前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全等級保護(hù)評估范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全等級保護(hù)評估范文第1篇

關(guān)鍵詞：政府網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全；風(fēng)險(xiǎn)評估；應(yīng)用模型；電子政務(wù)

中圖分類號：TP393.08

在新的發(fā)展環(huán)境下，開放和互聯(lián)的網(wǎng)絡(luò)時(shí)代給各種信息資源的流通帶來了便利的同時(shí)，也帶來了安全隱患。尤其是政府部門的電子政務(wù)信息資產(chǎn)，若是受到非法使用，不但會對政府部門造成資源損失，甚至?xí){到國家、單位部門和個(gè)人的安全。因此，對政府網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評估，不但能夠有效地預(yù)防和解決潛在的威脅，而且能夠保障整個(gè)政府網(wǎng)絡(luò)系統(tǒng)的安全，促進(jìn)政府網(wǎng)絡(luò)建設(shè)的發(fā)展。

1 政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的方法

在電子政務(wù)信息系統(tǒng)的建設(shè)和運(yùn)行過程中，需要進(jìn)行網(wǎng)絡(luò)安全防御的相關(guān)措施，以防止系統(tǒng)中存在的漏洞、隱患，以及人為或非人為因素引起的風(fēng)險(xiǎn)對系統(tǒng)的影響。因此，采取安全風(fēng)險(xiǎn)評估的方法，通過安全風(fēng)險(xiǎn)評估的相關(guān)技術(shù)的支持，對系統(tǒng)的設(shè)備及數(shù)據(jù)進(jìn)行分析、確定等級和檢查，是有效防范這些情況發(fā)生的重要措施。

政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的方法主要有安全風(fēng)險(xiǎn)分析、安全等級評估和安全檢查評估等三種。

1.1 安全風(fēng)險(xiǎn)分析。在進(jìn)行政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的前期工作中，主要是通過建立評估數(shù)據(jù)模型的方式進(jìn)行安全風(fēng)險(xiǎn)分析。其中，主要是根據(jù)概率分布、外推法、矩陣圖分析、風(fēng)險(xiǎn)發(fā)展趨勢評價(jià)方法、假設(shè)前提評價(jià)及數(shù)據(jù)準(zhǔn)確度評估等方法，并通過專家評估預(yù)測和相關(guān)歷史數(shù)據(jù)對指標(biāo)的選取和數(shù)據(jù)的采集，估算政府網(wǎng)絡(luò)安全系統(tǒng)所存在的風(fēng)險(xiǎn)。

1.2 安全等級評估。在此階段，主要是在政府的電子政務(wù)系統(tǒng)建成或是運(yùn)行的過程中，由第三方權(quán)威機(jī)構(gòu)采取強(qiáng)制或非強(qiáng)制的方式，對政府網(wǎng)絡(luò)安全進(jìn)行定期安全等級評估，從而確定政府網(wǎng)絡(luò)系統(tǒng)在建成后，或是在系統(tǒng)更新后是否達(dá)到防范風(fēng)險(xiǎn)的可靠級別。

1.3 安全檢查評估。在此階段，主要采用專門的模擬攻擊、漏洞掃描等方式，對政府電子政務(wù)（包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、客戶機(jī)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)等）進(jìn)行安全檢查，找出其中可能存在的安全隱患并提供掃描后的相關(guān)數(shù)據(jù)，給予政府電子政務(wù)安全檢查評估。在安全檢查評估中，主要運(yùn)用到基于主機(jī)的（硬件系統(tǒng)）和基于網(wǎng)絡(luò)的（軟件系統(tǒng)）兩種技術(shù)。通過安全檢查評估，能夠起到預(yù)防網(wǎng)絡(luò)系統(tǒng)中存在的隱患的作用，并提供科學(xué)有效的解決措施，從而更進(jìn)一步提高網(wǎng)絡(luò)安全的整體水平。

2 政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的模型與應(yīng)用

2.1 安全風(fēng)險(xiǎn)評估應(yīng)用模型三階段。在電子政務(wù)系統(tǒng)建設(shè)的實(shí)施過程，主要分為規(guī)劃與設(shè)計(jì)階段、建設(shè)與實(shí)施階段、運(yùn)行與管理階段等三個(gè)階段。其中，安全風(fēng)險(xiǎn)分析主要作用于規(guī)劃與設(shè)計(jì)階段，安全等級評估主要作用于建設(shè)與施工階段，安全檢查評估主要作用于運(yùn)行與管理階段。

安全風(fēng)險(xiǎn)分析，主要是利用風(fēng)險(xiǎn)評估工具對系統(tǒng)的安全問題進(jìn)行分析。對于信息資產(chǎn)的風(fēng)險(xiǎn)等級的確定，以及其風(fēng)險(xiǎn)的優(yōu)先控制順序，可以通過根據(jù)電子政務(wù)系統(tǒng)的需求，采用定性和定量的方法，制定相關(guān)的安全保障方案。

安全等級評估，主要由自評估和他評估兩種評估方式構(gòu)成。被評估電子政務(wù)系統(tǒng)的擁有者，通過結(jié)合其自身的力量和相關(guān)的等級保護(hù)標(biāo)準(zhǔn)，進(jìn)行安全等級評估的方式，稱為自評估。而他評估則是指通過第三方權(quán)威專業(yè)評估機(jī)構(gòu)，依據(jù)已頒布的標(biāo)準(zhǔn)或法規(guī)進(jìn)行評估。通過定期或隨機(jī)的安全等級評估，掌握系統(tǒng)動態(tài)、業(yè)務(wù)調(diào)整、網(wǎng)絡(luò)威脅等動向，能夠及時(shí)預(yù)防和處理系統(tǒng)中存在的安全漏洞、隱患，提高系統(tǒng)的防御能力，并給予合理的安全防范措施等。若電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需要進(jìn)行較大程度上的更新或變革，則需要重新對系統(tǒng)進(jìn)行安全等級評估工作。

安全檢查評估，主要是在對漏洞掃描、模擬攻擊，以及對安全隱患的檢查等方面，對電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測，并給予解決問題的安全防范措施。

2.2 安全風(fēng)險(xiǎn)分析的應(yīng)用模型。在政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估工作中，主要是借助安全風(fēng)險(xiǎn)評測工具和第三方權(quán)威機(jī)構(gòu)，對安全風(fēng)險(xiǎn)分析、安全等級評估和安全檢查評估等三方面進(jìn)行評估工作。在此，本文重點(diǎn)要講述的是安全風(fēng)險(xiǎn)分析的應(yīng)用模型。在安全風(fēng)險(xiǎn)分析的應(yīng)用模型中，著重需要考慮到的是其主要因素、基本流程和專家評判法。

（1）主要因素

在資產(chǎn)上，政府的信息資源不但具有經(jīng)濟(jì)價(jià)值，還擁有者重要的政治因素。因此，要從關(guān)鍵和敏感度出發(fā)，確定信息資產(chǎn)。在不足上，政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)，存在一定的脆弱性和被利用的潛在性。在威脅上，政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)受到來自內(nèi)、外部的威脅。在影響上，可能致使信息資源泄露，嚴(yán)重時(shí)造成重大的資源損失。

（2）基本流程

根據(jù)安全需求，確定政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)等級和目標(biāo)。

根據(jù)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用需求，實(shí)行區(qū)域和安全邊界的劃分。

識別并估價(jià)安全區(qū)域內(nèi)的信息資產(chǎn)。

識別與評價(jià)安全區(qū)域內(nèi)的環(huán)境對資產(chǎn)的威脅。

識別與分析安全區(qū)域內(nèi)的威脅所對應(yīng)的資產(chǎn)或組織存在的薄弱點(diǎn)。

建立政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)評估方法和安全風(fēng)險(xiǎn)等級評價(jià)原則，并確定其大小與等級。

結(jié)合相關(guān)的系統(tǒng)安全需求和等級保護(hù)，以及費(fèi)用應(yīng)當(dāng)與風(fēng)險(xiǎn)相平衡的原則，對風(fēng)險(xiǎn)控制方法加以探究，從而制定出有效的安全風(fēng)險(xiǎn)控制措施和解決方案。

