網絡安全等級保護評估
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全等級保護評估范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全等級保護評估范文第1篇
關鍵詞:政府網絡安全;網絡安全;風險評估;應用模型;電子政務
中圖分類號:TP393.08
在新的發展環境下,開放和互聯的網絡時代給各種信息資源的流通帶來了便利的同時,也帶來了安全隱患。尤其是政府部門的電子政務信息資產,若是受到非法使用,不但會對政府部門造成資源損失,甚至會威脅到國家、單位部門和個人的安全。因此,對政府網絡系統進行安全風險評估,不但能夠有效地預防和解決潛在的威脅,而且能夠保障整個政府網絡系統的安全,促進政府網絡建設的發展。
1 政府網絡安全風險評估的方法
在電子政務信息系統的建設和運行過程中,需要進行網絡安全防御的相關措施,以防止系統中存在的漏洞、隱患,以及人為或非人為因素引起的風險對系統的影響。因此,采取安全風險評估的方法,通過安全風險評估的相關技術的支持,對系統的設備及數據進行分析、確定等級和檢查,是有效防范這些情況發生的重要措施。
政府網絡安全風險評估的方法主要有安全風險分析、安全等級評估和安全檢查評估等三種。
1.1 安全風險分析。在進行政府網絡安全風險評估的前期工作中,主要是通過建立評估數據模型的方式進行安全風險分析。其中,主要是根據概率分布、外推法、矩陣圖分析、風險發展趨勢評價方法、假設前提評價及數據準確度評估等方法,并通過專家評估預測和相關歷史數據對指標的選取和數據的采集,估算政府網絡安全系統所存在的風險。
1.2 安全等級評估。在此階段,主要是在政府的電子政務系統建成或是運行的過程中,由第三方權威機構采取強制或非強制的方式,對政府網絡安全進行定期安全等級評估,從而確定政府網絡系統在建成后,或是在系統更新后是否達到防范風險的可靠級別。
1.3 安全檢查評估。在此階段,主要采用專門的模擬攻擊、漏洞掃描等方式,對政府電子政務(包括網絡設備、服務器、客戶機、數據庫和應用系統等)進行安全檢查,找出其中可能存在的安全隱患并提供掃描后的相關數據,給予政府電子政務安全檢查評估。在安全檢查評估中,主要運用到基于主機的(硬件系統)和基于網絡的(軟件系統)兩種技術。通過安全檢查評估,能夠起到預防網絡系統中存在的隱患的作用,并提供科學有效的解決措施,從而更進一步提高網絡安全的整體水平。
2 政府網絡安全風險評估的模型與應用
2.1 安全風險評估應用模型三階段。在電子政務系統建設的實施過程,主要分為規劃與設計階段、建設與實施階段、運行與管理階段等三個階段。其中,安全風險分析主要作用于規劃與設計階段,安全等級評估主要作用于建設與施工階段,安全檢查評估主要作用于運行與管理階段。
安全風險分析,主要是利用風險評估工具對系統的安全問題進行分析。對于信息資產的風險等級的確定,以及其風險的優先控制順序,可以通過根據電子政務系統的需求,采用定性和定量的方法,制定相關的安全保障方案。
安全等級評估,主要由自評估和他評估兩種評估方式構成。被評估電子政務系統的擁有者,通過結合其自身的力量和相關的等級保護標準,進行安全等級評估的方式,稱為自評估。而他評估則是指通過第三方權威專業評估機構,依據已頒布的標準或法規進行評估。通過定期或隨機的安全等級評估,掌握系統動態、業務調整、網絡威脅等動向,能夠及時預防和處理系統中存在的安全漏洞、隱患,提高系統的防御能力,并給予合理的安全防范措施等。若電子政務網絡系統需要進行較大程度上的更新或變革,則需要重新對系統進行安全等級評估工作。
安全檢查評估,主要是在對漏洞掃描、模擬攻擊,以及對安全隱患的檢查等方面,對電子政務網絡系統的運行狀態進行監測,并給予解決問題的安全防范措施。
2.2 安全風險分析的應用模型。在政府網絡安全風險評估工作中,主要是借助安全風險評測工具和第三方權威機構,對安全風險分析、安全等級評估和安全檢查評估等三方面進行評估工作。在此,本文重點要講述的是安全風險分析的應用模型。在安全風險分析的應用模型中,著重需要考慮到的是其主要因素、基本流程和專家評判法。
(1)主要因素
在資產上,政府的信息資源不但具有經濟價值,還擁有者重要的政治因素。因此,要從關鍵和敏感度出發,確定信息資產。在不足上,政府電子政務網絡系統,存在一定的脆弱性和被利用的潛在性。在威脅上,政府電子政務網絡系統受到來自內、外部的威脅。在影響上,可能致使信息資源泄露,嚴重時造成重大的資源損失。
(2)基本流程
根據安全需求,確定政府電子政務網絡系統的安全風險等級和目標。
根據政府電子政務網絡系統的結構和應用需求,實行區域和安全邊界的劃分。
