公安机关信息安全等级保护检查服务平台设计

针对公安机关开展信息安全等级保护检查工作的需要,依据《公安机关信息安全等级保护检查工作规范(试行)》(公信安[2008]736号),研究公安机关信息安全等级保护检查的检查内容、检查流程等,提出了通过公安机关信息安全等级保护检查服务平台实现公安机关信息安全等级保护检查工作的规范化和智能化。     

浅谈Wi-Fi、4G等无线网络对于重要信息系统等级保护工作的影响

信息安全等级保护制度是国家信息安全保障工作的重要制度和保障,无线互联网新技术的出现如3G、4G、随身Wi-Fi等,给重要信息系统等级保护工作带来了新的挑战。无线互联网是当前信息技术领域的热门话题之一,是产业界、学术界、政府等各界均十分关注的焦点。以随身Wi-Fi为代表,探讨了无线网络新技术发展对等级测评产生的影响,旨在推动等级保护的发展。     

谈风险评估方法在等级测评中的进一步运用

通过对国际成熟风险管理理论研究和风险评估方法分析,结合我国信息安全等级保护工作开展现状,探讨在等级测评环节中,如何进一步运用风险评估方法,增强信息系统运行使用单位识别风险和应对威胁的能力,进而为信息安全等级保护相关理论完善奠定技术基础。     

等级保护智能分析技术研究与应用

《信息系统安全等级保护基本要求》对物理环境、网络、主机、数据库、应用等对象安全防护要求进行了明确规定,但数以百计的控制点的审查与关联分析,现今主要依赖于等保测评师的经验进行人工分析,分析速度慢、质量不一。针对该问题,通过研究等级保护控制点的自动化采集方法,建立合规分析库与智能关联模型,开发安全基线合规系统,实现了等级保护各控制点的自动化采集与关联分析,协助系统管理员快速、客观、准确的开展等级保护测评。     

警务物联网安全威胁与等级保护

信息安全等级保护制度是国家信息安全保障工作的基本制度和基本策略,而等级测评是用来检验和评价信息系统安全保护水平的重要方法,涉及到各类敏感信息的警务物联网给传统等级测评技术带来了新的挑战。分析了警务物联网的安全特性、安全架构和安全模型,并初步探讨如何对其进行安全量化风险评估分级,从而进行相应的安全等级测评。     

等级保护制度下信息安全各项工作及其关系的思考

本文对等级保护制度下,信息安全的各项工作及其关系,从作为等级保护工作基本依据和规范的法律、法规、政策和标准,到作为等级保护基础的安全技术和产品的开发和管理,作为等级保护中心内容和重要措施的等级化安全信息系统的建设、测试和运行控制,以及作为等级保护制度落实重要保证的监督管理等方面,对相关问题的思考作了简要介绍。     

赵林副主任在中央和国家机关信息安全等级保护安全建设整改工作培训班上的讲话

2009年11月24日,公安部在北京举办中央国家机关信息安全等级保护安全建设整改工作培训班,对信息安全等级保护安全建设整改工作的目标、内容和方法等进行了解读和说明。中央国家机关95个部门的处级干部和技术骨干共220余人参加了培训。公安部网络安全保卫局赵林副主任出席了培训班,并对等级保护安全建设整改工作提出了具体意见和要求,现摘刊如下。     

信息安全等级保护安全建设整改工作政策解读

一、信息安全等级保护安全建设整改工作依据的政策 近几年,为组织开展信息安全等级保护工作,公安部根据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）的授权,会同国家保密局、国家密码管理局和原国务院信息办出台了一些文件,国家发改委会同公安部、国家保密局出台了相关文件，     

铁路信息安全等级保护技术体系规划与设计研究

通过对我国铁路行业信息安全等级保护现状和信息系统面临的安全风险的分析,研究适合铁路行业的信息安全等级保护体系,提出铁路信息系统等级保护技术体系的规划与设计方案,指导铁路信息安全等级保护的设计与实施,为信息安全等级保护工作在铁路信息系统的贯彻和落实提供技术支撑。     

我国信息安全等级保护工作的新进展——赵林副主任在中央和国家机关信息安全等级保护安全建设整改工作培训班上的讲话

2009年11月24日，公安部在北京举办中央国家机关信息安全等级保护安全建设整改工作培训班，对信息安全等级保护安全建设整改工作的目标、内容和方法等进行了解读和说明。中央国家机关95个部门的处级干部和技术骨干共220余人参加了培训。公安部网络安全保卫局赵林副主任出席了培训班，并对等级保护安全建设整改工作提出了具体意见和要求，现摘刊如下。     

