分享到:

等级保护与三同步的过程结合

1网络与信息安全“三同步”网络与信息安全“三同步”,指在信息系统生命周期中,网络与信息安全要实现“同步规划”、“同步建设”、“同步使用”[1]。“三同步”是信息系统自身的要求。信息系统是为特定业务目标信息化而构建的,而信息安全是信息系统的安全保障。一般而言,信息系统生命周期包括规划、建设、使用/运营三个阶段。其中建设又包括系统分析、系统设计(概要设计/详细设计)、系统实施/编码、系统验收等阶段。只有落实“三同步”,在项目规划、建设阶段中强化落实安全要求,才能避免在后期的运营/使用阶段进行安全整改导致的业务风险大、改造难度大、投入成本高、耗时、耗力。只有落实“三同步”,才能有效形成信息系统的安全防护能力,为做好后续运维工作打下基础。2网络安全等级保护《网络安全法》规定“国家实行网络安全等级保护制度”[1]。等级保护,指对信息系统按等级进行保护,对信息产品/信息安全产品按等级进行管理,对信息安全事件按等级进行应对[2]。等级保护基于...  (本文共1页) 阅读全文>>

《信息通信技术》2018年06期
信息通信技术

从新技术角度谈等级保护2.0

级,第三级即安全标记保护级,第四级即结构化保护引言级,第五级即访问验证保护级;2003年8月,中共中央随着当前物联网、云计算、大数据、移动互联等办公厅和国务院办公厅通过转发《国家信息化领导小组新技术层出不穷,如何更好地保障国家安全,已经成了关于加强信息安全保障工作的意见》(中版发[2003] 27当前信息化发展中迫切需要解决的问题。当下除了物联号),建立信息安全等级保护的指导思想,要求“实施网、云计算、大数据、移动互联网新技术,还有许多信息安全等级保护”[1]; 2004年9月,公安部、国家密新兴技术日益成熟,比如人工智能、区块链、边缘计算码管理局、国家保密局和国务院信息化工作办公室发等,这对等级保护提出了更高的要求。为了顺应当前的布了《关于信息系统等级保护工作的实施意见》(公通形势需要,信息安全等级保护制度也演变成了网络安全字[2004]66号),将等级保护提升为国家信息安全保障等级保护制度,简称等保2.0。本文首先介绍等级保...  (本文共6页) 阅读全文>>

《信息网络安全》2019年01期
信息网络安全

“等级保护新标准培训班”在京举办

2018年12月25日,由中关村可信计算产业联盟主办,360企业安全集团、北京立思辰计算机技术有限公司、北京可信华泰信息技术有限公司、北京工业大学、北京安赛创想科技有限公司协办的“等级保护新标准培训班”在北京举办。中国工程院院士沈昌祥、360企业安全集团董事长齐向东、公安部网络安全保卫局副处长范春玲、公安部信息安全等级保护评估中心副主任张宇翔等领导、专家出席了本次会议,分别围绕网络安全等级保护制度、等级保护标准进行了介绍。授课专家均长期从事网络安全等级保护工作,直接参与了《网络安全等级保护条例》及等保标准的起草。授课内容权威、翔实、准确、深入,受到业内广泛关注,300余人参加了本次会议。沈昌祥院士在授课中详细讲述了如何利用可信计算筑牢网络安全防线。他认为,封堵查杀模式的网络安全已经过时,我们要用可信计算的架构,构筑可信计算免疫。主动免疫可信计算是指在计算运算的同时进行安全防护,计算全程可测...  (本文共1页) 阅读全文>>

《网络安全技术与应用》2019年03期
网络安全技术与应用

云计算环境下的等级保护浅析

0引言云计算作为传统计算机技术与互联网技术进行整合之后获得的结果,目的是借助互联网将多项成本较小的计算机实体转变为一个计算功能完善的体系,同时根据不同的商业形式,将这种计算功能传输至终端用户。这种理念是借助大范围的数据中心与功能完善的服务器使互联网应用软件开始正常工作并供给相应的服务,让所有的线上用户可以访问该软件[1]。此类独特的运用形式促使云计算获得了服务虚拟化、普适性强、扩展性高等优点。它属于一类新的概念,运用形式方面的探究依旧比较匮乏,而且存在许多影响其发展的问题,而云计算问题则是当前面临的亟待解决的问题。现阶段,我国将等级保护的原则用来保护重要信息体系的安全,然而针对云计算体系此类独特的运用形式,等级保护的要求大体上并未做出详细的探究。针对原有的计算形式来说,用户对于数据具备全部的控制权,但是在云计算形式下,用户对于数据和机器的管控全部受制于供给服务的商家,用户只剩下了对于虚拟机的控制权,所以以用户的视角而言,怎样确保...  (本文共2页) 阅读全文>>

《中国信息安全》2019年05期
中国信息安全

等级保护进入新阶段

5月13日,国家网络安全等级保护2.0标准发布,将于2019年12月1日正式实施。网络安全等级保护制度是国家网络安全领域的基本制度和基本方法。等级保护的概念自1994年提出,经过20多年的发展和演进,经历了2003年27号文的正式确立和开始实施,2007年《信息安全等级保护管理办法》发布,以及自2014年开始的修订升级、草案公布,到如今新版本的正式发布,标示着我国网络安全等级保护制度迈上了一个新台阶。等保2.0以《网络安全法》等为顶层法律遵循,从等保1.0到等保2.0,不仅仅是文本的修订、技术的升级,也是法律效力的提升。等保2.0标准在1.0标准的基础上,注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。人们注意到,新发布的2.0版本显著亮点之一,是增加了安全扩展要求:新国家标准将等级保护对象从信息系统扩展到网络基础设施、云...  (本文共1页) 阅读全文>>

《电脑知识与技术》2019年18期
电脑知识与技术

基于等级保护的互联网信息系统研究

随着新技术、新应用的高速发展,特别是云计算、互联网+等新技术的不断发展,给社会大众提供便利的同时,也给网络安全带来了新的挑战。回顾2017年,伴随着WannaCry勒索病毒、美国2亿选民资料泄露等全球性网络安全事件的频繁发生,人们越来越认识到网络安全不仅仅是网络本身的安全,还关乎政府、企业乃至个人信息安全。同时,公安部近年来多次召开有关会议,强调等级保护的重要性,由此可见,进行互联网信息系统安全建设与防护显得尤为必要。1我国的等级保护制度我国的等级保护始于1994年,国务院颁布了《中华人民共和国计算机信息系统安全保护条例》,要求计算机信息系统实行安全等级保护,随后于1999年推出了《计算机信息系统安全保护等级划分准则》,将等级保护确立为我国信息安全基本制度。2008年出台了40余项等级保护相关标准。2017年6月《网络安全法》正式实施,使得等级保护有了明确的法律依据。我国的等级保护是按照主体遭受破坏后对客体的破坏程度来评定信息系...  (本文共2页) 阅读全文>>