所含信息的所有授权。当主体获得对一个已被释放的客体的访问权 时,当前主体不能获得原主体活动所产生的任何信息。 4.5.6 审计 计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非 授权的用户对它访问或破坏。 计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间 (例如:打开文件、程序出始化);删除客体;由操作员、系统管理员或(和)系统安全管 理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件 的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的 来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录 包含客体名及客体的安全级别。此外,计算机信息系统可信计算基具有审计更改可读输出记 号的能力。 对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接 口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记 录。计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。 计算机信息系统可信计算基包含能够监控可审计安全事件发生与积累的机制,当超过阈 值时,能够立即向安全管理员发出报警。并且,如果这些与安全相关的事件继续发生或积 累,系统应以最小的代价中止它们。 4.5.7 数据完整性 计算机信息系统可信计算基通过自主和强制完整性策略,阻止非授权用户修改或破坏敏感信 息。在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。 4.5.8 隐蔽信道分析 系统开发者应彻底搜索隐蔽信道,并根据实际测量或工程估算确定每一个被标识信道的 最大带宽。 4.5.9 可信路径 当连接用户时(如注册、更改主体安全级),计算机信息系统可信计算基提供它与用户 之间的可信通信路径。可信路径上的通信只能由该用户或计算机信息系统可信计算基激活, 且在逻辑上与其他路径上的通信相隔离,且能正确地加以区分。 4.5.10 可信恢复 计算机信息系统可信计算基提供过程和机制,保证计算机信息系统失效或中断后,可以 进行不损害任何安全保护性能的恢复。
编辑本段等级保护应用 等级保护咨询 目标:
圣博润安全服务团队帮助客户实现如下的基于等级保护要求的目标: 符合国家相关部门和监管机构对信息系统实行等级保护的要求,完成信息系统安全等级定级和顺利通过等级测评工作; 发现和解决信息系统安全面临的威胁和存在的主要问题,发现与等级保护级别要求上的差距,并及时进行改进; 有利于采取系统、规范、经济有效、科学的管理和技术保障措施,提高信息系统整体安全保护水平,保障信息系统安全正常运行; 然后根据信息系统划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施规划等,有针对性地指导后续的信息系统安全建设工程实施; 通过全程参与本项目实施过程,提升部门技术人员的安全技术和安全管理技能; 提升信息系统整体安全层次,使信息系统为业务提供更好的支撑平台,保证业务系统的正常运行。
咨询服务内容: 信息系统的风险等级定级 根据《计算机信息系统安全保护等级划分准则》(GB 17859-1999)、《信息安全等级保护管理办法》、《信息安全技术 信息系统安全等级保护定级指南》的要求和标准,通过对信息系统的综合分析,结合《信息系统总体描述文件》、《信息系统详细描述文件》、《信息系统安全等级定级报告》完成信息系统的定级工作。 信息系统的风险测评评估 在了解XXX信息系统构成的基础上,依据各信息系统的安全保护等级的相应等级指标,按照《信息安全技术? 信息系统安全等级保护测评准则》、
《信息安全技术? 信息系统安全等级保护实施指南》相关办法和技术标准的要求,对信息系统进行全面、细致的风险测评评估。 差距分析 根据《信息安全技术信息系统安全等级保护测评准则》的要求及信息系统的定级标准,结合信息系统的状况和各信息系统的安全保护等级的相应等级指标,进行等级保护差距分析,明确不符合项及与安全要求之间的差距及可能造成的风险。 信息系统安全整改建议 根据通过信息系统等级保护差距分析的结果,提供《信息系统等级保护安全整改方案》,完成信息系统的安全整改工作后,将保证信息系统的机密性、完整性和可用性。 信息系统总体安全规划 根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。 信息系统安全保护等级测评 公司根据《信息安全等级保护基本要求》、《信息安全等级保护测评指南》,并根据测评机构选取的测评范围、测评对象、测评强度、测评方法,以现场配合的方式来协助与等级保护测评机构完成等级保护测评工作。尽可能的避免或减少测评工作对信息系统和正常业务开展带来的影响。 特点: 标准化和规范化 技术的先进性和成熟性 整体性原则 动态性原则 经济性原则
