2013年第9期 (总第131期) 信息通信 INFORMATION&COMMUNICAT10NS 2013 (Sum.No 131) 浅谈信息系统安全等级保护建设与测评方法 余广山,李祥海,武国良 (天津市气象局,天津300074) 摘要:随着社会经济的快速发展,计算机和互联网也在飞速发展:信息系统愈来愈多地渗透到社会各行各业,同时信息安 全保护也得到更广泛的关注。现在需要针对信息系统安全等级保护建设过程中的定级阶段进行一系列的研究,积累信 息安全系统等级保护的实际经验。 关键词:信息系统;信息安全等级保护;测评 中图分类号:TP393.08 文献标识码:A 文章编号:1673.1131(2013)09—0156—01 1信息系统安全等级方法 信息系统安全等级保护是根据信息系统应用业务的重要 程度进行分类保护,以便保证信息系统的安全、稳定运行。信 息系统安全等级分为五大环节,其中,系统的安全运行是其设 计的局部调整措施,却是系统定级的等级变更措施。 信息系统作为信息建设、整改和监督的基础环节,在等级 保护中占有重要地位。在信息系统定级的环节,要对已掌握 的计算机信息系统进行资料的立项、建设及有关信息分析,同 (2)测评内容确定。在方案编制活动中,根据资料的准 备,可以确定测评系统的整体结构,保证测评信息系统的有 效性。 (3)工具测试方法确定。以测评对象和指标为基础,依据 测评内容确定测评的具体工具和测试方法。制定一份用来指 导活动进行,确定活动范围的方案。 (4)测评指导书开发。测评单位依据被测单位的材料和调 查表进行汇总,编制成指导书,包括调研表、人员职责、测评对 时要根据安全管理办法中的相关规定,不同等级的信息系统 相对应的不同安全威胁、级别能力等要符合要求。 根据相关规定,要依据社会关系覆盖的范围对国家根本 利益、社会秩序的稳定和合法权益进行定义。根据这三种不 同的个体与其受损害的程度不同,将信息系统等级分为五个 等级。第一至第四等级不仅在控制点方面逐渐增加,而且要 求的项目也是逐渐递增。比如:三级比二级增加了控制点的 选择及数据保密性等技术要求f同时增加了管理制度的审核、 象、方式、指标等内容。 2-3现场测评 现场测评是指测评机构根据之前指定的方案开展一系列 的测评工作。 (1)测评实施准备。在进行现场测评活动时,要对有保密 要求的系统安全等级保护系统进行授权书的签署。 (2)现场测评和结果记录。根据测评方案的要求,在测评 过程中要了解信息系统的实际保护情况,从各个测评项的结 管理人员的考核及变更管理等的管理要求。另外,一级与上 级之间的“身份鉴别”变得更加繁琐与严格。因此,企业要 一果出发,发现系统中存在的安全问题。①要从被测单位的相 关人员方面了解有关信息;②查看相关文档获取证据。接着, 通过计算机检验系统配置方面的资料;③通过工具测试,得到 系统漏洞及安全性的信息。 (3)结果确认和资料归还。为了避免测评中存在漏洞或是 需要深入验证,在测评的过程中要对记录进行及时汇总。测 根据行业的要求或是自身系统的需要,额外加强信息系统的 保护等级。如果申请的信息系统在建设阶段,应按照相关要 求和规定进行搭建,同时建设的安全设施,如消防等,都应符 合申请级别,符合相关信息系统安全等级保护制度的安全管 理制度。 评结束后,测评单位要技术归还使用的设备及文档,以免相关 物品的遗失。 2信息系统安全等级保护测评过程及应用实践 2.1测评准备 (1)项目启动。信息系统安全等级保护评测活动的进行要 把委托单位提供的详细信息作为根本依据,如:被测系统的描 述文件、分析报告及定级报告等。在被测单位提供的资料中, 可以帮助评测单位了解信息系统的构成、规模及安全体系构 架,这样既有利于评测工作的顺利开展,又有利于为编制项目 2.4报告编制 (1)单元测评结果判定。将单项测评结果进行汇总后成为 单元测评。所有单项测评均符合时,单元测评符合;所有单项 测评都不符合时,单元测评不符合;部分单项测评符合时,单 元测评部分符合。 (2)整体测评。测评人员从全局出发,分析各个测评项之 间的关系,考虑这些项目之间的相互影响。 (3)风险分析。对测评结果中的不符合项目的安全性进行 评价,分析对、公众利益等的可能造成的风险。 计划书提供可靠的参考依据。 (2)信息的收集与分析。测评单位需要对被测单位提供不 全的系统信息进行收集,在准备阶段要对信息系统的网络构 架等进行详细的分析。 (3)工具和表单的准备。测评人员通过分析收集到的系统 信息,确定测评过程中需要的测评工具,如漏洞扫描工具、性 能测试工具等,同时为项目的编制奠定良好的基础。 (4)等级测评结论。测评人员需要对全部的测评结果进行 分析和总结,得出单元测评是否符合的结论。 (5)测评报告编制。从测评记录入手,测评结果做出关于 单元、整体测评结果各个方面的结论。 2.2方案编制 方案编制就是根据在测评过程中取得的资料。 (1)测评对象和测评指标确定。测评指标是以国家不同安 参考文献: [1] 范红.信息系统等级保护安全设计技术实现与使用[M].清 华大学出版社,2010(7) 【2]信息安全等级保护评估中心.信息安全等级保护政 策培训教程[M] E京电子工业出版社,2010(2) 全等级的信息系统为基本要求,包括物理安全、主机安全、管 理安全等要求。 156
