论文部分内容阅读
文章通过对相关事实和理论的讨论,明确信息安全等级保护产品的安全测评工作在信息系统等级保护工作中的重要作用.信息安全等级保护产品安全测评标准适用性建设就是要求通过验证和分析,标准应能够加强信息安全等级保护产品对信息系统等级保护安全建设的适用性。其中最重要的就是解决分级支持能力问题,这个可以通过明确产品安全需求、确定分级原则来解决。首先,通过产品安全需求分析可以解决信息安全产品安全功能/性能由来的问题,形成信息安全产品抵御风险的基本能力。其次,作为系统的元素,产品标准中体现的安全措施、安全要求必须能够在实际系统部署中来实现降低甚至消除系统所存在的风险,从而实现产品真正的价值。现有信息安全产品等级保护工作应明确加强对安全保证要求的分级要求,建议一是从技术和管理上对信息安全产品安全性进行严格要求,强调在整个产品生存周期中对产品安全性的保障要求。应在配置保证措施、资质审核、安全性测试方面加大要求;二是进行分级的严格对应,对于参与重要信息系统等级保护安全建设的信息安全产品安全保证要求必须能够达到GB/T 18336-2001中第4级的要求,实现信息安全等级保护产品安全测评标准安全性建设。