（3）專家評判法

在建設(shè)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的前期決策中，由于缺少相關(guān)的數(shù)據(jù)和資料，因此，可以通過專家評判的方法，為政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個(gè)大概的參考數(shù)值和結(jié)果，作為決策前期的基礎(chǔ)。

在安全區(qū)域內(nèi)，根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層、用戶層），應(yīng)用需求和安全需求劃分的安全邊界和安全區(qū)域，建立起風(fēng)險(xiǎn)值計(jì)算模型。通過列出從物理層到用戶層之間結(jié)構(gòu)所存在的薄弱點(diǎn)，分析其可能為資產(chǎn)所帶來的影響，以及這些薄弱點(diǎn)對系統(tǒng)薄弱環(huán)節(jié)外部可能產(chǎn)生的威脅程度大小，進(jìn)而通過安全風(fēng)險(xiǎn)評估專家進(jìn)行評判，得到系統(tǒng)的風(fēng)險(xiǎn)值及排序。

在不同的安全層次中，每個(gè)薄弱環(huán)節(jié)都存在著不同程度的潛在威脅。若是采用多嵌套的計(jì)算方法，能夠幫助計(jì)算出特定安全區(qū)域下的資產(chǎn)在這些薄弱環(huán)節(jié)中的風(fēng)險(xiǎn)值。

3 結(jié)語

本文主要通過對政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的建設(shè)中，所進(jìn)行的安全風(fēng)險(xiǎn)評估進(jìn)行研究，分析和探討在規(guī)劃與設(shè)計(jì)階段、建設(shè)與實(shí)施階段、運(yùn)行與管理階段三個(gè)階段中政府網(wǎng)絡(luò)安全建設(shè)的相關(guān)問題。并在各階段分別采用安全風(fēng)險(xiǎn)分析、系統(tǒng)建設(shè)完成后的安全等級評估。在系統(tǒng)建成后的運(yùn)行和管理階段，采用的安全檢查評估等方法，保障政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全。此外，在安全風(fēng)險(xiǎn)分析中，可操作的方法并不多，需要有關(guān)部門加強(qiáng)力度，加以研究和探析。在等級安全評估和安全檢查評估兩個(gè)階段，可以充分利用第三方權(quán)威機(jī)構(gòu)的評測工具，來加強(qiáng)政府網(wǎng)絡(luò)的安全性。

參考文獻(xiàn)：

[1]楊志新.政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估[J].系統(tǒng)工程，2005，4.

[2]王繼曄.政府信息網(wǎng)絡(luò)的安全措施及技術(shù)手段[J].交通與計(jì)算機(jī)，2003，2.

[3]黃煒.我國政府保護(hù)網(wǎng)絡(luò)經(jīng)濟(jì)信息安全的現(xiàn)狀和對策[J].華南理工大學(xué)，2010，5，6.

[4]夏義，李勇.政府網(wǎng)絡(luò)安全問題分析[J].高校圖書情報(bào)論壇，2003，2.

網(wǎng)絡(luò)安全等級保護(hù)評估范文第2篇

隨著電子政務(wù)應(yīng)用的不斷深入，信息安全問題日益凸顯，為了高效安全的進(jìn)行電子政務(wù)，迫切需要搞好信息安全保障工作。電子政務(wù)系統(tǒng)采取的網(wǎng)絡(luò)安全措施[2][3]不僅要保證業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，另一方面要保護(hù)運(yùn)行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全，因此應(yīng)充分保證以下幾點(diǎn)：

1.1基礎(chǔ)設(shè)施的可用性：運(yùn)行于內(nèi)部專網(wǎng)的各主機(jī)、數(shù)據(jù)庫、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行十分關(guān)鍵，網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞。

1.2數(shù)據(jù)機(jī)密性：對于內(nèi)部網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來政府機(jī)構(gòu)以及國家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機(jī)密信息在存儲與傳輸時(shí)的保密性。

1.3網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴(yán)格的控制之下，只有經(jīng)過認(rèn)證的設(shè)備可以訪問網(wǎng)絡(luò)，并且能明確地限定其訪問范圍，這對于電子政務(wù)的網(wǎng)絡(luò)安全十分重要。

1.4數(shù)據(jù)備份與容災(zāi):任何的安全措施都無法保證數(shù)據(jù)萬無一失，硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此，在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份，并且最好是異地備份。

2電子政務(wù)信息安全體系模型設(shè)計(jì)

完整的電子政務(wù)安全保障體系從技術(shù)層面上來講，必須建立在一個(gè)強(qiáng)大的技術(shù)支撐平臺之上，同時(shí)具有完備的安全管理機(jī)制，并針對物理安全，數(shù)據(jù)存儲安全，數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略

在技術(shù)支撐平臺方面，核心是要解決好權(quán)限控制問題。為了解決授權(quán)訪問的問題，通常是將基于公鑰證書（PKC）的PKI（PublicKeyInfrastructure）與基于屬性證書（AC）的PMI（PrivilegeManagementInfrastructure)結(jié)合起來進(jìn)行安全性設(shè)計(jì)，然而由于一個(gè)終端用戶可以有許多權(quán)限，許多用戶也可能有相同的權(quán)限集，這些權(quán)限都必須寫入屬性證書的屬性中，這樣就增加了屬性證書的復(fù)雜性和存儲空間，從而也增加了屬性證書的頒發(fā)和驗(yàn)證的復(fù)雜度。為了解決這個(gè)問題，作者建議根據(jù)X.509標(biāo)準(zhǔn)建立基于角色PMI的電子政務(wù)安全模型。該模型由客戶端、驗(yàn)證服務(wù)器、應(yīng)用服務(wù)器、資源數(shù)據(jù)庫和LDAP目錄服務(wù)器等實(shí)體組成，在該模型中：

2.1終端用戶：向驗(yàn)證服務(wù)器發(fā)送請求和證書，并與服務(wù)器雙向驗(yàn)證。

2.2驗(yàn)證服務(wù)器：由身份認(rèn)證模塊和授權(quán)驗(yàn)證模塊組成提供身份認(rèn)證和訪問控制，是安全模型的關(guān)鍵部分。

2.3應(yīng)用服務(wù)器：與資源數(shù)據(jù)庫連接，根據(jù)驗(yàn)證通過的用戶請求，對資源數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行處理，并把處理結(jié)果通過驗(yàn)證服務(wù)器返回給用戶以響應(yīng)用戶請求。

2.4LDAP目錄服務(wù)器：該模型中采用兩個(gè)LDAP目錄服務(wù)器，一個(gè)存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個(gè)LDAP目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務(wù)安全體系的重要組成部分。安全的核心實(shí)際上是管理，安全技術(shù)實(shí)際上只是實(shí)現(xiàn)管理的一種手段，再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制訂的制度包括安全行政管理和安全技術(shù)管理。安全行政管理應(yīng)包括組織機(jī)構(gòu)和責(zé)任制度等的制定和落實(shí)；安全技術(shù)管理的內(nèi)容包括對硬件實(shí)體和軟件系統(tǒng)、密鑰的管理。

轉(zhuǎn)貼于中國論文下載中心www

3電子政務(wù)信息安全管理體系中的風(fēng)險(xiǎn)評估

電子政務(wù)信息安全等級保護(hù)是根據(jù)電子政務(wù)系統(tǒng)在國家安全、經(jīng)濟(jì)安全、社會穩(wěn)定和保護(hù)公共利益等方面的重要程度。等級保護(hù)工作的要點(diǎn)是對電子政務(wù)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析，構(gòu)建電子政務(wù)系統(tǒng)的風(fēng)險(xiǎn)因素集。

