第一篇:第三届全国信息安全等级保护技术大会征文通知-公安部第一研究所
第三届全国信息安全等级保护技术大会
(ICSP’2014)征文通知
全国信息安全等级保护技术大会是我国信息安全界的高规格盛会,已经成功举办的两届大会为全国重要行业部门、专家、信息安全企业、测评机构和公安机关提供了重要的技术和工作交流机会,有力推动了新形势下等级保护关键技术的发展以及新技术新应用与等级保护的探索。为深入贯彻落实《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号)的文件精神,进一步推进信息安全等级保护技术交流,经公安部网络安全保卫局同意,公安部第一研究所拟于2014年7月举办第三届全国信息安全等级保护技术大会(ICSP’2014)。本届会议拟请公安部网络安全保卫局、工信部有关司局、国家保密局、国家密码管理局、中国科学院、国家网络与信息安全信息通报中心等部门担任指导单位,同时邀请信息安全领域的院士、资深专家,围绕网络安全保护策略、机制、新技术新应用、信息安全产品、国外网络安全政策标准和等级保护技术体系等各项核心内容作主题报告。会议将出版论文集,经专家评选的部分优秀论文,将推荐至国家核心期刊发表。现就会议征文的有关情况通知如下:
一、征文范围
(一)新技术应用环境下信息安全等级保护技术:物联网、云计算、大数据、工控系统、移动接入网、下一代互联网(IPv6)等新技术、新环境下的等级保护支撑技术,等级保护技术体系在新环境下的应用方法;
(二)关键基础设施信息安全保护技术:政府部门及金融、交通、电力、能源、通信、制造等重要行业网站、核心业务信息系统等安全威胁、隐患分析及防范措施;
(三)国内外信息安全管理政策与策略:信息安全管理政策和策略研究,信息安全管理体制和机制特点,信息安全管理标准发展对策,网络恐怖的特点、发展趋势、危害研究;
(四)信息安全预警与突发事件应急处置技术:攻击监测技术,态势感知预警技术,安全监测技术,安全事件响应技术,应急处置技术,灾难备份技术,恢复和跟踪技术,风险评估技术;
(五)信息安全等级保护建设技术:密码技术,可信计算技术,网络实名制等体系模型与构建技术,漏洞检测技术,网络监测与监管技术,网络身份认证技术,网络攻防技术,软件安全技术,信任体系研究;
(六)信息安全等级保护监管技术:用于支撑安全监测的数据采集、挖掘与分析技术,用于支撑安全监管的敏感数据发现与保护技术,安全态势评估技术,安全事件关联分析技术、安全绩效评估技术,电子数据取证和鉴定技术;
(七)信息安全等级保护测评技术:标准符合性检验技术,安全基准验证技术,源代码安全分析技术,逆向工程剖析技术,渗透测试技术,测评工具和测评方法;
(八)信息安全等级保护策略与机制:网络安全综合防控 体系建设,重要信息系统的安全威胁与脆弱性分析,纵深防御策略,大数据安全保护策略,信息安全保障工作评价机制、应急响应机制、安全监测预警机制。
二、投稿要求
(一)来稿内容应属于作者的科研成果,数据真实、可靠,未公开发表过,引用他人成果已注明出处,署名无争议,论文摘要及全文不涉及保密内容。
(二)会议只接受以Word排版的电子稿件,稿件一般不超过5000字。
(三)稿件以Email的方式发送到会议征稿邮箱
(四)凡投稿文章被录用且未作特殊声明者,视为已同意授权出版。
(五)论文提交截止日期: 2014年5月25日
三、联系方式
通讯地址:北京市海淀区首都体育馆南路1号 邮编:100048 邮箱:ICSP2014@ga.net.cn 联系人: 范博、王晨
联系电话:010-68773930,***,***
公安部第一研究所
2014年2月25日
第二篇:公安部颁布《信息安全等级保护管理办法(试行)》
公安部颁布《信息安全等级保护管理办法(试行)》
第一章 总 则
第一条 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化
建设,根据《中华人民共和国计算机信息系统安全保护条例》等国家有关法律法规,制定本办法。
第二条 信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
第三条 信息系统的安全保护等级应当根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度,信息和信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,信息和信息系统应当达到的基本的安全保护水平等因素确定。
第四条 信息系统的安全保护等级分为以下五级:
(一)第一级为自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。
(二)第二级为指导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。
(三)第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。
(四)第四级为强制保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。
(五)第五级为专控保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。
第五条 信息系统,运营、使用单位及个人依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。
(一)第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。
(二)第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时,国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。(三)第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检查。
(四)第四级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。
(五)第五级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护, 国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、检查。
第六条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码;工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门问协调。
第三篇:首届全国信息安全等级保护技术研讨会(ICSP’2012)
首届全国信息安全等级保护技术研讨会(ICSP’2012)
征文通知
基础信息网络与重要信息系统是国家关键基础设施,面临着日益严峻的威胁与挑战。信息安全等级保护制度是我国信息安全保障工作的基本制度,开展信息安全等级保护工作是保护我国信息化健康发展、维护基础信息网络与重要信息系统安全的根本保障。
信息安全等级保护制度在实施过程中涉及到许多关键技术和产品,迫切需要开展针对关键技术、产品的研究和攻关,建立起以等级保护技术为核心的信息安全技术体系,推动等级保护工作的深入开展。同时,随着信息技术的不断发展,特别是云计算、物联网、三网融合等新技术、新应用的不断涌现和产业化推广,开展等级保护工作面临着越来越多的新情况、新问题。为了深入贯彻国家信息安全等级保护制度,构建科学、完善的信息安全技术支撑体系,引导等级保护关键技术的研究发展方向,我中心会同有关部门拟组织召开全国信息安全等级保护技术研讨会,与国内主要信息安全技术领域的研究机构、企业和高等院校一起,积极开展理论和技术研究,构建等级保护关键技术体系,推动国家信息安全等级保护工作的深入开展。
首届全国信息安全等级保护技术研讨会拟于2012年4月在广西桂林召开。本次会议由公安部网络安全保卫局等部门指导,中科院信息安全共性技术国家工程研究中心主办,公安部第三研究所、中国信息安全测评中心和国家信息技术安全研究中心协办。本次会议成立了专家委员会(名单见附件),会议拟邀请信息安全领域的院士、资深专家围绕等级保护政策和技术作主题报告,以学术、技术研讨和交流的形式,为信息安全领域的专家、学者、高校教师、行业用户单位和信息安全企业专家提供一个开放的交流平台,分享等级保护理论和技术最新研究成果。会议将出版大会论文集,评审优秀论文并推荐至《中国科技大学学报》、《计算机工程》、《计算机应用》等核心期刊发表。
一、征文范围
1.等级保护标准支撑技术:包括基于《信息安全等级保护基本要求》、《信息安全等级保护安全设计技术要求》等标准,研究计算环境安全、网络边界安全、通信安全和安全管理平台等技术、标准验证环境构建技术等。
2.等级保护建设整改技术:包括信任体系模型与构建技术、可信计算技术、针对重要行业关键信息基础设施的专用等级保护支撑性技术和方法。
3.等级保护测评技术:包括标准符合性检验技术、安全基准验证技术、无损检测技术、渗透测试技术、逆向工程剖析技术、源代码安全分析技术等。