識別并估價安全區域內的信息資產。
識別與評價安全區域內的環境對資產的威脅。
識別與分析安全區域內的威脅所對應的資產或組織存在的薄弱點。
建立政府電子政務網絡系統的安全風險評估方法和安全風險等級評價原則,并確定其大小與等級。
結合相關的系統安全需求和等級保護,以及費用應當與風險相平衡的原則,對風險控制方法加以探究,從而制定出有效的安全風險控制措施和解決方案。
(3)專家評判法
在建設政府電子政務網絡系統的前期決策中,由于缺少相關的數據和資料,因此,可以通過專家評判的方法,為政府電子政務網絡系統提供一個大概的參考數值和結果,作為決策前期的基礎。
在安全區域內,根據網絡拓撲結構(即物理層、網絡層、系統層、應用層、數據層、用戶層),應用需求和安全需求劃分的安全邊界和安全區域,建立起風險值計算模型。通過列出從物理層到用戶層之間結構所存在的薄弱點,分析其可能為資產所帶來的影響,以及這些薄弱點對系統薄弱環節外部可能產生的威脅程度大小,進而通過安全風險評估專家進行評判,得到系統的風險值及排序。
在不同的安全層次中,每個薄弱環節都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法,能夠幫助計算出特定安全區域下的資產在這些薄弱環節中的風險值。
3 結語
本文主要通過對政府電子政務網絡系統的建設中,所進行的安全風險評估進行研究,分析和探討在規劃與設計階段、建設與實施階段、運行與管理階段三個階段中政府網絡安全建設的相關問題。并在各階段分別采用安全風險分析、系統建設完成后的安全等級評估。在系統建成后的運行和管理階段,采用的安全檢查評估等方法,保障政府電子政務網絡系統的安全。此外,在安全風險分析中,可操作的方法并不多,需要有關部門加強力度,加以研究和探析。在等級安全評估和安全檢查評估兩個階段,可以充分利用第三方權威機構的評測工具,來加強政府網絡的安全性。
參考文獻:
[1]楊志新.政府網絡安全風險評估[J].系統工程,2005,4.
[2]王繼曄.政府信息網絡的安全措施及技術手段[J].交通與計算機,2003,2.
[3]黃煒.我國政府保護網絡經濟信息安全的現狀和對策[J].華南理工大學,2010,5,6.
[4]夏義,李勇.政府網絡安全問題分析[J].高校圖書情報論壇,2003,2.
網絡安全等級保護評估范文第2篇
隨著電子政務應用的不斷深入,信息安全問題日益凸顯,為了高效安全的進行電子政務,迫切需要搞好信息安全保障工作。電子政務系統采取的網絡安全措施[2][3]不僅要保證業務與辦公系統和網絡的穩定運行,另一方面要保護運行在內部網上的敏感數據與信息的安全,因此應充分保證以下幾點:
1.1基礎設施的可用性:運行于內部專網的各主機、數據庫、應用服務器系統的安全運行十分關鍵,網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞。
1.2數據機密性:對于內部網絡,保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。
1.3網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下,只有經過認證的設備可以訪問網絡,并且能明確地限定其訪問范圍,這對于電子政務的網絡安全十分重要。
1.4數據備份與容災:任何的安全措施都無法保證數據萬無一失,硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此,在電子政務安全體系中必須包括數據的容災與備份,并且最好是異地備份。
2電子政務信息安全體系模型設計
完整的電子政務安全保障體系從技術層面上來講,必須建立在一個強大的技術支撐平臺之上,同時具有完備的安全管理機制,并針對物理安全,數據存儲安全,數據傳輸安全和應用安全制定完善的安全策略
在技術支撐平臺方面,核心是要解決好權限控制問題。為了解決授權訪問的問題,通常是將基于公鑰證書(PKC)的PKI(PublicKeyInfrastructure)與基于屬性證書(AC)的PMI(PrivilegeManagementInfrastructure)結合起來進行安全性設計,然而由于一個終端用戶可以有許多權限,許多用戶也可能有相同的權限集,這些權限都必須寫入屬性證書的屬性中,這樣就增加了屬性證書的復雜性和存儲空間,從而也增加了屬性證書的頒發和驗證的復雜度。為了解決這個問題,作者建議根據X.509標準建立基于角色PMI的電子政務安全模型。該模型由客戶端、驗證服務器、應用服務器、資源數據庫和LDAP目錄服務器等實體組成,在該模型中:
2.1終端用戶:向驗證服務器發送請求和證書,并與服務器雙向驗證。
