关注网络与数据安全
系统简述:某省政府网站系统ZFWZ,用于发布政务公开信息、地方行政法规和管理措施、领导讲话、政府办事流程、新闻发布、政府公告、举报投诉、省内经济形势介绍、电子表单下载等信息,服务对象主要是省内企业和市民。
ZFWZ系统等级分析:
1、ZFWZ系统是省政府对社会办公的窗口,其类型为党政机关处理国家事务的信息系统,其信息系统所属类型赋值为3;
2、网站信息属公开信息,信息被破坏不会对国家利益和社会利益造成严重损害,其业务信息类型赋值为1;
3、查表知ZFWZ系统的业务信息安全性等级为2级。
计算机信息系统安全用户自主保护级(第一级)划分准则
计算机信息系统安全系统审计保护级(第二级)划分准则
计算机信息系统安全安全标记保护级(第三级)划分准则
计算机信息系统安全结构化保护级(第四级)划分准则
计算机信息系统安全访问验证保护级(第五级)划分准则
IDS 在等级保护中的应用,我觉得有以下几点应该考虑,第一,一些规避IDS的入侵方法。目前,有专门针对IDS检测过程中技术环节缺陷的攻击手法,如多态缓冲溢出攻击等,等级保护中IDS的应用应该注意这方面的问题;第二,现在IPS的说法很流行,它可以在入侵成功的情况下对攻击及时进行阻断,因此在一些国家重要部门的信息系统应该强制要求具备这种能力;第三,当入侵行为发生之后,事后应该通过信息记录作为电子证据查处入侵行为,因此,入侵行为的取证也要达到一定的要求;第四,是否具有特殊环境下对加密数据流进行检测的功能,因为国家重要部门的很多应用都是加密的,这种情况下如何进行入侵的检测是一个比较重要的问题;第五,安全是一个综合性的复杂行为,有一些入侵从单点或个别信息角度很难准确确定攻击行为,要通过多点或多种安全产品信息的采集和过滤才能够更进行准确的判断,所以IDS对分布式的部署能力有很高的要求。今后,IDS越来越多的是充当管理平台的角色,因此,是否具备大规模分布式的部署能力以及信息处理和集中管理能力至关重要。
启明星辰信息技术有限公司根据金融系统实际的安全需求出发,在全面体现GB17859-1999的等级化标准思想的基础上,以公安部《信息系统安全保护等级定级指南》和《信息系统安全等级保护测评准则》等相关标准与指南为主要指导,充分吸收近年来安全领域出现的信息系统安全保障理论模型和技术框架(如IATF等)、信息安全管理标准ISO/IEC 17799:2000和ISO/IEC TR 13335系列标准,根据金融行业的特点和信息化现状,运用业界权威的安全风险评估标准与模型,结合启明星辰多年的安全风险评估经验与实践,从组织保障层面(人)、运营管理保障层面(过程)以及技术实现与保障层面(技术)三个层面(简称PPT)提出了基于等级保护的信息安全保障体系整体框架和设计方案。
关于印发《信息安全等级保护管理办法》的通知
各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体保密委员会办公室:
为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。现印发给你们,请认真贯彻执行。
公安部 国家保密局
国家密码管理局 国务院信息工作办公室
二〇〇七年六月二十二日
“游侠安全网”微信公众号