【摘 要】建立的網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)是否合理和科學(xué)�����,關(guān)系到能否發(fā)揮評(píng)價(jià)的作用和功能��,即關(guān)系到能否通過(guò)評(píng)價(jià)來(lái)提高網(wǎng)絡(luò)安全水平��。指標(biāo)選取的多少應(yīng)合適���,每一項(xiàng)指標(biāo)都是從一個(gè)方面反映了評(píng)價(jià)對(duì)象的某些信息�。欲想建立一套完善����、合理、科學(xué)的評(píng)價(jià)指標(biāo)��,應(yīng)遵循科學(xué)性�����、全面性��、可行性和穩(wěn)定性共5個(gè)指導(dǎo)原則去建立一個(gè)評(píng)價(jià)指標(biāo)體系���。本文著重探討了信息系統(tǒng)網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)的建立�。
【關(guān)鍵詞】信息系統(tǒng) 網(wǎng)絡(luò)安全 評(píng)價(jià)指標(biāo)
根據(jù)國(guó)家網(wǎng)絡(luò)和信息系統(tǒng)的安全性要求���,結(jié)合多年的網(wǎng)絡(luò)管理經(jīng)驗(yàn)���,從以下五個(gè)指標(biāo)對(duì)信息系統(tǒng)網(wǎng)絡(luò)安全進(jìn)行評(píng)價(jià):
1.實(shí)體與環(huán)境安全
實(shí)體與環(huán)境指計(jì)算機(jī)設(shè)備及計(jì)算機(jī)網(wǎng)管人員工作的場(chǎng)所,這個(gè)場(chǎng)所內(nèi)外的環(huán)境條件必須滿足計(jì)算機(jī)設(shè)備和網(wǎng)管人員的要求��。對(duì)于各種災(zāi)害、故障要采取充分的預(yù)防措施��,萬(wàn)一發(fā)生災(zāi)害或故障���,應(yīng)能采取應(yīng)急措施��,將損失降到最低限度����?��?梢詮囊韵聨讉€(gè)方面來(lái)檢查:
?。?)機(jī)房周圍環(huán)境
機(jī)房是否建在電力��、水源充足�、自然環(huán)境清潔、通訊����、交通運(yùn)輸方便的地方。
?����。?)機(jī)房周圍100m內(nèi)有無(wú)危險(xiǎn)建筑
危險(xiǎn)建筑:指易燃、易爆��、有害氣體等存在的場(chǎng)所���,如加油站、煤氣站��、煤氣管道等����。
(3)有無(wú)監(jiān)控系統(tǒng)
監(jiān)控系統(tǒng):指對(duì)系統(tǒng)運(yùn)行的外圍環(huán)境��、操作環(huán)境實(shí)施監(jiān)控(視)的設(shè)施�,及時(shí)發(fā)現(xiàn)異常,可根據(jù)使用目的不同配備以下監(jiān)視設(shè)備���,如紅外線傳感器���、監(jiān)視攝像機(jī)等設(shè)備。
?���。?)有無(wú)防火���、防水措施
防火:指機(jī)房?jī)?nèi)安裝有火災(zāi)自動(dòng)報(bào)警系統(tǒng),或有適用于計(jì)算機(jī)機(jī)房的滅火器材����,如鹵代烷1211和1301自動(dòng)消防系統(tǒng)或滅火器。
防水:指機(jī)房?jī)?nèi)無(wú)滲水�����、漏水現(xiàn)象��,如機(jī)房上層有用水設(shè)施需加防水層��,有暖氣裝置的機(jī)房沿機(jī)房地面周圍應(yīng)設(shè)排水溝�,應(yīng)注意對(duì)暖氣管道定期檢查和維修。是否裝有漏水傳感器��。
?��。?)機(jī)房有無(wú)環(huán)境測(cè)控設(shè)施(溫度�、濕度和潔凈度)��,如溫濕度傳感器
