第一篇:对国内目前信息安全专家与标准的理解
对国内目前信息安全专家与标准的理解
by amxku on 2007-10-22, 20:21.技术相关
juan_5515 北京
反思一下当前的安全标准热:
因为中国的信息安全发展目前相对落后,缺乏标准和理论体系,所以大家都把眼光投到国外,于是从Rainbows 到CC,从bs7799到iso13335 ,SSE-CMM,IATF从NIST到GAO,NSA,到ITSM,ITIL,BS15000,以及英国的,加拿大的,澳大利亚的...,一时间大家纷纷大谈标准,以及各种基于标准的认证,尤其是在安全服务领域,有一部分人还对各种国外标准盲目迷信和崇拜,似乎不谈标准就什么也干不成,不谈标准就不够专业,纷纷找来五花八门的东西,一方面还得借助英汉词典读着这些艰深晦涩的东西。
可是这些标准究竟能给我们带来什么呢?无 庸讳言,国外先进的标准和体系对信息安全建设有良好的促进和指导作用,适当的参考也无可厚非,可是当您在各种场合讲到或用到外国安全标准的时候,是否想过 这些标准是否真的适合中国,他们究竟能起到什么作用,或者说他们的实际作用是否真的如我们想当然的认为的那样?他们是否值得你花费时间去看,去讲,去推 广?
举几个标准做例子:.BS 7799。
首先BS7799源自英国,自然也深受英国文化和法律体系的影响,而安全不仅是技术问题,同时还是社会和法律问题,简单说,安全不仅是个人的事,还是国家的事,对BS7799-1:1999投票的时候,西方7国除了英国,其他都极力反对,赞成的基本都是英联邦国家,或英国的文化殖民地,就说明了这一点;比如某些国家就指出,ISO17799的隐私部分就同他们的法律存在冲突,而隐私问题是一个十分敏感的问题; BS7799中包含的控制措施并不一定是你需要的,BS7799中不包含的也并非是你不需要的,而且BS7799是非过程的,并不具备严格的理论模 型,只是对各个领域最佳安全实践的高级别概括,BS7799中包含的最佳实践并没有被安全专家证明。你费了九牛二虎之力通过复杂的BS7799认证并不一定能保证安全,当您按照bs7799生搬硬造的设计checklist和安全政策时,是否能认真的想一想;2 “得标准者得天下”
“得标准者得天下”也适用于信息安全,谁都想控制整个世界,标准也是一部分,占领了标准也就占领了制高点,可以抬高自己,打压别人,借以占领市场,信息安全事关国家利益,自然格外重要,标准是不发达国家抵抗发达国家信息侵略的最后一道门槛,这个门槛一旦丢了,你也就没有安全可言了,你用的是按国外标准研发测评的产品,经国外标准认证的系统,你还能做什么呢?.NIST的FIPS 140-
2NIST的FIPS 140-2是业界公认的密码模组标准,据说将来也会成为ISO标准,美国巴不得将FIPS推向世界,这样他们就知道你的系统采用的标准,算法强度,弱点,将来可以从容攻破;.AS/NZS4360 1999
AS/NZS4360 1999是做风险评估的人讲的较多的一个,那它是否是一个适合信息安全的标准呢?首先看起源,AS/NZS4360来自于澳大利亚商业部等十几个部门为对 抗组织风险而制定,并非专为信息安全风险评估制定,自然也谈不到如何适合于信息安全,例如它对风险评估的介绍泛泛,也没有建立评估模型,可操作性同样不 强; 其次制定AS/NZS4360的时候比较早,那时候还没有太多风险管理标准,所谓先入为主,自然引起关注,同时由于受到其盟国如新西兰、英国等的极力吹捧,导致AS/NZS4360扶摇直上,我就看到过多个安全厂商在其方案里直接引用或模仿此标准,至于作用,似乎大家都懒得去想,反正是外 国标准,总会比没有强吧?.最好全世界只有一个标准
从沟通交流的角度说,最好全世界只有一个标准,从国家安全的角度说,最好所有的标准都和国外的不同,就像中国和俄罗斯之间的铁路一样,轨距是不同的。标 准意味着开放,互通,弱点公开,如果你自豪的宣称你的系统达到了CC EAL4安全级别,那就意味着你同时也具有EAL4级缺陷,采用EAL5分析方法就可以解决你;.认证和检测机构可以信赖吗?
