【摘 要】建立的網絡安全評價指標是否合理和科學,關系到能否發揮評價的作用和功能�,即關系到能否通過評價來提高網絡安全水平���。指標選取的多少應合適�,每一項指標都是從一個方面反映了評價對象的某些信息����。欲想建立一套完善、合理�、科學的評價指標�����,應遵循科學性、全面性、可行性和穩定性共5個指導原則去建立一個評價指標體系。本文著重探討了信息系統網絡安全評價指標的建立�����。
【關鍵詞】信息系統 網絡安全 評價指標
根據國家網絡和信息系統的安全性要求�,結合多年的網絡管理經驗,從以下五個指標對信息系統網絡安全進行評價:
1.實體與環境安全
實體與環境指計算機設備及計算機網管人員工作的場所,這個場所內外的環境條件必須滿足計算機設備和網管人員的要求。對于各種災害、故障要采取充分的預防措施���,萬一發生災害或故障,應能采取應急措施,將損失降到最低限度��?����?梢詮囊韵聨讉€方面來檢查:
?�。?)機房周圍環境
機房是否建在電力、水源充足、自然環境清潔�����、通訊����、交通運輸方便的地方���。
?。?)機房周圍100m內有無危險建筑
危險建筑:指易燃、易爆�����、有害氣體等存在的場所���,如加油站�、煤氣站、煤氣管道等�。
?。?)有無監控系統
監控系統:指對系統運行的外圍環境��、操作環境實施監控(視)的設施����,及時發現異常����,可根據使用目的不同配備以下監視設備,如紅外線傳感器�����、監視攝像機等設備���。
(4)有無防火、防水措施
防火:指機房內安裝有火災自動報警系統�,或有適用于計算機機房的滅火器材,如鹵代烷1211和1301自動消防系統或滅火器����。
防水:指機房內無滲水���、漏水現象�,如機房上層有用水設施需加防水層�,有暖氣裝置的機房沿機房地面周圍應設排水溝,應注意對暖氣管道定期檢查和維修�����。是否裝有漏水傳感器��。
?�。?)機房有無環境測控設施(溫度、濕度和潔凈度)����,如溫濕度傳感器
溫度控制:指機房有空調設備�,機房溫度保持在18—24攝氏度����。
濕度控制:指相對濕度保持在40%—60%。
潔凈度控制:機房和設備應保持清潔�、衛生����,進出機房換鞋�,機房門窗具有封閉性能。
?。?)有無防雷措施(具有防雷裝置��,接地良好)
計算機機房是否符合GB 157《建筑防雷設計規范》中的防雷措施。
在雷電頻繁區域���,是否裝設有浪涌電壓吸收裝置���。
?��。?)有無備用電源和自備發電機
?。?)是否使用UPS
UPS:(Uninterruptible Power System),即不間斷電源���,是一種含有儲能裝置,以逆變器為主要組成部分的恒壓頻的不間斷電源���。主要用于給單臺計算機、計算機網絡系統或其它電力電子設備提供不間斷的電力供應。
?���。?)是否有防靜電措施(采用防靜電地板����,設備接地良好)
當采用地板下布線方式時�����,可鋪設防靜電活動地板��。
當采用架空布線方式時,應采用靜電耗散材料作為鋪墊材料。
通信設備的靜電地板、終端操作臺地線應分別接到總地線母體匯流排上定期(如一周)對防靜電設施進行維護和檢驗��。
?。?0)是否保證持續供電
設備是否采用雙路市電供電,提供冗余備份�,并配有實時告警監控設備��。是否與空調、照明用電分開���,專線供電。
?����。?1)是否有防盜措施
中心有人值班���,出入口安裝防盜安全門�����,窗戶安裝金屬防護裝置��,機房裝有無線電遙控防盜聯網設施。
2.組織管理與安全制度
(1)有無專門的信息安全組織機構和專職的信息安全人員
信息安全組織機構的成立與信息安全人員的任命必須有有關單位的正式文件���。
(2)有無健全的信息安全管理的規章制度
是否有健全的規章制度,而且規章制度上墻;是否嚴格執行各項規章制度和操作規程��,有無違章操作的情況���。
?�。?)是否有信息安全人員的配備���,調離有嚴格的管理制度
?����。?)設備與數據管理制度是否完備
設備實行包干管理負責制,每臺設備都應有專人負責保管(包括說明書及有關附件);在使用設備前���,應掌握操作規程,閱讀有關手冊,經培訓合格后方可進行相關操作����;禁止在計算上運行與業務無關的程序��,未經批準�����,不得變更操作系統和網絡設置���,不得任意加裝設備���。
?�。?)是否有登記建檔制度
登記建檔是做好網絡安全工作的前提,一些技術資料對網絡安全工作很重要���,要注意收集和保存?��?蓮囊韵聨讉€方面檢查相關文檔:
策略文檔(如,法規文件���、指示)、系統文檔(如�,系統用指南�、系統管理員手冊��、系統設計和需求文檔�、采購文檔)�、及安全相關的文檔(如以前的審計報告、風險評估報告���、系統測試結果、系統安全計劃���、安全策略)都可提供系統使用的或計劃的安全控制方面的信息。任務影響分析或資產重要性評估可提供有關系統和數據重要性及敏感性的信息�。
