探讨网络信息安全等级保护测评方法分析.docxVIP

?

?

探讨网络信息安全等级保护测评方法分析

?

?

周放?倪培利

摘要进入新世纪之后，我国经济快速发展，互联网在人们日常生活中的应用也越来越广泛，如何保障人们的信息安全也成为人们极为关注的问题。为了切实我国提出的信息安全等级保护要求，建立完善的信息安全防护体系，制定统一的信息安全保护标准，需要对信息的级别进行划分，合理配置资源，建立规范化的信息系统，并对不同安全等级的信息进行安全保护，切实提升我国的网络安全信息防护水平。本文基于此，对信息安全等级保护的测评方法以及具体过程做了分析和介绍，详细阐述了如何进行网络信息安全等级保护测评，希望能够为相关的工作人员提供指导和帮助。

关键词网络信息安全;等级保护;测评方法

对于网络信息来说，网络安全等级保护测评主要是指对涉及国家安全、社会稳定、公共利益均等相关指标的测评。它借助于网络信息安全相关的管理措施以及安全保护技术，切实保障信息系统的安全和稳定。对网络信息安全性进行评估后，能够落实对重要信息系统的分级保护和监督管理，实现了对信息安全事件的层次化管理和保护，切实保障了网络信息的机密和完整。

1信息安全等级保护测评的实施过程

在对国家信息安全级别保护系统进行登记评估时，要以相关的管理标准以及技术标准为前提对其进行约束。对于某些具有特定功能的信息系统，在进行评估时采用安全技术评估以及安全管理评估实现对信息系统保护状态的评估，实现被评估信息系统所需要的管理级别以及安全等级。以此为基础判断其是否符合规定的安全等级，对于不合格的安全等级，采用相关的解决方案予以整改和处理。

在网络信息系统的整个生命周期中，涉及信息安全级别保护的信息系统分级和归档管理是其重要的组成部分和工作内容。在进行信息系统分级时，需要严格遵循“自动评级、专家审核、负责单位审批、公安信息保护部门审核”的原则和流程。而在进行信息系统的分级时，安全设计以及设施阶段的目标则是通过信息系统的安全措施来进行的[1]。

对于网络信息来说，其安全措施主要是指在各种级别信息应用的过程中，能够切实保障各种资产平稳运行的维护机制，当信息的应用端遭到转移、丢弃后，对其进行级别保护是进行信息系统安全保护的最终环节。在整个信息系统的生命周期中，部分系统尽管很少在市场上见到，但是实质上部分工作人员将信息系统尽心改进，这也同时带动了信息系统以及信息安全的保护。对于这些改造了的信息系统，有必要切实保障信息传输、设备销毁的安全性。

2信息安全等级保护测评的办法

对于网络信息安全保护来说，整个过程分为四个阶段，即测评、检查、评估以及测试。在进行测评准备时，需要对测评的对象进行明确，并签署相应的必威体育官网网址协议。现阶段，我国在进行信息安全等保护测评时，常用的方法包括访谈和检查两种。

访谈，是指对负责网络信息安全保护的工作人员进行沟通的访问，获取相应的数据信息和看法，并以此作为证据证明信息系统的安全管理有效。在明确访谈的广度时，需要建立一个覆盖所有工作人员的测评，并且对其进行及时的更新。而在访谈的深度上，需要提出更加全面且具有深度的相关问题[2]。

检查，则是指负责信息安全等级保护测评的工作人员通过对研究对象进行观察、评估和分析，获取相应的信息，并以此来评估安全保护是否有效可行。一般来说，进行检查的范围必须要覆盖所有的文档和机制，并对数据信息进行采样分析，而在检查的深度方面，需要对具体的问题进行具体的分析。

评估，是指测试人员需要按照本次评估的具体方法对对象进行评估分析，获取相关的证据信息，证实信息系统安全级别保护措施具有可行性。

测试，通常是指一种具有试探性的测量，也就是测试和试验的有效结合。在进行测试时，需要全面覆盖不同类型的信息系统安全保护机制，并且能够保障对相当数量的样本进行采集。而在测试的深度方面，需要进行安全测试，并且将涉及机制的规范和程序进行记录。

举例来说，在进行计算机机房信息系统安全保护时，首先需要建立一个灵敏度极高的自动消防系统，它具有烟雾报警器的功能，能够及时发现潜在的火灾，并进行自动灭火;其次，对区域范围内进行隔离和防火，将重要的设备和普通设备进行隔离，避免火灾发生传播给重要设备;第三，设定温度自动调节装置，它主要能够将机房的温度控制在最适宜的温度之内;第四，在网络边境进行检测并将可能对机房计算机设备进行攻击的恶意代码进行识别和清除;第五，访问控制设备能够在计算机会话状态信息的基础上提供数据访问以及拒绝的权限[3]。

3等级保护测评的工作流程

在进行网络安全信息登记评估时，需要对被测评系统的信息进行分析，并以此确定准备阶段的评估对象，对整个系统以及相关的业务应用进行分析和评估。在明确测评指标时，需要结合测评系统的分级结果对评估指标进行明确，而在选择测评路径时，需要根據已有的信息系统信息来对测评对象进行评价，并选择恰当的路径，在确定测评路