3.1信息系統(tǒng)的安全定級信息系統(tǒng)的安全等級從低到高依次包括自主保護(hù)級、指導(dǎo)保護(hù)級、監(jiān)督保護(hù)級、強(qiáng)制保護(hù)級、?？乇Ｗo(hù)級五個(gè)安全等級。對電子政務(wù)的五個(gè)安全等級定義，結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)、系統(tǒng)特定安全保護(hù)要求和成本開銷等因素，采取相應(yīng)的安全保護(hù)措施以保障信息和信息系統(tǒng)的安全。

3.2采用全面的風(fēng)險(xiǎn)評估辦法風(fēng)險(xiǎn)評估具有不同的方法。在ISO/IECTR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風(fēng)險(xiǎn)評估方法的例子，其他文獻(xiàn)，例如NISTSP800-30、AS/NZS4360等也介紹了風(fēng)險(xiǎn)評估的步驟及方法，另外，一些組織還提出了自己的風(fēng)險(xiǎn)評估工具，例如OCTAVE、CRAMM等。

電子政務(wù)信息安全建設(shè)中采用的風(fēng)險(xiǎn)評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風(fēng)險(xiǎn)評估指南》等標(biāo)準(zhǔn)和指南，從資產(chǎn)評估、威脅評估、脆弱性評估、安全措施有效性評估四個(gè)方面建立風(fēng)險(xiǎn)評估模型。其中，資產(chǎn)的評估主要是對資產(chǎn)進(jìn)行相對估價(jià)，其估價(jià)準(zhǔn)則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進(jìn)行影響分析;威脅評估是對資產(chǎn)所受威脅發(fā)生可能性的評估，主要從威脅的能力和動機(jī)兩個(gè)方面進(jìn)行分析;脆弱性評估是對資產(chǎn)脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴(yán)重性兩方面進(jìn)行分析;安全措施有效性評估是對保障措施的有效性進(jìn)行的評估活動，主要對安全措施防范威脅、減少脆弱性的有效狀況進(jìn)行分析;安全風(fēng)險(xiǎn)評估就是通過綜合分析評估后的資產(chǎn)信息、威脅信息、脆弱性信息、安全措施信息，最終生成風(fēng)險(xiǎn)信息。

在確定風(fēng)險(xiǎn)評估方法后，還應(yīng)確定接受風(fēng)險(xiǎn)的準(zhǔn)則，識別可接受的風(fēng)險(xiǎn)級別。

4結(jié)語

電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別，包括:辦公手段不同，信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同，實(shí)現(xiàn)行政業(yè)務(wù)流程的集約化、標(biāo)準(zhǔn)化和高效化是電子政務(wù)的核心;與公眾溝通方式不同，直接與公眾溝通是實(shí)施電子政務(wù)的目的之一，也是與傳統(tǒng)政務(wù)的重要區(qū)別。在電子政務(wù)的信息安全管理中，要抓住其特點(diǎn)，從技術(shù)、管理、策略角度設(shè)計(jì)完整的信息安全模型并通過科學(xué)量化的風(fēng)險(xiǎn)評估方法識別風(fēng)險(xiǎn)和制定風(fēng)險(xiǎn)應(yīng)急預(yù)案，這樣才能達(dá)到全方位實(shí)施信息安全管理的目的。

參考文獻(xiàn)：

[1]范紅，馮國登，吳亞非.信息安全風(fēng)險(xiǎn)評估方法與應(yīng)用.清華大學(xué)出版社.2006.

[2]李波杰，張緒國，張世永.一種多層取證的電子商務(wù)安全審計(jì)系統(tǒng)微型電腦應(yīng)用.2007年05期.

網(wǎng)絡(luò)安全等級保護(hù)評估范文第3篇

建立等級保護(hù)制度是實(shí)現(xiàn)網(wǎng)絡(luò)安全的保障。結(jié)合網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)組成、服務(wù)模式等基本情況，建立等級保護(hù)制度實(shí)施的規(guī)范和標(biāo)準(zhǔn)。制定安全區(qū)域邊界和內(nèi)部實(shí)施相應(yīng)的安全防護(hù)的策略，科學(xué)進(jìn)行框架結(jié)構(gòu)、系統(tǒng)部署等內(nèi)容設(shè)計(jì)，建立一個(gè)適應(yīng)性和可行性較強(qiáng)的網(wǎng)絡(luò)安全防護(hù)體系。通過科學(xué)的建模分析方法，結(jié)合網(wǎng)絡(luò)結(jié)構(gòu)模型和對應(yīng)的技術(shù)進(jìn)行細(xì)致分析及思考。筆者針對如何建立適應(yīng)性較強(qiáng)的網(wǎng)絡(luò)安全體系提出一些思路，并構(gòu)建出了具體的框架，提出具體的建模分析方法。

1當(dāng)前等級保護(hù)制度研究的現(xiàn)狀

我國網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，網(wǎng)絡(luò)技術(shù)的應(yīng)用已經(jīng)滲透到各行各業(yè)中。由于網(wǎng)絡(luò)信息系統(tǒng)的類型很多，因此各國實(shí)施的系統(tǒng)建設(shè)標(biāo)準(zhǔn)各有不同，同時(shí)系統(tǒng)針對應(yīng)用場景適應(yīng)性也各有差異，還有其他一些的因素都是造成網(wǎng)絡(luò)安全等級保護(hù)制度難以進(jìn)行推廣的原因。針對基于等級保護(hù)的網(wǎng)絡(luò)安全體系的建立和實(shí)施過程中的困難，有很多專家學(xué)者對信息安全等級保護(hù)制度進(jìn)行了探討和研究。針對基于安全等級保護(hù)的網(wǎng)絡(luò)安全體系的研究，是從信息安全等級保護(hù)相關(guān)要求和標(biāo)準(zhǔn)角度，參考全球信息安全領(lǐng)域的安全保護(hù)原則與評估方法，進(jìn)行科學(xué)的對比分析，常用的方法包括統(tǒng)計(jì)分析、系統(tǒng)建模等。信息安全等級保護(hù)制度的探索應(yīng)用主要是在一些特定的對信息收集、處理標(biāo)準(zhǔn)較高的信息系統(tǒng)上，常見的比如，電子商務(wù)、媒體與信息服務(wù)、企業(yè)信息管理系統(tǒng)等。在特定領(lǐng)域的信息安全等級保護(hù)制度研究，要求結(jié)合行業(yè)領(lǐng)域的特點(diǎn)進(jìn)行分析，還有一些相關(guān)的規(guī)范性文件要求。

2等級保護(hù)制度的內(nèi)容和要求

所謂基于等級保護(hù)的網(wǎng)絡(luò)安全體系是指處理信息和其載體，需要結(jié)合信息的重要性，進(jìn)行等級的分級別，提高信息安全保護(hù)的效率的一種體系制度。要求是對一些專有的重要信息或者公開信息進(jìn)行專項(xiàng)的存儲、處理時(shí)，按照信息系統(tǒng)中內(nèi)容的等級實(shí)施對應(yīng)的安全保護(hù)措施，實(shí)現(xiàn)對安全體系下的信息安全事件進(jìn)行分等級的處置工作。實(shí)現(xiàn)系統(tǒng)的安全的相應(yīng)要求不同于一般的技術(shù)安全要求標(biāo)準(zhǔn)。從物理、網(wǎng)絡(luò)、應(yīng)用等層面，制定對不同等級的信息系統(tǒng)的建設(shè)標(biāo)準(zhǔn)。再根據(jù)實(shí)現(xiàn)方式的差異，提出基本的安全要求，分技術(shù)和管理要求兩個(gè)基本的類別。安全技術(shù)要求要對應(yīng)安全層面的內(nèi)容，一些安全技術(shù)的實(shí)施標(biāo)準(zhǔn)的要求是能夠與特定層面相適應(yīng)，例如防雷、防火等這些物理層面的安全要求。而一些安全要求是對應(yīng)多個(gè)層面進(jìn)行實(shí)施的，如進(jìn)行身份的鑒別、系統(tǒng)訪問的控制等。

