周放?倪培利

摘 要 進(jìn)入新世紀(jì)之后，我國(guó)經(jīng)濟(jì)快速發(fā)展，互聯(lián)網(wǎng)在人們?nèi)粘Ｉ钪械膽?yīng)用也越來(lái)越廣泛，如何保障人們的信息安全也成為人們極為關(guān)注的問(wèn)題。為了切實(shí)我國(guó)提出的信息安全等級(jí)保護(hù)要求，建立完善的信息安全防護(hù)體系，制定統(tǒng)一的信息安全保護(hù)標(biāo)準(zhǔn)，需要對(duì)信息的級(jí)別進(jìn)行劃分，合理配置資源，建立規(guī)范化的信息系統(tǒng)，并對(duì)不同安全等級(jí)的信息進(jìn)行安全保護(hù)，切實(shí)提升我國(guó)的網(wǎng)絡(luò)安全信息防護(hù)水平。本文基于此，對(duì)信息安全等級(jí)保護(hù)的測(cè)評(píng)方法以及具體過(guò)程做了分析和介紹，詳細(xì)闡述了如何進(jìn)行網(wǎng)絡(luò)信息安全等級(jí)保護(hù)測(cè)評(píng)，希望能夠?yàn)橄嚓P(guān)的工作人員提供指導(dǎo)和幫助。

關(guān)鍵詞 網(wǎng)絡(luò)信息安全;等級(jí)保護(hù);測(cè)評(píng)方法

對(duì)于網(wǎng)絡(luò)信息來(lái)說(shuō)，網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)主要是指對(duì)涉及國(guó)家安全、社會(huì)穩(wěn)定、公共利益均等相關(guān)指標(biāo)的測(cè)評(píng)。它借助于網(wǎng)絡(luò)信息安全相關(guān)的管理措施以及安全保護(hù)技術(shù)，切實(shí)保障信息系統(tǒng)的安全和穩(wěn)定。對(duì)網(wǎng)絡(luò)信息安全性進(jìn)行評(píng)估后，能夠落實(shí)對(duì)重要信息系統(tǒng)的分級(jí)保護(hù)和監(jiān)督管理，實(shí)現(xiàn)了對(duì)信息安全事件的層次化管理和保護(hù)，切實(shí)保障了網(wǎng)絡(luò)信息的機(jī)密和完整。

1信息安全等級(jí)保護(hù)測(cè)評(píng)的實(shí)施過(guò)程

在對(duì)國(guó)家信息安全級(jí)別保護(hù)系統(tǒng)進(jìn)行登記評(píng)估時(shí)，要以相關(guān)的管理標(biāo)準(zhǔn)以及技術(shù)標(biāo)準(zhǔn)為前提對(duì)其進(jìn)行約束。對(duì)于某些具有特定功能的信息系統(tǒng)，在進(jìn)行評(píng)估時(shí)采用安全技術(shù)評(píng)估以及安全管理評(píng)估實(shí)現(xiàn)對(duì)信息系統(tǒng)保護(hù)狀態(tài)的評(píng)估，實(shí)現(xiàn)被評(píng)估信息系統(tǒng)所需要的管理級(jí)別以及安全等級(jí)。以此為基礎(chǔ)判斷其是否符合規(guī)定的安全等級(jí)，對(duì)于不合格的安全等級(jí)，采用相關(guān)的解決方案予以整改和處理。

在網(wǎng)絡(luò)信息系統(tǒng)的整個(gè)生命周期中，涉及信息安全級(jí)別保護(hù)的信息系統(tǒng)分級(jí)和歸檔管理是其重要的組成部分和工作內(nèi)容。在進(jìn)行信息系統(tǒng)分級(jí)時(shí)，需要嚴(yán)格遵循“自動(dòng)評(píng)級(jí)、專家審核、負(fù)責(zé)單位審批、公安信息保護(hù)部門審核”的原則和流程。而在進(jìn)行信息系統(tǒng)的分級(jí)時(shí)，安全設(shè)計(jì)以及設(shè)施階段的目標(biāo)則是通過(guò)信息系統(tǒng)的安全措施來(lái)進(jìn)行的[1]。