2.2驗證服務器:由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制,是安全模型的關鍵部分。
2.3應用服務器:與資源數據庫連接,根據驗證通過的用戶請求,對資源數據庫的數據進行處理,并把處理結果通過驗證服務器返回給用戶以響應用戶請求。
2.4LDAP目錄服務器:該模型中采用兩個LDAP目錄服務器,一個存放公鑰證書(PKC)和公鑰證書吊銷列表(CRL),另一個LDAP目錄服務器存放角色指派和角色規范屬性證書以及屬性吊銷列表ACRL。
安全管理策略也是電子政務安全體系的重要組成部分。安全的核心實際上是管理,安全技術實際上只是實現管理的一種手段,再好的技術手段都必須配合合理的制度才能發揮作用。需要制訂的制度包括安全行政管理和安全技術管理。安全行政管理應包括組織機構和責任制度等的制定和落實;安全技術管理的內容包括對硬件實體和軟件系統、密鑰的管理。
轉貼于中國論文下載中心www
3電子政務信息安全管理體系中的風險評估
電子政務信息安全等級保護是根據電子政務系統在國家安全、經濟安全、社會穩定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務系統進行風險分析,構建電子政務系統的風險因素集。
3.1信息系統的安全定級信息系統的安全等級從低到高依次包括自主保護級、指導保護級、監督保護級、強制保護級、專控保護級五個安全等級。對電子政務的五個安全等級定義,結合系統面臨的風險、系統特定安全保護要求和成本開銷等因素,采取相應的安全保護措施以保障信息和信息系統的安全。
3.2采用全面的風險評估辦法風險評估具有不同的方法。在ISO/IECTR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子,其他文獻,例如NISTSP800-30、AS/NZS4360等也介紹了風險評估的步驟及方法,另外,一些組織還提出了自己的風險評估工具,例如OCTAVE、CRAMM等。
電子政務信息安全建設中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南,從資產評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中,資產的評估主要是對資產進行相對估價,其估價準則依賴于對其影響的分析,主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發生可能性的評估,主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估,主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動,主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息,最終生成風險信息。
在確定風險評估方法后,還應確定接受風險的準則,識別可接受的風險級別。
4結語
電子政務與傳統政務相比有顯著區別,包括:辦公手段不同,信息資源的數字化和信息交換的網絡化是電子政務與傳統政務的最顯著區別;行政業務流程不同,實現行政業務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同,直接與公眾溝通是實施電子政務的目的之一,也是與傳統政務的重要區別。在電子政務的信息安全管理中,要抓住其特點,從技術、管理、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案,這樣才能達到全方位實施信息安全管理的目的。
參考文獻:
[1]范紅,馮國登,吳亞非.信息安全風險評估方法與應用.清華大學出版社.2006.
[2]李波杰,張緒國,張世永.一種多層取證的電子商務安全審計系統微型電腦應用.2007年05期.
網絡安全等級保護評估范文第3篇
建立等級保護制度是實現網絡安全的保障。結合網絡系統的網絡結構、系統組成、服務模式等基本情況,建立等級保護制度實施的規范和標準。制定安全區域邊界和內部實施相應的安全防護的策略,科學進行框架結構、系統部署等內容設計,建立一個適應性和可行性較強的網絡安全防護體系。通過科學的建模分析方法,結合網絡結構模型和對應的技術進行細致分析及思考。筆者針對如何建立適應性較強的網絡安全體系提出一些思路,并構建出了具體的框架,提出具體的建模分析方法。
1當前等級保護制度研究的現狀