溫度控制:指機(jī)房有空調(diào)設(shè)備����,機(jī)房溫度保持在18—24攝氏度�。
濕度控制:指相對(duì)濕度保持在40%—60%��。
潔凈度控制:機(jī)房和設(shè)備應(yīng)保持清潔��、衛(wèi)生��,進(jìn)出機(jī)房換鞋���,機(jī)房門窗具有封閉性能。
?。?)有無(wú)防雷措施(具有防雷裝置,接地良好)
計(jì)算機(jī)機(jī)房是否符合GB 157《建筑防雷設(shè)計(jì)規(guī)范》中的防雷措施���。
在雷電頻繁區(qū)域��,是否裝設(shè)有浪涌電壓吸收裝置���。
(7)有無(wú)備用電源和自備發(fā)電機(jī)
?��。?)是否使用UPS
UPS:(Uninterruptible Power System)���,即不間斷電源����,是一種含有儲(chǔ)能裝置����,以逆變器為主要組成部分的恒壓頻的不間斷電源。主要用于給單臺(tái)計(jì)算機(jī)���、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或其它電力電子設(shè)備提供不間斷的電力供應(yīng)�����。
?。?)是否有防靜電措施(采用防靜電地板�,設(shè)備接地良好)
當(dāng)采用地板下布線方式時(shí),可鋪設(shè)防靜電活動(dòng)地板��。
當(dāng)采用架空布線方式時(shí)��,應(yīng)采用靜電耗散材料作為鋪墊材料����。
通信設(shè)備的靜電地板��、終端操作臺(tái)地線應(yīng)分別接到總地線母體匯流排上定期(如一周)對(duì)防靜電設(shè)施進(jìn)行維護(hù)和檢驗(yàn)�。
?�。?0)是否保證持續(xù)供電
設(shè)備是否采用雙路市電供電�����,提供冗余備份�����,并配有實(shí)時(shí)告警監(jiān)控設(shè)備�����。是否與空調(diào)���、照明用電分開(kāi),專線供電�。
(11)是否有防盜措施
中心有人值班����,出入口安裝防盜安全門�,窗戶安裝金屬防護(hù)裝置��,機(jī)房裝有無(wú)線電遙控防盜聯(lián)網(wǎng)設(shè)施���。
2.組織管理與安全制度
?�。?)有無(wú)專門的信息安全組織機(jī)構(gòu)和專職的信息安全人員
信息安全組織機(jī)構(gòu)的成立與信息安全人員的任命必須有有關(guān)單位的正式文件���。
(2)有無(wú)健全的信息安全管理的規(guī)章制度
是否有健全的規(guī)章制度���,而且規(guī)章制度上墻����;是否嚴(yán)格執(zhí)行各項(xiàng)規(guī)章制度和操作規(guī)程��,有無(wú)違章操作的情況��。
?。?)是否有信息安全人員的配備,調(diào)離有嚴(yán)格的管理制度
?�。?)設(shè)備與數(shù)據(jù)管理制度是否完備
設(shè)備實(shí)行包干管理負(fù)責(zé)制,每臺(tái)設(shè)備都應(yīng)有專人負(fù)責(zé)保管(包括說(shuō)明書及有關(guān)附件)����;在使用設(shè)備前,應(yīng)掌握操作規(guī)程��,閱讀有關(guān)手冊(cè)��,經(jīng)培訓(xùn)合格后方可進(jìn)行相關(guān)操作�;禁止在計(jì)算上運(yùn)行與業(yè)務(wù)無(wú)關(guān)的程序,未經(jīng)批準(zhǔn)�����,不得變更操作系統(tǒng)和網(wǎng)絡(luò)設(shè)置���,不得任意加裝設(shè)備。
?���。?)是否有登記建檔制度
登記建檔是做好網(wǎng)絡(luò)安全工作的前提,一些技術(shù)資料對(duì)網(wǎng)絡(luò)安全工作很重要�,要注意收集和保存?��?蓮囊韵聨讉€(gè)方面檢查相關(guān)文檔:
策略文檔(如�����,法規(guī)文件����、指示)、系統(tǒng)文檔(如�,系統(tǒng)用指南、系統(tǒng)管理員手冊(cè)���、系統(tǒng)設(shè)計(jì)和需求文檔�����、采購(gòu)文檔)����、及安全相關(guān)的文檔(如以前的審計(jì)報(bào)告��、風(fēng)險(xiǎn)評(píng)估報(bào)告���、系統(tǒng)測(cè)試結(jié)果��、系統(tǒng)安全計(jì)劃����、安全策略)都可提供系統(tǒng)使用的或計(jì)劃的安全控制方面的信息。任務(wù)影響分析或資產(chǎn)重要性評(píng)估可提供有關(guān)系統(tǒng)和數(shù)據(jù)重要性及敏感性的信息��。
設(shè)計(jì)資料��,如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖��,綜合布線結(jié)構(gòu)圖等����。
安裝資料,包括安裝竣工及驗(yàn)收的技術(shù)文件和資料�����。
設(shè)備升級(jí)維修記錄等����。
?�。?)是否有緊急事故處理預(yù)案
為減少計(jì)算機(jī)系統(tǒng)故障的影響���,盡快恢復(fù)系統(tǒng)��,應(yīng)制定故障的應(yīng)急措施和恢復(fù)規(guī)程以及自然災(zāi)害時(shí)的措施�,制成手冊(cè),以備參考���。
?�。?)是否有完整的信息安全培訓(xùn)計(jì)劃和培訓(xùn)制度
開(kāi)展網(wǎng)絡(luò)安全教育是為了使所有人員了解網(wǎng)絡(luò)安全的基本常識(shí)及網(wǎng)絡(luò)安全的重要性��,要堅(jiān)持經(jīng)常的��、多樣化的安全教育工作�,廣播��、圖片���、標(biāo)語(yǔ)���、報(bào)告培訓(xùn)班都是可以采用的宣傳教育方式。
?���。?)各類人員的安全職責(zé)是否明確��,能否勝任網(wǎng)絡(luò)安全管理工作
應(yīng)對(duì)網(wǎng)絡(luò)管理人員嚴(yán)格分工���,使其職責(zé)分明,要對(duì)網(wǎng)絡(luò)管理人員定期進(jìn)行安全培訓(xùn)及考核��,對(duì)關(guān)鍵崗位人員��,應(yīng)該持有相應(yīng)的認(rèn)證��。
3.安全技術(shù)措施
?��。?)是否有災(zāi)難恢復(fù)的技術(shù)對(duì)策
是否為網(wǎng)絡(luò)中斷和災(zāi)難做好準(zhǔn)備���,以及如何快速反應(yīng)將中斷和損失降至最小。災(zāi)難恢復(fù)措施包括災(zāi)難預(yù)防制度��、災(zāi)難演習(xí)制度及災(zāi)難恢復(fù)制度�����。
?��。?)是否有系統(tǒng)安全審計(jì)功能
安全審計(jì)功能主要是監(jiān)控來(lái)自網(wǎng)絡(luò)內(nèi)部和外部的用戶活動(dòng)�����,偵察系統(tǒng)中存在現(xiàn)有和潛在的威脅����,對(duì)與安全有關(guān)的活動(dòng)的相關(guān)信息進(jìn)行識(shí)別���,記錄�,存儲(chǔ)和分析���,安全審計(jì)系統(tǒng)往往對(duì)突發(fā)事件進(jìn)行報(bào)警和響應(yīng)���。
(3)是否有系統(tǒng)操作日志
系統(tǒng)操作日志:指每天開(kāi)�����、關(guān)機(jī)����,設(shè)備運(yùn)行狀況等文字記錄。
?��。?)是否有服務(wù)器備份措施
