科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道沈昌祥演讲:信息安全的等级保护(2)

沈昌祥演讲:信息安全的等级保护(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。

作者:51CTO.COM 2007年10月22日

关键字: 系统评估 安全漏洞 信息安全

  • 评论
  • 分享微博
  • 分享邮件

  全国信息安全保障工作会议强调,要把握以下几个重要原则:坚持一手抓发展,一手抓安全;坚持以改革开放求安全;坚持管理与技术并重,坚持统筹兼顾,突出重点。这一提法是全面的、辩证的,但是在于技术实施发展当中,也感觉到有些不足的地方,这件事情只有在等级保护科学的、实事求是的情况下才能解决这些问题的统一。因为时间关系,不展开讲了,不如我们一手要抓发展,一手要抓安全,我们等级保护的观念才能去保证所建的系统安全,发展了以后,安全需求变得我们又有新的要求去保护它的安全。只有这样理解,才能说我们发展信息安全是相辅相成的。改革开放求安全,我们要走出一条信息安全保障的新路子,我们不能一刀切,不能对全部信息系统规定统一的安全要求,各类信息系统要有灵活多样的信息安全解决方案。坚持管理与技术并重,等级保护有很重要的技术为基础的色彩,但是它有很强烈的管理自由。因此,等级保护是管理与技术并重的最好的体现。坚持统筹兼顾,突出重点,我们等级保护就是要确保重点,这也是最后的体现。

  我们在做得过程中也遇到了一个问题,美国在标准制定、等级划分过程当中,都明确了国家守密的部分不在内,我们怎么搞这个问题,守密系统要分别对待。国外的情况大家已经清楚了,由于美国尽管没有说等级保护这么一个制度要贯彻,实际上他在制定一系列的法律和标准过程当中,也是基于守密保护的思想和做法。尤其是2002年美国通过了《联邦信息安全管理法案》,这里要求NIST(国家标准和技术研究所)制定了一些标准。

  国外的情况,美国正式启动了信息安全的等级保护工作,目前,这些标准和指南的草案已经由NIST发布。根到2005年将变更为强制性的联邦标准FIPS200,联邦机构到时必须无条件遵循等级保护的系列要求。

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章