网络安全测评整改项目背景和需求分析.doc

PAGE1

网络安全测评整改项目背景和需求析

目录

TOC\h\z\u第一节项目背景 1

一、网络安全测评的作用 1

二、安全测评基本概念 24

第二节需求分析 51

一、物理环境安全需求分析 51

二、通信网络安全需求 53

三、区域边界安全需求 54

四、计算环境安全需求 55

五、安全管理中心安全需求 57

第一节项目背景

一、网络安全测评的作用

随着信息技术的迅猛发展，世界各国的信息化进程急剧加快。信息与网络空间给各国的政治、经济、文化、科技、军事和社会管理等各个方面都注入了新的活力。人们在享受信息化带来的众多好处的同时，也面临着日益突出的信息安全与必威体育官网网址问题。

事实上，信息安全问题一直伴随着人类社会发展。在政治、军事斗争、商业竞争和个人隐私保护等活动中，人们常常希望他人不能获知或篡改重要信息，或者需要查验所获得的信息的可信性。在网络环境中，国家秘密和商业秘密的保护，特别是政府上网后对涉密信息和敏感信息的保护，网上各种行为者的身份确认与权责利的确认，高度网络化的业务（商务、政务等）信息系统的正常运行，网络银行及电子商务中的安全支付与结算，金融机构的数据保护与管理系统的反欺诈，将成为社会各领域关注的焦点，甚至对社会稳定和国家安全带来重要影响。

信息安全测评对信息安全模块、产品或信息系统的安全性进行验证、测试、评价和定级，目的在于规范它们的安全特性。其作用在于通过验证、测试、评估信息模块/产品/系统的各种关键安全功能、性能以及运维使用情况，发现模块、产品或者系统在设计、研发、生产、集成、建设、运维、应用过程中存在的信息安全风险、发生或可能发生的信息安全问题，鉴定产品质量，监控系统行为，警示安全风险，保障网络与信息安全。

（一）信息安全概述

1.信息安全的属性

信息安全是指保障国家、机构、个人的信息空间、信息载体和信息资源不受来自内外各种形式的危险、威胁、侵害和误导的外在状态和方式及内在主体感受。信息技术的发展也促使信息安全的内涵不断延伸，可以理解为信息系统抵御意外事件或恶意行为的能力，这些事件和行为将会危及存储、处理或传输的数据或由这些系统所提供服务的机密性、完整性、可用性、不可否认性、真实性和可控性，这6个属性是信息安全的基本属性。

机密性：是指信息不被非授权解析，信息系统不被非授权使用的特性。保证数据即使被捕获也不会被解析，保证信息系统即使能够被访问也不能够越权访问与其身份不相符的信息。

完整性：是指信息不被篡改的特性。确保网络中所传播的信息不被篡改或任何被篡改了的信息都可以被发现。

可用性：是指信息与信息系统在任何情况下都能够在满足基本需求的前提下被使用的特性。这一特性存在于物理安全、运行安全层面上。确保基础信息网络与重要信息系统的正常运行能力，包括保障信息的正常传递，保证信息系统正常提供服务等。

不可否认性：是指能够保证信息系统的操作者或信息的处理者不能否认其行为或处理结果的特性。这可以防止参与某次操作或通信的一方事后否认该事件曾发生过。

真实性：是指信息系统在交互运行中确保并确认信息的来源以及信息发布者的真实可信及不可否认的特性。保证交互双方身份的真实可信以及交互信息及其来源的真实可信。

可控性：是指在信息系统中具备对信息流的监测与控制特性。互联网上针对特定信息和信息流的主动监测、过滤、限制、阻断等控制能力。

2.信息安全的多角度分析

信息安全的问题既可以从客观存在的角度来看，也可以从主观意识的角度来看。从客观的角度看，所看到的是技术的层面；从主观的角度看，所看到的则是社会的层面。

信息安全从技术层面上看可以分为4个方面：物理安全、运行安全、数据安全和内容安全。不同的方面在客观上反映了技术系统的不同安全属性，也决定了信息安全技术不同的表现形式。

（1）物理安全

物理安全是围绕网络与信息系统的物理装备及其有关信息的安全。主要涉及信息及信息系统的电磁辐射、抗恶劣工作环境等方面的问题。面对的威胁主要有自然灾害、电磁泄露、通信干扰等。主要的保护方式有数据和系统备份、电磁屏蔽、抗干扰、容错等。

（2）运行安全

运行安全是围绕网络与信息系统的运行过程和运行状态的安全。主要涉及信息系统的正常运行与有效的访问控制等方面的问题。面对的威胁包括网络攻击、网络病毒、网络阻塞、系统安全漏洞利用等。主要的保护方式有访问控制、病毒防治、应急响应、风险分析、漏洞扫描、入侵检测、系统加固、安全审计等。

（3）数据安全

数据安全是围绕数据（信息）的生成、处理、传输、存储等环节中的安全。主要涉及数据(信息）的泄密、破坏、伪造、否认等方面的问题。面对的威胁主要包括对数据（信息）的窃取、篡改、冒充、抵赖、破译、越权访问等。主要的保护方式有加密、认证、访问控制、鉴别、签名等。