我國網絡技術迅猛發展,網絡技術的應用已經滲透到各行各業中。由于網絡信息系統的類型很多,因此各國實施的系統建設標準各有不同,同時系統針對應用場景適應性也各有差異,還有其他一些的因素都是造成網絡安全等級保護制度難以進行推廣的原因。針對基于等級保護的網絡安全體系的建立和實施過程中的困難,有很多專家學者對信息安全等級保護制度進行了探討和研究。針對基于安全等級保護的網絡安全體系的研究,是從信息安全等級保護相關要求和標準角度,參考全球信息安全領域的安全保護原則與評估方法,進行科學的對比分析,常用的方法包括統計分析、系統建模等。信息安全等級保護制度的探索應用主要是在一些特定的對信息收集、處理標準較高的信息系統上,常見的比如,電子商務、媒體與信息服務、企業信息管理系統等。在特定領域的信息安全等級保護制度研究,要求結合行業領域的特點進行分析,還有一些相關的規范性文件要求。
2等級保護制度的內容和要求
所謂基于等級保護的網絡安全體系是指處理信息和其載體,需要結合信息的重要性,進行等級的分級別,提高信息安全保護的效率的一種體系制度。要求是對一些專有的重要信息或者公開信息進行專項的存儲、處理時,按照信息系統中內容的等級實施對應的安全保護措施,實現對安全體系下的信息安全事件進行分等級的處置工作。實現系統的安全的相應要求不同于一般的技術安全要求標準。從物理、網絡、應用等層面,制定對不同等級的信息系統的建設標準。再根據實現方式的差異,提出基本的安全要求,分技術和管理要求兩個基本的類別。安全技術要求要對應安全層面的內容,一些安全技術的實施標準的要求是能夠與特定層面相適應,例如防雷、防火等這些物理層面的安全要求。而一些安全要求是對應多個層面進行實施的,如進行身份的鑒別、系統訪問的控制等。
3網絡安全體系的框架構建分析
構建科學的網絡安全體系,需要考慮諸多方面的內容,比如安全組織、技術、和具體的實施等一系列的情況。在網絡安全體系中的內容,必須符合我國當前的網絡方面的相關法律和標準,能夠適應各類的場景和應用環境來實現框架的構建思路,科學的安全體系應當具備適用于各種應用場景的特點,進行安全場景的建模分析。基于等級保護的網絡安全體系,先要從需求角度進行分析,著重對體系建立的相關內容進行思考,網絡安全體系框架的構建要求重點對網絡安全體系和安全目標、安全邊界多方面,通過建模方法進行分析,然后用具體明白的表述做好跟安全管理工作的對接。對安全目標的建模方法具體分析,要結合安全體系建立的需求,建立有針對性的安全目標。設立安全目標的內容,通常會包括了業務的范圍、功能以及業務實施流程等方面的內容。業務功能是指在網絡平臺上進行的特定相關業務的能力。通常業務功能可以按照模塊進行分解,目標的不同可能導致描述粒度要求的不同。針對安全目標的建立模型進行分析,由于業務需求與安全需求的內容上存在很多類似的地方,因此,需要設定相同的分析對象再進行建模,運用的建模方法為:進行業務功能方面的建模,要結合網絡安全體系中的特定業務目標,深入分析業務的功能內容,進行相關描述時,要結合具體的目標和特定的需要,同時還要針對對業務功能的內容方面進行探討,對名稱的標識描述要突出,控制描述內容的質量,可以使用一些可視性例圖進行描述,這樣能起到幫助用戶更深入理解系統功能的目的。分析業務開展的范圍要結合相關的業務功能,在業務覆蓋的范圍內闡述網絡覆蓋的業務實施和各個環節的相關性,可以借助類圖法對相關業務范圍進行刻畫。
4基于等級保護網絡安全體系中的安全邊界建模方法分析
利用網絡安全邊界理論進行安全界定時,要服從于網絡安全體系可以涵蓋所有范圍的基本設立目標。利用SB=<LNB,SMB>來對安全邊界模型的相關要素進行表示,在模型構建的元素中以LNB表示邊界的連通,以SMB表示安全措施邊界。應用LNB對聯通的邊界進行相關的分析,通過網絡上的軟件和硬件進行結合的內容,進行的連通邊界的描述,同時還需要結合組件的運行和通信,對模型進行詳細的補充。
4.1針對安全體系要素的建模
對安全體系的要素進行建模分析要求結合安全機制和安全威脅進行建模分析,對安全機制的相關要素和安全威脅的相關內容要進行科學全面的思考,提高建模分析的準確性和科學性。要應用模態邏輯對安全體系的要素進行分析,包括了必然和可能等相關的概念邏輯。
4.2安全措施分析
對網絡信息技術進行分析制定,防止網絡信息系統受到侵害,及時對一些安全事故進行分析處理,這是安全技術措施的主要內容,安全管理措施是對網絡信息系統的檢查和分析,實施對機構體制和系統操作人員的相關管理,還包括了對于提高系統的安全系數的工作內容。
4.3安全管理措施和安全技術措施的分析比較
安全管理措施和安全技術措施兩者十分類似,但在措施的實施方面有實際的差異。前者針對的管理的相關規則,而后者卻是針對技術制定相應的規則。進行模態邏輯的應用的時候,建立安全體系的模型,實現模擬邏輯的應用推導,利用安全體系中的有效性進行科學的推導和相應的分析,同時,利用強推理和弱推理的相關的規則進行對比分析,可以發現其中存在的一些關系。