3網(wǎng)絡(luò)安全體系的框架構(gòu)建分析

構(gòu)建科學(xué)的網(wǎng)絡(luò)安全體系，需要考慮諸多方面的內(nèi)容，比如安全組織、技術(shù)、和具體的實(shí)施等一系列的情況。在網(wǎng)絡(luò)安全體系中的內(nèi)容，必須符合我國當(dāng)前的網(wǎng)絡(luò)方面的相關(guān)法律和標(biāo)準(zhǔn)，能夠適應(yīng)各類的場景和應(yīng)用環(huán)境來實(shí)現(xiàn)框架的構(gòu)建思路，科學(xué)的安全體系應(yīng)當(dāng)具備適用于各種應(yīng)用場景的特點(diǎn)，進(jìn)行安全場景的建模分析。基于等級保護(hù)的網(wǎng)絡(luò)安全體系，先要從需求角度進(jìn)行分析，著重對體系建立的相關(guān)內(nèi)容進(jìn)行思考，網(wǎng)絡(luò)安全體系框架的構(gòu)建要求重點(diǎn)對網(wǎng)絡(luò)安全體系和安全目標(biāo)、安全邊界多方面，通過建模方法進(jìn)行分析，然后用具體明白的表述做好跟安全管理工作的對接。對安全目標(biāo)的建模方法具體分析，要結(jié)合安全體系建立的需求，建立有針對性的安全目標(biāo)。設(shè)立安全目標(biāo)的內(nèi)容，通常會包括了業(yè)務(wù)的范圍、功能以及業(yè)務(wù)實(shí)施流程等方面的內(nèi)容。業(yè)務(wù)功能是指在網(wǎng)絡(luò)平臺上進(jìn)行的特定相關(guān)業(yè)務(wù)的能力。通常業(yè)務(wù)功能可以按照模塊進(jìn)行分解，目標(biāo)的不同可能導(dǎo)致描述粒度要求的不同。針對安全目標(biāo)的建立模型進(jìn)行分析，由于業(yè)務(wù)需求與安全需求的內(nèi)容上存在很多類似的地方，因此，需要設(shè)定相同的分析對象再進(jìn)行建模，運(yùn)用的建模方法為：進(jìn)行業(yè)務(wù)功能方面的建模，要結(jié)合網(wǎng)絡(luò)安全體系中的特定業(yè)務(wù)目標(biāo)，深入分析業(yè)務(wù)的功能內(nèi)容，進(jìn)行相關(guān)描述時(shí)，要結(jié)合具體的目標(biāo)和特定的需要，同時(shí)還要針對對業(yè)務(wù)功能的內(nèi)容方面進(jìn)行探討，對名稱的標(biāo)識描述要突出，控制描述內(nèi)容的質(zhì)量，可以使用一些可視性例圖進(jìn)行描述，這樣能起到幫助用戶更深入理解系統(tǒng)功能的目的。分析業(yè)務(wù)開展的范圍要結(jié)合相關(guān)的業(yè)務(wù)功能，在業(yè)務(wù)覆蓋的范圍內(nèi)闡述網(wǎng)絡(luò)覆蓋的業(yè)務(wù)實(shí)施和各個(gè)環(huán)節(jié)的相關(guān)性，可以借助類圖法對相關(guān)業(yè)務(wù)范圍進(jìn)行刻畫。

4基于等級保護(hù)網(wǎng)絡(luò)安全體系中的安全邊界建模方法分析

利用網(wǎng)絡(luò)安全邊界理論進(jìn)行安全界定時(shí)，要服從于網(wǎng)絡(luò)安全體系可以涵蓋所有范圍的基本設(shè)立目標(biāo)。利用SB=<LNB，SMB>來對安全邊界模型的相關(guān)要素進(jìn)行表示，在模型構(gòu)建的元素中以LNB表示邊界的連通，以SMB表示安全措施邊界。應(yīng)用LNB對聯(lián)通的邊界進(jìn)行相關(guān)的分析，通過網(wǎng)絡(luò)上的軟件和硬件進(jìn)行結(jié)合的內(nèi)容，進(jìn)行的連通邊界的描述，同時(shí)還需要結(jié)合組件的運(yùn)行和通信，對模型進(jìn)行詳細(xì)的補(bǔ)充。

4.1針對安全體系要素的建模

對安全體系的要素進(jìn)行建模分析要求結(jié)合安全機(jī)制和安全威脅進(jìn)行建模分析，對安全機(jī)制的相關(guān)要素和安全威脅的相關(guān)內(nèi)容要進(jìn)行科學(xué)全面的思考，提高建模分析的準(zhǔn)確性和科學(xué)性。要應(yīng)用模態(tài)邏輯對安全體系的要素進(jìn)行分析，包括了必然和可能等相關(guān)的概念邏輯。

4.2安全措施分析

對網(wǎng)絡(luò)信息技術(shù)進(jìn)行分析制定，防止網(wǎng)絡(luò)信息系統(tǒng)受到侵害，及時(shí)對一些安全事故進(jìn)行分析處理，這是安全技術(shù)措施的主要內(nèi)容，安全管理措施是對網(wǎng)絡(luò)信息系統(tǒng)的檢查和分析，實(shí)施對機(jī)構(gòu)體制和系統(tǒng)操作人員的相關(guān)管理，還包括了對于提高系統(tǒng)的安全系數(shù)的工作內(nèi)容。

4.3安全管理措施和安全技術(shù)措施的分析比較

安全管理措施和安全技術(shù)措施兩者十分類似，但在措施的實(shí)施方面有實(shí)際的差異。前者針對的管理的相關(guān)規(guī)則，而后者卻是針對技術(shù)制定相應(yīng)的規(guī)則。進(jìn)行模態(tài)邏輯的應(yīng)用的時(shí)候，建立安全體系的模型，實(shí)現(xiàn)模擬邏輯的應(yīng)用推導(dǎo)，利用安全體系中的有效性進(jìn)行科學(xué)的推導(dǎo)和相應(yīng)的分析，同時(shí)，利用強(qiáng)推理和弱推理的相關(guān)的規(guī)則進(jìn)行對比分析，可以發(fā)現(xiàn)其中存在的一些關(guān)系。

5對網(wǎng)絡(luò)安全體系建模方法的驗(yàn)證分析

用科學(xué)的方法建立模型，從安全目標(biāo)和安全邊界角度以及安全要素等進(jìn)行了模型的分析。下面就結(jié)合模型的驗(yàn)證結(jié)果，分析安全目標(biāo)的實(shí)現(xiàn)程度。主要針對安全要素計(jì)算法進(jìn)行具體的分析如下：把特定的業(yè)務(wù)相關(guān)狀態(tài)的內(nèi)容進(jìn)行模型的輸入和輸出操作，設(shè)定特定業(yè)務(wù)流程內(nèi)業(yè)務(wù)狀態(tài)的相應(yīng)安全要素集，所謂安全要素集，是指若系統(tǒng)承載業(yè)務(wù)操作資產(chǎn)也成為了是安全威脅目標(biāo)，那么該安全威脅就應(yīng)該在此業(yè)務(wù)狀態(tài)下需要應(yīng)對的安全威脅攻擊的集內(nèi)。通過測定安全要素是否在安全邊界中，實(shí)現(xiàn)對業(yè)務(wù)操作的性質(zhì)的區(qū)分，定性是屬于安全性還是威脅性的。其中有2個(gè)主要步驟：（1）界定安全威脅攻擊目標(biāo)是否在物理連通的邊界范圍中；（2）對安全技術(shù)措施和安全管理中制定的相關(guān)措施狀態(tài)，對比該安全措施邊界的模型定義和狀態(tài)的情況是否一致。若業(yè)務(wù)操作中有安全威脅，但沒有解決該安全威脅的安全技術(shù)措施，那么這個(gè)業(yè)務(wù)操作就形成了一定程度的存在安全風(fēng)險(xiǎn)；再對這一安全威脅的安全技術(shù)措施的模態(tài)進(jìn)行判斷，若發(fā)現(xiàn)“可能”針對這一模態(tài)的相應(yīng)安全措施，根據(jù)弱推理規(guī)則對安全措施的科學(xué)性和可行性進(jìn)行推導(dǎo)判斷，否則就根據(jù)強(qiáng)推理規(guī)則進(jìn)行推導(dǎo)，結(jié)合最終的結(jié)果，進(jìn)行安全風(fēng)險(xiǎn)的處置。制定科學(xué)的安全技術(shù)和安全管理方面的保護(hù)措施，需要界定安全要素是否包含在相應(yīng)的安全邊界內(nèi)，同時(shí)要求對安群威脅進(jìn)行分析，根據(jù)最終系統(tǒng)是否受到攻擊的實(shí)際情況，結(jié)合安全管理的對象和相應(yīng)的技術(shù)規(guī)范的時(shí)，檢測物理連接是否有效，連接的狀態(tài)是否發(fā)生了改變以及是否滿足要求，按照安全等級進(jìn)行建模分析。結(jié)合上述的相關(guān)建模分析方法，安全管理部門可以細(xì)致的了解網(wǎng)絡(luò)安全的相關(guān)內(nèi)容,加深對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀態(tài)的科學(xué)認(rèn)知，并制定有針對性的標(biāo)準(zhǔn)和流程,保證業(yè)務(wù)操作的安全性和效率。

