返回
从PDR和CIA角度看等级保护

从PDR和CIA角度看等级保护

ID:46489906

大小:107.95 KB

页数:3页

时间:2019-11-24

从PDR和CIA角度看等级保护_第1页
从PDR和CIA角度看等级保护_第2页
从PDR和CIA角度看等级保护_第3页
资源描述:

《从PDR和CIA角度看等级保护》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、2011年增刊入选论文从PDR和C.I.A角度看等级保护陶源,张宇翔,王宁,任卫红,张晓丽(公安部信息安全等级保护评估中心,北京100142)摘 要:文章通过对等级保护的相关政策法规和标准进行分析,指出等级保护不仅是PDR安全管理模型的落脚点,而且也是C.I.A安全保护目标的最佳实践,并且保证信息系统得到了有效的保护,避免了过度投资,而且建立了政府机构、工业界和学术界之间的信息共享渠道,可以持续地收集整理分析重要信息系统的安全状况,分析和总结重要安全事件的过程、根源以及经验教训,为国家关键信息基础设施保护奠定坚实的基础。关键词:PDR;C.I.A

2、;等级保护中图分类号:TP393.08文献标识码:A0引言信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。国内外信息安全业界为了发挥现有信息安全技术手段和设备的最大效能,研究内容主要集中在信息安全整体解决方案的设计与分析,其中最著名的整体解决方案为PDR模型(即Protection保护、Detection检测和Response响应);而信息安全保护的核心是数据的安全,安

3、全业界通常用C.I.A三性(即Confidentiality保密性、Integrity完整性及Availability可用性)来描述数据安全属性。因此,通过合适的PDR安全管理来达到预定的保护C.I.A安全目标是安全业界的最佳安全实践。因此,文章从信息安全管理(PDR模型)和信息安全目标(C.I.A三性)的角度出发,对等级保护进行一些探讨和分析,即从PDR和C.I.A角度来解读等级保护。1信息安全管理1.1PDR模型在PDR模型中,保护(P):提供了安全策略、流程和技术控制的对策,用于防范针对资产的攻击行为。检测(D):监视是否有削弱保护措施并可

4、能导致安全性受损的情况。响应(R):通常需要人工参与,是指针对安全破坏行为的响应措施,以阻止攻击行为,避免造成破坏。因此,在PDR模型中,信息安全保护是一个不断循环的过程,即防御、检测和响应是不断循环的,在不断的循环防御中,不断地加强自身的保护,降低被攻破的风险,维护自身的信息安全。无论是早期的信息安全保护“老三样”(即反病毒、防火墙、入侵检测和漏洞评估),还是现在围绕安全管理中心和AAAA(即Authentication认证、Account账号、Authorization授权、Audit审计)为代表的安全运维实践,都是信息安全管理的一种形式,可

5、以划分到PDR模型中。从纵深防御的角度来看,保护、检测和响应构成了完整的安全概念。然而网络和信息系统是由许多不同的人和组织利用各式信息技术及各种机能一个个建设起来的,很少有网络和系统在设计和实现时着重考虑安全保障。由于在信息安全方面的投资不会有直接回报,网络和信息系统面市时间的压力也会阻止落实安全措施,并且信息安全机制往往会对网络和信息信息系统的可用性有负面的影响,这些实质性的障碍阻碍着信息安全的落实。从技术层面上说,信息安全不会自然实现的,也不会仅仅在自由市场力量的推动下实现,因为上述的实质性障碍阻碍着信息安全管理无法得到有效的落实。因此,仅靠

6、自由市场力量的推动和技术层面的研究,无法实现完整的信息安全。1.2等级保护政策法规一项新技术早在它的有害副作用问题被系统化解决之前就会因其带来的便利而大行其道,这已经是一种司空见惯的现象,并且这种历史的教训值得汲取。目前,国内很多重要业务依赖于基础网络和重要信息系统的平稳、可靠和不间断运行,并且没有实现完整的信息安全,这样的“便利之上”情况已经持续了很长时间,这种做法可能会引发太大的危险。基金项目:国家高技术研究发展计划(863计划)专题课题(2006AA01Z450)、国家信息安全专项项目(发改办高技[2007]2035)、国家信息安全专项项目

7、(发改办高技[2008]1736)作者简介:陶源(1981-),男,江苏,博士,主要研究方向:信息安全、等级保护;张宇翔(1968-),男,江苏,副主任,副研究员,硕士,主要研究方向:信息安全;王宁(1979-),女,黑龙江,研究实习员,本科,主要研究方向:等级测评机构质量管理体系建设;任卫红(1963-),女,辽宁,副研究员,硕士,研究方向:网络信息安全技术、安全评估;张晓丽(1977-),女,山西,硕士,主要研究方向:人力资源。209入选论文2011年增刊为了从国家宏观层面推动信息安全管理的有效落实,公息系统在未被破坏状态下执行规定功能时的质

8、量,不会被未安部会同相关国家部委发布了一系列政策法规,加强了政策和经授权控制)。法规层面的力度,以便基础网络和重要信息系统的运营、主管3

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。