5對網絡安全體系建模方法的驗證分析
用科學的方法建立模型,從安全目標和安全邊界角度以及安全要素等進行了模型的分析。下面就結合模型的驗證結果,分析安全目標的實現程度。主要針對安全要素計算法進行具體的分析如下:把特定的業務相關狀態的內容進行模型的輸入和輸出操作,設定特定業務流程內業務狀態的相應安全要素集,所謂安全要素集,是指若系統承載業務操作資產也成為了是安全威脅目標,那么該安全威脅就應該在此業務狀態下需要應對的安全威脅攻擊的集內。通過測定安全要素是否在安全邊界中,實現對業務操作的性質的區分,定性是屬于安全性還是威脅性的。其中有2個主要步驟:(1)界定安全威脅攻擊目標是否在物理連通的邊界范圍中;(2)對安全技術措施和安全管理中制定的相關措施狀態,對比該安全措施邊界的模型定義和狀態的情況是否一致。若業務操作中有安全威脅,但沒有解決該安全威脅的安全技術措施,那么這個業務操作就形成了一定程度的存在安全風險;再對這一安全威脅的安全技術措施的模態進行判斷,若發現“可能”針對這一模態的相應安全措施,根據弱推理規則對安全措施的科學性和可行性進行推導判斷,否則就根據強推理規則進行推導,結合最終的結果,進行安全風險的處置。制定科學的安全技術和安全管理方面的保護措施,需要界定安全要素是否包含在相應的安全邊界內,同時要求對安群威脅進行分析,根據最終系統是否受到攻擊的實際情況,結合安全管理的對象和相應的技術規范的時,檢測物理連接是否有效,連接的狀態是否發生了改變以及是否滿足要求,按照安全等級進行建模分析。結合上述的相關建模分析方法,安全管理部門可以細致的了解網絡安全的相關內容,加深對網絡安全風險狀態的科學認知,并制定有針對性的標準和流程,保證業務操作的安全性和效率。
6結語
本文對網絡安全體系建模分析的相關方法進行了詳細的介紹,并進行了驗證方法的闡述,滿足了網絡安全體系建模的方法的科學性和可行性要求。在具體的基于等級保護制度建立的網絡安全體系框架內,對于建模上的規范性和功能提出了較高的要求,結合對網絡安全體系建模分析,討論了對此類網絡安全建模分析方法科學性進行驗證的方法。
作者:馬榮華 單位:鄭州鐵路職業技術學院
引用:
網絡安全等級保護評估范文第4篇
關鍵詞:信息安全;等級保護;等級測評;實踐教學;綜合實訓
DOIDOI:10.11907/rjdk.161717
中圖分類號:G434
文獻標識碼:A文章編號文章編號:16727800(2016)009017303
基金項目基金項目:貴州省科技廳社發攻關項目(黔科合SY字2012-3050號);貴州大學自然科學青年基金項目(貴大自青合字2010-026號);貴州大學教育教學改革研究項目(JG2013097)
作者簡介作者簡介:張文勇(1973-),男,貴州臺江人,碩士,貴州大學計算機科學與技術學院講師,研究方向為網絡與信息安全;李維華(1961-),男,貴州貴陽人,貴州大學計算機科學與技術學院高級實驗師,研究方向為網絡與信息安全;唐作其(1980-),男,貴州興義人,碩士,貴州大學計算機科學與技術學院副教授,研究方向為信息安全保障體系。
0引言
信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法,開展信息安全等級保護工作是保護信息化發展、維護國家信息安全的根本保障,是信息安全保障工作中國家意志的體現。信息安全學科要求學生不僅要具備很強的理論知識,更應具備較強的實踐能力。現階段很多高校在理論教學上有較好的培養方法和模式,學生具備良好的理論基礎,但在實踐教學中由于各課程的銜接和關聯較少,盡管部分學校開設了信息安全實訓或信息安全攻防實踐等課程,但基本都是做一些單元實驗,僅局限于某一方面的技能訓練,沒有從全局、系統的角度去培養學生綜合運用各種信息安全知識解決實際問題的能力[15]。從貴州大學信息安全專業畢業生就業情況調查反饋信息來看,絕大多數畢業生主要從事企事業單位的信息安全管理、信息安全專業服務等工作,少數畢業生從事信息安全產品研發,或繼續碩士博士深造,從事信息安全理論研究。用人單位普遍反映學生的基本理論掌握相對較好,但實際操作技能、綜合分析能力欠缺。為了解決目前這種狀況,筆者根據長期從事信息安全等級保護項目實施工作實踐,提出在信息安全專業的實踐教學環節中引入信息安全等級保護相關內容。
1信息安全等級保護對學生能力培養的作用