服務(wù)器數(shù)據(jù)備份是預(yù)防災(zāi)難的必要手段��。隨著對(duì)網(wǎng)絡(luò)應(yīng)用的依賴性越來(lái)越強(qiáng)和網(wǎng)絡(luò)數(shù)據(jù)量的日益增加���,企業(yè)對(duì)數(shù)據(jù)備份的要求也在不斷提高���。許多數(shù)據(jù)密集型的網(wǎng)絡(luò),重要數(shù)據(jù)往往存儲(chǔ)在多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)上��,除了對(duì)中心服務(wù)器備份之外���,還需要對(duì)其他服務(wù)器或工作站進(jìn)行備份�����,有的甚至要對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)備份����,即全網(wǎng)備份����。網(wǎng)絡(luò)備份需要專業(yè)備份軟件,Backup Exec就是其中的一種���,是為中小企業(yè)提供的基于Windows 畢業(yè)論文網(wǎng) 平臺(tái)的網(wǎng)絡(luò)備份與恢復(fù)解決方案�。
(5)是否有防黑客入侵設(shè)施
防黑客入侵設(shè)施主要是設(shè)置防火墻和入侵檢測(cè)等設(shè)施���。
防火墻是為了監(jiān)測(cè)并過(guò)濾所有內(nèi)部網(wǎng)與外部網(wǎng)之間的信息交換,保護(hù)著內(nèi)部網(wǎng)絡(luò)敏感的數(shù)據(jù)不被偷竊和破壞�,并記錄內(nèi)外通訊的有關(guān)狀態(tài)信息日志。防火墻有三種類型��,包括過(guò)濾防火墻��、代理型防火墻和狀態(tài)監(jiān)測(cè)型防火墻����。
入侵監(jiān)測(cè)系統(tǒng)處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)。許多情況下���,由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng)����,所以入侵監(jiān)測(cè)系統(tǒng)是防火墻的延續(xù)���。它們可以和防火墻和路由器配合工作���。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其分析��,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象����。
?��。?)是否有計(jì)算機(jī)病毒防范措施計(jì)算機(jī)病毒防范措施:備有病毒預(yù)防及消除的軟�、硬件產(chǎn)品��,并能定期的升級(jí)���。設(shè)置客戶端級(jí)防護(hù)��、郵件服務(wù)器級(jí)防護(hù)和應(yīng)用服務(wù)器級(jí)防護(hù)��。
4.網(wǎng)絡(luò)與通信安全
?�。?)放置通信設(shè)施的場(chǎng)所是否設(shè)有醒目標(biāo)志
從安全防范的角度考慮��,安裝有關(guān)通信設(shè)備的地方不應(yīng)加標(biāo)志��。配線架或MODEM柜應(yīng)加鎖����,禁止無(wú)關(guān)人員入內(nèi)。
?��。?)重要通信線路及通信控制裝置是否均有備份
重要的通信線雙重化以及線路故障時(shí)采用DDN通信線或電話線ISDN等后備功能���;從計(jì)算中心連出的重要通信線路應(yīng)采用不同路徑備份方式���。
?��。?)是否采取加密措施
數(shù)據(jù)加密技術(shù)是保護(hù)傳輸數(shù)據(jù)免受外部竊聽(tīng)的最好辦法,其可以將數(shù)據(jù)變只有授權(quán)接收者才能還原并閱讀的編碼��。其過(guò)程就是取得原始信息并用發(fā)送者和接收者都知道的一種特殊信息來(lái)制作編碼信息形成密文��。
?�。?)系統(tǒng)運(yùn)行狀態(tài)有無(wú)安全審計(jì)跟蹤措施
