关于对我国信息安全等级保护制度中等级测评的认识

随着世界科学技术的迅猛发展和信息技术的广泛应用,特别是我国国民经济和社会信息化进程的全面加快,网络与信息系统的基础性、全局性作用日益增强,信息系统的安全已经成为国家安全的重要组成部分,而等级测评是检验和评价信息系统的安全保护水平,判断信息系统是否能够抵御外部威胁的重要方法。

信息系统安全等级保护能力构成框架研究

本文首先从威胁与安全保护能力之间的关系出发,说明威胁和安全保护能力通过信息系统中的业务信息和系统服务相互作用、相互影响。同时提出安全保护能力分级,不同安全等级的信息系统应具有与其等级相适应的安全保护能力。然后从安全技术和安全管理两方面,提出信息系统等级保护能力构成框架,把保护能力分为防护类、检测类、恢复响应类、制度类、组织人员类、安全工程类和安全运行类。最后在信息系统等级保护能力构成框架指导下,分析了不同级别保护能力的体现,为信息系统选择措施进行恰当保护以到达相对安全提供指导,也为信息系统安全等级保护基本要求提供理论依据。

国家信息安全保障体系与信息安全等级保护制度实施

大家好，我是来自公安部信息安全等级保护评估中心的毕马宁。我今天要跟大家共同分享的话题是《国家信息安全保障体系与信息安全等级保护制度实施》。今天大会的主题是中国电子商务安全保障，电子商务随着我国信息化的发展以及网民数量的增加已经蓬勃兴起，包括我本人也是电子商务的参与人，也在使用电子商务进行购物。

信息安全等级保护标准体系研究

信息安全等级保护已经成为国家的信息安全保障工作的基本制度。文章从等级保护工作的实际出发,讨论了等级保护工作的流程,并构建了覆盖主要工作环节的信息安全标准体系。

基于等级保护与可信计算构建我国关键信息基础设施保障体系

我国关键信息基础设施是在囯家实行网络安全等级保护制度的基础上实行重点保护,可信计算是一种信息系统安全新技术,包括可信硬件、可信软件、可信网络和可信计算应用等诸多方面.通过可信计算实现高安全保护等级的信息系统保障技术,包括全程一致访问控制技术、结构化保护技术以及多级互联技术,进而形成纵深防御的安全防护体系,使高安全保护等级信息系统的计算全程可测可控,实现运算和防护并存,构建我国关键信息基础设施保障体系.

云计算安全等级保护标准研读

从定级方法上，云计算安全等级保护标准引入了基础支撑类系统的定级方法。它适用于基础信息网络和云计算平台等定级对象：根据其承载或将要承载的等级保护对象的重要程度，确定其安全保护等级，原则上应不低于其承载定级对象的安全保护等级；国家父键信息基础设施（重要云计算平台）的安全保护定级应不低于第三级。

重要信息系统安全检查实施方法与技术措施

文章从重要信息系统安全保障的迫切需求出发,依据国家等级保护相关政策和标准,以安全检查实践活动为基础,提出了重要信息系统等级保护安全检查的工作方法、工作内容、工作流程、实施步骤和技术措施,为主管单位和责任单位部署开展重要信息系统的安全检查提供参考。

加强应用系统源代码安全的风险管理

当今黑客们越来越多的采用直接攻击企业的应用系统已达到窃取企业数据,破坏企业信息的目的。越来越多的源代码安全漏洞让黑客有机可乘,如何提高应用系统的安全性是保障信息系统整体安全性的一个非常重要环节。

基于身份和三叉树的可认证群密钥协商方案

将基于身份的密码机制和三叉树引入到群密钥协商中,提出了一种高效的基于身份的可认证的群密钥协商方案。该方案不依赖数字证书提供认证,计算开销降低到O(log3n)。群长期密钥的引入以及群密钥中长期密钥和临时密钥的结合,使得该方案提供了密钥独立、完善前向保密和隐含密钥认证等安全属性。文章的设计思想可以作为把可认证的两方和三方密钥协商协议扩展到多方的一种通用方法。

以战略为牵引的信息安全产业发展方略

制定攻防结合的国家信息安全战略作为拥有6亿网民的网络大国以及网络攻击的主要受害国,中国应该出台国家信息安全战略,从实战化和全球化的思维审视我国的信息安全形势,制定＂攻防结合＂的国家信息安全战略。当前我国主流的信息安全技术思路,是大量采购防火墙、IDS、防病毒等传统被动防御手段,这种传统防御手段为保护国家信息安全曾发挥过重要作用。