對(duì)于網(wǎng)絡(luò)信息來(lái)說(shuō)，其安全措施主要是指在各種級(jí)別信息應(yīng)用的過(guò)程中，能夠切實(shí)保障各種資產(chǎn)平穩(wěn)運(yùn)行的維護(hù)機(jī)制，當(dāng)信息的應(yīng)用端遭到轉(zhuǎn)移、丟棄后，對(duì)其進(jìn)行級(jí)別保護(hù)是進(jìn)行信息系統(tǒng)安全保護(hù)的最終環(huán)節(jié)。在整個(gè)信息系統(tǒng)的生命周期中，部分系統(tǒng)盡管很少在市場(chǎng)上見(jiàn)到，但是實(shí)質(zhì)上部分工作人員將信息系統(tǒng)盡心改進(jìn)，這也同時(shí)帶動(dòng)了信息系統(tǒng)以及信息安全的保護(hù)。對(duì)于這些改造了的信息系統(tǒng)，有必要切實(shí)保障信息傳輸、設(shè)備銷毀的安全性。

2信息安全等級(jí)保護(hù)測(cè)評(píng)的辦法

對(duì)于網(wǎng)絡(luò)信息安全保護(hù)來(lái)說(shuō)，整個(gè)過(guò)程分為四個(gè)階段，即測(cè)評(píng)、檢查、評(píng)估以及測(cè)試。在進(jìn)行測(cè)評(píng)準(zhǔn)備時(shí)，需要對(duì)測(cè)評(píng)的對(duì)象進(jìn)行明確，并簽署相應(yīng)的保密協(xié)議?，F(xiàn)階段，我國(guó)在進(jìn)行信息安全等保護(hù)測(cè)評(píng)時(shí)，常用的方法包括訪談和檢查兩種。

訪談，是指對(duì)負(fù)責(zé)網(wǎng)絡(luò)信息安全保護(hù)的工作人員進(jìn)行溝通的訪問(wèn)，獲取相應(yīng)的數(shù)據(jù)信息和看法，并以此作為證據(jù)證明信息系統(tǒng)的安全管理有效。在明確訪談的廣度時(shí)，需要建立一個(gè)覆蓋所有工作人員的測(cè)評(píng)，并且對(duì)其進(jìn)行及時(shí)的更新。而在訪談的深度上，需要提出更加全面且具有深度的相關(guān)問(wèn)題[2]。

檢查，則是指負(fù)責(zé)信息安全等級(jí)保護(hù)測(cè)評(píng)的工作人員通過(guò)對(duì)研究對(duì)象進(jìn)行觀察、評(píng)估和分析，獲取相應(yīng)的信息，并以此來(lái)評(píng)估安全保護(hù)是否有效可行。一般來(lái)說(shuō)，進(jìn)行檢查的范圍必須要覆蓋所有的文檔和機(jī)制，并對(duì)數(shù)據(jù)信息進(jìn)行采樣分析，而在檢查的深度方面，需要對(duì)具體的問(wèn)題進(jìn)行具體的分析。

評(píng)估，是指測(cè)試人員需要按照本次評(píng)估的具體方法對(duì)對(duì)象進(jìn)行評(píng)估分析，獲取相關(guān)的證據(jù)信息，證實(shí)信息系統(tǒng)安全級(jí)別保護(hù)措施具有可行性。

測(cè)試，通常是指一種具有試探性的測(cè)量，也就是測(cè)試和試驗(yàn)的有效結(jié)合。在進(jìn)行測(cè)試時(shí)，需要全面覆蓋不同類型的信息系統(tǒng)安全保護(hù)機(jī)制，并且能夠保障對(duì)相當(dāng)數(shù)量的樣本進(jìn)行采集。而在測(cè)試的深度方面，需要進(jìn)行安全測(cè)試，并且將涉及機(jī)制的規(guī)范和程序進(jìn)行記錄。

舉例來(lái)說(shuō)，在進(jìn)行計(jì)算機(jī)機(jī)房信息系統(tǒng)安全保護(hù)時(shí)，首先需要建立一個(gè)靈敏度極高的自動(dòng)消防系統(tǒng)，它具有煙霧報(bào)警器的功能，能夠及時(shí)發(fā)現(xiàn)潛在的火災(zāi)，并進(jìn)行自動(dòng)滅火;其次，對(duì)區(qū)域范圍內(nèi)進(jìn)行隔離和防火，將重要的設(shè)備和普通設(shè)備進(jìn)行隔離，避免火災(zāi)發(fā)生傳播給重要設(shè)備;第三，設(shè)定溫度自動(dòng)調(diào)節(jié)裝置，它主要能夠?qū)C(jī)房的溫度控制在最適宜的溫度之內(nèi);第四，在網(wǎng)絡(luò)邊境進(jìn)行檢測(cè)并將可能對(duì)機(jī)房計(jì)算機(jī)設(shè)備進(jìn)行攻擊的惡意代碼進(jìn)行識(shí)別和清除;第五，訪問(wèn)控制設(shè)備能夠在計(jì)算機(jī)會(huì)話狀態(tài)信息的基礎(chǔ)上提供數(shù)據(jù)訪問(wèn)以及拒絕的權(quán)限[3]。