4.等级保护的监管技术:包括用于支撑安全监管需求的敏感数据保护技术、安全态势评估技术、安全事件关联分析技术、安全绩效评估技术等。
5.新技术应用环境的等级保护技术:包括云计算、物联网、三网融合、新媒体等新技术新环境下的等级保护支撑性技术,等级保护技术体系在新环境下的应用方法等。6.其他等级保护相关的安全技术和方法。
二、投稿要求
1.来稿内容应属于作者的科研成果,数据真实、可靠,未公开发表过;引用他人成果应注明出处;署名无争议;论文摘要及全文不涉及保密内容。
2.会议只接受以Word排版的电子稿件,稿件一般不超过10页,格式符合《软件学报》的要求。3.稿件以
Email的方式发送到会议征稿邮箱icsp2011@nercis.ac.cn。
4.凡投稿文章被录用且未做特殊声明者,视为已同意授权出版。
三、重要日期
论文提交截止日期: 2012年2月10日
录用通知发出日期: 2012年3月10日
会议召开日期: 2012年4月7日-8日
四、联系方式
联系人:陈恺,张玲,石雅辉
联系电话:010-82486444,010-82486299 Email:icsp2011@nercis.ac.cn 官方微博:http://weibo.com/icsp 通讯地址:北京市海淀区中关村南四街4号 邮编:100190 二〇一一年十一月五日 附:
首届全国信息安全等级保护技术研讨会(ICSP’2012)
专家委名单
中国工程院
沈昌祥
北京邮电大学
方滨兴
公安部第三研究所
胡传平
信息安全国家重点实验室
冯登国 总参机要局
何良生
解放军信息安全测评认证中心
崔书昆
国家信息技术安全研究中心
袁文恭
北京大学
王立福
公安部科技信息化局 马晓东 水利部水利信息中心
蔡 阳 国家电力监管委员会信息中心
胡红升
国家质量监督检验检疫总局信息中心 王连印 国家电网公司信息化工作部
王继业 教育部信息中心
曾德华 中国证券监督管理委员会信息中心 罗 凯 民政部信息中心
栗演兵 国土资源部信息中心
顾炳中 国家审计署信息办
周德铭 院士 院士 所长 研究员 博导总工 研究员
研究员 教授 总工 主任 副主任
副主任 副主任 总工 总工 总工 总工 主任
卫生部统计信息中心 王才有 副主任 公安部网络安全保卫局 郭启全 处长 中科院信息安全共性技术国家工程研究中心 连一峰 常务副主任
国家信息技术安全研究中心
中国信息安全测评中心 中国科学院软件研究所
李京春 王 军 张振峰
总工 总工 研究员
第四篇:计算机信息系统安全等级保护数据库安全技术要求
《信息安全技术 网络脆弱性扫描产品安全技术要求》
修订说明 工作简要过程 1.1 任务来源
近年来,随着黑客技术的不断发展以及网络非法入侵事件的激增,国内网络安全产品市场也呈现出良好的发展态势,各种品牌的防火墙产品、入侵检测产品等已经达到了相当可观的规模。最近几年,网络脆弱性扫描产品的出现,为网络安全产品厂商提供了一个展现自身技术水平的更高层次舞台,市场上,各种实现脆弱性扫描功能的产品层出不穷,发展迅速,标准《GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求》已不能满足现在产品的发展需求,另一方面,为了更好地配合等级保护工作的开展,为系统等级保护在产品层面上的具体实施提供依据,需要对该标准进行合理的修订,通过对该标准的修订,将更加全面系统的阐述网络脆弱性扫描产品的安全技术要求,并对其进行合理的分级。本标准编写计划由中国国家标准化管理委员会2010年下达,计划号20101497-T-469,由公安部第三研究所负责制定,具体修订工作由公安部计算机信息系统安全产品质量监督检验中心承担。1.2 参考国内外标准情况
该标准修订过程中,主要参考了:
—GB 17859-1999 计算机信息系统安全保护等级划分准则 —GB/T 20271-2006 信息安全技术 信息系统安全通用技术要求 —GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求
—GB/T 18336.2-2008 信息技术 安全技术 信息技术安全性评估准则 第二部分:安全功能要求 —GB/T 18336.3-2008 信息技术 安全技术 信息技术安全性评估准则 第三部分:安全保证要求 —GA/T 404-2002 信息技术 网络安全漏洞扫描产品技术要求 —GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求 —GB/T 20280-2006信息安全技术 网络脆弱性扫描产品测试评价方法 —MSTL_JGF_04-017 信息安全技术 主机安全漏洞扫描产品检验规范 1.3 主要工作过程