信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查5個階段,信息系統安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程。信息安全等級保護的知識體系完善,信息安全等級保護測評人員的技術要求涵蓋多個方面,包括物理環境、主機、操作系統、應用安全、安全設備等,因此國家對于信息安全等級保護人員的技術要求十分綜合和全面[3]。如參照信息安全等級保護專業人員的技術要求對學生開展信息安全綜合實訓將滿足社會對信息安全專業人員的技能和知識結構要求,主要體現在以下4個方面:①培養學生了解國家關于非信息系統保護的基本方針、政策、標準;②培養學生掌握各種基本信息安全技術操作技能,熟悉各種信息系統構成對象的基本操作,為將來快速融入到信息安全保護實踐工作奠定基礎;③培養學生具備從綜合、全面的角度去規劃、設計、構建符合國家信息安全保障體系要求的信息安全防護方案能力;④培養學生建立信息安全等級保護的基本意識,在工作實踐中自覺按國家信息安全等級保護要求開展工作,有利于促進國家信息安全等級保護政策實施。
2實訓教學知識體系
信息安全等級保護的相關政策和標準是信息安全實訓教學體系建立的基本依據,GB/T 22239-2008《信息安全等級保護基本要求》在信息安全等級保護標準體系中起基礎性作用。信息安全等級保護基本要求充分體現了“全面防御,縱深防御”的理念,遵循了“技術和管理并重”的基本原則,而不同級別的業務信息系統在控制點要求項上的區別體現了“適度安全”的根本原則[6]。信息安全保護測評是信息安全等級保護的一項重要基礎性工作,GB/T 28449-2012《信息安全等級保護測評過程指南》是對等級測評的活動、工作任務以及每項任務的工作內容作出了詳細建議,等級測評中的單元測評、整體測評、風險分析、問題處置及建議環節體現了測評工程師對等保項目基本安全保障情況的綜合分析能力[610]。信息安全等級保護知識體系龐大,不可能兼顧所有方面,因而在信息安全實訓教學知識體系制訂中采用兼顧全局、突出重點的基本原則;在實訓教學知識體系的構成中重點以《信息安全等級保護基本要求》和《信息安全等級保護測評過程指南》為基礎,包括基本理論培訓、基本技能實訓、安全管理培訓、能力提高實訓四大模塊;在實際操作中將重點放在基本技能實訓和能力提高實訓上。各實訓模塊構成及關系如圖1所示。
3實訓教學實施
教學實施依據實訓教學知識體系進行,教學方式采用集中課堂基本理論教學、在信息系統模擬平臺實施現場測評數據采集的基本操作實訓和以信息安全等級保護測評報告的編寫為基礎的數據分析、數據整理、安全方案編寫實訓。
3.1基本理論教學
該環節采用集中課堂教學方式,講解的主要內容是信息安全等級保護政策和標準。講解深度上應有所側重,講解重點包括:①信息安全等級保護基本要求中層面的劃分原則和依據、控制點的構成、控制點中要求項的解讀;②信息安全保護過程指南中單元測評、整體測評、風險分析、問題處置和建議等部分的解讀。
理論教學在突出重點的同時,兼顧全局,讓學生對信息安全等級保護制度和標準有一個完整、清晰的認識。
3.2基本技能實訓
基本技能實訓環節主要是強化學生各種信息安全技術的基本操作訓練。首先,應根據最真實的企業內部環境搭建符合信息安全等級保護要求的模擬信息系統,并編寫好對應的信息安全等級保護現場測評指導書;然后,指導學生在模擬系統上進行現場測評實訓,實訓過程按信息安全等級保護現場測評指導書要求進行,實訓內容以獲取信息系統安全配置和運行狀態等原始數據為基礎。基本技能實訓模塊包括網絡安全、主機安全、應用安全、數據備份及恢復、自動化工具掃描這5個層面的訓練項目。
(1)網絡安全。學生在模擬平臺上開展各種主流的網絡設備和安全設備的基本操作訓練,要求學生理解網絡設備和安全設備的安全功能及安全設置,掌握設備的運行狀態和信息數據采集方法。
(2)主機安全。學生在模擬平臺上開展各種主流系統軟件基本操作訓練,包括操作系統、數據庫系統、中間件等,要求學生理解各種系統軟件的安全功能和安全設置。通過本環節的實訓,學生應具備系統軟件安全配置核查和運行狀態信息采集能力。
(3)應用安全。學生在模擬平臺上對所安裝的主流商用應用軟件和自主開發軟件進行安全配置核查和安全功能驗證訓練,要求學生理解應用軟件的安全功能設計要求,掌握應用軟件的安全配置核查和安全功能驗證方法。
(4) 數據備份和回復。通過模擬系統的磁盤冗余陣列進行基本操作訓練,讓學生了解磁盤冗余陣列的驗證方法;通過訓練學生在操作系統和數據庫管理系統上配置計劃備份任務,使其理解系統軟件的數據備份安全功能,掌握系統軟件的備份操作計劃配置和驗證方法。