安全審計(jì)是模擬社會(huì)檢察機(jī)構(gòu)在計(jì)算機(jī)系統(tǒng)中監(jiān)視��、記錄和控制用戶活動(dòng)的一種機(jī)制���。它是影響系統(tǒng)安全的訪問(wèn)和訪問(wèn)企圖留下線索�����,以便事后分析和追查���,其目標(biāo)是檢測(cè)和判定對(duì)系統(tǒng)的惡意攻擊和誤操作����,對(duì)用戶的非法活動(dòng)起到威懾作用���,為系統(tǒng)提供進(jìn)一步的安全可靠性���。
(5)網(wǎng)絡(luò)與信息系統(tǒng)是否加有訪問(wèn)控制措施
訪問(wèn)控制措施:指能根據(jù)工作性質(zhì)和級(jí)別高低���,劃分系統(tǒng)用戶的訪問(wèn)權(quán)限���。對(duì)用戶進(jìn)行分組管理,并且應(yīng)該是針對(duì)安全性問(wèn)題而考慮的分組�����。
5.軟件與信息安全
(1)操作系統(tǒng)及數(shù)據(jù)庫(kù)是否有訪問(wèn)控制措施
把整個(gè)系統(tǒng)的用戶根據(jù)需要分為不同級(jí)別��;不同級(jí)別的用戶享有對(duì)系統(tǒng)的文件���、數(shù)據(jù)����、網(wǎng)絡(luò)���、進(jìn)程等資源的權(quán)限�,并進(jìn)行記費(fèi)管理����;還可根據(jù)不同的用戶設(shè)置不同的安全策略�����,將超級(jí)用戶的權(quán)限細(xì)化(可分為系統(tǒng)管理員��、安全管理員�����、數(shù)據(jù)庫(kù)管理員、用戶管理員等)���。
?��。?)應(yīng)用軟件是否有防破壞措施
對(duì)應(yīng)用程序安全的考慮可以遵循如下的方向:對(duì)通用應(yīng)用,如消息傳遞���、文件保護(hù)�、軟硬件交付等�,制定通用技術(shù)要求;對(duì)于特定的復(fù)雜應(yīng)用���,可分解為通用應(yīng)用����,同時(shí)考慮互操作性問(wèn)題�。一般來(lái)講,應(yīng)用程序的安全機(jī)制應(yīng)該包括以下內(nèi)容:身份標(biāo)識(shí)與鑒別���、數(shù)據(jù)保密性�、數(shù)據(jù)完整性��、數(shù)據(jù)可用性�����、配置管理等���。
(3)對(duì)數(shù)據(jù)庫(kù)及系統(tǒng)狀態(tài)有無(wú)監(jiān)控設(shè)施
可以使用系統(tǒng)安全檢測(cè)工具來(lái)定期掃描系統(tǒng)���,查看系統(tǒng)是否存在各種各樣的漏洞��。
?�。?)是否有用戶身份識(shí)別措施
身份認(rèn)證與數(shù)字簽名策略�,身份認(rèn)證是證明某人或某物身份的過(guò)程��,當(dāng)用戶之間建立連接時(shí)���,為了防止非法連接或被欺騙,就可實(shí)施身份確認(rèn)���,以確保只有合法身份的用戶才能與之建立連接����。
(5)系統(tǒng)用戶信息是否采用備份
日常備份制度是系統(tǒng)備份方案的具體實(shí)施細(xì)則��,應(yīng)嚴(yán)格按照制度進(jìn)行日常備份�����,否則將無(wú)法達(dá)到備份方案的目標(biāo)����。此外,還要認(rèn)真完成一些管理工作�,如:定期檢查,確保備份的正確性����;將備份磁帶保存在異地一個(gè)安全的地方(如專門的磁帶庫(kù));按照數(shù)據(jù)增加和更新速度選擇恰當(dāng)?shù)膫浞輸?shù)據(jù)�。系統(tǒng)備份不僅備份系統(tǒng)中的數(shù)據(jù),還要備份系統(tǒng)中安裝的應(yīng)用程序�、數(shù)據(jù)庫(kù)系統(tǒng)、用戶設(shè)置���、系統(tǒng)參數(shù)等信息�。
綜上所述���,利用科學(xué)的管理方法及以往的經(jīng)驗(yàn)����,從硬件、軟件��、內(nèi)部���、外部等方面對(duì)信息系統(tǒng)網(wǎng)絡(luò)安全從五個(gè)指標(biāo)進(jìn)行評(píng)價(jià)分析��。
|