3等級(jí)保護(hù)測(cè)評(píng)的工作流程

在進(jìn)行網(wǎng)絡(luò)安全信息登記評(píng)估時(shí)，需要對(duì)被測(cè)評(píng)系統(tǒng)的信息進(jìn)行分析，并以此確定準(zhǔn)備階段的評(píng)估對(duì)象，對(duì)整個(gè)系統(tǒng)以及相關(guān)的業(yè)務(wù)應(yīng)用進(jìn)行分析和評(píng)估。在明確測(cè)評(píng)指標(biāo)時(shí)，需要結(jié)合測(cè)評(píng)系統(tǒng)的分級(jí)結(jié)果對(duì)評(píng)估指標(biāo)進(jìn)行明確，而在選擇測(cè)評(píng)路徑時(shí)，需要根據(jù)已有的信息系統(tǒng)信息來(lái)對(duì)測(cè)評(píng)對(duì)象進(jìn)行評(píng)價(jià)，并選擇恰當(dāng)?shù)穆窂?，在確定測(cè)評(píng)路徑的基礎(chǔ)上再確定測(cè)試工具的訪問(wèn)點(diǎn)。

在進(jìn)行實(shí)地測(cè)評(píng)時(shí)，傳統(tǒng)意義上的現(xiàn)場(chǎng)評(píng)估實(shí)質(zhì)上是一種較為單調(diào)且可信程度不高的測(cè)評(píng)方法。在進(jìn)行測(cè)評(píng)時(shí)，需要從網(wǎng)絡(luò)安全、五蓮泉、信息管理機(jī)構(gòu)、主機(jī)安全性等多個(gè)方面入手進(jìn)行分析。在準(zhǔn)備階段，需要對(duì)進(jìn)行測(cè)評(píng)調(diào)研的結(jié)果進(jìn)行評(píng)價(jià)，評(píng)估每個(gè)被評(píng)價(jià)對(duì)象的評(píng)價(jià)結(jié)果，并將涉及的相關(guān)信息詳細(xì)列出。而對(duì)于安全系統(tǒng)的評(píng)估對(duì)象來(lái)說(shuō)，在進(jìn)行整體測(cè)評(píng)時(shí)，如果有部分測(cè)評(píng)結(jié)果不符合要求，那么需要采用逐一確認(rèn)的方法，從安全控制層以及區(qū)域的角度入手進(jìn)行分析[4]。

4結(jié)束語(yǔ)

綜合全文，在進(jìn)行網(wǎng)絡(luò)信息安全等級(jí)保護(hù)測(cè)評(píng)時(shí)，需要在已有評(píng)價(jià)結(jié)果的基礎(chǔ)上，明確系統(tǒng)保護(hù)現(xiàn)狀和水平保護(hù)之間的差距，形成對(duì)應(yīng)的結(jié)論，并結(jié)合等級(jí)測(cè)評(píng)來(lái)確定最后的測(cè)評(píng)報(bào)告，最終實(shí)現(xiàn)對(duì)信息安全等級(jí)的準(zhǔn)確評(píng)價(jià)。

參考文獻(xiàn)

[1] 宮平.信息安全等級(jí)保護(hù)測(cè)評(píng)中網(wǎng)絡(luò)安全現(xiàn)場(chǎng)測(cè)評(píng)方法研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019，（05）：17-18.

[2] 胡赟鵬.網(wǎng)絡(luò)信息安全等級(jí)保護(hù)測(cè)評(píng)方法分析[J].信息與電腦（理論版），2019，（04）：219-220.

[3] 陳鑫，路超，霍珊珊，等.網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)實(shí)施模型研究[C].2018第七屆全國(guó)安全等級(jí)保護(hù)技術(shù)大會(huì).2018第七屆全國(guó)安全等級(jí)保護(hù)技術(shù)大會(huì)論文集.北京：信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心，北京市海淀區(qū)太極計(jì)算機(jī)培訓(xùn)中心，2018：5.

[4] 張文勇，李維華，唐作其.信息安全等級(jí)保護(hù)測(cè)評(píng)中網(wǎng)絡(luò)安全現(xiàn)場(chǎng)測(cè)評(píng)方法研究[J].電子科學(xué)技術(shù)，2016，03（03）：272-276.