聊城信息系統安全等級保護測評的研究
隨著互聯網�����、移動應用逐步滲透到人民生活的各個方面����,信息安全形勢也日漸嚴峻����,重大信息安全問題可能會直接威脅國家安全、社會穩定和經濟發展。
信息安全等級保護是國家信息安全保障工作的基本制度��、基本策略、基本方法�����。開展信息安全等級保護工作不僅是實現國家對重要信息系統重點保護的重大措施�,也是一項事關國家安全、社會穩定的政治任務���。
信息安全等級保護的過程
信息安全等級保護工作貫穿了信息系統從系統規劃、建設����、運行維護直到廢止的整個生命周期��。等級保護的過程包括了定級、備案�����、安全建設整改���、等級測評和監督檢查五個環節����。
測評方法和測評內容
本次主要內容圍繞等級測評的方法和測評內容展開�����,包括了物理安全��、網絡安全、主機安全和應用與數據安全。
(1)物理安全:物理安全從物理位置的選擇、物理訪問控制��、防盜竊和防破壞���、防雷擊����、防火、防水和防潮、防靜電�����、溫濕度控制����、電力供應、電磁防護10個控制點進行安全測評�。主要通過訪談���、實地查看和文檔審閱三種測評方式�,現場測評主要以實地查看和文檔審閱為主���,可以較直觀地獲取物理安全防護的情況�。
(2)網絡安全:網絡安全測評主要從結構安全���、訪問控制���、邊界完整性檢查�����、入侵防范���、惡意代碼防范�、安全審計和網絡設備防護7個控制點進行安全測評���。測評方式包括了訪談�����、文檔審閱��、配置檢查和測試��。
(3)主機安全:主機安全主要從身份鑒別、訪問控制、安全審計����、剩余信息保護����、入侵防范��、惡意代碼防護和資源控制等7個控制點進行安全測評。測評方式包括了訪談���、文檔審閱、配置檢查和工具測試����。
(4)應用與數據安全:應用與數據安全主要由應用安全和數據安全及備份恢復組成���。應用安全主要從身份鑒別�����、訪問控制、安全審計��、剩余信息保護�����、抗抵賴��、通信完整性、通信保密性�、軟件容錯和資源控制等9個控制點��。數據安全及備份恢復主要從數據完整性、數據保密性����、備份和恢復3個方面進行測評��。測評方式包括了訪談、文檔審閱���、配置檢查和測試。
浦軟平臺對信息安全等級保護的測評方法和測評方式上進行了深入研究��,已經獲得了多個安全參數的信息安全CMA資質認可�����,同時也配備了多種專業的安全測評工具,包括應用安全掃描工具、系統評估設備��、數據庫安全評估設備和主機配置檢查工具等�����,可覆蓋包括網絡安全���、主機安全和應用與數據安全等多個方面的測評����。
經過調研發現���,很多客戶在沒有準備的情況直接接受信息系統安全等級保護的測評���,往往很難順利通過測評���,在測評過程中發現的問題和缺陷也不知道如何進行整改����,導致整改的周期拖長。由于沒有專業人員指導,甚至會出現整改多次的情況,費時費力,還可能仍達不到要求�。
基于這樣的情況���,我方具備專業技術能力可提供客戶安全建設準備�����、整改階段的預測評和咨詢服務,使客戶順利通過正式的信息安全等級保護測評。
