欢迎来到天天文库
浏览记录
ID:8233703
大小:88.93 KB
页数:2页
时间:2018-03-11
《从系统的角度看信息安全产品的等级管理》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、2011年增刊特别论文能力,典型产品备份与恢复软件,以及应用系统、数据库管4)产品研制、生产单位以书面方式声明没有故意留有或者设理系统等的备份恢复模块等。置漏洞、后门、木马等程序和功能。1.2能力分级1.2.4第四级信息系统对于信息安全产品的使用,不同安全保护等级的信息系从提供的安全保护能力的角度看:与第三级信息系统相[1-4]统在安全功能强度和可信度上有着不同的要求。比,该等级信息系统中使用的信息安全产品应具备以下增强1.2.1第一级信息系统的安全功能:1)不可伪造的身份鉴别功能,采用基于用户名从提供安全
2、保护能力的角度看:该等级信息系统中使用/口令的身份鉴别方式时,口令具备一定的复杂度;2)集中审的信息安全产品应具备以下安全功能:1)基本的身份鉴别功计功能;3)支持异地灾备。能,如基于用户名/口令的身份鉴别方式;2)基本的访问控从可信程度看,该等级信息系统中使用的信息安全产品制功能,如基于角色的自主访问控制;3)基本的数据完整性应具备以下可信程度:1)产品的核心技术、关键部件具有我保护功能,如基于校验码的完整性保护;4)基本的事件检测国自主知识产权;2)产品研制、生产单位及其主要业务、技功能,如病毒检测与清
3、除;5)重要数据的备份恢复功能。术人员无犯罪记录;3)有第三方的证据表明该产品正确设计从可信程度看,该等级信息系统中使用的信息安全产品应和实现其所声明的安全功能,且没有故意留有或者设置漏洞、有证据表明该产品能够提供其声明的安全功能,如供应商提后门、木马等程序和功能,如国家有关信息安全部门认可的供的功能测试结果。测评机构出具的安全性测评报告,证明产品声明、设计、实现1.2.2第二级信息系统(源代码)与功能验证结果的一致性。从提供的安全保护能力的角度看:与第一级信息系统相1.2.5第五级信息系统比,该等级信息系
4、统中使用的信息安全产品应具备以下增强略。的安全功能:2安全配置管理1)增强的身份鉴别功能,采用基于用户名/口令的身份鉴别方式时,口令具备一定的复杂度;2)增强的数据保护功能,随着产品厂商技术能力的不断提高,由信息安全产品自身增加了保密措施;3)增强的事件检测功能,增加了入侵防范、漏洞引发的信息系统安全问题越来越少,而由安全配置不当安全审计记录功能;4)增强的备份恢复功能,增加了硬件冗引发的安全问题就越来越突出。对于信息系统安全等级保护余要求。工作来说,依据安全保护等级从安全功能和可信程度度两个从可信程度看,
5、与第一级信息系统相比,该等级信息系统方面恰当的选择产品仅仅是第一步,如果不结合信息系统的中使用的信息安全产品有第三方的证据表明该产品能够提供实际安全需求进行合理的配置,信息安全产品就仅仅是个耗其声明的安全功能,如国家有关信息安全监管部门认可的测电的摆设,起不到预期的安全防护效果。评机构出具的功能测评报告。但是,对于信息系统的安全运维人员来说,及时发现种1.2.3第三级信息系统类繁多、数量巨大、彼此独立的信息安全产品的配置问题并从提供的安全保护能力的角度看:与第二级信息系统相加以解决几乎是一个不可能完成的任务
6、。因此有必要引入一种比,该等级信息系统中使用的信息安全产品应具备以下增强新的解决方案来优化信息安全产品的配置管理。的安全功能:为解决这个问题,可以考虑借鉴SNMP及SCAP[4-6]协1)复杂的身份鉴别功能,采用两种或者两种以上的鉴别议的技术路线,综合等级测评机构、产品厂商的力量构建一技术;2)进一步增强的访问控制功能,支持基于敏感标签的个统一的信息安全等级保护配置管理框架,即通过建立统一访问控制功能;3)基于密码技术的数据保护功能;4)进一步的信息安全产品类型描述、能力基线模板、缺陷描述和配置增强的事件检
7、测功能,增加了审计分析功能。管理接口来实现信息安全产品配置缺陷的自动扫描与修补。从可信程度看,与第二级信息系统相比,该等级信息系统3结束语中使用的信息安全产品应具备以下增强的可信程度:1)产品的核心技术、关键部件具有我国自主知识产权;2)信息安全产品是信息系统的有机构成部分,对于信息安产品研制、生产单位及其主要业务、技术人员无犯罪记录;3)全产品的使用,不同的信息系统应依据安全保护等级从安全有第三方的证据表明该产品正确设计和实现其所声明的安全功能强度和可信程度进行综合衡量和恰当选择,并进行合理功能,如国家有
8、关信息安全部门认可的测评机构出具的安全的配置来提供系统所需的安全保护能力。性测评报告,证明产品声明、设计与功能测试结果的一致性;为简化信息系统的安全运维,有必要引入一种统一的管59特别论文2011年增刊理界面来规范现有不同种类信息安全产品的类型描述、能力SecurityEvaluation[S].[4]NationalInstituteofStandardsandTechnology,SpecialPublica
此文档下载收益归作者所有