首先不谈那些做秀的商业测评,那根本是在用金钱收买;
那 么那些官方或半官方的机构呢,看看他们的所谓测评依据,要么是等同采用国际标准,要么是自己闭门造车,自相矛盾,五花八门,固然有历史原因,但同时也反映 出他们不可信赖,“5万买证”,“两万买证”并非空穴来风,他们同样也是赢利机构,他们需要靠出售XX证来养活自己;
一些值得深思的观点:严格遵守安全标准就会安全;经过认证的系统就会安全,不认为安全认证存在陷阱;所谓第三方的认证检测机构可以信赖;
以上只是个人观点,想到哪就说到哪,希望能抛砖引玉,欢迎大家指正,深入讨论。
-----------------------
作者:易水寒江雪
象眼一闭,忽地看到
如何快速成为信安专家
信息安全界的一大恶俗:卖弄。
之一:如何成为信安专家
1:最早似乎是PDR还是CC象无法考证了,反正从PDR卖弄了一堆东西出来了:P2DR、PDRR、...;CC那张著名的图(记得是图4.1)也衍生出了很多四不像的姐妹图。
2:SSE-CMM,其实那里面也有几张好图,不过这个过程稍嫌短了些;去年年底到今年是IATF,不过IATF技术东西稍微多了些,概念稍微少了些,好像很多人感觉有些怯怯的,没太敢大动,因此经常还见保留“飞地”这等中国人难以理解的字样。
3:然后是13335那几张著名的图(一般是图2图3)也被“创新”。目前是17799正被热抄/炒(不过好像没图)
4:预测:下一个被卖弄的一定是NIST SP800系列,已经见到迹象了。
那些目前还自觉不是信安专家的兄弟不要自惭形秽,没关系,我们有捷径:先从SP800看起:800-30,800-37,800-53,800-60,800-59,800-26,800-61。。,如果有时间或下苦功夫的话,再查找并牢记一些相关的背景和知识,比如FISMA,OMB-130,NIST,FIPS,那就牛大发了,赶紧了。
看家明白了?其实专家还是蛮容易的!
之二:如何让别人觉得你像信安专家
让别人觉得你像专家还是有一定技巧的,尤其是成为一个真正的专家还很困难的时候。1: 用词:用词一定要讲究,尽量避免什么立体安全、主动安全这种普通人都能脱口而出的用语,显的不专业。要用纵深防御、深度防御之类的,一个是一般人说不出 来,其次是让大家知道你对IATF很熟。再比如说NIST SP800-53只说53就可以了,ISO/IEC 17799简化为7799等。
2:统计:对一些正热炒的东西,除了了解其内容以外,还要对其中一些数据加以统计,比如7799里有10个控制要项、36 个控制目标和127 个控制措施这些数据要张口就能来,当然如果知道7799新版有什么变化,一定要补充提到。
3:背景:对热点不能限于表面了解,必须挖据其背景,比如monitor reference model 是谁什么时候再什么文献里提出的。PDR同样如此。Fisma那张图了解了什么37、53、18、30就齐活了。
4:要对什么热点中的概念、图稍作改动(一般不会出问题),再找个什么场合“交流”一下。日后就可以大对人讲,我当年/时第一个提出。。,当然说话要自然。这招好像坛子里已经有人用过。
5:如果有机会自己在那个信安的会上的PPT被哪个老人家索走(确实有老人家喜欢这个),那你就可以大讲了,谁谁谁专家很重视认可你的这个观点了,当年/时他。。
。。
之三:信安专家要参加哪些活动?
光了解了那些标准并会说了一些行话外,要成为信安专家还得参加活动,建立人脉。1:初期一定要多参加各种各样的大会,了解大家都在炒作什么。这种会现在比较多,尤其在京沪广地区,如果是其它地方这个机会就少了,不过没关系,坛子里好像有雷锋们将这些讲稿都放进来了。回家后赶紧按照象一象二篇消化实践。
2: 一个阶段后重点注意大专家们的观点,比如何院士、沈院士、赵战生老师、崔书昆老师、曲成义老师、屈延文老师、贾颖禾老师、杜虹、景乾元、宁家骏等大家、国 家信息中心、国家测评中心、。。等人在说什么,一定要细发掘,比如你可以看到测评中心那帮人天天就是CC、培训,因为他们靠这些挣大钱,信息中心在谈评 估等等。要尽量能和他们认识,技巧和能力就靠个人了。坛子里有些主的确修炼到这份了。
3:参加相关机构的各种课题和项目组,比如编本书、起草 个标准什么的,这在北京不算太难的事。因为这些机构缺人又不想花钱,一招呼就会有各个公司忙不迭地跑去自掏钱地参与,如果你有幸在这些公司并傍进去了,以 后就可以在外面吹吹什么的,哪怕心里明白在里面自己其实啥也不是。有时这还要用到第二点的人脉,比如跟那些老师表达你多么多么想参加这些课题等等的,这些 老师心地都满善良的,耳朵有的也挺软的。
4:无论如何不能让别人知道你在这些项目组里的真实状况,包括你的老板、同事什么的。一定要牛XX的那样。
5:要经常不经意地在其它人面前提到你是在什么什么课题项目组里的专家成员,如果偶尔在表露出你可以推荐推荐他们,那你就成他们眼里的神了,其实说说而已。
6:写些玩概念、标准、模型的文章,没关系,信息安全就是模糊美,不用担心别人说你不懂,当然涉及密码技术你就不要谈了,你要真懂密码,那就不用看我这些速成指南了。
之四:信安专家做哪些研究?
做信安专家当然要有研究,否则还只是停留在中级。但是研究也得选个好的题目,要选得有聊头还得不把自己给搁进去。因此涉及到确定的、能搞出点真效果的千万不要沾,因为我们
是在速成,那样的东西没点真本事不花点时间是出不来的。象哥可以建议一下但不限于以下几个方向:
1: SOC之类的东西,与此相关的有安全审计平台、事件关联等等,这类东西所讲的理想目标目前事不可能实现的,它们的基础支撑理论,即人工智能技术,目前是不 会有什么突破的。因此这个方向基本是人有多大胆,它就有多大。。,充分发挥您的想像,实现上嘛可以用什么syslog,snmp等收集的信息一放就可以了。数据简化、关联、挖掘、可视化这些个概念出了多少博士、教授,还在乎我们这些速成专家码?