6結(jié)語

本文對網(wǎng)絡(luò)安全體系建模分析的相關(guān)方法進(jìn)行了詳細(xì)的介紹，并進(jìn)行了驗(yàn)證方法的闡述，滿足了網(wǎng)絡(luò)安全體系建模的方法的科學(xué)性和可行性要求。在具體的基于等級保護(hù)制度建立的網(wǎng)絡(luò)安全體系框架內(nèi)，對于建模上的規(guī)范性和功能提出了較高的要求，結(jié)合對網(wǎng)絡(luò)安全體系建模分析，討論了對此類網(wǎng)絡(luò)安全建模分析方法科學(xué)性進(jìn)行驗(yàn)證的方法。

作者:馬榮華 單位:鄭州鐵路職業(yè)技術(shù)學(xué)院

引用：

網(wǎng)絡(luò)安全等級保護(hù)評估范文第4篇

關(guān)鍵詞：信息安全；等級保護(hù)；等級測評；實(shí)踐教學(xué)；綜合實(shí)訓(xùn)

DOIDOI：10.11907/rjdk.161717

中圖分類號：G434

文獻(xiàn)標(biāo)識碼：A文章編號文章編號：16727800（2016）009017303

基金項(xiàng)目基金項(xiàng)目：貴州省科技廳社發(fā)攻關(guān)項(xiàng)目（黔科合SY字2012-3050號）；貴州大學(xué)自然科學(xué)青年基金項(xiàng)目（貴大自青合字2010-026號）；貴州大學(xué)教育教學(xué)改革研究項(xiàng)目（JG2013097）

作者簡介作者簡介：張文勇（1973-），男，貴州臺江人，碩士，貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院講師，研究方向?yàn)榫W(wǎng)絡(luò)與信息安全；李維華（1961-），男，貴州貴陽人，貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院高級實(shí)驗(yàn)師，研究方向?yàn)榫W(wǎng)絡(luò)與信息安全；唐作其（1980-），男，貴州興義人，碩士，貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院副教授，研究方向?yàn)樾畔踩Ｕ象w系。

0引言

信息安全等級保護(hù)是國家信息安全保障工作的基本制度、基本策略、基本方法，開展信息安全等級保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。信息安全學(xué)科要求學(xué)生不僅要具備很強(qiáng)的理論知識，更應(yīng)具備較強(qiáng)的實(shí)踐能力?，F(xiàn)階段很多高校在理論教學(xué)上有較好的培養(yǎng)方法和模式，學(xué)生具備良好的理論基礎(chǔ)，但在實(shí)踐教學(xué)中由于各課程的銜接和關(guān)聯(lián)較少，盡管部分學(xué)校開設(shè)了信息安全實(shí)訓(xùn)或信息安全攻防實(shí)踐等課程，但基本都是做一些單元實(shí)驗(yàn)，僅局限于某一方面的技能訓(xùn)練，沒有從全局、系統(tǒng)的角度去培養(yǎng)學(xué)生綜合運(yùn)用各種信息安全知識解決實(shí)際問題的能力[15]。從貴州大學(xué)信息安全專業(yè)畢業(yè)生就業(yè)情況調(diào)查反饋信息來看，絕大多數(shù)畢業(yè)生主要從事企事業(yè)單位的信息安全管理、信息安全專業(yè)服務(wù)等工作，少數(shù)畢業(yè)生從事信息安全產(chǎn)品研發(fā)，或繼續(xù)碩士博士深造，從事信息安全理論研究。用人單位普遍反映學(xué)生的基本理論掌握相對較好，但實(shí)際操作技能、綜合分析能力欠缺。為了解決目前這種狀況，筆者根據(jù)長期從事信息安全等級保護(hù)項(xiàng)目實(shí)施工作實(shí)踐，提出在信息安全專業(yè)的實(shí)踐教學(xué)環(huán)節(jié)中引入信息安全等級保護(hù)相關(guān)內(nèi)容。

1信息安全等級保護(hù)對學(xué)生能力培養(yǎng)的作用

信息安全等級保護(hù)工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查5個(gè)階段，信息系統(tǒng)安全等級測評是驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級的評估過程。信息安全等級保護(hù)的知識體系完善，信息安全等級保護(hù)測評人員的技術(shù)要求涵蓋多個(gè)方面，包括物理環(huán)境、主機(jī)、操作系統(tǒng)、應(yīng)用安全、安全設(shè)備等，因此國家對于信息安全等級保護(hù)人員的技術(shù)要求十分綜合和全面[3]。如參照信息安全等級保護(hù)專業(yè)人員的技術(shù)要求對學(xué)生開展信息安全綜合實(shí)訓(xùn)將滿足社會對信息安全專業(yè)人員的技能和知識結(jié)構(gòu)要求，主要體現(xiàn)在以下4個(gè)方面：①培養(yǎng)學(xué)生了解國家關(guān)于非信息系統(tǒng)保護(hù)的基本方針、政策、標(biāo)準(zhǔn)；②培養(yǎng)學(xué)生掌握各種基本信息安全技術(shù)操作技能，熟悉各種信息系統(tǒng)構(gòu)成對象的基本操作，為將來快速融入到信息安全保護(hù)實(shí)踐工作奠定基礎(chǔ)；③培養(yǎng)學(xué)生具備從綜合、全面的角度去規(guī)劃、設(shè)計(jì)、構(gòu)建符合國家信息安全保障體系要求的信息安全防護(hù)方案能力；④培養(yǎng)學(xué)生建立信息安全等級保護(hù)的基本意識，在工作實(shí)踐中自覺按國家信息安全等級保護(hù)要求開展工作，有利于促進(jìn)國家信息安全等級保護(hù)政策實(shí)施。

2實(shí)訓(xùn)教學(xué)知識體系

信息安全等級保護(hù)的相關(guān)政策和標(biāo)準(zhǔn)是信息安全實(shí)訓(xùn)教學(xué)體系建立的基本依據(jù)，GB/T 22239-2008《信息安全等級保護(hù)基本要求》在信息安全等級保護(hù)標(biāo)準(zhǔn)體系中起基礎(chǔ)性作用。信息安全等級保護(hù)基本要求充分體現(xiàn)了“全面防御，縱深防御”的理念，遵循了“技術(shù)和管理并重”的基本原則，而不同級別的業(yè)務(wù)信息系統(tǒng)在控制點(diǎn)要求項(xiàng)上的區(qū)別體現(xiàn)了“適度安全”的根本原則[6]。信息安全保護(hù)測評是信息安全等級保護(hù)的一項(xiàng)重要基礎(chǔ)性工作，GB/T 28449-2012《信息安全等級保護(hù)測評過程指南》是對等級測評的活動、工作任務(wù)以及每項(xiàng)任務(wù)的工作內(nèi)容作出了詳細(xì)建議，等級測評中的單元測評、整體測評、風(fēng)險(xiǎn)分析、問題處置及建議環(huán)節(jié)體現(xiàn)了測評工程師對等保項(xiàng)目基本安全保障情況的綜合分析能力[610]。信息安全等級保護(hù)知識體系龐大，不可能兼顧所有方面，因而在信息安全實(shí)訓(xùn)教學(xué)知識體系制訂中采用兼顧全局、突出重點(diǎn)的基本原則；在實(shí)訓(xùn)教學(xué)知識體系的構(gòu)成中重點(diǎn)以《信息安全等級保護(hù)基本要求》和《信息安全等級保護(hù)測評過程指南》為基礎(chǔ)，包括基本理論培訓(xùn)、基本技能實(shí)訓(xùn)、安全管理培訓(xùn)、能力提高實(shí)訓(xùn)四大模塊；在實(shí)際操作中將重點(diǎn)放在基本技能實(shí)訓(xùn)和能力提高實(shí)訓(xùn)上。各實(shí)訓(xùn)模塊構(gòu)成及關(guān)系如圖1所示。