信息安全风险评估和等级保护工作展望

回顾了我国信息安全风险评估和等级保护工作的发展历程;阐述了关于风险评估和等级保护工作的一些新认识,以及两者在信息安全保护中的目的、出发点和作用的异同;展望了下一阶段信息安全风险评估和等级保护工作的重点:国家、行业、单位有关主管部门应进一步明确和规范信息安全风险评估和等级保护工作的管理,加强有关测评标准、技术的研究,增加面向专业测评机构和用户单位的技术培训,推动和扶持我国自主可控信息测试工具系统的研发和产业化发展。     

基于SaaS类型云计算服务信息安全等级保护模型研究与设计

通过介绍SaaS类型云计算服务及传统信息系统安全等级保护模型,提出了一种基于SaaS类型云计算服务信息安全等级保护模型,能够适用于云计算平台上信息安全等级保护工作的开展。实践表明:该模型能够更好的适用于云计算平台,解决了云计算平台的信息安全等级保护检测难题。     

浅谈现有条件下个人信息安全保护之策

通过阐明个人信息与关键信息基础设施之间的关系,以及对当前个人信息安全现状和保护工作现状的分析,强调加强个人信息保护工作的重要性和紧迫性。立足现有法律规范尚待健全的客观条件,探索总结以网络安全等级保护制度为基础的个人信息安全治理工作方法,为企业开展个人信息安全保护工作提供指导。     

卷首语

<正>为了深入贯彻落实全国网络安全和信息化会议精神,进一步推动全国信息安全等级保护工作的深入开展,2014年6月27日,公安部第一研究所在公安部网络安全保卫局等单位的指导和大力支持下,在辽宁省沈阳市举办"第三届全国信息安全等级保护技术大会"。会议为全国重要行业部门、信息安全企业、业内专家学者、测评机构以及公安机关提供了重要的交流平台,将有力推动等级保护关键技术的发展以及对新技术应用安全问题的研究探索。     

重要信息系统等级保护建设整改技术框架

信息安全等级保护制度是我国信息安全保护的基本制度,对涉及国家安全、社会秩序和公共利益的重要信息系统提供高安全等级技术保护至关重要。论述了信息安全在美国政府中的战略地位及美国政府这一领域采取的系列措施对中国的借鉴;分析了我国高安全等级信息系统的技术防护要求,提出了构建高等级信息系统安全保护的保护环境框架体系,并介绍了各子系统的功能;最后给出了重要信息系统等级保护的安全建设整改技术路线。     

应用安全域解决方案实践“信息安全等级保护”

概述了信息安全等级保护的背景,以及安全等级的定级原则、层级划分、基本安全要求;分析了信息安全等级保护的发展现状并提出应对策略,指出信息安全等级保护的难点是安全域划分;全面系统地阐述了应用安全域解决方案,包括安全域的实现需求模型、应用安全域解决方案的思路和实现方式。     

基于Delphi法赋值的等级保护定量评价方法研究

对传统的等级保护测评方法做了简要介绍,然后根据定量分析理论和项目实践中的经验,提出了等级保护定量综合评价方法,并用实例证明了其有效性和可实施性。该方法解决了不同应用系统等级保护的侧重点问题,避免了测评定性评价结论的主观性,同时为测评结论审查提供了思路。     

基于等级保护测评的公共安全视频监控系统信息安全测评技术研究

公共安全视频监控系统作为保障城市治安防护能力的关键基础设施,其安全性和可用性直接影响着各项公安业务的正常有效运行。随着平安城市、智慧城市的普遍建设,在极大提升公共安全视频监控业务应用深度和广度的同时,也带来大量的信息安全隐患,给公共安全视频监控的信息安全保卫工作带来了全新的挑战。提出了一种思路,即研究借鉴等级保护测评体系的技术和方法对公共安全视频监控系统进行信息安全测评的可行性,同时针对此类系统的特殊性增加部分新的测评类型和测评项目,对开展国内公共安全视频监控系统信息安全测评具有一定参考意义。     

“网络安全等级保护安全设计技术要求”修订工作概述

随着云计算、移动互联、物联网、工业控制等新技术应用的不断出现,信息系统面临的安全风险、安全威胁也随之发生了变化,信息系统安全体系结构也需要进行调整。为适应新的需求、新的变化,对GB/T 25070-2010《信息安全技术信息系统等级保护安全设计技术要求》进行修订。从标准修订关键点、安全防护体系设计等层面对该标准修订工作进行介绍,有利于提升标准的可读性,增强标准对行业的指导力。     

我国开展跨境电子银行业务的困难和策略

跨境电子银行业务是随着全球信息和通讯技术发展而产生的一种新的金融业务。目前,我国的银行在开展跨境电子银行业务中出现了新风险、银行信用等级不高、创新能力不足等困难。对此,笔者认为,应采取风险管理措施、采取“水泥 鼠标”模式、进行金融创新、加强与境外金融机构的合作和营销等策略,开展跨境电子银行业务。