2:风险评估。牢记R=f(V,T,P,I),当然这个函数是可以如象二中加以积极修改的。然后7799、13335、30一把,必要的话可以加上前面回复贴中的那些补充标准。因为这行没人敢说它出的 东西有什么用(象哥调查过),因此您就大胆地研究。在这个研究中,一定要充分实践象一、二、三的建议。
3:等级保护。27号文出来以后开始火 起来了,按照国家要求,三年是一个阶段,在这个阶段里您还有充足的时间,相关的文档可以参考18、30、37、53、60、59,TCSEC、CC也可以 参考一下。千万注意,不要去傻读苦读这些标准,那就上了专家的大当了,我们哪有那么多时间?但一定要搞清楚它们的结构、目的、相互关系,并按照象一、二要 求牢记一些重点词汇、内容,尤其要注意的是,一定要记准文档名字(要不就只记准编号),否则就让人乐不可支了。有些机构就是把7799、IATF、SSE-CMM直接剪贴就成了等级保护,参考某著名权威测评机构。
4:多听其它专家的报告,要与时俱进。
-----------------------
作者:易水寒江雪
juan_5515 写到:
反思一下当前的安全标准热:
因为中国的信息安全发展目前相对落后,缺乏标准和理论体系,所以大家都把眼光投到国外,于是从Rainbows 到CC,从bs7799到iso1333
5,SSE-CMM,IATF从NIST到GAO,NSA,到ITSM,ITIL,BS15000,以及英国的,加拿大的,澳大利亚的...,一时间大家纷纷大谈标准,以及各种基于标准的认证,尤其是在安全服务领域,有一部分人还对各种国外标准盲目迷信和崇拜,似乎不谈标准就什么也干不 成,不谈标准就不够专业,纷纷找来五花八门的东西,一方面还得借助英汉词典读着这些艰深晦涩的东西。可是这些标准究竟能给我们带来什么呢?无 庸讳言,国外先进的标准和体系对信息安全建设有良好的促进和指导作用,适当的参考也无可厚非,可是当您在各种场合讲到或用到外国安全标准的时候,是否想过 这些标准是否真的适合中国,他们究竟能起到什么作用,或者说他们的实际作用是否真的如我们想当然的认为的那样?他们是否值得你花费时间去看,去讲,去推 广?
关于标准的滞后问题我有这么几个想法:
1、从本质上来说,标准都是相对滞后的。这和大学里面的学到的知识一样,因为既然称之为标准,必然是经过实践检验之后的理念,那么相对而言,标准肯定是落后的。
2、从政府机构的不作为说起。上次(似乎是去年10月吧)参加国家信息安全产品测评认证中心召开的CC标准的一个推广会(我们公司还参加了呢,在那里做了一天 的台『展台』),会上一个老头(年纪挺大、嗓门特高)在那里痛心疾首的叱责公安部采用的17859标准,并建议采用CC标准,说是那个标准(从彩虹系列而 来)是美国80年代中期的标准,而某些所谓的专家、权威居然还奉为葵花宝典,真是可悲、可怜、可叹啊。其实目前国外的N多标准都是由政府出资由有关的职能 团队开发而来的,等等,而目前我国在标准的制定及参与方面都有待于进一步的加强。一个标准的出台要酝酿好几年,最终成为国际标准,至少需要3年多的时间,等成为国际标准后,国家正式决定采标,再进行翻译,然后正式出版,又大概需要2年的时间。所以大家纷纷研究国外的标准也就不奇怪了。大家可以想想,IT行 业发展多么迅速,如果你在标准方面就一直落后,那么如何赶超呢?那么赶超只是痴人说梦而已。还有,现在的国标买的贼贵,那里是卖啊,纯粹是抢钱啊,薄薄的 一本标准,居然要160多,呀的比抢银行的都赚。
-----------------------
作者:易水寒江雪
juan_5515 写到:.BS 7799。首先BS7799源自英国,自然也深受英国文化和法律体系的影响,而安全不仅是技术问题,同时还是社会和法律问题,简单说,安全不仅是个人的 事,还是国家的事,对BS7799-1:1999投票的时候,西方7国除了英国,其他都极力反对,赞成的基本都是英联邦国家,或英国的文化殖民地,就说明了这一点;比如某些国家就指出,ISO17799的隐私部分就同他们的法律存在冲突,而隐私问题是一个十分敏感的问题;
BS7799中包含的控制措施并不一定是你需要的,BS7799中不包含的也并非是你不需要的,而且BS7799是非过程的,并不具备严格的理论模
型,只是对各个领域最佳安全实践的高级别概括,BS7799中包含的最佳实践并没有被安全专家证明。你费了九牛二虎之力通过复杂的BS7799认
证并不一定能保证安全,当您按照BS7799生搬硬造的设计checklist和安全政策时,是否能认真的想一想;
关 于BS7799标准和13335标准的关系,我想就不再赘叙了。如果仅仅从标准或理论的角度来说的话,7799是无法和13335相提并论的,并且在以前 的讨论中colababy也进行了深入的讲解。但是因为13335不具有可认证性,因此目前只能是退而求其次,采用7799标准了。
7799标准的风行与BSI的努力是分不开的,毕竟目前国内市场上流行最广泛的标准还是BSI的ISO9000系列标准,并且二者之间具有较好的兼容性。
另,任何事情都是相对的,没有任何标准可以放之四海而皆准,在理解了标准所阐述的理念后,可根据组织的业务特点来进行调整。
第二篇:如何理解信息安全等级保护与分级保护
《电信交换》2009年
第2期
如何理解信息安全等级保护
与分级保护