3實(shí)訓(xùn)教學(xué)實(shí)施

教學(xué)實(shí)施依據(jù)實(shí)訓(xùn)教學(xué)知識體系進(jìn)行，教學(xué)方式采用集中課堂基本理論教學(xué)、在信息系統(tǒng)模擬平臺實(shí)施現(xiàn)場測評數(shù)據(jù)采集的基本操作實(shí)訓(xùn)和以信息安全等級保護(hù)測評報(bào)告的編寫為基礎(chǔ)的數(shù)據(jù)分析、數(shù)據(jù)整理、安全方案編寫實(shí)訓(xùn)。

3.1基本理論教學(xué)

該環(huán)節(jié)采用集中課堂教學(xué)方式，講解的主要內(nèi)容是信息安全等級保護(hù)政策和標(biāo)準(zhǔn)。講解深度上應(yīng)有所側(cè)重，講解重點(diǎn)包括：①信息安全等級保護(hù)基本要求中層面的劃分原則和依據(jù)、控制點(diǎn)的構(gòu)成、控制點(diǎn)中要求項(xiàng)的解讀；②信息安全保護(hù)過程指南中單元測評、整體測評、風(fēng)險(xiǎn)分析、問題處置和建議等部分的解讀。

理論教學(xué)在突出重點(diǎn)的同時(shí)，兼顧全局，讓學(xué)生對信息安全等級保護(hù)制度和標(biāo)準(zhǔn)有一個(gè)完整、清晰的認(rèn)識。

3.2基本技能實(shí)訓(xùn)

基本技能實(shí)訓(xùn)環(huán)節(jié)主要是強(qiáng)化學(xué)生各種信息安全技術(shù)的基本操作訓(xùn)練。首先，應(yīng)根據(jù)最真實(shí)的企業(yè)內(nèi)部環(huán)境搭建符合信息安全等級保護(hù)要求的模擬信息系統(tǒng)，并編寫好對應(yīng)的信息安全等級保護(hù)現(xiàn)場測評指導(dǎo)書；然后，指導(dǎo)學(xué)生在模擬系統(tǒng)上進(jìn)行現(xiàn)場測評實(shí)訓(xùn)，實(shí)訓(xùn)過程按信息安全等級保護(hù)現(xiàn)場測評指導(dǎo)書要求進(jìn)行，實(shí)訓(xùn)內(nèi)容以獲取信息系統(tǒng)安全配置和運(yùn)行狀態(tài)等原始數(shù)據(jù)為基礎(chǔ)?；炯寄軐?shí)訓(xùn)模塊包括網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)備份及恢復(fù)、自動化工具掃描這5個(gè)層面的訓(xùn)練項(xiàng)目。

（1）網(wǎng)絡(luò)安全。學(xué)生在模擬平臺上開展各種主流的網(wǎng)絡(luò)設(shè)備和安全設(shè)備的基本操作訓(xùn)練，要求學(xué)生理解網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全功能及安全設(shè)置，掌握設(shè)備的運(yùn)行狀態(tài)和信息數(shù)據(jù)采集方法。

（2）主機(jī)安全。學(xué)生在模擬平臺上開展各種主流系統(tǒng)軟件基本操作訓(xùn)練，包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件等，要求學(xué)生理解各種系統(tǒng)軟件的安全功能和安全設(shè)置。通過本環(huán)節(jié)的實(shí)訓(xùn)，學(xué)生應(yīng)具備系統(tǒng)軟件安全配置核查和運(yùn)行狀態(tài)信息采集能力。

（3）應(yīng)用安全。學(xué)生在模擬平臺上對所安裝的主流商用應(yīng)用軟件和自主開發(fā)軟件進(jìn)行安全配置核查和安全功能驗(yàn)證訓(xùn)練，要求學(xué)生理解應(yīng)用軟件的安全功能設(shè)計(jì)要求，掌握應(yīng)用軟件的安全配置核查和安全功能驗(yàn)證方法。

（4） 數(shù)據(jù)備份和回復(fù)。通過模擬系統(tǒng)的磁盤冗余陣列進(jìn)行基本操作訓(xùn)練，讓學(xué)生了解磁盤冗余陣列的驗(yàn)證方法；通過訓(xùn)練學(xué)生在操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)上配置計(jì)劃備份任務(wù)，使其理解系統(tǒng)軟件的數(shù)據(jù)備份安全功能，掌握系統(tǒng)軟件的備份操作計(jì)劃配置和驗(yàn)證方法。

（5）自動化工具掃描。學(xué)生利用主流的開源掃描工具和商用的掃描工具對模擬系統(tǒng)上的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器主機(jī)等進(jìn)行掃描，獲取信息系統(tǒng)主要軟硬件的漏洞，并驗(yàn)證系統(tǒng)的脆弱性。本部分獲取的原始數(shù)據(jù)作為（1）、（2）、（3）部分的補(bǔ)充，通過本環(huán)節(jié)培訓(xùn)學(xué)生整理和分析漏洞掃描結(jié)果以及初步驗(yàn)證漏洞真實(shí)性的能力。

3.3能力提高實(shí)訓(xùn)

在學(xué)生掌握信息系統(tǒng)安全配置和運(yùn)行狀態(tài)數(shù)據(jù)采集的基本技能后實(shí)施能力提高實(shí)訓(xùn)，本模塊主要培訓(xùn)學(xué)生對原始數(shù)據(jù)的分析、整理，并編寫信息安全等級保護(hù)測評報(bào)告的能力。能力提高實(shí)訓(xùn)模塊主要包括單元測評、整體測評、風(fēng)險(xiǎn)分析、問題處置和安全建議4個(gè)項(xiàng)目，各項(xiàng)目之間的關(guān)系流程如圖2所示。

（1）通過基本技能實(shí)訓(xùn)獲取到原始數(shù)據(jù)后，根據(jù)信息安全等級保護(hù)測評過程要求整理、分析原始數(shù)據(jù)，開展單元測評，并給出各單元層面內(nèi)控制點(diǎn)中檢查項(xiàng)的符合性，分析并給出單元測評結(jié)果，按信息安全等級保護(hù)報(bào)告模板編寫單元測評報(bào)告。

（2）在完成單元測評后，由于單元測評參照的信息相對獨(dú)立，未考慮原始數(shù)據(jù)間的關(guān)聯(lián)性，而實(shí)際信息系統(tǒng)的最終安全防護(hù)效力和面臨的風(fēng)險(xiǎn)是信息系統(tǒng)安全控制點(diǎn)間、安全層面間、安全區(qū)域間各組成要素共同作用的結(jié)果，因此在完成單元測評后還應(yīng)該進(jìn)行整體測評。整體測評主要是考慮單元測評中的各控制點(diǎn)間、安全層面間、安全區(qū)域間存在某種關(guān)聯(lián)性，這種關(guān)聯(lián)會對信息系統(tǒng)整體的安全防護(hù)效力、面臨的風(fēng)險(xiǎn)具有降低或增加的作用，應(yīng)從整體角度對信息系統(tǒng)安全的狀態(tài)進(jìn)行修正。

