發布時間:2020-07-13所屬分類:計算機職稱論文瀏覽:1次
摘 要: 摘要:近年來,隨著時代的快速發展,國家都將信息系統的安全放在第一位置。現場對網絡安全展開測評一直都是難點內容。該文主要針對網絡現場安全測評中存在的難點進行剖析,立足于這些難點問題之上,提出一些必要的測評方法,確保能夠獲取準確的測評網絡原始
摘要:近年來,隨著時代的快速發展,國家都將信息系統的安全放在第一位置。現場對網絡安全展開測評一直都是難點內容。該文主要針對網絡現場安全測評中存在的難點進行剖析,立足于這些難點問題之上,提出一些必要的測評方法,確保能夠獲取準確的測評網絡原始數據,對測評項目有效地進行支持。
關鍵詞:網絡信息安全;等級保護;測評方法
引言
近年來,信息系統安全已經成為人們關注的焦點問題之一,專家、學者就這個問題進行了一系列的研究,其中提出的等級保護制度為信息系統安全如何進行指明了方向,這個制度的核心思想包括合理利用資源、保護重點,將信息系統分為不同的等級,依據相關的標準建設系統,落實管理和監督工作。在整個信息系統的生命周期中,等級保護是持續循環的重復性過程,但是不同等級系統也會對等級保護提出不同的要求,信息系統的建設者或運作者對這個問題都顯示出特別的關注度。
1信息安全等保測評實施過程分析
評級評估基于國家信息安全級別保護系統,受相關管理標準和技術標準約束。對特定應用的信息系統,采用安全技術評估和安全管理評估方法,檢測和評估保護狀態,確定被測系統的技術和管理級別與所需安全級別要求之間的符合程度。根據符合程度,判斷是否符合規定安全等級,提出不合格的安全整改方案。網絡信息系統的整個生命周期中,信息系統分級和歸檔是信息安全級別保護的主要環節。信息系統分級工作應按照“自動評級,專家評審,主管部門審批,公安機關審查”的原則進行。安全設計和實施階段的目標是根據整個信息系統安全計劃的要求,結合信息系統安全建設項目計劃,分階段實施安全措施,安全操作和維護是確保實施級別保護期間信息系統正常運行的必要步驟。其涉及的內容很多,包括建立安全運行維護機構和安全運行維護機制,管理環境、資產、設備、媒體、網絡、系統、密碼、密鑰、安全狀態監控、安全事件、安全審計和安全檢查等內容。信息系統終止階段是實施級別保護的最后一個環節。當信息系統被轉移、終止或丟棄時,在系統內正確處理敏感信息對確保組織信息資產的安全性而言至關重要。信息系統生命周期中,有些系統沒有被真正拋棄,而是改進了技術,將業務轉變為新的信息系統。對于這些信息系統,應確保信息傳輸、設備遷移和媒體銷毀的安全性。
2網絡信息安全等級保護測評方法分析
2.1對測評對象進行確定
網絡拓撲圖如果不夠一致,用戶業務系統十分繁多的時候,網絡系統會十分復雜,對對象的測評也會存在一定的困難。因此,可以對用戶的訪問途徑進行確定,然后對網絡對象展開測評。確定網絡測評對象的時候需要建立在用戶訪問途徑的基礎上,將不同類型的用戶接入同一個區域中,將其具體的接入點作為起點,對業務系統中存在的應用服務器位置進行設置,在訪問路徑中遵循相應的順序將網關設備加入其中,讓所有路徑上面的網關設備能夠有效組成網關設備路徑,將訪問路徑中所有的網關設備作為具體的測評對象,根據不同的路徑將所有的公共節點合并在一起。網關類設備具有多種類型,防火墻、交換機等都屬于網關類設備,部分網關類設備屬于一個透明的模式,也就是說所有串聯在一起的設備都屬于網關類設備。
2.2測評對象配置和狀態數據的獲取