徐 苏
(电信科学技术第十研究所
陕西
西安
710061)
摘 要:信息安全保护分级、分区域、分类、分阶段是做好国家信息安全保护应遵循的准则。国家信息安全等级保护与涉密信息系统分级保护是两个既联系又有区别的概念。国家安全信息等级保护,重点保护的对象是非涉密的涉及国计民生的重要信息系统和通信基础信息系统;涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。
关键字:国家信息安全 公众信息 国家秘密信息 等级保护 分级保护 在日常工作中和为用户提供服务的过程中,什么是信息系统等级保护?什么是涉密信息系统分级保护?这两者之间有什么关系?那些系统需要进行等级保护?涉密信息系统如何分级?这是时常困扰我们的问题。
一、信息系统等级保护
1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年,中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、徐苏:如何理解信息安全等级保护与分级保护
用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。
信息系统安全等级保护将安全保护的监管级别划分为五个级别:
第一级:用户自主保护级
完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。
第二级:系统审计保护级
本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题时,可以根据审计记录,分析追查事故责任人,使所有的用户对自己行为的合法性负责。
第三级:安全标记保护级
除具有第二级系统审计保护级的所有功能外,还它要求对访问者和访问对象实施强制访问控制,并能够进行记录,以便事后的监督、审计。通过对访问者和访问对象指定不同安全标记,监督、限制访问者的权限,实现对访问对象的强制访问控制。
第四级:结构化保护级
将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。其本身构造也是结构化的,将安全保护机制划分为关键部分和非关键部分,对关键部分强制性地直接控制访问者对访问对象的存取,使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。
第五级:访问验证保护级
这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动,仲裁访问者能否访问某些对象从而对访问对象实行专控,保护信息不能被非授权获取。因此,本级的安全保护机制不易被攻击、被篡改,具有极强的抗渗透的保护能力。
在等级保护的实际操作中,强调从五个部分进行保护,即:
物理部分:包括周边环境,门禁检查,防火、防水、防潮、防鼠、虫害和防雷,防电磁泄漏和干扰,电源备份和管理,设备的标识、使用、存放和管理等;
支撑系统:包括计算机系统、操作系统、数据库系统和通信系统;
网络部分:包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警,网络攻击的监察和处理;
应用系统:包括系统登录、权限划分与识别、数据备份与容灾处理,运行管理和访问控
徐苏:如何理解信息安全等级保护与分级保护
制,密码保护机制和信息存储管理;
管理制度:包括管理的组织机构和各级的职责、权限划分和责任追究制度,人员的管理和培训、教育制度,设备的管理和引进、退出制度,环境管理和监控,安防和巡查制度,应急响应制度和程序,规章制度的建立、更改和废止的控制程序。
由这五部分的安全控制机制构成系统整体安全控制机制。
二、涉密信息系统分级保护
1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施,国家已经基本形成了完善的保密法规体系。
涉密信息系统实行分级保护,先要根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级;涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。从物理安全、信息安全、运行安全和安全保密管理等方面,对不同级别的涉密信息系统有明确的分级保护措施,从技术要求和管理标准两个层面解决涉密信息系统的分级保护问题。
涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级:
秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。
机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级(增强)的要求:
徐苏:如何理解信息安全等级保护与分级保护
(1)信息系统的使用单位为副省级以上的党政首脑机关,以及国防、外交、国家安全、军工等要害部门;
(2)信息系统中的机密级信息含量较高或数量较多;(3)信息系统使用单位对信息系统的依赖程度较高。
绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。