（3）風(fēng)險(xiǎn)分析結(jié)果是制訂信息安全系統(tǒng)防護(hù)措施的重要依據(jù)，風(fēng)險(xiǎn)分析能力是體現(xiàn)信息安全工程師水平的一項(xiàng)重要指標(biāo)。在風(fēng)險(xiǎn)分析實(shí)訓(xùn)項(xiàng)目中結(jié)合單元測評和整體測評結(jié)果利用風(fēng)險(xiǎn)分析計(jì)算工具對信息系統(tǒng)面臨的風(fēng)險(xiǎn)等級大小進(jìn)行定性或定量的分析計(jì)算，并編寫風(fēng)險(xiǎn)分析報(bào)告。

（4）確定信息系統(tǒng)存在的風(fēng)險(xiǎn)后，接著應(yīng)分析引起信息系統(tǒng)風(fēng)險(xiǎn)的因素，對不可接受風(fēng)險(xiǎn)因素或不能滿足等級保護(hù)要求的安全防護(hù)項(xiàng)提出完整的問題處置和整改建議。問題處置和整改建議環(huán)節(jié)要求信息安全工程技術(shù)人員具備扎實(shí)理論知識的同時(shí)還具備相當(dāng)豐富的實(shí)踐經(jīng)驗(yàn)，工程技術(shù)人員必須熟悉信息安全的各種防護(hù)技術(shù)和目前市場上相關(guān)的信息安全軟硬件安全產(chǎn)品。因此，本實(shí)訓(xùn)項(xiàng)目主要是訓(xùn)練并提高學(xué)生綜合運(yùn)用信息安全技術(shù)解決實(shí)際問題的能力。

4結(jié)語

在信息安全專業(yè)的實(shí)踐教學(xué)中引入信息安全等級保護(hù)內(nèi)容，實(shí)訓(xùn)教學(xué)知識體系完全參照信息安全等級保護(hù)要求來構(gòu)建，信息安全等級保護(hù)知識體系完善，保證了實(shí)訓(xùn)內(nèi)容的廣度和深度。通過信息安全等級保護(hù)現(xiàn)場測評環(huán)節(jié)訓(xùn)練學(xué)生的信息安全技術(shù)基本操作技能，通過信息安全等級保護(hù)測評報(bào)告的編制訓(xùn)練學(xué)生運(yùn)用信息安全等級保護(hù)基本知識、理論和方法去分析信息系統(tǒng)存在的漏洞、面臨的安全風(fēng)險(xiǎn)，并編制符合信息安全等級保護(hù)要求的安全防護(hù)方案，提高學(xué)生綜合運(yùn)用信息安全技術(shù)解決實(shí)際問題的能力，較好地滿足了社會對信息安全人才的需求，深受信息安全等級保護(hù)技術(shù)服務(wù)機(jī)構(gòu)和已開展或擬開展信息系統(tǒng)安全等級保護(hù)的企事業(yè)及機(jī)關(guān)單位的歡迎，為學(xué)生畢業(yè)后盡快適應(yīng)工作要求奠定了基礎(chǔ)。

由于實(shí)驗(yàn)環(huán)境的限制，所制訂的基于信息安全等級保護(hù)的實(shí)訓(xùn)教學(xué)知識體系仍存在以下3點(diǎn)不足：①實(shí)訓(xùn)教學(xué)體系未涉及虛擬化、云計(jì)算、物聯(lián)網(wǎng)安全實(shí)訓(xùn)，而這些是當(dāng)前發(fā)展較快且正被廣泛運(yùn)用的信息技術(shù)；②由于滲透測試對測試環(huán)境搭建和學(xué)生基本技能要求較高，因而實(shí)訓(xùn)教學(xué)體系中并未涉及滲透測試項(xiàng)目；③信息安全管理在信息安全防護(hù)工作中是非常重要但卻最容易被忽視的工作內(nèi)容，可以說一個(gè)組織的信息安全管理水平高低直接決定其信息系統(tǒng)的安全防護(hù)能力。因?yàn)榘踩芾頊y評基本上采用的是制度類、證據(jù)類、記錄類文檔性資料的核查和訪談，而在實(shí)訓(xùn)中難以模擬一個(gè)完整的安全管理體系實(shí)際案例，所以在實(shí)訓(xùn)中安全管理部分更多地是采用課堂教學(xué)講解，沒有操作實(shí)訓(xùn)。 這些在后續(xù)教學(xué)實(shí)踐工作中都有待改進(jìn)。

參考文獻(xiàn)參考文獻(xiàn)：

[1]楊冬曉，嚴(yán)曉浪，于慧敏.信息類特色專業(yè)建設(shè)的若干實(shí)踐[J].中國電子教育，2010（1）：3945.

[2]田秀霞.創(chuàng)新實(shí)踐項(xiàng)目驅(qū)動的信息安全專業(yè)教學(xué)改革[J].計(jì)算機(jī)教育，2015（23）：3033.

[3]張勝生，呂緒銀.基于信息安全場景下的等級保護(hù)技術(shù)人才培養(yǎng)模式研究[C].第二屆全國信息安全等級保護(hù)測評體系建設(shè)會議論文集，2012：8385.

[4]李琳，陳東方，李濤，等.信息安全專業(yè)實(shí)踐教學(xué)體系研究[J].電腦知識與技術(shù).2014，10（35）：85148515.

[5]蔣煒.信息安全等級保護(hù)培訓(xùn)探討[J].現(xiàn)代企業(yè)研究，2015（2）：64.

[6]公安部信息安全等級保護(hù)評估中心.信息安全等級保護(hù)政策培訓(xùn)教程[M].北京：電子工業(yè)出版社，2015.

[7]公安部信息安全等級保護(hù)評估中心.信息安全等級測評師培訓(xùn)教程（中級） [M].北京：電子工業(yè)出版社，2015.

[8]公安部信息安全等級保護(hù)評估中心.信息安全等級測評師培訓(xùn)教程（初級） [M].北京：電子工業(yè)出版社，2015.

網(wǎng)絡(luò)安全等級保護(hù)評估范文第5篇

持續(xù)推動的等級保護(hù)

信息化技術(shù)標(biāo)準(zhǔn)委員會副主任委員崔書昆認(rèn)為，在基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全嚴(yán)重關(guān)系到國家安全、社會穩(wěn)定以及人民群眾切身利益的今天，信息安全問題已然成為事關(guān)全局的戰(zhàn)略性問題。近年來，有關(guān)部門圍繞信息安全保障體系建設(shè)，在信息安全等級保護(hù)、風(fēng)險(xiǎn)評估、標(biāo)準(zhǔn)制定、產(chǎn)品開發(fā)及打擊各種網(wǎng)絡(luò)違法犯罪活動等方面取得了積極進(jìn)展。在這種情勢下，將信息安全等級保護(hù)確定為提高國家信息安全保障能力，維護(hù)國家安全、社會穩(wěn)定和公共利益的一項(xiàng)基本制度，是非常必要的。

可以這樣理解，我國信息安全各項(xiàng)工作快速推進(jìn)，信息安全風(fēng)險(xiǎn)評估工作和保障體系建設(shè)、信息安全管理工作、信息安全法制化和規(guī)范化建設(shè)、信息化基礎(chǔ)設(shè)施和體系建設(shè)取得了重要的成效。特別是從2007年7月20號開始，全國重要信息系統(tǒng)定級工作已經(jīng)開始，并在各行業(yè)、各部門、各單位的支持下，取得了豐碩的成果。

從2008年開始，公安部會同國家保密局等部門，在重要信息系統(tǒng)定級工作的基礎(chǔ)之上，部署和開展深入推進(jìn)信息安全等級保護(hù)工作，它主要分為三個(gè)方面：

第一，依據(jù)國家行業(yè)標(biāo)準(zhǔn)，從管理和技術(shù)兩個(gè)方面，開展信息系統(tǒng)安全建設(shè)整改，建立并落實(shí)安全管理制度，落實(shí)安全責(zé)任制。

