国家信息安全认证——中国国家信息安全测评认证中心介绍

第一篇 中心介绍 中国国家信息安全测评认证中心是经国家授权,依据国家有关认证的法律、法规和有关信息安全管理的政策、法律、法规,按照国际标准建立的代表国家对信息技术、信息系统、信息安全产品以及信息安全服务的安全性实施公正评价的技术职能机构,其基本职责是面向社会提供相关的技术服务,面向政府有关主管部门的信息安全行政管理和行政执法提供必要的技术支持。 中国国家信息安全测评认证中心(以下简称“测评认证中心”)对外开展四种国家信息安全认证业务:产品型式认证、产品认证、信息系统安全认证、信息安全服务认证;并向通过认证的产品、信息系统、信息安全服务提供者颁发相应证书并准予使用认证标志。

信息安全测评认证的现状与发展

测评与认证对维护国家的信息安全极为重要。从国际上看,一些主要国家都建立了比较完善的信息安全测评认证体系,并开展了国际间的相互认可。我国的信息安全测评认证机构建于1997年,现已初具雏形,在技术支撑体系、标准体系、独立的第三方信息安全认证体制以及测评认证服务等方面都取得了进展;但在测评的方法、认证的方式等方面尚存在一些缺陷。另外,安全测评认证工作也折射出中国信息安全产业中存在的问题。

开展信息案例测评与认证维护国家信息安全

随着全球信息化的发展及中国加入世界贸易组织,信息安全直接关系到国家政治、经济、军事和社会发展,政府部门、社会用户、生产厂商和执法机关对信息的“安全”、“可信”的要求十分迫切,开展信息安全性测评与认证成为信息化时代的客观需求。

安全测评是确保信息安全的“第一道屏障”

“斯诺顿事件如同一记重拳，将众人的信息安全意识猛然击醒。信息安全最显著的特点是“出现的问题越大，受重视程度越高”，最显著的成效是“受重视程度越高，出问题的概率越小”。显然，在当今信息技术广泛应用，网络影响力日益增强的时代，信息安全的风险因受到各类威胁而不断增长。随着新技术、

基于虚拟化的信息安全等级保护测评

当前,各单位在信息系统建设中开始大量使用虚拟化技术,针对被测信息系统虚拟化的特点,通过对某虚拟化系统的测评过程与方法进行简要介绍,说明通过修改调查表格、测评项、风险分析方法等使得等级保护测评既适应信息系统虚拟化的现状,又符合国家标准要求。

信息系统安全评价体系在网络安全等级保护2.0测评中的应用研究

随着信息化发展,信息成为现时代最为活跃和关键的生产要素。同时伴随着社会对信息技术的依赖性增强,信息安全事件也不断增多,带来信息和网络危机。由此,对信息系统安全的研究,日益成为人们关注的焦点。本文基于构建信息系统安全评价体系的重要性,特别是对网络安全等级保护2.0工作具有的重要意义,采用层次分析法和德尔菲法相结合,测算信息系统安全评价指标权重值,构建信息系统安全评价体系及其模型,并将其应用于某云计算平台网络安全等级保护测评之中,最后依据实证结果形成本文结论,期望抛砖引玉,对安全评价指标体系的进一步的研究和应用有一定的参考价值。

信息系统安全测评五人谈

物理世界中,人们需要对高速公路、隧道、交通枢纽进行监测、对各色车辆实施年检,以保障鲜活、健康的城市动脉畅通无阻。而网络环境中高速发展的“信息高速公路”也同样需要“保安全”、“促发展”——“对信息系统进行安全测评”是解决这一问题的重要手段!面对强烈的社会需求,上海市政府58号令发布的《上海市公共信息系统安全测评管理办法》于2006年7月1日起正式施行。作为先行者,上海党政机关、交通、社保、医疗卫生、金融服务等163家公共事业单位,将在二年内全面进行“信息系统安全测评”,从而使其信息系统建设达到“世界发达国家、中心城市的先进水平”!

互联网金融信息安全评估指标体系研究

针对互联网金融安全保障体系中的信息安全评估问题,基于《互联网金融网络与信息安全技术指引》的具体要求,参考P2DR2安全模型的构成要素,提出适用于互联网金融信息安全评估的指标体系。引入层次分析法确定指标结构和权重,并结合模糊综合评价法给出互联网金融信息的总体评价结果。实例应用结果表明,该指标体系可以有效地评估互联网金融的信息安全水平,具有较强的实用性。

信息系统安全风险评估技术分析

信息系统安全的风险评估是建立信息系统安全体系的基础和前提。在对国内外现有的信息安全风险评估方法与技术进行归纳和较系统的介绍的基础上,指出了目前信息安全风险评估需要解决的问题,对未来信息系统安全风险评估的发展前景进行了分析。

信息系统(网络)安全分析方法与评价模型

该文提出了信息系统安全性分析的思路,建立了由属性、因子、基本因子构成的层次分析方法,并介绍了基本因子的评分方法,以及属性节点的最弱环节、加权评估值、权重最弱环节等评价指标,为信息系统整体的量化评估奠定了基础。

基于CMM的信息系统安全保障模型

通过分析信息安全和安全保障发展的历史,在比较、分析和综合各种已有的安全体系架构和模型的基础之上,从时间与空间角度分析信息系统安全保障的构成;在综合分析信息安全问题产生的内外因基础上,从组织安全角度提出一种统一的基于能力成熟度模型信息系统安全保障的分级模型。

信息系统安全测试框架

提出一种信息系统安全测试的框架,包括信息系统安全测试的策略、基础理论、方法和工程等,为建立一个标准的、一致性的信息系统安全测试对比基准提供了基础。给出4种信息系统安全测试分析方法和2种测试方式。

基于FAHP的信息安全风险评估方法

提出基于模糊层次分析法的信息安全风险综合评估模型,从主观评测和工具检测两方面对各个风险因素分别评价其重要程度。利用模糊偏好法求出各个风险因素在系统风险评估中的优先级排序,给出目标系统在不同安全侧面上的量化风险,增强评估准确性。实例分析表明,该模型可方便地应用于信息安全风险评估,具有实用性。

基于FAHP的信息安全风险群组决策评估方法

结合当前信息安全风险评估的特点和发展现状,提出一种结合FAHP和群组决策的风险量化评估方法。该方法利用FAHP处理主观评估判断结果,实现了综合考虑风险发生概率和风险损失的偏好排序;在评估过程中引入群组决策,建立群组偏好排序的线性规划模型,以降低个体评估决策的不确定性。以某政务公开信息系统脆弱性评估为例,验证了评估方法的合理性和可行性,结果表明该评估模型计算简单且排序稳定性好。

信息安全风险评估中若干操作问题的研究

信息安全风险评估是一项复杂的、实践性强的系统工程,本文在分析信息安全风险评估相关标准、方法和技术体系以及总结实践经验的基础上,对信息安全风险评估过程的出发点、威胁和脆弱性的识别依据、影响威胁可能性的判断因素以及风险评估中的影响分析等四个操作层面的问题进行了分析和研究,并同时提出了许多可操作性的结论和建议.