等级保护测评和评估支撑平台
信息安全等级保护测评和评估支撑系统适合等级保护测评机构使用,为等级保护测评中心开展等级保护测评工作提供辅助支撑,提高测评项目的规范化管理。本系统提供信息系统测评、测评项目管理、知识库管理、漏洞弱点库管理、测评工具库管理、系统安全管理等一系列辅助管理功能,为等级保护工作效率和能力的提升提供一个方便的信息化支撑平台。 使用本系统,将为开展等级保护测评工作提供有力的支持,促进等级保护工作的顺利展开。通过安全测评服务,带动和指导后续的整改、集成、产品提供和安全服务需求,扩大产业规模,带动安全产品和服务产业发展。 本系统是等级保护测评机构适用的信息安全等级保护测评和评估支撑系统,为等级保护测评中心开展等级保护测评评估工作提供辅助支撑,提高测评项目的规范化管理、测评能力和工作效率。 信息安全等级保护测评和评估支撑系统主要建设内容包括: 提供全面完整的测评信息管理:对于等级保护测评过程中使用的被测系统基础资料、测评标准规范、测评知识库、测评过程信息和文档、测评报告、历史资料、测评案例、人员信息、系统日志审计等,测评支撑系统提供方便的编辑、维护、查询、使用、引用界面和接口。 测评知识库管理:为专业化服务规范体系建设的工作成果提供维护、使用、引用平台。通过知识库的在测评过程中的使用,约束、规范测评过程中各测评单元的工作要求和测评人员的行为。达到提高测评结果的客观性、公正性、科学性和可重复性。测评知识库的内容包括等保测评实施点库、风险评估实施点库、典型案例库、标准规范库、漏洞弱点库、文档模板库、工具库。 等级保护测评过程管理:为等级保护测评服务提供业务流程和信息流管理。规定测评过程信息收集、前期准备、方案制定、现场测试、综合分析各阶段工作内容和步骤,对测评过程各节点工作成果进行审核、审批,对测评计划的执行进行监控。规范测评过程各阶段输入、输出信息(文档)的类型、内容、格式。尽量提高各种文档的自动化生成能力。 测评资料管理:包括等级保护测评标准、规范、指南的文档管理,测评案例、安全测评工具库、历史测评资料的管理。为等级保护测评过程及培训工作提供技术资料。 风险评估管理:根据风险评估相关标准,结合等级保护的要求,通过管理和规范风险评估过程,提高风险评估工作的规范性和效率。建立风险评估工作的业务流程和信息流管理平台,实现风险评估团队的协同工作。为信息安全测评机构的检查评估提供技术支持服务。 信息安全等级保护测评和评估支撑系统设计依据: 《中华人民共和国计算机信息系统安全保护条例》 《中华人民共和国警察法》 《关于加强信息安全保障工作的意见》(中办发[2003]27号) 《关于信息安全等级保护工作的实施意见》
(公通字[2004]66号) 《信息安全等级保护管理办法》(公通字[2007]43号) 信息安全等级保护测评和评估支撑系统设计时参考了如下国家标准国家技术标准: GB17859-1999《计算机信息系统安全保护等级划分准则》 GB ××××-200×《信息系统安全等级保护测评要求》 GB/T 22239-2008《信息系统安全等级保护基本要求》 GB/T ××××-200×《信息系统安全等级保护实施指南》 GB/T 22240-2008《信息系统安全等级保护定级指南》
LanSecS信息安全等级保护综合管理系统 1. 系统简介
“LanSecS信息安全等级保护综合管理系统”是一套适用于信息安全等级保护工作业务管理的综合信息管理平台。作为信息安全等级保护工作的常态化管理工具,该系统紧密结合我国信息安全等级保护政策,实现了对信息安全等级保护工作中定级备案、安全建设整改、等级测评、风险评估和安全检查等各个工作环节信息与数据的集中管理和工作流程管理。 2.系统功能 2.1. 定级备案管理 “定级备案管理”主要完成重要信息系统的定级备案信息维护与管理,包括备案信息填报、备案信息查询、备案信息统计、备案信息表的导出和导入、备案附件信息管理、备案数据采集工具等。 2.2. 安全建设整改管理 “安全建设整改管理”主要完成已备案信息系统安全建设整改活动的管理。系统将安全建设整改分为工作部署、现状分析、整改方案设计、整改实施、整改结果分析五个工作步骤,实现了安全建设整改活动的全程监控。 2.3. 等级测评管理 等级测评管理模块主要负责由第三方测评机构主导实施的等级测评活动的组织和管理。包括测评机构管理、测评流程管理、测评结果汇总与记录、测评活动监控等功能。 