第二，根據(jù)等級保護(hù)標(biāo)準(zhǔn)開展風(fēng)險(xiǎn)評估、災(zāi)難備份、應(yīng)急處置、安全檢查等工作。

第三，對信息系統(tǒng)應(yīng)用的一些重要單位，開展等級保護(hù)工作檢查。

公安部網(wǎng)絡(luò)安全保衛(wèi)局郭啟全處長說：“目前全國范圍內(nèi)，大規(guī)模的重要系統(tǒng)定級工作已經(jīng)基本完成，相關(guān)資料目前集中到公安部進(jìn)行管理。定級工作的主要成效是了解重要信息系統(tǒng)的底數(shù)，掌握國家信息安全的基本情況，為全面貫徹落實(shí)信息安全等級保護(hù)制度，推動國家信息安全保障等工作的深入發(fā)展奠定堅(jiān)實(shí)的基礎(chǔ)。同時(shí)，某些地方、企業(yè)或者單位沒有完成定級工作，但會納入到我們下一階段的檢查工作當(dāng)中完成。另外，有些企業(yè)會隨后逐步執(zhí)行該工作，不會影響國家等級保護(hù)制度的大規(guī)模推動。”

實(shí)施等級保護(hù)，充分體現(xiàn)了“適度安全、保護(hù)重點(diǎn)”的目的，可以把國家的重要網(wǎng)絡(luò)、重要系統(tǒng)挑出來，把國家有限的精力、財(cái)力投入到信息保護(hù)當(dāng)中去，提高國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保護(hù)水平，同時(shí)提高信息安全保障工作的整體水平。

奧運(yùn)留下的財(cái)富

“2008年北京奧運(yùn)會的信息網(wǎng)絡(luò)安全工作給我們留下了很多財(cái)富。”郭啟全曾經(jīng)說過，奧運(yùn)會對我們國家的信息網(wǎng)絡(luò)安全工作進(jìn)行了一次大考。它既考驗(yàn)了我們國家信息網(wǎng)絡(luò)安全的工作，同時(shí)也考驗(yàn)了等級保護(hù)主管部門、公安部和很多部委的行業(yè)主管部門的信息安全工作。在這次大考中，各部門均表現(xiàn)得很優(yōu)秀。在北京奧運(yùn)會期間，無論是核心網(wǎng)絡(luò)還是信息系統(tǒng)，都遭受了大規(guī)模的攻擊和入侵，卻沒有出現(xiàn)相關(guān)安全事故，支撐北京奧運(yùn)會順利舉辦，這是我國信息網(wǎng)絡(luò)安全領(lǐng)域經(jīng)歷的考驗(yàn)。

實(shí)際上，奧運(yùn)會取得的經(jīng)驗(yàn)和公安部下一步等級保護(hù)工作之間存在密切的相關(guān)性。公安部和有關(guān)部委會借鑒奧運(yùn)會信息安全網(wǎng)絡(luò)經(jīng)驗(yàn)，充分利用好奧運(yùn)留下的財(cái)富，進(jìn)一步開展今后的工作。

記者了解到，在北京奧運(yùn)會之前，成立了以公安部牽頭的包括海關(guān)、銀行、廣電等14個(gè)部委參加的信息網(wǎng)絡(luò)安全指揮部。由于有了這樣的指揮部，使得各項(xiàng)工作的落實(shí)有了一個(gè)組織保障。如果沒有這個(gè)指揮部，大家各干各的，在北京奧運(yùn)會期間便無法保證重要系統(tǒng)和網(wǎng)絡(luò)的安全。

在2008年，國家安全的核心問題便是保障奧運(yùn)的安全，奧運(yùn)安全采取的第一個(gè)措施就是等級保護(hù)。郭啟全介紹說：“公安部把奧運(yùn)核心網(wǎng)絡(luò)和涉及奧運(yùn)會的系統(tǒng)都定級、備案，針對風(fēng)險(xiǎn)和重要性搞等級測評和風(fēng)險(xiǎn)評估，反復(fù)查找問題、漏洞、脆弱性和安全風(fēng)險(xiǎn)。從歷史經(jīng)驗(yàn)來看，總會有一些黑客試圖攻擊奧運(yùn)系統(tǒng)。所以，在這些黑客攻擊之前，我們就需要開始做嚴(yán)格的攻擊性自測。找到問題后進(jìn)行系統(tǒng)加固，并且是有針對性地進(jìn)行加固。這種安全建設(shè)、整改、加固還有等級測評，提升了我們的系統(tǒng)防范能力?！?/p>

郭啟全強(qiáng)調(diào)：“我們當(dāng)時(shí)還專門針對北京奧運(yùn)會提出了風(fēng)險(xiǎn)評估的指南。北京奧運(yùn)會期間最大的風(fēng)險(xiǎn)是什么？其實(shí)就是來自黑客的攻擊破壞，所以搞風(fēng)險(xiǎn)評估要針對最大的風(fēng)險(xiǎn)去做。舉個(gè)例子，我到國家體育總局去了三次，就是研究他們的網(wǎng)絡(luò)安全問題、網(wǎng)站安全問題，這就有針對性，搞等級保護(hù)、風(fēng)險(xiǎn)評估非常有針對性。這使得我們的風(fēng)險(xiǎn)找得準(zhǔn)，漏洞找得準(zhǔn)，問題找得準(zhǔn)，因此相關(guān)措施就有針對性?！?/p>

2009年的新工作

中國工程院院士沈昌祥指出，目前我國信息與網(wǎng)絡(luò)安全的防護(hù)能力還處于發(fā)展的初級階段，有些應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)。國防科技大學(xué)的一項(xiàng)研究表明，我國與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)管理中心有95%都遭到過境內(nèi)外黑客的攻擊或侵入，其中銀行、金融和證券機(jī)構(gòu)是攻擊重點(diǎn)。

由于奧運(yùn)網(wǎng)絡(luò)和信息系統(tǒng)開展了等級保護(hù)工作，并對等級保護(hù)工作的政策標(biāo)準(zhǔn)、工作環(huán)節(jié)進(jìn)行了檢驗(yàn)，所以等級保護(hù)下一步的工作部署將充分借鑒北京奧運(yùn)會的經(jīng)驗(yàn)，健全完善等級保護(hù)領(lǐng)導(dǎo)體制和協(xié)調(diào)配合機(jī)制，例如等級保護(hù)原來有些領(lǐng)導(dǎo)體制可能還要進(jìn)行補(bǔ)充，明確重點(diǎn)工作對象，比如說拿三級系統(tǒng)作為重點(diǎn)工作對象。

郭啟全說：“我們會嚴(yán)格落實(shí)責(zé)任制，認(rèn)真抓好三點(diǎn)工作，計(jì)劃三年內(nèi)完成安全系統(tǒng)的整改工作，總的目標(biāo)就是：能力提高，事故降低，等級保護(hù)制度得到落實(shí)，國家信息網(wǎng)絡(luò)安全基本得到保障。”

開展的重點(diǎn)工作主要分為三個(gè)方面。第一個(gè)方面是全面開展等級保護(hù)安全建設(shè)整改工作，要建設(shè)安全設(shè)施，落實(shí)安全措施，建立并落實(shí)安全管理制度，落實(shí)責(zé)任制。第二個(gè)方面是各單位建立安全整改工作規(guī)劃，完成定級系統(tǒng)整改規(guī)劃和制定具體實(shí)施方案。第三個(gè)方面是以三級以上系統(tǒng)為重點(diǎn)，確定安全需求，制定安全方案。“當(dāng)然，一些單位可能不太明白具體的操作辦法，屆時(shí)我們會選擇有代表性的信息系統(tǒng)進(jìn)行安全建設(shè)試點(diǎn)、示范，結(jié)合行業(yè)特點(diǎn)制定行業(yè)標(biāo)準(zhǔn)規(guī)范，按照有關(guān)工作實(shí)施的規(guī)范要求組織實(shí)施信息系統(tǒng)安全建設(shè)工程?！?/p>