创新与生产力

关于对企业信息安全等级保护的思考

随着信息化技术的快速发展,人们的工作、生活以及各项社会活动越来越多地依赖于计算机和网络信息系统。一旦这些信息系统出现问题,将会对国家安全、社会秩序和经济造成不同程度的损害。为此,如何确保我国重要信息系统安全可靠运行,将直接影响到我国经济和社会的稳定与发展。从我国多年来信息安全工作的总体情况来看,开展分等级保护信息安全能有效地解决信息安全面临的威胁和存在的主要问题。经过几年来的发展,我国信息安全等级保护工作已取得了明显的效果,初步解决了信息安全管理靠经验开展和盲目投资等问题。但是,当前一些中小型企业的信息安全等级保护工作仍然存在一些不完善之处,制约其进一步发展。如何正确认识信息安全等级保护工作,更好的发挥信息安全等级保护的作用,笔者就如何进一步做好信息安全等级保护工作做了具体的分析。1国家建立信息安全等级保护的背景及原因目前,国外普遍采用风险管理方法来控制信息系统的安全。它主要体现在信息系统运行的每个阶段,采用风险分析的方法,分析...  (本文共2页) 阅读全文>>

《网络安全和信息化》2019年07期
网络安全和信息化

网络安全等级保护实施经验

网络安全等级保护进入等保2.0时代,等级保护2.0在1.0的要参考《信息安全技术网络安全等级保护定级指南》,综合业务网络安全和系统服务安全保护等级,确定定级对象的安全保护等级。等级保护级别表示为SAG,其中S为业务信息等级,A为系统服务等级,G取两者中大的。安全保护等级根据定级对象在国家安全、经济建设、社会生活中的重要程度,以及遭到破坏后对国家安全、社会秩序、公共利益以及公基础上,横向扩展了对云计算、移动互联网、物联网、工业控制系统的安全要求,实现全方位主动防御、动态防御、整体防控和精准防护。等保2.0标准将于2019年12月1日实施,在做好企业当前等级保护工作基础上,要逐步向等保2.0标准有关要求过渡,不断提升企业网络安全保护能力。开展网络安全等级保护工作,包括定级、备案、建设整改、等级测评、监督检查等5个规定动作。定级定级是等级保护工作的首要环节和关键环节,定级不准,系统备案、建设、整改、等级测评等后续工作都会失去意义,网络...  (本文共4页) 阅读全文>>

《新疆电力技术》2013年03期
新疆电力技术

信息安全等级保护研究与实践

1引言在信息化时代,信息安全已经成为国家安全和企业安全的重要组成部分,信息安全等级保护作为国家信息安全基本制度,对保障政府部门和企事业的基础信息系统安全有着非常重要的作用,信息安全等级保护制度是国家信息安全保障工作的重要内容,也是一项事关国家安全、社会稳定的政治任务。因而,等级保护工作是当前信息网络安全工作的客观需要和紧迫需求。2信息安全等级保护信息系统等级保护制度是我国信息安全领域一项重要政策,信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。根据信息系统实用业务重要程度及其安全实际需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全稳定运行,维护国家利益、公共利益和社会稳定,等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度,保障重要信息资源和重要信息系统的安全。2.1等级保护定级信息系统的安全保护等级由两个定...  (本文共3页) 阅读全文>>