信息系统安全等级保护建设与测评方法
2015-05-30张建华
张建华
【摘要】 随着我国步入改革开放以来,我国社会经济发展的越来越好,计算机技术也得到了快速的提升。随着网络经济时代的到来,人们的工作和生活都不离开网络,在使用当中也将个人信息储存在网络中,随着信息系统被运用的越来越广泛,信息系统的安全保障也需要得到重视。为了保障用户和企业的信息安全,建设一个安全稳定的信息保护系统显得尤为的重要。本文通过了解我国目前信息保护系统的现状,深入探讨建设信息安全保护系统的举措。
【关键词】 信息系统 安-全保护建设 测评方法
信息系统在生活中的作用越来越明显,已经成为了人们日常生活和企业日常生产的重要环节。由于网络技术也不断的提高,系统漏洞、黑客攻击等因素都会对用户和企业的信息安全造成影响。本文通过了解信息系统的主要方法,熟悉信息系统的主要测评过程,从而探讨出一套合理的信息安全建设和评测方法。
一、信息系统安全等级
信息系统都有安全等级制度,一般都是根据信息系统的实际应用进行分类。信息系统一般有五个安全等级,保障系统能够安全的运行是系统定级的主要调整方法。
信息系统通常是整个信息建设过程中的基础部分,具有重要的作用。对于在信息系统的定级过程当中,要详细的搜集相关资料并具体的进行分析,同时要保证等级不一样的信息系统能够应付来自不一样的威胁攻击。
在制定安全等级的时候要根据国家利益、合法权益、社会稳定三方面来考虑,根据个体的身份不同以及个体受到的损害不同,信息系统设置成五个等级。其中前面四个等级在控制点和项目数量方面都是逐渐增加的,同时,每一级别之间的区分极为严谨。所以企业应该根据系统或行业的要求,加强安全等级。要是在建设对信息系统进行申请的情况下,需要严格按照标准进行建设。
二、评测的具体实践过程
在对等级保护的评测过程当中,主要部分是沟通和技术管理,并且全程参与整个等级保护的评测过程。评测中的安全要求有五个部分,依次有安全的级别、技术管理、安全的类别、具体要求以及安全的控制点,测评工作人员需要进行嚴谨的检查,最终给定测评结果。
三、现场评测
1、测评准备。测评准备一般有三个过程。第一,项目启动。通常根据被测单位给出的相关资料,评测机构就能够大致熟悉整个系统的组成形式和安全体系,这样就可以让测评人员有了更多的参考依据,为接下来测评工作的顺利进行打下坚实的基础。第二,搜集资料并进行分析。被测单位给出的相关信息可能存在遗漏的情况,所以评测机构就需要对资料再进行全面的搜集,整理出相对完整的信息,分析之后在进行接下来的工作。第三,准备好评测所需要的工具。测评人员通常在测评过程当中需要使用到一些工具,其中包括扫描系统漏洞的工具、测试系统性能的工具、分析工具等,通过提前的准备有助于加快整个评测过程的速度。
2、方案编制。方案编制一般有四个过程。第一,确定测评的指标。在测评工作之前就得清楚测评项目的评判指标,测评指标是来自各个国家对于每个安全等级的不同标准。第二,确定测评的基本内容。通常有一些复杂的信息系统都是由很多小型的信息系统构成,这时就得细化整个测评任务的环节,保证发生不遗漏的现象。第三,确定工具的使用方法。结合测评内容选择测评所需要的工具,工具的操作方法都可以参照使用说明书上的介绍。第四,测评指导书的开发。测评机构可以将资测评分析的结构整理成测评指导书,一般有调查表、员工表、测评的对象、测评的使用方法以及测评的工作量等。
3、现场测评。现场编制一般有三个部分。第一,实施准备。在测评前签署测评授权书。第二,记录现场评测的结果。分析记录的测评结果,找出系统可能存在的一些安全问题。第三,验证记录的结果后归还资料。为了避免结果可能出现的漏洞,通常需要对结果再次验证。验证过后还需要将资料归还给被测单位,避免资料的丢失。
4、报告编制。报告编制是信息系统安全等级保护测评的最后一个环节,通过是对评测结果的分析,对比系统的测评指标和系统在实际运用情况之间的差距,从单个安全项目以及整体上对系统的安全保护能力进行评价,从而给出等级的评测结论。
结语:本次论文针对我国目前的信息系统的实际运用情况进行阐述,随着信息技术的不断发展,发现有许多信息系统不能给用户和企业的信息资料带来足够的安全保障,通过探讨建设和测评信息系统安全等级的具体措施,建设信息安全等级制度能够为建设安全的信息系统提供可行的意见,保障了信息在传递过程中的安全性,避免信息出现泄露的情况,为国家的信息安全产业提供了保障。
参 考 文 献
[1]池仁隆,张超,张春柳.信息系统安全等级保护建设与测评方法简析[J].软件产业与工程,2012(02):44-48.
[2]余广山,李祥海,武国良.浅谈信息系统安全等级保护建设与测评方法[J].信息通信,2013(09):156.
[3]蔡晓熙.基于风险分析的信息系统安全定级方法[D].南京邮电大学,2012.
[4]宋睿,公丕强.信息系统安全等级保护方案设计方法研究[J].邮电设计技术,2015(04):79-83.