涉密信息系统分级保护的管理过程分为八个阶段,即系统定级阶段、安全规划方案设计阶段、安全工程实施阶段、信息系统测评阶段、系统审批阶段、安全运行及维护阶段、定期评测与检查阶段和系统隐退终止阶段等。在实际工作中,涉密信息系统的定级、安全规划方案设计的实施与调整、安全运行及维护三个阶段,尤其要引起重视。
系统定级决定了系统方案的设计实施、安全措施、运行维护等涉密信息系统建设的各个环节,因此如何准确地对涉密信息系统进行定级在涉密信息系统实施分级保护中尤为重要。涉密信息系统定级遵循“谁建设、谁定级"的原则,可以根据信息密级、系统重要性和安全策略划分为不同的安全域,针对不同的安全域确定不同的等级,并进行相应的保护。在涉密信息系统定级时,可以综合考虑涉密信息系统中资产、威胁、受到损害后的影响,以及使用单位对涉密信息系统的信赖性等因素对涉密信息系统进行整体定级;同时,在同一个系统里,还允许划分不同的安全域,在每个安全域可以分别定级,不同的级别采取不同的安全措施,更加科学地实施分级保护,在一定程度上可以解决保重点,保核心的问题,也可以有效地避免因过度保护而造成应用系统运行效能降低以及投资浪费等问题。涉密信息系统建设单位在定级的同时,必须报主管部门审批。
涉密信息系统要按照分级保护的标准,结合涉密信息系统应用的实际情况进行方案设计。设计时要逐项进行安全风险分析,并根据安全风险分析的结果,对部分保护要求进行适当的调整和改造,调整应以不降低涉密信息系统整体安全保护强度,确保国家秘密安全为原则。当保护要求不能满足实际安全需求时,应适当选择采用部分较高的保护要求,当保护要求明显高于实际安全需求时,可适当选择采用部分较低的保护要求。对于安全策略的调整以及改造方案进行论证,综合考虑修改项和其他保护要求之间的相关性,综合分析,改造方案的实施以及后续测评要按照国家的标准执行,并且要求文档化。在设计完成之后要进行方案论证,由建设使用单位组织有关的专家和部门进行方案设计论证,确定总体方案达到分级保护技术的要求后再开始实施;在工程建设实施过程中注意工程监理的要求;建设完成之后应
徐苏:如何理解信息安全等级保护与分级保护
该进行审批;审批前由国家保密局授权的涉密信息系统测评机构进行系统测评,确定在技术层面是否达到了涉密信息系统分级保护的要求。
运行及维护过程的不可控性以及随意性,往往是涉密信息系统安全运行的重大隐患。通过运行管理和控制、变更管理和控制,对安全状态进行监控,对发生的安全事件及时响应,在流程上对系统的运行维护进行规范,从而确保涉密信息系统正常运行。通过安全检查和持续改进,不断跟踪涉密信息系统的变化,并依据变化进行调整,确保涉密信息系统满足相应分级的安全要求,并处于良好安全状态。由于运行维护的规范化能够大幅度地提高系统运行及维护的安全级别,所以在运行维护中应尽可能地实现流程固化,操作自动化,减少人员参与带来的风险。还需要注意的是在安全运行及维护中保持系统安全策略的准确性以及与安全目标的一致性,使安全策略作为安全运行的驱动力以及重要的制约规则,从而保持整个涉密信息系统能够按照既定的安全策略运行。在安全运行及维护阶段,当局部调整等原因导致安全措施变化时,如果不影响系统的安全分级,应从安全运行及维护阶段进入安全工程实施阶段,重新调整和实施安全措施,确保满足分级保护的要求;当系统发生重大变更影响系统的安全分级时,应从安全运行及维护阶段进入系统定级阶段,重新开始一次分级保护实施过程。
随着我们国家民主与法制建设进程的不断推进,保密的范围和事项正在逐步减少,致使一些涉密人员保密意识和敌情观念淡化,对保密工作的必要性和重要性认识不足。虽然长期处于和平时期,但并不意味着无密可保。事实上,政府部门掌握着大量重要甚至核心的机密,已成为各种窃密活动的重点目标。我党政机关和军工单位也是国家秘密非常集中的领域,一直是窃密与反窃密,渗透与反渗透的主战场。据国家有关部门统计,在全国泄密事件中,军工系统占有很大比例。境内外敌对势力和情报机构以我党政军机关和军工单位为主要目标的窃密活动更加突出,渗透与反渗透、窃密与反窃密的斗争更加激烈。由于一些单位涉密信息系统安全保障能力不够、管理不力,导致涉密信息系统泄密案件的比例逐年上升,安全保密形势非常严峻。因此严格按照涉密信息系统分级保护的要求,加强涉密信息系统建设意义重大。
三、等级保护和分级保护之间的关系
国家信息安全等级保护与涉密信息系统分级保护是两个既有联系又有区别的概念。涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。
国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信 5
徐苏:如何理解信息安全等级保护与分级保护
息系统,而不论它是否涉密。如:
(1)国家事务处理信息系统(党政机关办公系统);
(2)金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统;
(3)国防工业企业、科研等单位的信息系统;
(4)公用通信、广播电视传输等基础信息网络中的计算机信息系统;(5)互联网网络管理中心、关键节点、重要网站以及重要应用系统;(6)其他领域的重要信息系统。
