为规范信息安全等级保护管理,提高信息安全保障能力和水平,2007年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定并发布《信息安全等级保护管理办法》。国家电网公司积极落实各项要求,将浙江省电力公司等四个单位作为系统内开展信息系统安全等级保护工作的试点,探索统筹开展信息系统安全等级保护测评、信息安全产品评测的工作模式……
标签: 等级保护
关于“风险评估是不是作秀”
前一段信息与网络安全行业的知名网站ChinaCISSP论坛曾经有个议题:风险评估是不是作秀。
议题的说明:
--------------------------------
辩题:风险评估是不是作秀?
正方观点:是作秀,因为风险评估主观和不确定因素过重,其结果要么被认为是不正确的,要么只是为已有的结论寻找依据而已。
反方观点:不是作秀,风险评估有科学理……
对美国信息系统等级化保护的探讨
等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。如何对信息系统实行分等级保护一直是社会各方关注的热点。美国,作为一直走在信息安全研究前列的大国,近几年来在计算机信息系统安全方面,突出体现了系统分类分级实施保护的发展思路,并根据有关的技术标准、指南,对国家一些重要的信息系统实现了安全分级、采用不同管理的工作模式,并形成了体系化的标准和指南性文件。
一、美国信息系统分级的思路
从目前的资料上看,美国在计算机信息系统的分级存在多样性,但基本的思路是一致的,只不过分级的方法不同而已,已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括:
…
谈大型信息系统的安全域划分与等级保护建设
近年来,随着我国信息化发展的逐步深入,我们对信息系统的依赖越来越强,国家信息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全和社会秩序。但是大型信息系统的安全保障体系建设是一个极为复杂的工作,为大型组织设计一套完整和有效的安全体系一直是个世界性的难题。一些行业性机构或大型企业的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多;系统面临着各种性质的安全威胁,间……
分级保护和等级保护的不同点
by 网路游侠
https://www.youxia.org
涵盖的范围:
分级保护:军工、涉密系统
等级保护:所有,涵盖分级保护的内容
级别划分:
分级保护:3级(秘密、机密、绝密)
等级保护:5级(1、2、3、4、5)
牵头单位:
分级保护:国家保密局
等级保护:公安部
对应关系:
分级保护从低到高对应等级保护的3、4、5
且:不低于等级保护对应的级别。
分级保护比等级保护的3、4、5增强了一些
等级保护的东西网上能找到
分级保护的基本上找不到的
需要到当地保密部门审核借阅 ^_^
信息安全等级保护分几级
信息系统的安全保护等级分为以下五级:
(一)第一级为自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。
(二)第二级为指导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。
(三)第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重
信息安全等级保护重在内网安全体系建设
由于信息安全事件频发,国家对信息安全越来越重视,信息安全等级保护的试点工作从去年开始在国家各个重要部门开始实施。虽然信息安全等级保护标准和一些相关要求已经提出多年,但是大部分用户和信息系统管理人员对之了解甚少,这已经成为信息安全等级保护标准推广的难点之一。
事实上,信息安全等级保护的核心思想就是根据不同的信息系统保护需求,构建一个完整的信息安全保护体系。通过分析《计算机信息系统安全保护等级划分准则(GB 17859-1999)》可以看出,信息安全等级保护的重点在于内网安全措施的建设和落实,建立一个完整的内网安全体系,是一个信息系统在安全等级保护工作中的重点。本文将通过对安全等级保护和内网安全内涵和关系的分析,探讨内网安全体系建设在信息安全等级保护工作中的重要性。
信息系统安全保护等级定级实例
系统简述:某省政府网站系统ZFWZ,用于发布政务公开信息、地方行政法规和管理措施、领导讲话、政府办事流程、新闻发布、政府公告、举报投诉、省内经济形势介绍、电子表单下载等信息,服务对象主要是省内企业和市民。
ZFWZ系统等级分析:
1、ZFWZ系统是省政府对社会办公的窗口,其类型为党政机关处理国家事务的信息系统,其信息系统所属类型赋值为3;
2、网站信息属公开信息,信息被破坏不会对国家利益和社会利益造成严重损害,其业务信息类型赋值为1;
3、查表知ZFWZ系统的业务信息安全性等级为2级。
计算机信息系统安全等级保护划分准则
计算机信息系统安全用户自主保护级(第一级)划分准则
计算机信息系统安全系统审计保护级(第二级)划分准则
计算机信息系统安全安全标记保护级(第三级)划分准则
计算机信息系统安全结构化保护级(第四级)划分准则
计算机信息系统安全访问验证保护级(第五级)划分准则
入侵检测产品在等级保护中的应用
IDS 在等级保护中的应用,我觉得有以下几点应该考虑,第一,一些规避IDS的入侵方法。目前,有专门针对IDS检测过程中技术环节缺陷的攻击手法,如多态缓冲溢出攻击等,等级保护中IDS的应用应该注意这方面的问题;第二,现在IPS的说法很流行,它可以在入侵成功的情况下对攻击及时进行阻断,因此在一些国家重要部门的信息系统应该强制要求具备这种能力;第三,当入侵行为发生之后,事后应该通过信息记录作为电子证据查处入侵行为,因此,入侵行为的取证也要达到一定的要求;第四,是否具有特殊环境下对加密数据流进行检测的功能,因为国家重要部门的很多应用都是加密的,这种情况下如何进行入侵的检测是一个比较重要的问题;第五,安全是一个综合性的复杂行为,有一些入侵从单点或个别信息角度很难准确确定攻击行为,要通过多点或多种安全产品信息的采集和过滤才能够更进行准确的判断,所以IDS对分布式的部署能力有很高的要求。今后,IDS越来越多的是充当管理平台的角色,因此,是否具备大规模分布式的部署能力以及信息处理和集中管理能力至关重要。
启明星辰等级保护解决方案
启明星辰信息技术有限公司根据金融系统实际的安全需求出发,在全面体现GB17859-1999的等级化标准思想的基础上,以公安部《信息系统安全保护等级定级指南》和《信息系统安全等级保护测评准则》等相关标准与指南为主要指导,充分吸收近年来安全领域出现的信息系统安全保障理论模型和技术框架(如IATF等)、信息安全管理标准ISO/IEC 17799:2000和ISO/IEC TR 13335系列标准,根据金融行业的特点和信息化现状,运用业界权威的安全风险评估标准与模型,结合启明星辰多年的安全风险评估经验与实践,从组织保障层面(人)、运营管理保障层面(过程)以及技术实现与保障层面(技术)三个层面(简称PPT)提出了基于等级保护的信息安全保障体系整体框架和设计方案。
公安部、国家保密局《信息安全等级保护管理办法》
关于印发《信息安全等级保护管理办法》的通知
各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体保密委员会办公室:
为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。现印发给你们,请认真贯彻执行。
公安部 国家保密局
国家密码管理局 国务院信息工作办公室
二〇〇七年六月二十二日