1)成立修订组
2010年11月在我中心成立了由顾建新具体负责的标准修订组,共由5人组成,包括俞优、顾建新、张笑笑、陆臻、顾健。
2)制定工作计划
修订组首先制定了修订工作计划,并确定了修订组人员例会及时沟通交流工作情况。3)确定修订内容
确定标准主要内容的论据 2.1 修订目标和原则 2.1.1 修订目标
本标准的修订目标是:对网络脆弱性扫描类产品提出产品功能要求、产品自身安全要求以及产品保证要求,使之适用于我国脆弱性扫描产品的研究、开发、测试、评估以及采购。2.1.2 修订原则
为了使我国网络脆弱性扫描产品的开发工作从一开始就与国家标准保持一致,本标准的编写参考了国家有关标准,主要有GA/T 698-2007、GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008和GB/T 18336-2008第二、三部分。本标准又要符合我国的实际情况,遵从我国有关法律、法规的规定。具体原则与要求如下:
1)先进性
标准是先进经验的总结,同时也是技术的发展趋势。目前,我国网络脆弱性扫描类产品种类繁多,功能良莠不齐,要制定出先进的信息安全技术标准,必须参考国内外先进技术和标准,吸收其精华,制定出具有先进水平的标准。本标准的编写始终遵循这一原则。
2)实用性
标准必须是可用的,才有实际意义。因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上,结合我国的实际情况,制定出符合我国国情的、可操作性强的标准。
3)兼容性
本标准既要与国际接轨,更要与我国现有的政策、法规、标准、规范等相一致。修订组在对标准起草过程中始终遵循此原则,其内容符合我国已经发布的有关政策、法律和法规。2.2 对网络脆弱性扫描类产品的理解 2.2.1 网络脆弱性扫描产品
脆弱性扫描是一项重要的安全技术,它采用模拟攻击的形式对网络系统组成元素(服务器、工作站、路由器和防火墙等)可能存在的安全漏洞进行逐项检查,根据检查结果提供详细的脆弱性描述和修补方案,形成系统安全性分析报告,从而为网络管理员完善网络系统提供依据。通常,我们将完成脆弱性扫描的软件、硬件或软硬一体的组合称为脆弱性扫描产品。
脆弱性扫描产品的分类
根据工作模式,脆弱性扫描产品分为主机脆弱性扫描产品和网络脆弱性扫描产品。其中前者基于主机,通过在主机系统本地运行代理程序来检测系统脆弱性,例如针对操作系统和数据库的扫描产品。后者基于网络,通过请求/应答方式远程检测目标网络和主机系统的安全脆弱性。例如Satan 和ISS Internet Scanner等。针对检测对象的不同,脆弱性扫描产品还可分为网络扫描产品、操作系统扫描产品、WWW服务扫描产品、数据库扫描产品以及无线网络扫描产品。
这是最基本的TCP扫描。操作系统提供的connect()系统调用,用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否则,这个端口是不能用的,即没有提供服务。
FIN+URG+PUSH扫描
向目标主机发送一个FIN、URG和PUSH 分组,根据RFC793,如果目标主机的相应端口是关闭的,那么应该返回一个RST标志。
NULL扫描
通过发送一个没有任何标志位的TCP包,根据RFC793,如果目标主机的相应端口是关闭的,它应该发送回一个RST数据包。
UDP ICMP端口不能到达扫描
在向一个未打开的UDP端口发送一个数据包时,许多主机会返回一个ICMP_PORT_UNREACH 错误。这样就能发现哪个端口是关闭的。UDP和ICMP错误都不保证能到达,因此这种扫描器必须能够重新传输丢失的数据包。这种扫描方法速度很慢,因为RFC对ICMP错误消息的产生速率做了规定。
安全漏洞特征定义
目前,脆弱性扫描产品多数采用基于特征的匹配技术,与基于误用检测技术的入侵检测系统相类似。扫描产品首先通过请求/应答,或通过执行攻击脚本,来搜集目标主机上的信息,然后在获取的信息中寻找漏洞特征库定义的安全漏洞,如果有,则认为安全漏洞存在。可以看到,安全漏洞能否发现很大程度上取决于漏洞特征的定义。
扫描器发现的安全漏洞应该符合国际标准,这是对扫描器的基本要求。但是由于扫描器的开发商大都自行定义标准,使得安全漏洞特征的定义不尽相同。