国家实行信息安全等级保护制度,有利于建立长效机制,保证安全保护工作稳固、持久地进行下去;有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于突出重点,加强对涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统的安全保护和管理监督;有利于明确国家、企业、个人的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施;有利于提高安全保护的科学性、针对性,推动网络安全服务机制的建立和完善;有利于采取系统、规范、经济有效、科学的管理和技术保障措施,提高整体安全保护水平,保障信息系统安全正常运行,保障信息安全,进而保障各行业、部门和单位的职能与业务安全、高速、高效地运转;有利于根据所保护的信息的重要程度,决定保护等级,防止“过保护”和“欠保护”的情况发生;有利于信息安全保护科学技术和产业化发展。
涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位,由各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全,确保国家秘密不被泄漏。国家秘密信息是国家主权的重要内容,关系到国家的安全和利益,一旦泄露,必将直接危害国家的政治安全、经济安全、国防安全、科技安全和文化安全。没有国家秘密的信息安全,国家就会丧失信息主权和信息控制权,所以国家秘密的信息安全是国家信息安全保障体系中的重要组成部分。
因为不同类别、不同层次的国家秘密信息,对于维护国家安全和利益具有不同的价值,所以需要不同的保护强度种措施。对不同密级的信息,应当合理平衡安全风险与成本,采取不同强度的保护措施,这就是分级保护的核心思想。对涉密信息系统的保护,既要反对只重应用不讲安全,防护措施不到位造成各种泄密隐患和漏洞的“弱保护”现象;同时也要反对不从实际出发,防护措施“一刀切”,造成经费与资源浪费的“过保护”现象。对涉密信息系统实行分级保护,就是要使保护重点更加突出,保护方法更加科学,保护的投入产出比更加合理,徐苏:如何理解信息安全等级保护与分级保护
从而彻底解决长期困扰涉密单位在涉密信息系统建设使用中的网络互联与安全保密问题。
由上可以看出国家信息安全等级保护是国家从整体上、根本上解决国家信息安全问题的办法, 进一步确定了信息安全发展的主线和中心任务, 提出了总体要求。对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。而涉密信息系统分级保护则是国家信息安全等级保护在涉及国家秘密信息的信息系统中的特殊保护措施与方法。由于国家秘密信息与公开信息在内容和特性上有着明显的区别,所以涉密信息系统和公众信息系统在保障安全的原则、系统和方法等方面也有不同的要求。既不能用维护国家秘密信息安全的办法去维护国家公众信息安全,以至于影响信息的合理利用,阻碍信息化的发展;也不能用维护公众信息安全的办法来维护国家的秘密信息安全,以至于窃密、泄密事件的发生,危害国家的安全和利益,同样影响信息化的健康发展。
第三篇:专家对企业文化的理解(小编推荐)
接下来有请2004年中国十大优秀管理培训师李强先生,他演讲达11年之久,曾经现场听他课的人有700多万人,更重要的是他的光碟发行量超过1500万以上,不包括盗版,下边有请李强先生。
李强:尊敬的女士们、潇洒的先生们,亲爱的朋友们,见到这么多熟悉的面孔,我非常激动,请允许我真诚地说一声,同学们大家新年快乐。过年了,谁家过年不吃顿饺子,在过节的日子里,大家都没有跟家人相聚,来到这里,为的是什么?都是为了取经。由于时间只有45分钟,今天跟大家分享一个小小的课题,就是企业文化是企业的核心也是企业的灵魂。今天当我站到这个会场的时候,我来的两天看到太多熟悉的面孔,但是人太多,有时候打招呼都来不及,在这里向我的老朋友们热烈地挥挥手。大家对我的期望值很高,我几乎不敢睡觉,尤其这两天那么多老师精彩亮相,我感觉自己非常有压力,现在上来还有点心里发慌。我坚信一个道理,人生处处是考场,你走到任何地方,我们都在面对考试。人生人人为我师,三人同行必有我师,人生最可怕的就是好为人师,在这里我把优秀的企业家跟大家分享沟通,做以推荐,大家共同交流和探讨,假如您的交流带回点成绩,是学习型中国论坛的成功。李强:什么是企业文化?说到企业文化,我做了11年的演讲,但有一次我遇到了在哈尔滨一个同学提问,说什么叫文化?这句话我确实觉得讲文化从来没有具体的概念,什么叫文化,我只代表个人的观点,我认为文化是一种行为的结晶,文化就是当你走到一个电梯口,那里很多人,你是挤进去,还是让别人先进去。文化就是当你过马路的时候,是扶他过去,还是视而不见。我想文化应该是一种行为,词汇来代表行为的灌输,人们把它总结成两个字文化。所以今天我们说企业的文化也是一种行为,很多时候我们有一些企业可能认为我们在洗手间里也有标语,可是企业当中还有很多东西不能落实进去。当企业家困惑说,李老师你看我们的企业文化做的怎么样,我说口号都很好,但是请大家记住我们是搞文化的,不是搞口号的。就像我们今天来这里,都是渴望来学习的,我们经过N场的学习,到我们走的时候你们发现,在宾馆、酒店拣到最多的是笔记。如果把学习的东西不变成行为,永远改变不了事实结果。实际上我告诉大家,大家鼓掌有三大好处,第一锻炼身体,第二是行嘴,第三是给你帮助和支持。掌声给了肯定,给了鼓励,这样做会得到大家和社会认可。社会在各种活动的经营中,体现出来的以文明取胜的群体竞争意识,这包括价值、道德、精神追求、生活习俗、思想方式,这是企业文化概括当中的行为。
