分享到:

有效开展等级保护安全检查工作之我见

据不完全统计,截止2012年,我国已备案的信息系统达到了5万多个,每个信息系统开展等级保护工作留存的数据量有千余条,如果借助自动化检查产品开展等保工作不仅能提升等级保护工作效率,降低人员投入成本,还能更加高效精准地发现问题,防患于未然。目前国内的等级保护安全产品缺乏统一的行业标准规范,用户在产品选型过程中采购了与等级保护相关标准融合度低的产品现象时有发生,究其原因,主要包括:第一,部分等保脆弱性安全评估软硬件安全产品不支持针对管理层面、物理安全层面的检查,使得管理层面存在的诸多薄弱环节被忽视。第二,安全评估产品对等保基本要求的四大技术层面覆盖不全。目前市场上缺乏可融合多种检测技术的产品,检测时需分别借助不同的检查工具,工具间数据格式不统一,无法及时进行汇总分析,致使等保工作耗时费力且效果不明显。第三,基于远程安全检查的方式导致结果出入不一。传统的评估类产品是基于远程方式对目标信息系统外围进行漏洞扫描发现安全弱点,但这种方法无法从...  (本文共1页) 阅读全文>>

《信息与电脑(理论版)》2014年04期
信息与电脑(理论版)

等级保护工作支撑平台的设计与应用

等级保护工作开展情况自1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定我国“计算机信息系统实行安全等级保护”以来,经过了十几年的发展,目前等级保护的组织体系、标准体系、技术体系建设已日趋成熟,随着2007年《信息安全等级保护管理办法》(公通字[2007]43号)的实施、2010年国家信息安全等级保护安全建设指导专家委员会的成立以及每年一次等级保护大会的召开,从国家重视到地方实施,等级保护已经从国家政策层面成功落地,标志着信息安全等级保护工作即将进入到一个新的发展阶段。随着等级保护工作的不断深入和开展,根据国家颁布的政策文件和标准规范,各重点行业也加强了对等级保护工作的研究力度,制定并下发了符合本行业安全需求的等级保护行业标准、行业等级保护实施方法等标准和文件,用以指导本行业的等级保护工作。如,电子政务、电力行业、通信行业、广电行业、教育行业、水利行业、税务行业、医疗行业、金融行业、证券行业等。比较典型有,国...  (本文共3页) 阅读全文>>

《信息通信》2014年07期
信息通信

试析等级保护整改和安全建设的意义及实践

信息安全保障的基本制度是信息等级保护制度,而等级保护工作是信息安全保障工作的关键部分。开展信息等级保护整改工作可以促进信息化建设,能够维护国家网络的安全。实施信息系统安全等级保护制度,能够提升信息系统的安全防护能力,应对网络威胁,维护国家网络的安全。1等级保护整改与安全建设过程依据信息等级保护的相关策略,要加强信息等级保护管理制度的建设,强化对技术措施的管理以及等级的测评,并且落实信息安全等级保护的各项制度,不断增强安全防范能力,做到减少安全隐患和事故,促进信息化的健康发展,维护国家的安全。2等级保护整改建议方案2.1构建信息等级保护的安全体系结构信息系统一般是由区域边界、计算机环境、通信网络构成。区域边界主要是计算机的边界环境,它控制和保护进入和流出计算机环境的信息。而计算机环境由信息存储与处理的计算机软件和系统软件构成,它一般是指用户的工作环境,计算机环境是信息安全的关键,是授权和访问控制的源头,通信网络是指实现计算机信息传...  (本文共1页) 阅读全文>>

《信息与电脑(理论版)》2014年07期
信息与电脑(理论版)

探析企业重要系统等级保护管理建设与测评

信息安全等级保护是全球存在的普遍性信息安全工作内容,该工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作,为国家基础设施和社会运行提供信息技术保障2。信息安全等级保护广义上为涉及到人员、标准、系统、信息等内容,狭义上称为的一般指信息系统安全等级保护。该企业的信息系统安全等级保护工作即对所管辖的网络信息系统进行分等级建设和保护的工作过程。企业信息网重要信息系统(以下简称“重要系统”)的运行和信息涉及到国家安全、法人和其他组织及公民的专有信息,因此需要对系统及信息存储、传输、处理的过程实行安全保护。然而在安全建设的过程中,由于信息网的固有特点以及信息安全行业的属性,该企业信息网重要信息系统等级保护工作也遇到了各方面的问题,根据信息安全工作“三分技术,七分管理的思想”,其中等级保护管理的问题需要得到足够的重视和改进,这不仅影响到企业信息网运行维护的效率,信息网的安全等级测评,也关系到该企业运输业务的工作效率和稳定发展3。重要...  (本文共3页) 阅读全文>>

《数字通信世界》2019年05期
数字通信世界

等级保护与三同步的过程结合

1网络与信息安全“三同步”网络与信息安全“三同步”,指在信息系统生命周期中,网络与信息安全要实现“同步规划”、“同步建设”、“同步使用”[1]。“三同步”是信息系统自身的要求。信息系统是为特定业务目标信息化而构建的,而信息安全是信息系统的安全保障。一般而言,信息系统生命周期包括规划、建设、使用/运营三个阶段。其中建设又包括系统分析、系统设计(概要设计/详细设计)、系统实施/编码、系统验收等阶段。只有落实“三同步”,在项目规划、建设阶段中强化落实安全要求,才能避免在后期的运营/使用阶段进行安全整改导致的业务风险大、改造难度大、投入成本高、耗时、耗力。只有落实“三同步”,才能有效形成信息系统的安全防护能力,为做好后续运维工作打下基础。2网络安全等级保护《网络安全法》规定“国家实行网络安全等级保护制度”[1]。等级保护,指对信息系统按等级进行保护,对信息产品/信息安全产品按等级进行管理,对信息安全事件按等级进行应对[2]。等级保护基于...  (本文共1页) 阅读全文>>

《浙江经济》2018年09期
浙江经济

等级保护再认识

等级保护进入2.0时代,对其重要性、保护对象、内涵、体系都需要再认识“春雨惊春清谷天,夏满芒夏暑相连。秋处露秋寒霜降,网络安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。近年来,随着互联网+、大数据、中国智造2025等重大战略的实施,云计算、物联网、大数据、工业控制、移动互联等新技术的应用发展,带来了一系列重大的网络安全新问题,原有的等级保护制度、标准体系已不能完全适应新形势的需要,社会上对等级保护产生一些质疑的声音,认为等级保护已经过时,等级保护缺乏技术含量,甚至认为等级保护测评已失去意义。然而,事实上,新形势下等级保护自身也在与时俱进,正在升级完善,应当用发展的眼光重新认识等级保护。随着《中华人民共和国网络安全法》的正式实施,国家对等级保护制度提出了新要求,等级保护进入2.0时代。2.0时代,云计算、大数据等新技术应用不断增多,网络安全的环境更加复杂...  (本文共1页) 阅读全文>>