2.4. 安全检查管理 “安全检查管理”提供对安全自查、主管部门检查和公安机关检查等安全检查活动情况的跟踪记录管理。包括监督检查制度管理、安全自查管理、主管部门检查管理、监督检查信息记录、监督检查数据查询与统计、监督检查数据导入导出等功能。 2.5. 风险评估管理 “风险评估管理”主要负责对信息系统风险评估活动相关信息的维护管理,规范风险评估活动工作流程,对风险评估活动过程中的各种数据进行汇总记录,并可对当前正在进行的风险评估项目的执行情况进行监控。 2.6. 日常办公管理 “日常办公管理”为等级保护工作人员提供了一个日常的等级保护工作办公平台,由待办事项,办结事项,任务管理,工作考核四个部分组成。 2.7. 统计分析 “统计分析管理”主要提供等级保护相关信息与数据的统计及分析功能,包括信息系统统计、安全事件统计、工作事项统计、资产统计、安全机构统计、安全人员统计、建设整改情况统计、等级测评情况统计,安全检查情况统计等,支持列表和图形两种统计形式。 2.8. 基础数据管理 “基础数据管理”实现了等级保护各个工作环节所需的基础数据的维护管理。基础数据包括政策法规库、标准规范库、安全事件、信息资产、组织机构和人员、技术支持队伍、安全管理制度、应急保障活动、专家信息等。系统提供了对上述信息的收集汇总和查询统计功能。 3. 系统特色 信息安全等级保护综合管理系统作为等级保护工作开展所依赖的基础工作平台,其作用主要体现在如下几个方面。 1) 等级保护工作管理信息化 信息安全等级保护综合管理系统可对各种信息安全等级保护基础数据实现集中存储和管理,保证了数据的完整性和一致性,为行业等级保护工作的开展提供了可靠的数据支持。通过数据的集中管理与统计分析,使得数据处理和工作部署实施的自动化程度大大增强,有效提高了等级保护工作的效率。 2) 等级保护工作管理流程化 信息安全等级保护综合管理系统为信息安全等级保护的多个工作环节提供了基于工作流引擎的工作流程管理功能。通过流程定制,行业管理人员可按照统一的工作流程开展等级保护工作,避免了不同单位、不同管理人员执行等级保护工作的随意性,促进了等级保护工作的标准化和规范化。 3) 等级保护工作管理常态化 信息安全等级保护综合管理系统是一个以等级保护为核心的综合信息安全管理的基础工作平台。通过该系统,行业等级保护工作人员可将等级保护工作融
入日常信息安全管理工作中,有效促进各行业等级保护工作管理的常态化。 “信息安全等级保护工作业务培训班”通知 各有关单位 为切实贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)的要求,配合信息安全等级保护工作的开展,北京益安信息安全技术培训中心定期举办“信息安全等级保护工作业务培训班”,并邀请公安部第一研究所信息安全等级保护测评中心协办。现将有关培训事宜通知如下: 培训目的 宣贯国家信息系统等级保护政策,协助各相关单位明确开展等级保护工作的目标、内容和要求; 协助各相关单位全面掌握信息安全等级保护工作的政策、技术标准和执行办法,加强信息安全等级保护工作专业人员队伍建设。 培训对象 国家重要信息系统的建设、运营和使用的相关管理和技术人员; 各级政府机构、企事业单位的信息安全主管部门的中高级管理及技术人员; IT行业从事信息安全开发、管理、咨询、服务及系统集成业务相关管理及技术人员; 其他从事与信息安全相关工作的人员(如系统管理员、程序员等)。 培训内容 信息安全等级保护相关政策、标准; 信息安全等级保护相关的信息安全知识; 国家重要信息系统安全定级和备案流程和方法; 国家重要信息系统安全整改建设的方法和步骤; 国家重要信息系统等级测评流程和方法; 开展信息系统等级保护相关单位的案例详解。 培训讲师 由公安部信息安全等级保护专家、公安部第一研究所信息安全等级保护测评中心专家和信息安全等级保护工作的专业技术人员负责培训授课。 结业证书 修完课程并通过考核者,由公安部第一研究所信息安全等级保护测评中心和北京益安信息安全技术培训中心联合颁发“信息安全等级保护业务培训”结业证书。 益安资讯介绍 北京益安信息安全技术培训中心成立于2000年底,是国内最早开展信息安全培训与咨询服务的专业机构之一。也是目前向企业提供专业信息安全技术培训的和信息安全指导的知名机构。 益安信息安全技术培训中心致力于建立中国最优秀的信息安全专业培训机构,历经尽10年的努力,培训中心形成了以信息安全技术、网络安全技术、安全意识、管理水平提升为主题的特色培训体系。同时与英国标准协会(BSI)在中国的合作伙伴北京凝瑞资讯有限公司结成重要的战略合作伙伴,同众多信息安全管理部门、科研院所、安全厂商以及安全技术专家们有着广泛的合作与联系,更好的为用户提供全面的培训咨询服务。
相关推荐:
loading