李强:今天我要跟大家分享当中的叫企业五化,在我11年的工作中,我在很多企业做培训,我个人也在做经营,在培训的时候是理论,在经营的时候是实践,当理论实践碰到创新的时候,我确实发现理论和实践是有距离的。我们所出的环境不同,所以导致我们对任何事的处理方式也不同,能够发展的才是硬道理。所以我一直认为在任何的环境当中存在的就是合理的,对于企业管理方面,企业的文化建设方面,我有五点自己的小小认知,供大家分享。第一叫同化,有两个含义,一个是同年的同,一个是同志的同。欧洲的孩子来中国出生,就在中国的环境,不用教他中文就会了,因为这种环境实实在在都会把他同化掉。所以企业文化就像炒辣椒,当一个员工走进来爱闻不爱闻,都会被同化。我们把一个再好保鲜好的优质苹果,放在烂苹果筐里,拿出来是什么,也是烂的。如果说我们想让企业真正统一,就应该同化,为我们企业的注入文化。我们走进一个小餐馆就可以随意地丢掉烟头,我去东北看二人传的时候,走到那里我看每个人吃瓜子,我也吃,我看别人都丢在地上,我就觉得特别不舒服,可能人家根本就不觉得,人家反而觉得我装在袋子里的不正常,为什么,就是因为我的力量太杯水车薪,力量太微小了。今天在座有很多的企业家,团队领导人,其实三个人以上就是团队,这是我个人的观点。
李强:我到新加坡有一个非常深刻的感受,我在马来西亚走了几个城市,我的一个朋友告诉我,在新加坡吐一口吐沫罚100万人民币,各位你们知道吗?我听完很不高兴,我心想你也太小看中华民族了,但是我什么也没说。今天我们来到这里,无论我们企业家,还是企
业的领导人,甚至是被领导人,因为很简单,孩子会长大,被领导的也会变成领导的。所以既然来到这里,任何东西供我们参考。我们要从同化的角度考虑,第五届学习型中国我来了,当时是杨滨老师戴着一条红围巾,2006年我想很多人戴,我戴了一个黑的,结果截然不同,实际上是什么,一定会同化。我认为企业文化的复制和团队当中的核心只需要三句话,第一叫说给他听,第二看他做一遍,第三叫做给他看。其实在各个企业文化复制当中最大的一个问题,只说给对方听,从不做给对方看。你没有的时候不要指望别人,你的思想不能做到,千万不要想你的思想能改变别人。即便是在你的权利下不得不认同,但是人服心不服不会有好的结果,所以企业的文化也是这样,一个企业调查发现所有的规章制度不能落实到底的原因,企业家占了96%。东北有一家很大的企业,咱不说是哪家了,2003年企业走向困境,这时候企业找日本投资,日本人过来的时候,大家想日本人来了,我们一定要动多少,日本的管理不知道跟中国差多少倍,可是各位知道吗?日本就来了三个人,一个CEO,一个技术经理,一个财务经理,来到以后在工作过程当中所有过去的规章制度一条没废,可是一年以后企业盈利了,企业的精神面貌全部改变了,为什么?其实过去企业的文化已经做到最好了,今天任何一个企业把企业的规章制度全部拿出来比哈佛的差不了多少。
李强:所以从一个企业,从我们自身来讲,从领导到高级领导者,到高级经理,我们首先做到,如果在一个企业把同化做好,首先把自己做好,当我们自己做好了,其实我们身边的人也就被我们影响了。有人说李老师,我这儿新来的员工做事都不行,其实是你自己的原因,你自己做的好,别人肯定也做的好。我们自己都是企业核心当中非常富有影响的角色,我告诉大家,一个人的胸怀就直接会影响别人,你有多大胸怀就影响多少的人。我把文化用两个字来总结,那就是其实企业的文化就是企业的精神,一个企业如果没有自己的精神,就是没有自己的企业文化。企业文化打造一种精神,我们不得不承认,目前为止我们伟大的中华人民共和国攻无不克、战无不胜的共产党,他的文化是最重要的。有人民群众的地方就有我们党员,有党员同志就要起到带头作用,我们能不能有企业的地方就有优秀的员工。因为任何一个荣誉都是一个责任、期待和信任。所以今天我们自己把自己的胸怀放大,人就会把事做大。还有一个人这个人说的更绝,他说天做棋盘,星做子,谁人能下,惟我独尊。所以他的铁骑踏进欧洲,中国历史上只有他一个人。
李强:为什么宗教能够让人们没有任何收获却愿意做,而且那么虔诚,做一个学校很难集到资,要是盖一个教堂,几天就能凑起来,也就是说我们对企业充满信息,我们也就不难理解刘胡兰,因为信仰变成了信念,信念变成了一种精神。所以在我们企业当中应该想一想,这些被人们愿意奉献的在哪里?到目前虽然我没有宗教信仰,但是我很尊敬这些魅力宗教,我真是见庙就烧香,但是我有自己的思路,我只是拜,从来不捐钱,我把钱都捐给我娘。其实我们今天就想想,如果我们企业当中也能够让人们净化心灵,也能让人们感觉到,企业是一个真正务实的地方。为什么有人会抱怨,是因为企业真正有问题。事实上今天在这里,我不是说为老板说好话,因为在座的今天不是老板,今后也可能当老板,我们每一个企业都是慈善家,一个小小的发廊能养两个洗头妹,没有企业家就没有就业。我在各个大学演讲,还有各个企业经常说不是站在企业的角度,我今天既是企业家,又是培训师,因为我知道我们没有能力改变风的方向,但我们能够改变帆的方向。在我们的企业当中,你有什么样的方法可以让大家真正感觉到这个企业对你有教化。
