張建華
【摘要】 隨著我國步入改革開放以來,我國社會經(jīng)濟發(fā)展的越來越好,計算機技術(shù)也得到了快速的提升。隨著網(wǎng)絡(luò)經(jīng)濟時代的到來,人們的工作和生活都不離開網(wǎng)絡(luò),在使用當(dāng)中也將個人信息儲存在網(wǎng)絡(luò)中,隨著信息系統(tǒng)被運用的越來越廣泛,信息系統(tǒng)的安全保障也需要得到重視。為了保障用戶和企業(yè)的信息安全,建設(shè)一個安全穩(wěn)定的信息保護系統(tǒng)顯得尤為的重要。本文通過了解我國目前信息保護系統(tǒng)的現(xiàn)狀,深入探討建設(shè)信息安全保護系統(tǒng)的舉措。
【關(guān)鍵詞】 信息系統(tǒng) 安-全保護建設(shè) 測評方法
信息系統(tǒng)在生活中的作用越來越明顯,已經(jīng)成為了人們?nèi)粘I詈推髽I(yè)日常生產(chǎn)的重要環(huán)節(jié)。由于網(wǎng)絡(luò)技術(shù)也不斷的提高,系統(tǒng)漏洞、黑客攻擊等因素都會對用戶和企業(yè)的信息安全造成影響。本文通過了解信息系統(tǒng)的主要方法,熟悉信息系統(tǒng)的主要測評過程,從而探討出一套合理的信息安全建設(shè)和評測方法。
一、信息系統(tǒng)安全等級
信息系統(tǒng)都有安全等級制度,一般都是根據(jù)信息系統(tǒng)的實際應(yīng)用進行分類。信息系統(tǒng)一般有五個安全等級,保障系統(tǒng)能夠安全的運行是系統(tǒng)定級的主要調(diào)整方法。
信息系統(tǒng)通常是整個信息建設(shè)過程中的基礎(chǔ)部分,具有重要的作用。對于在信息系統(tǒng)的定級過程當(dāng)中,要詳細的搜集相關(guān)資料并具體的進行分析,同時要保證等級不一樣的信息系統(tǒng)能夠應(yīng)付來自不一樣的威脅攻擊。
在制定安全等級的時候要根據(jù)國家利益、合法權(quán)益、社會穩(wěn)定三方面來考慮,根據(jù)個體的身份不同以及個體受到的損害不同,信息系統(tǒng)設(shè)置成五個等級。其中前面四個等級在控制點和項目數(shù)量方面都是逐漸增加的,同時,每一級別之間的區(qū)分極為嚴(yán)謹。所以企業(yè)應(yīng)該根據(jù)系統(tǒng)或行業(yè)的要求,加強安全等級。要是在建設(shè)對信息系統(tǒng)進行申請的情況下,需要嚴(yán)格按照標(biāo)準(zhǔn)進行建設(shè)。
二、評測的具體實踐過程
在對等級保護的評測過程當(dāng)中,主要部分是溝通和技術(shù)管理,并且全程參與整個等級保護的評測過程。評測中的安全要求有五個部分,依次有安全的級別、技術(shù)管理、安全的類別、具體要求以及安全的控制點,測評工作人員需要進行嚴(yán)謹?shù)臋z查,最終給定測評結(jié)果。
三、現(xiàn)場評測
1、測評準(zhǔn)備。測評準(zhǔn)備一般有三個過程。第一,項目啟動。通常根據(jù)被測單位給出的相關(guān)資料,評測機構(gòu)就能夠大致熟悉整個系統(tǒng)的組成形式和安全體系,這樣就可以讓測評人員有了更多的參考依據(jù),為接下來測評工作的順利進行打下堅實的基礎(chǔ)。第二,搜集資料并進行分析。被測單位給出的相關(guān)信息可能存在遺漏的情況,所以評測機構(gòu)就需要對資料再進行全面的搜集,整理出相對完整的信息,分析之后在進行接下來的工作。第三,準(zhǔn)備好評測所需要的工具。測評人員通常在測評過程當(dāng)中需要使用到一些工具,其中包括掃描系統(tǒng)漏洞的工具、測試系統(tǒng)性能的工具、分析工具等,通過提前的準(zhǔn)備有助于加快整個評測過程的速度。
2、方案編制。方案編制一般有四個過程。第一,確定測評的指標(biāo)。在測評工作之前就得清楚測評項目的評判指標(biāo),測評指標(biāo)是來自各個國家對于每個安全等級的不同標(biāo)準(zhǔn)。第二,確定測評的基本內(nèi)容。通常有一些復(fù)雜的信息系統(tǒng)都是由很多小型的信息系統(tǒng)構(gòu)成,這時就得細化整個測評任務(wù)的環(huán)節(jié),保證發(fā)生不遺漏的現(xiàn)象。第三,確定工具的使用方法。結(jié)合測評內(nèi)容選擇測評所需要的工具,工具的操作方法都可以參照使用說明書上的介紹。第四,測評指導(dǎo)書的開發(fā)。測評機構(gòu)可以將資測評分析的結(jié)構(gòu)整理成測評指導(dǎo)書,一般有調(diào)查表、員工表、測評的對象、測評的使用方法以及測評的工作量等。
3、現(xiàn)場測評?,F(xiàn)場編制一般有三個部分。第一,實施準(zhǔn)備。在測評前簽署測評授權(quán)書。第二,記錄現(xiàn)場評測的結(jié)果。分析記錄的測評結(jié)果,找出系統(tǒng)可能存在的一些安全問題。第三,驗證記錄的結(jié)果后歸還資料。為了避免結(jié)果可能出現(xiàn)的漏洞,通常需要對結(jié)果再次驗證。驗證過后還需要將資料歸還給被測單位,避免資料的丟失。
4、報告編制。報告編制是信息系統(tǒng)安全等級保護測評的最后一個環(huán)節(jié),通過是對評測結(jié)果的分析,對比系統(tǒng)的測評指標(biāo)和系統(tǒng)在實際運用情況之間的差距,從單個安全項目以及整體上對系統(tǒng)的安全保護能力進行評價,從而給出等級的評測結(jié)論。
結(jié)語:本次論文針對我國目前的信息系統(tǒng)的實際運用情況進行闡述,隨著信息技術(shù)的不斷發(fā)展,發(fā)現(xiàn)有許多信息系統(tǒng)不能給用戶和企業(yè)的信息資料帶來足夠的安全保障,通過探討建設(shè)和測評信息系統(tǒng)安全等級的具體措施,建設(shè)信息安全等級制度能夠為建設(shè)安全的信息系統(tǒng)提供可行的意見,保障了信息在傳遞過程中的安全性,避免信息出現(xiàn)泄露的情況,為國家的信息安全產(chǎn)業(yè)提供了保障。
參 考 文 獻
[1]池仁隆,張超,張春柳.信息系統(tǒng)安全等級保護建設(shè)與測評方法簡析[J].軟件產(chǎn)業(yè)與工程,2012(02):44-48.
[2]余廣山,李祥海,武國良.淺談信息系統(tǒng)安全等級保護建設(shè)與測評方法[J].信息通信,2013(09):156.
[3]蔡曉熙.基于風(fēng)險分析的信息系統(tǒng)安全定級方法[D].南京郵電大學(xué),2012.
[4]宋睿,公丕強.信息系統(tǒng)安全等級保護方案設(shè)計方法研究[J].郵電設(shè)計技術(shù),2015(04):79-83.