(5)自動化工具掃描。學生利用主流的開源掃描工具和商用的掃描工具對模擬系統上的網絡設備、安全設備、服務器主機等進行掃描,獲取信息系統主要軟硬件的漏洞,并驗證系統的脆弱性。本部分獲取的原始數據作為(1)、(2)、(3)部分的補充,通過本環節培訓學生整理和分析漏洞掃描結果以及初步驗證漏洞真實性的能力。
3.3能力提高實訓
在學生掌握信息系統安全配置和運行狀態數據采集的基本技能后實施能力提高實訓,本模塊主要培訓學生對原始數據的分析、整理,并編寫信息安全等級保護測評報告的能力。能力提高實訓模塊主要包括單元測評、整體測評、風險分析、問題處置和安全建議4個項目,各項目之間的關系流程如圖2所示。
(1)通過基本技能實訓獲取到原始數據后,根據信息安全等級保護測評過程要求整理、分析原始數據,開展單元測評,并給出各單元層面內控制點中檢查項的符合性,分析并給出單元測評結果,按信息安全等級保護報告模板編寫單元測評報告。
(2)在完成單元測評后,由于單元測評參照的信息相對獨立,未考慮原始數據間的關聯性,而實際信息系統的最終安全防護效力和面臨的風險是信息系統安全控制點間、安全層面間、安全區域間各組成要素共同作用的結果,因此在完成單元測評后還應該進行整體測評。整體測評主要是考慮單元測評中的各控制點間、安全層面間、安全區域間存在某種關聯性,這種關聯會對信息系統整體的安全防護效力、面臨的風險具有降低或增加的作用,應從整體角度對信息系統安全的狀態進行修正。
(3)風險分析結果是制訂信息安全系統防護措施的重要依據,風險分析能力是體現信息安全工程師水平的一項重要指標。在風險分析實訓項目中結合單元測評和整體測評結果利用風險分析計算工具對信息系統面臨的風險等級大小進行定性或定量的分析計算,并編寫風險分析報告。
(4)確定信息系統存在的風險后,接著應分析引起信息系統風險的因素,對不可接受風險因素或不能滿足等級保護要求的安全防護項提出完整的問題處置和整改建議。問題處置和整改建議環節要求信息安全工程技術人員具備扎實理論知識的同時還具備相當豐富的實踐經驗,工程技術人員必須熟悉信息安全的各種防護技術和目前市場上相關的信息安全軟硬件安全產品。因此,本實訓項目主要是訓練并提高學生綜合運用信息安全技術解決實際問題的能力。
4結語
在信息安全專業的實踐教學中引入信息安全等級保護內容,實訓教學知識體系完全參照信息安全等級保護要求來構建,信息安全等級保護知識體系完善,保證了實訓內容的廣度和深度。通過信息安全等級保護現場測評環節訓練學生的信息安全技術基本操作技能,通過信息安全等級保護測評報告的編制訓練學生運用信息安全等級保護基本知識、理論和方法去分析信息系統存在的漏洞、面臨的安全風險,并編制符合信息安全等級保護要求的安全防護方案,提高學生綜合運用信息安全技術解決實際問題的能力,較好地滿足了社會對信息安全人才的需求,深受信息安全等級保護技術服務機構和已開展或擬開展信息系統安全等級保護的企事業及機關單位的歡迎,為學生畢業后盡快適應工作要求奠定了基礎。
由于實驗環境的限制,所制訂的基于信息安全等級保護的實訓教學知識體系仍存在以下3點不足:①實訓教學體系未涉及虛擬化、云計算、物聯網安全實訓,而這些是當前發展較快且正被廣泛運用的信息技術;②由于滲透測試對測試環境搭建和學生基本技能要求較高,因而實訓教學體系中并未涉及滲透測試項目;③信息安全管理在信息安全防護工作中是非常重要但卻最容易被忽視的工作內容,可以說一個組織的信息安全管理水平高低直接決定其信息系統的安全防護能力。因為安全管理測評基本上采用的是制度類、證據類、記錄類文檔性資料的核查和訪談,而在實訓中難以模擬一個完整的安全管理體系實際案例,所以在實訓中安全管理部分更多地是采用課堂教學講解,沒有操作實訓。 這些在后續教學實踐工作中都有待改進。
參考文獻參考文獻:
[1]楊冬曉,嚴曉浪,于慧敏.信息類特色專業建設的若干實踐[J].中國電子教育,2010(1):3945.
[2]田秀霞.創新實踐項目驅動的信息安全專業教學改革[J].計算機教育,2015(23):3033.
[3]張勝生,呂緒銀.基于信息安全場景下的等級保護技術人才培養模式研究[C].第二屆全國信息安全等級保護測評體系建設會議論文集,2012:8385.
[4]李琳,陳東方,李濤,等.信息安全專業實踐教學體系研究[J].電腦知識與技術.2014,10(35):85148515.
[5]蔣煒.信息安全等級保護培訓探討[J].現代企業研究,2015(2):64.
[6]公安部信息安全等級保護評估中心.信息安全等級保護政策培訓教程[M].北京:電子工業出版社,2015.
[7]公安部信息安全等級保護評估中心.信息安全等級測評師培訓教程(中級) [M].北京:電子工業出版社,2015.
[8]公安部信息安全等級保護評估中心.信息安全等級測評師培訓教程(初級) [M].北京:電子工業出版社,2015.