李强:我去欧洲的时候,有一个发泄房,是专门用来发泄的,这发泄房里边就是老板,老板说我的员工肯定对我有抱怨,他有抱怨就找我来发泄,不要到公司发泄,不要发泄在产品上。很多东西不能做到高品质的沟通,换位所以有时候产生盲点。单打独斗的历史已经结束了,今天只有成为团结才能打拼天下。今天我们真的要领悟,过去有人说我不是不爱,我是爱过的伤心了,我把良心给狗吃了,我说你给少了。实际上人之初,性本善我很认同,人净化心灵的时候谁都会忏悔,在企业中要真正实行到第三环叫感化。深圳有一个外企,我发
现这个企业员工都非常尽心,这个企业每年的人员流动不超过5%,我就跟员工聊天,因为我很喜欢走近基层,交流当中我就问他为什么这么喜欢老板,他说你知道吗,两件事情,一件事情是有一次湖南我们那个县闹大水,02年的时候,他说我们老板背着我们让人力资源把档案提出来,凡是电视台报水灾的地方,老板都背着我们寄了200块钱。今天来到的各位,有没有老板掏钱来的,一定是,其实这种用心良苦很多时候培养好了是帮手,培养不好是对手。
李强:说到感化人要相互感,要懂得换位思考,任何事情一定是相辅相成的,你想拿到什么,你要先给对方什么。第四要强化,人之初,性本懒,没有一个天生勤快的,假如不讲课就能赚钱,我也不去讲。假如不工作就可以拥有世界的万物,谁也不愿意工作了。我说通往幸福财富的电梯已经迈完了,这个世界只有楼梯,你只有一步一步走上去。当我们看到别人成功的时候,你应该更加思考别人流的汗水。没有制度的企业,永远不会提升,更是因为过去环境的约束,我们才掌握了技巧,正是因为这些技巧,我们才掌握生存的东西。批评你的人才是爱你的人,在最后用一分钟的时间讲一个很经典的小故事,大家都知道,美国有一个经营之神,在整个世界中非常有影响,他有一个老师,他的老师是干什么的,是日本传统剧目的著名演员,他的老师在80岁准备退出去,就召集自己的朋友来给自己最后一次做演出,演出的剧目叫跋涉。演出正要开始的时候,有一个学生说老师你的鞋带开了,他系上以后,继续往前走,就在他刚刚拐过安检,突然蹲下把鞋带解开了,助理就问老师你为什么又把鞋带解开了,他说我要演的是跋涉,但是因为他提醒了,是因为爱,所以我要鞋带系上,让他感到放心。谢谢大家。
主持人:谢谢李强老师,您是连续六届论坛对我们最支持的老师之一,那是什么样的原因?
李强:我认为中国的经济迅速提升,社会舞台更为重要,这里有实践家和理论家,实践理论结合一定会帮助更多的人,如果中国每个地方多一个这样的培训,就会少建一所监狱,谢谢。
第四篇:对舆情信息的初步理解
对舆情信息的初步理解
舆情信息是对舆情的一种描述和反映。
从理论上讲,所谓舆情信息,就是指在民众社会政治态度的收集、整理、分析、报送、利用和反馈的信息运动过程中,用以客观反映舆情状态及其运动情况的资讯、消息、音信、情报、指令、数据和信号。广义上的舆情信息又叫社会舆情信息,它属于社会信息范畴,包括了经过人们意识而产生的、能够对社会产生影响的各种知识、消息、信号、情报、讯息的总和。狭义上的舆情信息是指反映舆情状态及其运动情况的各种载体。宣传思想战线舆情信息工作中的舆情信息,是特指经过舆情信息工作者对收集到的舆情,进行整理、分析、加工后形成的以文本形态(也可以其他形态)存在的一种反映民众社会政治态度的文字(也可有其他方式)材料。或者说,舆情信息是专门反映民众各种思想意识状态及其变化情况的以文字为主的书面材料。简单说,舆情信息就是指反映舆情的文字材料。它是宣传思想战线舆情信息工作的一个重要的载体。
舆情信息说到底是民众思想状况的一种反映方
式。无机界信息、生物界信息、科技信息、经济信息、社会信息、文献信息等都不属于舆情信息,只有人们接受这些信息后产生了普遍看法和认识后,这些“普遍看法和认识”才能称之为舆情信息。比如非典和禽流感,其本身不是舆情而是舆情因变事项,只有发生了非典和禽流感,引起社会民众恐慌和不安而形成的某种民众社会政治态度、看法和意见,才能算是舆情。我们将人们的社会政治态度、看法和意见进行收集、整理而形成的文字材料,才是舆情信息。
第五篇:一我对信息的理解
一我对信息的理解:所谓信息就是能传递并且能为人类提供帮助的资源,“事物运动状态和方式,也就是对事物内部结构和外部联系的状态和方式”,指的是有新类容或新知识的消息。
二信息的基本特征:1 传递性2共享性3依附性和可处理性4价值相对性 5时效性真伪性etc
三我对信息技术的理解:信息技术是能扩展人的信息功能的技术。包括微电子技术,计算机技术,通信技术和传感技术。信息技术既有好处,也有坏处。
四信息技术主要应用在:日常办公,教育,科学研究,医疗保健,企业,军事等方面。家庭生活,日常学习,通信服务,金融商业etc
工业生产,科学技术。
五影响表现在:积极影响和消极影响,积极影响包括:促进社会发展,推动科学进步,改善人们生活与学习等。;其消极影响包括:信息泛滥,信息污染,信息犯罪,可能危害人们的身体健康etc。
六发展历程:1.语言的产生与利用。2.文字的发明和使用。3.印刷术和造纸术的发明和应用。4.电报,电话,广播,电视等电信技术的发明和应用。5.电子计算机和现代通信技术的应用。
七发展趋势:多元化,网络化,多媒体化,智能化和虚拟化etc
八启示:让我对信息有了更深刻的认识。
九信息技术极其影响
十本节的大部分知识
十一如何更好的利用信息。
点击咨询 