信息系統(tǒng)安全等級保護建設(shè)與測評方法

張建華

【摘要】 隨著我國步入改革開放以來，我國社會經(jīng)濟發(fā)展的越來越好，計算機技術(shù)也得到了快速的提升。隨著網(wǎng)絡(luò)經(jīng)濟時代的到來，人們的工作和生活都不離開網(wǎng)絡(luò)，在使用當(dāng)中也將個人信息儲存在網(wǎng)絡(luò)中，隨著信息系統(tǒng)被運用的越來越廣泛，信息系統(tǒng)的安全保障也需要得到重視。為了保障用戶和企業(yè)的信息安全，建設(shè)一個安全穩(wěn)定的信息保護系統(tǒng)顯得尤為的重要。本文通過了解我國目前信息保護系統(tǒng)的現(xiàn)狀，深入探討建設(shè)信息安全保護系統(tǒng)的舉措。

【關(guān)鍵詞】 信息系統(tǒng) 安-全保護建設(shè) 測評方法

信息系統(tǒng)在生活中的作用越來越明顯，已經(jīng)成為了人們?nèi)粘Ｉ詈推髽I(yè)日常生產(chǎn)的重要環(huán)節(jié)。由于網(wǎng)絡(luò)技術(shù)也不斷的提高，系統(tǒng)漏洞、黑客攻擊等因素都會對用戶和企業(yè)的信息安全造成影響。本文通過了解信息系統(tǒng)的主要方法，熟悉信息系統(tǒng)的主要測評過程，從而探討出一套合理的信息安全建設(shè)和評測方法。

一、信息系統(tǒng)安全等級

信息系統(tǒng)都有安全等級制度，一般都是根據(jù)信息系統(tǒng)的實際應(yīng)用進行分類。信息系統(tǒng)一般有五個安全等級，保障系統(tǒng)能夠安全的運行是系統(tǒng)定級的主要調(diào)整方法。

信息系統(tǒng)通常是整個信息建設(shè)過程中的基礎(chǔ)部分，具有重要的作用。對于在信息系統(tǒng)的定級過程當(dāng)中，要詳細的搜集相關(guān)資料并具體的進行分析，同時要保證等級不一樣的信息系統(tǒng)能夠應(yīng)付來自不一樣的威脅攻擊。

在制定安全等級的時候要根據(jù)國家利益、合法權(quán)益、社會穩(wěn)定三方面來考慮，根據(jù)個體的身份不同以及個體受到的損害不同，信息系統(tǒng)設(shè)置成五個等級。其中前面四個等級在控制點和項目數(shù)量方面都是逐漸增加的，同時，每一級別之間的區(qū)分極為嚴(yán)謹。所以企業(yè)應(yīng)該根據(jù)系統(tǒng)或行業(yè)的要求，加強安全等級。要是在建設(shè)對信息系統(tǒng)進行申請的情況下，需要嚴(yán)格按照標(biāo)準(zhǔn)進行建設(shè)。

二、評測的具體實踐過程

在對等級保護的評測過程當(dāng)中，主要部分是溝通和技術(shù)管理，并且全程參與整個等級保護的評測過程。評測中的安全要求有五個部分，依次有安全的級別、技術(shù)管理、安全的類別、具體要求以及安全的控制點，測評工作人員需要進行嚴(yán)謹?shù)臋z查，最終給定測評結(jié)果。

三、現(xiàn)場評測

1、測評準(zhǔn)備。測評準(zhǔn)備一般有三個過程。第一，項目啟動。通常根據(jù)被測單位給出的相關(guān)資料，評測機構(gòu)就能夠大致熟悉整個系統(tǒng)的組成形式和安全體系，這樣就可以讓測評人員有了更多的參考依據(jù)，為接下來測評工作的順利進行打下堅實的基礎(chǔ)。第二，搜集資料并進行分析。被測單位給出的相關(guān)信息可能存在遺漏的情況，所以評測機構(gòu)就需要對資料再進行全面的搜集，整理出相對完整的信息，分析之后在進行接下來的工作。第三，準(zhǔn)備好評測所需要的工具。測評人員通常在測評過程當(dāng)中需要使用到一些工具，其中包括掃描系統(tǒng)漏洞的工具、測試系統(tǒng)性能的工具、分析工具等，通過提前的準(zhǔn)備有助于加快整個評測過程的速度。

2、方案編制。方案編制一般有四個過程。第一，確定測評的指標(biāo)。在測評工作之前就得清楚測評項目的評判指標(biāo)，測評指標(biāo)是來自各個國家對于每個安全等級的不同標(biāo)準(zhǔn)。第二，確定測評的基本內(nèi)容。通常有一些復(fù)雜的信息系統(tǒng)都是由很多小型的信息系統(tǒng)構(gòu)成，這時就得細化整個測評任務(wù)的環(huán)節(jié)，保證發(fā)生不遺漏的現(xiàn)象。第三，確定工具的使用方法。結(jié)合測評內(nèi)容選擇測評所需要的工具，工具的操作方法都可以參照使用說明書上的介紹。第四，測評指導(dǎo)書的開發(fā)。測評機構(gòu)可以將資測評分析的結(jié)構(gòu)整理成測評指導(dǎo)書，一般有調(diào)查表、員工表、測評的對象、測評的使用方法以及測評的工作量等。

3、現(xiàn)場測評?，F(xiàn)場編制一般有三個部分。第一，實施準(zhǔn)備。在測評前簽署測評授權(quán)書。第二，記錄現(xiàn)場評測的結(jié)果。分析記錄的測評結(jié)果，找出系統(tǒng)可能存在的一些安全問題。第三，驗證記錄的結(jié)果后歸還資料。為了避免結(jié)果可能出現(xiàn)的漏洞，通常需要對結(jié)果再次驗證。驗證過后還需要將資料歸還給被測單位，避免資料的丟失。

4、報告編制。報告編制是信息系統(tǒng)安全等級保護測評的最后一個環(huán)節(jié)，通過是對評測結(jié)果的分析，對比系統(tǒng)的測評指標(biāo)和系統(tǒng)在實際運用情況之間的差距，從單個安全項目以及整體上對系統(tǒng)的安全保護能力進行評價，從而給出等級的評測結(jié)論。

結(jié)語：本次論文針對我國目前的信息系統(tǒng)的實際運用情況進行闡述，隨著信息技術(shù)的不斷發(fā)展，發(fā)現(xiàn)有許多信息系統(tǒng)不能給用戶和企業(yè)的信息資料帶來足夠的安全保障，通過探討建設(shè)和測評信息系統(tǒng)安全等級的具體措施，建設(shè)信息安全等級制度能夠為建設(shè)安全的信息系統(tǒng)提供可行的意見，保障了信息在傳遞過程中的安全性，避免信息出現(xiàn)泄露的情況，為國家的信息安全產(chǎn)業(yè)提供了保障。

參 考 文 獻

[1]池仁隆，張超，張春柳.信息系統(tǒng)安全等級保護建設(shè)與測評方法簡析[J].軟件產(chǎn)業(yè)與工程，2012（02）：44-48.

[2]余廣山，李祥海，武國良.淺談信息系統(tǒng)安全等級保護建設(shè)與測評方法[J].信息通信，2013（09）：156.

[3]蔡曉熙.基于風(fēng)險分析的信息系統(tǒng)安全定級方法[D].南京郵電大學(xué)，2012.

[4]宋睿，公丕強.信息系統(tǒng)安全等級保護方案設(shè)計方法研究[J].郵電設(shè)計技術(shù)，2015（04）：79-83.