網絡安全等級保護評估范文第5篇
持續推動的等級保護
信息化技術標準委員會副主任委員崔書昆認為,在基礎信息網絡和重要信息系統的安全嚴重關系到國家安全、社會穩定以及人民群眾切身利益的今天,信息安全問題已然成為事關全局的戰略性問題。近年來,有關部門圍繞信息安全保障體系建設,在信息安全等級保護、風險評估、標準制定、產品開發及打擊各種網絡違法犯罪活動等方面取得了積極進展。在這種情勢下,將信息安全等級保護確定為提高國家信息安全保障能力,維護國家安全、社會穩定和公共利益的一項基本制度,是非常必要的。
可以這樣理解,我國信息安全各項工作快速推進,信息安全風險評估工作和保障體系建設、信息安全管理工作、信息安全法制化和規范化建設、信息化基礎設施和體系建設取得了重要的成效。特別是從2007年7月20號開始,全國重要信息系統定級工作已經開始,并在各行業、各部門、各單位的支持下,取得了豐碩的成果。
從2008年開始,公安部會同國家保密局等部門,在重要信息系統定級工作的基礎之上,部署和開展深入推進信息安全等級保護工作,它主要分為三個方面:
第一,依據國家行業標準,從管理和技術兩個方面,開展信息系統安全建設整改,建立并落實安全管理制度,落實安全責任制。
第二,根據等級保護標準開展風險評估、災難備份、應急處置、安全檢查等工作。
第三,對信息系統應用的一些重要單位,開展等級保護工作檢查。
公安部網絡安全保衛局郭啟全處長說:“目前全國范圍內,大規模的重要系統定級工作已經基本完成,相關資料目前集中到公安部進行管理。定級工作的主要成效是了解重要信息系統的底數,掌握國家信息安全的基本情況,為全面貫徹落實信息安全等級保護制度,推動國家信息安全保障等工作的深入發展奠定堅實的基礎。同時,某些地方、企業或者單位沒有完成定級工作,但會納入到我們下一階段的檢查工作當中完成。另外,有些企業會隨后逐步執行該工作,不會影響國家等級保護制度的大規模推動。”
實施等級保護,充分體現了“適度安全、保護重點”的目的,可以把國家的重要網絡、重要系統挑出來,把國家有限的精力、財力投入到信息保護當中去,提高國家基礎網絡和重要信息系統的安全保護水平,同時提高信息安全保障工作的整體水平。
奧運留下的財富
“2008年北京奧運會的信息網絡安全工作給我們留下了很多財富。”郭啟全曾經說過,奧運會對我們國家的信息網絡安全工作進行了一次大考。它既考驗了我們國家信息網絡安全的工作,同時也考驗了等級保護主管部門、公安部和很多部委的行業主管部門的信息安全工作。在這次大考中,各部門均表現得很優秀。在北京奧運會期間,無論是核心網絡還是信息系統,都遭受了大規模的攻擊和入侵,卻沒有出現相關安全事故,支撐北京奧運會順利舉辦,這是我國信息網絡安全領域經歷的考驗。
實際上,奧運會取得的經驗和公安部下一步等級保護工作之間存在密切的相關性。公安部和有關部委會借鑒奧運會信息安全網絡經驗,充分利用好奧運留下的財富,進一步開展今后的工作。
記者了解到,在北京奧運會之前,成立了以公安部牽頭的包括海關、銀行、廣電等14個部委參加的信息網絡安全指揮部。由于有了這樣的指揮部,使得各項工作的落實有了一個組織保障。如果沒有這個指揮部,大家各干各的,在北京奧運會期間便無法保證重要系統和網絡的安全。
在2008年,國家安全的核心問題便是保障奧運的安全,奧運安全采取的第一個措施就是等級保護。郭啟全介紹說:“公安部把奧運核心網絡和涉及奧運會的系統都定級、備案,針對風險和重要性搞等級測評和風險評估,反復查找問題、漏洞、脆弱性和安全風險。從歷史經驗來看,總會有一些黑客試圖攻擊奧運系統。所以,在這些黑客攻擊之前,我們就需要開始做嚴格的攻擊性自測。找到問題后進行系統加固,并且是有針對性地進行加固。這種安全建設、整改、加固還有等級測評,提升了我們的系統防范能力。”
郭啟全強調:“我們當時還專門針對北京奧運會提出了風險評估的指南。北京奧運會期間最大的風險是什么?其實就是來自黑客的攻擊破壞,所以搞風險評估要針對最大的風險去做。舉個例子,我到國家體育總局去了三次,就是研究他們的網絡安全問題、網站安全問題,這就有針對性,搞等級保護、風險評估非常有針對性。這使得我們的風險找得準,漏洞找得準,問題找得準,因此相關措施就有針對性。”
2009年的新工作
中國工程院院士沈昌祥指出,目前我國信息與網絡安全的防護能力還處于發展的初級階段,有些應用系統處于不設防狀態。國防科技大學的一項研究表明,我國與互聯網相連的網絡管理中心有95%都遭到過境內外黑客的攻擊或侵入,其中銀行、金融和證券機構是攻擊重點。
由于奧運網絡和信息系統開展了等級保護工作,并對等級保護工作的政策標準、工作環節進行了檢驗,所以等級保護下一步的工作部署將充分借鑒北京奧運會的經驗,健全完善等級保護領導體制和協調配合機制,例如等級保護原來有些領導體制可能還要進行補充,明確重點工作對象,比如說拿三級系統作為重點工作對象。
郭啟全說:“我們會嚴格落實責任制,認真抓好三點工作,計劃三年內完成安全系統的整改工作,總的目標就是:能力提高,事故降低,等級保護制度得到落實,國家信息網絡安全基本得到保障。”
開展的重點工作主要分為三個方面。第一個方面是全面開展等級保護安全建設整改工作,要建設安全設施,落實安全措施,建立并落實安全管理制度,落實責任制。第二個方面是各單位建立安全整改工作規劃,完成定級系統整改規劃和制定具體實施方案。第三個方面是以三級以上系統為重點,確定安全需求,制定安全方案。“當然,一些單位可能不太明白具體的操作辦法,屆時我們會選擇有代表性的信息系統進行安全建設試點、示范,結合行業特點制定行業標準規范,按照有關工作實施的規范要求組織實施信息系統安全建設工程。”