漏洞特征库通常是在分析网络系统安全漏洞、黑客攻击案例和网络系统安全配置的基础上形成的。对于网络安全漏洞,人们还需要分析其表现形式,检查它在某个连接请求情况下的应答信息;或者通过模式攻击的形式,查看模拟攻击过程中目标的应答信息,从应答信息中提取安全漏洞特征。漏洞特征的定义如同入侵检测系统中对攻击特征的定义,是开发漏洞扫描系统的主要工作,其准确直接关系到漏洞扫描系统性能的好坏。这些漏洞特征,有的存在于单个应答数据包中,有的存在于多个应答数据包中,还有的维持在一个网络连接之中。因此,漏洞特征定义的难度很大,需要反复验证和测试。目前,国内许多漏洞扫描产品直接基于国外的一些源代码进行开发。利用现成的漏洞特征库,使系统的性能基本能够与国外保持同步,省掉不少工作量,但核心内容并不能很好掌握。从长远发展来看,我国需要有自主研究安全漏洞特征库实力的扫描类产品开发商,以掌握漏洞扫描的核心技术。
技术趋势
从最初的专门为UNIX系统编写的具有简单功能的小程序发展到现在,脆弱性扫描系统已经成为能够运行在各种操作系统平台上、具有复杂功能的商业程序。脆弱性扫描产品的发展正呈现出以下趋势。
系统评估愈发重要
目前多数脆弱性扫描产品只能够简单地把各个扫描器测试项的执行结果(目标主机信息、安全漏洞信息和补救建议等)罗列出来提供给测试者,而不对信息进行任何分析处理。少数脆弱性扫描产品能够将扫描结果整理形成报表,依据一些关键词(如IP地址和风险等级等)对扫描结果进行归纳总结,但是仍然没有分析扫描结果,缺乏对网络安全状况的整体评估,也不会提出解决方案。
在系统评估方面,我国的国标已明确提出系统评估分析应包括目标的风险等级评估、同一目标多次扫描形式的趋势分析、多个目标扫描后结果的总体分析、关键脆弱性扫描信息的摘要和主机间的比较分析等等,而不能仅仅将扫描结果进行简单罗列。应该说,脆弱性扫描技术已经对扫描后的评估越来越重视。下一代的脆弱性扫描系统不但能够扫描安全漏洞,还能够智能化地协助管理人员评估网络的安全状况,并给出安全建议。为达这一目的,开发厂商需要在脆弱性扫描产品中集成安全评估专家系统。专家系统应能够从网络安全策略、风险评估、脆弱性评估、脆弱性修补、网络结构和安全体系等多个方面综合对网络系统进行安全评估。
插件技术和专用脚本语言
插件就是信息收集或模拟攻击的脚本,每个插件都封装着一个或者多个漏洞的测试手段。通常,脆弱性扫描产品是借助于主扫描程序通过用插件的方法来执行扫描,通过添加新的插件就可以使扫描产品增加新的功能,扫描更多的脆弱性。如果能够格式化插件的编写规范并予以公布,用户或者第三方就可以自己编写插件来扩展扫描器的功能。插件技术可使扫描产品的结构清晰,升级维护变的相对简单,并具有非常强的扩展性。目前,大多数扫描产品其实已采用了基于插件的技术,但各开发商自行规定接口规范,还没有达到严格的规范水平。
专用脚本语言是一种更高级的插件技术,用户使用专用脚本语言可以大大扩展扫描器的功能。这些脚本语言语法通常比较简单直观,十几行代码就可以定制一个安全漏洞的检测,为扫描器添加新的检测项目。专用脚本语言的使用,简化了编写新插件的编程工作,使扩展扫描产品功能的工作变的更加方便,能够更快跟上安全漏洞出现的速度。
网络拓扑扫描
网络拓扑扫描目前还被大多数扫描器所忽略。随着系统评估的愈发重要,网络拓扑结构正成为安全体系中的一个重要因素。拓扑扫描能够识别网络上的各种设备以及设备的连接关系,能够识别子网或
和增强级两个级别,且与“基本要求”和“通用要求”中的划分没有对应关系,不利于该类产品在系统等级保护推行中产品选择方面的有效对应。《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》的网络安全管理,从第一级就要求“定期进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补”,《GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求》中的信息系统安全性检测分析,从第二级开始要求“操作系统安全性检测分析、数据库管理系统安全性检测分析、网络系统安全性检测分析、应用系统安全性检测分析和硬件系统安全性检测分析的要求,运用有关工具,检测所选用和/或开发的操作系统、数据库管理系统、网络系统、应用系统、硬件系统的安全性,并通过对检测结果的分析,按系统审计保护级的要求,对存在的安全问题加以改进。”
本次在对原标准的修订过程中,对于产品本身的安全保护要求,主要参考了GB/T 17859-1999、GB/T 20271-2006、GB/T 18336-2008、GB/T 22239-2008等,以等级保护的思路编写制定了自身安全功能要求和保证要求。对于产品提供服务功能的安全保护能力方面,现阶段是以产品功能强弱以及配合等级保护安全、审计等要素进行分级的。通过对标准意见的不断收集以及修改,将产品提供的功能与等级保护安全要素产生更密切的联系,以便有能力参与到系统等级保护相关要素的保护措施中去。2.2.3 与原标准的区别
