关于“风险评估是不是作秀”

  前一段信息与网络安全行业的知名网站ChinaCISSP论坛曾经有个议题:风险评估是不是作秀。
  议题的说明:
--------------------------------
辩题:风险评估是不是作秀
  正方观点:是作秀,因为风险评估主观和不确定因素过重,其结果要么被认为是不正确的,要么只是为已有的结论寻找依据而已。
  反方观点:不是作秀,风险评估有科学理……

分级保护和等级保护的不同点

by 网路游侠
http://www.youxia.org

涵盖的范围:
分级保护:军工、涉密系统
等级保护:所有,涵盖分级保护的内容

级别划分:
分级保护:3级(秘密、机密、绝密)
等级保护:5级(1、2、3、4、5)

牵头单位:
分级保护:国家保密局
等级保护:公安部

对应关系:
分级保护从低到高对应等级保护的3、4、5
且:不低于等级保护对应的级别。
分级保护比等级保护的3、4、5增强了一些

等级保护的东西网上能找到
分级保护的基本上找不到的
需要到当地保密部门审核借阅 ^_^

汉邦助力涉密信息系统分级保护建设

  汉邦公司作为多年来服务于网络信息安全行业的专业生产厂商,在涉密信息系统的安全防护领域积累了丰富经验。针对此次上海市全面推行的涉密信息系统分级保护建设工作,汉邦严格按照中华人民共和国保密标准BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》和BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》的有关规定,就国家涉密信息系统分级保护的技术要求和相应建设方案进行了深入研究,在不断扩充提升汉邦优势产品——汉邦信息安全综合强审计系统的同时,有针对性的为党政机关保密部门量身定做涉密信息系统审计监控平台,将最先进的管理理念和开发技术集于一身,做到有的放矢,致力于帮助用户实现涉密信息系统安全保密管理之目的。

北京金天城-涉密信息系统分级保护自查平台

  “涉密信息系统分级保护自查平台”是北京金天城保密技术有限公司按照中华人民共和国保密标准BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》和BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,为保密工作部门量身定做的涉密信息系统自查平台。将最先进的管理理念和开发技术集于一身,以人为中心,致力于帮助用户实现涉密信息系统安全保密管理的目的。

入侵检测产品在等级保护中的应用

IDS 在等级保护中的应用,我觉得有以下几点应该考虑,第一,一些规避IDS的入侵方法。目前,有专门针对IDS检测过程中技术环节缺陷的攻击手法,如多态缓冲溢出攻击等,等级保护中IDS的应用应该注意这方面的问题;第二,现在IPS的说法很流行,它可以在入侵成功的情况下对攻击及时进行阻断,因此在一些国家重要部门的信息系统应该强制要求具备这种能力;第三,当入侵行为发生之后,事后应该通过信息记录作为电子证据查处入侵行为,因此,入侵行为的取证也要达到一定的要求;第四,是否具有特殊环境下对加密数据流进行检测的功能,因为国家重要部门的很多应用都是加密的,这种情况下如何进行入侵的检测是一个比较重要的问题;第五,安全是一个综合性的复杂行为,有一些入侵从单点或个别信息角度很难准确确定攻击行为,要通过多点或多种安全产品信息的采集和过滤才能够更进行准确的判断,所以IDS对分布式的部署能力有很高的要求。今后,IDS越来越多的是充当管理平台的角色,因此,是否具备大规模分布式的部署能力以及信息处理和集中管理能力至关重要。

军工系统涉密信息系统分级保护的几个问题

  军工涉密信息系统是国家秘密非常集中的领域,一直是窃密与反窃密,渗透与反渗透的主战场。据国家有关部门统计,在全国泄密事件中,军工系统占有很大比例。由于一些军工单位涉密信息系统安全保障能力不够、管理不力,导致涉密信息系统泄密案件的比例逐年上升,安全保密形势非常严峻。严格按照涉密信息系统分级保护的要求,加强军工涉密信息系统建设意义重大。