①命令行管理方式設備的數據獲取一般設備版本號、路由表、日志狀態都是通過執行命令行命令的方式而獲取的,通常采用的形式都是文本文件。在實際操作過程中,要先編制測評操作指導書,然后將每一種設備需要用到的命令通過列表形式對其進行表示,這樣方便了測評工作人員的日常工作,只需要按照列表上的順序執行命令就可以,然后開啟終端,并將屏幕顯示的數據進行記錄,將輸出的存到文本文件,這樣可以大大提高現場的測評效率。②WEB界面管理方式設備數獲取WEB管理方式的設備廠商比較多,供選擇的范圍比較廣,其設置方式也是多種多樣,給測評人員的選擇提供了很大的方便。通常采用截圖的方式來獲取數據以便提高效率,因為大部分數據都是以圖片的形式存在,一部分設備都是支持日志文件或者策略規則的導出功能,就是我們常說的以這種格式進行儲存文件。③旁路安全設備及數據獲取網絡拓撲圖的驗證過程就是當鏈路路徑端點不是業務計算類設備時,可確定出旁路設備。常見的旁路設備就是入侵防御系統、網絡審計系統、安全管理中心等等。而獲取旁路類設備安全策略配置和安全狀態數據主要是為了獲取設備的版本號和各種類型的庫版本信息防護啟用配置等等。WEB方式是我們經常廣泛應用的旁路設備,或者經常使用管理軟件的方式進行管理,這種類型設備的數據一般也是通過截圖方式進行傳輸。
2.3信息安全風險評估
評估信息安全風險的時候需要從風險管理的角度出發,采用科學的手段對系統中存在的潛在問題和威脅進行分析,對于安全事件發生的時候出現的危害進行評估,有針對性的威脅采取相應的防護措施,將信息安全方面存在的風險進行化解,將風險控制在合理的范圍中,讓信息安全得到一定的保障。風險分析中涉及三大要素,分別是資產、脆弱性、威脅,每個要素所具有的屬性不同,資產主要需要資產價值。威脅屬性不僅可以是威脅主體,還會是動機等。脆弱性屬性主要是資產弱點的嚴重程度。對風險進行分析的時候主要涉及的內容有多種。做好資產的識別工作,對資產價值進行賦值。對威脅同樣展開識別,并對威脅的屬性進行描述,掌握威脅引發的賦值。對脆弱性同樣需要做好識別,并對可能引發的資產的嚴重程度做好賦值。利用威脅引發的脆弱性需要對安全事件的可能性科學地進行判斷。依據脆弱性具體的嚴重程度對安全事件所用到的資產價值進行計算,并對安全事件產生的損失進行計算。對安全事件所發生的可能性對安全事件的損失進行計算,并對安全事件產生的影響進行計算,也就是計算風險值。
2.4保護能力構成框架
這一框架為信息系統具備等級保護安全保護能力的構成提供了概念框架。首先,這一框架直接呈現出信息系統安全等級保護基本要求的保護能力構成;其次,它為工作人員進行系統安全等級保護提供了有力的依據,從而確保安全目的的順利達成,實現安全保護的預期效果,使信息系統具備抵抗安全隱患的能力。要確保業務信息和系統服務具備足夠的安全保護能力,可以從兩個分方面著手:其一為技術方面,它的表現形式是技術保護過程的分類,以動態保護過程為依據分為三類,即防護、檢測、恢復響應,分別對應業務信息安全以及系統服務安全的防護能力、檢測能力以及恢復響應能力。其二為管理,科學、有效的管理能夠為信息系統的安全提供有力的保障,從安全管理策略的角度來看,它包括了制度類、組織人員類、安全工程類和安全運行類四種類型,它能夠讓人們了解信息系統的安全管理要素,以及信息系統在運行過程中進行的各項安全管理活動。所以,安全管理主要能夠反映出信息系統的制度規范化保證能力、組織人員保證能力、安全工程保證能力和安全運行保證能力。
結語
在總結評價結果的基礎上,找出系統保護現狀與水平保護基本要求之間的差距,形成評價結論,并根據等級測評結論編制測評報告。本文主要分析了網絡信息安全等級保護評估的實施過程、評估方法以及評估的工作流程,對提高信息系統的安全性具有一定價值。——論文作者:王海濤
相關期刊推薦:《電腦知識與技術》由中興通訊股份有限公司,安徽科學技術情報研究所主辦的學術期刊,主要面向廣大的科技工作者、高等院校、各公共圖書館、情報所(室)、研究所以及廠礦,它對科技工作者、科學研究人員、廣大教師、研究生、博士生都具有重要的參考價值。
SCISSCIAHCI