1)标准结构更加清晰规范,全文按照产品安全功能要求、自身安全功能要求和安全保证要求三部分进行整理修订,与其他信息安全产品标准的编写结构保持一致。
2)删除原标准中性能部分的要求,将原来有关扫描速度、稳定性和容错性,以及脆弱性发现能力等重新整理,作为功能部分予以要求,同时,考虑到原来对于误报率和漏报滤的模糊描述以及实际测试的操作性较差,删除了这两项内容的要求。
3)对于产品功能要求的逻辑结构进行重新整理,按照信息获取,端口扫描,脆弱性扫描,报告的先后顺序进行修订,使得产品的功能要求在描述上逐步递进,易于读者的理解,并且结合产品的功能强弱进行分级。
4)对于产品的自身安全功能要求和安全保证要求,充分参考了等级保护的要求,对其进行了重新分级,使得该标准在应用时更能有效指导产品的开发和检测,使得产品能更加有效的应用于系统的等级保护工作。
5)将标准名称修改为《信息安全技术 网络脆弱性扫描产品安全技术要求》,增加了“安全”二字,体现出这个标准的内容是规定了产品的安全要求,而非其它电器、尺寸、环境等标准要求。
6)将原标准中“网络脆弱性扫描”的定义修改为“通过网络对目标网络系统安全隐患进行远程探测的过程,它对网络系统进行安全脆弱性检测和分析,从而发现可能被入侵者利用的漏洞,并可以提出一定的防范和补救措施建议。”作为扫描类产品,在发现系统脆弱性的同时,还要求“能够采取一定的准,结合当前国内外网络脆弱性扫描产品的发展情况,系统地描述了产品的功能要求、自身安全要求和保证要求。这些技术是在对国内外现有技术及标准进行吸收、消化的基础上,考虑了我国国情制定的。
本次是对原有国标《GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求》的修订,在修订过程中,重新整理了内容和结构,结合等级保护的要求重新进行了分级,在内容和结构上趋于完整化、可行化和系统化。4 贯彻标准的要求和实施建议
本标准是对网络脆弱性扫描产品安全技术要求的详细描述,为生产、测试和评估信息过滤产品提供指导性意见。建议将本标准作为国家标准在全国推荐实施。
《信息安全技术 网络脆弱性扫描产品安全技术要求》修订组
2012年9月
第五篇:91旺财通过公安部国家信息安全等级保护三级认证
91旺财通过公安部国家信息安全等级保护三级认证
2017年4月28日,91金融旗下91旺财正式通过国家“信息系统安全等级保护”测试,获得公安部核准颁发国家信息安全等级保护备案证明三级证明,安全标准达到国家非银机构最高评级,成为《网络借贷信息中介机构业务活动管理暂行办法》正式出台后,在网络信息安全方面完成信息系统定级备案的平台之一。
安全标准达到国家非银机构最高评级
据了解,信息安全等级保护是依据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》和《信息安全等级保护管理办法》对信息系统安全等级保护状况进行检测评估的活动。从公开信息得知,公安部信息系统安全等级保护共分为五级,级别越高越安全。现有评选标准上,第三级属于“监管级别”,是非银行金融机构能够获得的最高级别信息安全认证。据统计,截至目前,我国仅有120余家网贷平台通过等级保护测评,约占总运营平台的5.6%。
本次测评中,公安部对91旺财网贷核心系统承载业务、网络结构、系统资产、安全服务、安全环境威胁评估等多项内容进行了严格审查,最终予以备案。这说明了91旺财在技术安全、系统管理、应急保障等方面已经达到了国家标准,建立了完备的网络信息安全保护体系。
坚守安全,既是底线,更是责任
近年来,互联网金融迅猛发展,安全问题一直是网贷行业的痛点,特别是在用户信息泄露,平台稳定安全方面,拥有一个安全的信息保密、安全交易环境是互联网金融平台发展的根本。
随着《网络借贷信息中介机构业务活动管理暂行办法》的发布,网络安全已经上升为网贷平台合规的必要条件。《办法》明确要求:网贷平台应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度。
91投资、91众创空间、91金融创始人、董事长、CEO许泽玮表示,安全问题不仅是监管层要求网贷平台坚守的底线,更是平台对用户的一种责任。只有确保用户资金与信息安全,才能建立相互间的信任,推动公司长远发展。
据许泽玮介绍,为确保用户资金与信息安全,91旺财快速组建项目小组,推进合规整改,成功上线厦门银行资金存管系统。同时,平台积极开展自检自查工作,确保自身具备完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,保障信息系统安全稳健运行。
点击咨询 