网络安全等级保护测评机构建设与发展探讨

网络安全等级保护测评是等级保护工作的重要环节,测评机构是实施测评工作的重要主体。通过探究测评机构建设过程、管理模式以及测评活动的规范要求,分析了新阶段测评机构的发展机遇,提出了促进测评机构持续发展的建议。

网络安全等级保护下的区块链评估方法

等级保护(简称等保)是我国信息安全的基本政策,随着区块链技术在各行业中的应用日趋广泛,有必要同步推进区块链系统的等级保护测评工作,这将有利于推动该技术在我国的持续健康发展.有鉴于此,依据等保第三级的应用和数据安全要求,给出了区块链系统中对等网络、分布式账本、共识机制和智能合约等核心技术的具体测评要求及实施方案,并从等保2.0规定的控制点出发,分别对当前区块链系统运行数据与基于日志流程的安全审计机制进行了归纳与分析.通过上述评估与分析可知区块链系统在软件容错、资源控制和备份与恢复等方面满足等保要求,而在安全审计、身份鉴别、数据完整性等方面则有待进一步改进.

基于公开数据的河北网络安全等级保护测评项目分析及机构能力评估研究

收集河北省网络安全等级保护测评机构的项目数据和基本状况,针对项目信息进行数据分析,并结合有关国家标准建立了一套用于测评机构能力评估的模糊综合评价模型。首先收集公开的河北省网络安全等级保护测评机构的项目数据,针对缺失的指标数据,使用随机森林方法进行拟合填充,重点针对2016年-2019年的项目信息进行数据分析;其次,基于国家标准,以问卷形式集合专家对该标准指标的相对重要性意见,之后通过模糊层次法将专家意见量化,形成各个指标的权重;最后,通过逐层累乘计算各层次指标的综合权重和专家打分比例,并根据最大隶属度原则做出判断,得出能力评估结论。

等级保护中的风险分析与评估方法及实践

本文主要讨论了等级保护测评过程中风险分析与风险评估方法的运用,给出了如何将测评发现与风险评估过程相结合的方法,尤其是如何从测评发现中识别脆弱性。

国家网络安全等级保护测评体系标准应用实践

以网络安全测评机构能力评估标准为核心,由测评过程类标准、安全要求类标准和分析方法类标准等共同构建的等级保护测评体系标准,通过相互衔接与配合,深入应用于等级测评专业化测评队伍能力建设、技术监督、专业平台工具研发等各个环节。在应用实践中,做到了与国家相关法律法规及政策配套协调,为市场准入和质量监管提供重要依据和参考,在网络安全测评行业管理、网络安全产业推进中发挥了重要作用。

网络安全等级保护2.0之常见安全要点及应对方法

随着网络安全等级保护2.0标准体系的正式实施,各行各业也在积极推动等级保护工作开展,但在安全建设整改方面仍存在一些问题。该文对等保2.0的安全要求和判定要点进行概括,并结合测评工作经验,总结出等级保护2.0中八大常见安全问题,进而提出解决措施。

基于博弈理论的等保测评机构监管仿真研究

测评机构监管是保证等级保护工作健康有序持续发展的重要内容。基于博弈视角,构建监管部门和测评机构的策略选择模型,通过仿真方法分析双方策略选择的稳定性,研究监管部门策略参数对测评机构测评质量的影响。仿真结果表明现有监管机制下,监管部门和测评机构之间难以形成稳定的策略选择状态,过度强调攻防竞赛类工作会对测评质量造成负面影响,需引入动态的处罚力度等方式来提高监管效果,仿真结果为监管部门合理分配资源、选择监管策略提供思路和参考。