信息安全测评方法

忘是亡心i 2022-07-14 03:47 233阅读 0赞

信息安全测评方法

**1、为何测评**

对信息系统进行安全测评是对信息系统的建设质量进行评价的**必要环节**。  
安全质量标准是整个信息系统建设质量体系的有机组成部分。  
进行信息安全测评就是要贯彻国家标准规范，保证在规划、设计、建设、运行维护和退役等不同阶段的信息系统满足统一、可靠的安全质量要求。  
我国将信息系统安全等级划分为**5**个不同的安全级别：  
第1级：信息系统受到破环后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。  
第2级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。  
第3级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。  
第4级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第5级：信息系统受到破坏后，会对国家安全造成特别严重的损害。

**安全域**  
安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。  
中国还分安全域的4中方法：**资产价值相似性安全域、业务应用相似性安全域、安全需求相似性安全域和安全威胁相似性安全域**。  
测评过程中主要关心的问题是：  
（1）  系统设计方案是否遵循国家有关标准；  
（2）  系统设计方案是否得到严格的执行；  
（3）  系统建成后是否达到设计方案的要求；  
（4）  系统是否出现方案中未指明的错误，等等。

**2 、何时测评**

对信息系统进行安全测评分为四个阶段：  
**设计阶段：**当规划、设计一个信息系统的时候，安全测评工程师应当根据国家有关标准，特别是根据信息系统安全等级保护标准对这个信息系统的重要性提出安全评估意见。  
**建成阶段：**安全测评工程师应当监督该系统的建设过程是否满足国家有关标准，在系统建设完成之后应当根据国家标准对其是否达到建设目标进行测评验收。  
**运行维护阶段：**安全测评工程师要定期不定期地对系统进行例行测评。伴随着系统内部功能的不断延伸和完善，需要进行常态性的测评，并且在系统安全发生事故的时候进行及时响应。  
**废弃阶段**：当系统确实不堪所用的时候，安全测评工程师需要对它进行最后的测评。这个环节对事关国家安全的重要信息系统更为重要。

**3 、测评什么**

外网测评需要注意一下3个方面的问题：  
（1）  外网安全**模型**测评：对内保护方面，重点测评外网抵御Internet上各种安全攻击的能力和水平；对外服务方面，重点测评如何保证自身提供服务的连续性。  
（2）  外网安全**技术**测评：对外网中各种型号的安全设备、服务器、网络设备和终端进行技术测评。  
（3）  外网安全**管理**测评：对外网的各种管理制度、管理人员和管理机构进行测评。  
内网测评需要注意一下3个方面的问题：  
（1）  内网安全**模型**测评：对内网及其各个子系统的安全涉及方案和建设、运行维护情况进行“符合性”测评。重点是测评各个子系统或安全域的等级划分是否符合国家有关标准要求和设计要求。  
（2）  内网安全**技术**测评：对内网中各种型号的安全设备、服务器、网络设备和终端进行技术测评。  
（3）  内网安全**管理**测评：对内网的各种管理制度、管理人员和管理机构进行测评。

**4 、谁来测评**

中国信息安全测评队伍的组成形式：**委托测评、自测评**  
委托测评由专业的信息安全测评人员组成。  
自测评主要人员由本单位的技术人员组成。  
目前中国信息系统安全等级保护测评工作的形式是“委托测评”。  
专业测评机构的**优点：**  
（1）  所出具的测评报告具有权威性；  
（2）  能够及时跟踪并解决复杂的安全问题；  
（3）  可以对整个的安全防护能力有一个可靠、清晰、统一的掌握；  
专业测评机构的**缺点：**  
（1）  由于组建时间较短，在人力资源上不能完全保证全国范围内需要测评的信息系统能够及时得到测评；  
（2）  对一般安全事故的响应不能如人所愿；  
（3）  专业测评机构的建设周期较长，花费较大；

**5 、如何准备测评**

![Center][]

制定工作计划时需要注意的要点有：工作目标、工作范围、工作重点、进度安排、保障措施、约束条件、计划审批、测评依据、术语和名词缩写。

**6 、怎样测评**

按照制定的工作计划开展测评。

[Center]: /images/20220714/3dfbe9b371a4410eaccd471ebf37845f.png