設計資料��,如網絡拓撲結構圖,綜合布線結構圖等��。
安裝資料�,包括安裝竣工及驗收的技術文件和資料����。
設備升級維修記錄等。
?����。?)是否有緊急事故處理預案
為減少計算機系統故障的影響����,盡快恢復系統�,應制定故障的應急措施和恢復規程以及自然災害時的措施����,制成手冊,以備參考����。
?���。?)是否有完整的信息安全培訓計劃和培訓制度
開展網絡安全教育是為了使所有人員了解網絡安全的基本常識及網絡安全的重要性�����,要堅持經常的�����、多樣化的安全教育工作,廣播���、圖片����、標語、報告培訓班都是可以采用的宣傳教育方式。
(8)各類人員的安全職責是否明確,能否勝任網絡安全管理工作
應對網絡管理人員嚴格分工��,使其職責分明��,要對網絡管理人員定期進行安全培訓及考核�����,對關鍵崗位人員,應該持有相應的認證。
3.安全技術措施
?�。?)是否有災難恢復的技術對策
是否為網絡中斷和災難做好準備�����,以及如何快速反應將中斷和損失降至最小����。災難恢復措施包括災難預防制度�����、災難演習制度及災難恢復制度�����。
(2)是否有系統安全審計功能
安全審計功能主要是監控來自網絡內部和外部的用戶活動,偵察系統中存在現有和潛在的威脅���,對與安全有關的活動的相關信息進行識別,記錄,存儲和分析��,安全審計系統往往對突發事件進行報警和響應��。
(3)是否有系統操作日志
系統操作日志:指每天開����、關機����,設備運行狀況等文字記錄��。
?。?)是否有服務器備份措施
服務器數據備份是預防災難的必要手段��。隨著對網絡應用的依賴性越來越強和網絡數據量的日益增加�����,企業對數據備份的要求也在不斷提高�。許多數據密集型的網絡����,重要數據往往存儲在多個網絡節點上,除了對中心服務器備份之外,還需要對其他服務器或工作站進行備份��,有的甚至要對整個網絡進行數據備份����,即全網備份。網絡備份需要專業備份軟件,Backup Exec就是其中的一種,是為中小企業提供的基于Windows 畢業論文網 平臺的網絡備份與恢復解決方案。
?�。?)是否有防黑客入侵設施
防黑客入侵設施主要是設置防火墻和入侵檢測等設施�����。
防火墻是為了監測并過濾所有內部網與外部網之間的信息交換,保護著內部網絡敏感的數據不被偷竊和破壞����,并記錄內外通訊的有關狀態信息日志�。防火墻有三種類型�,包括過濾防火墻、代理型防火墻和狀態監測型防火墻�����。
入侵監測系統處于防火墻之后對網絡活動進行實時檢測�。許多情況下,由于可以記錄和禁止網絡活動�����,所以入侵監測系統是防火墻的延續���。它們可以和防火墻和路由器配合工作�。它通過對計算機網絡或計算機系統中若干關鍵點收集信息并對其分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象����。
?��。?)是否有計算機病毒防范措施計算機病毒防范措施:備有病毒預防及消除的軟��、硬件產品,并能定期的升級�����。設置客戶端級防護��、郵件服務器級防護和應用服務器級防護�����。
4.網絡與通信安全
?。?)放置通信設施的場所是否設有醒目標志
從安全防范的角度考慮,安裝有關通信設備的地方不應加標志。配線架或MODEM柜應加鎖���,禁止無關人員入內。
?���。?)重要通信線路及通信控制裝置是否均有備份
重要的通信線雙重化以及線路故障時采用DDN通信線或電話線ISDN等后備功能�����;從計算中心連出的重要通信線路應采用不同路徑備份方式。
?�。?)是否采取加密措施
數據加密技術是保護傳輸數據免受外部竊聽的最好辦法���,其可以將數據變只有授權接收者才能還原并閱讀的編碼��。其過程就是取得原始信息并用發送者和接收者都知道的一種特殊信息來制作編碼信息形成密文��。
(4)系統運行狀態有無安全審計跟蹤措施
安全審計是模擬社會檢察機構在計算機系統中監視、記錄和控制用戶活動的一種機制。它是影響系統安全的訪問和訪問企圖留下線索,以便事后分析和追查�,其目標是檢測和判定對系統的惡意攻擊和誤操作�,對用戶的非法活動起到威懾作用,為系統提供進一步的安全可靠性��。
?���。?)網絡與信息系統是否加有訪問控制措施
訪問控制措施:指能根據工作性質和級別高低,劃分系統用戶的訪問權限�。對用戶進行分組管理���,并且應該是針對安全性問題而考慮的分組�。
5.軟件與信息安全
?���。?)操作系統及數據庫是否有訪問控制措施
把整個系統的用戶根據需要分為不同級別���;不同級別的用戶享有對系統的文件�、數據、網絡�����、進程等資源的權限���,并進行記費管理�����;還可根據不同的用戶設置不同的安全策略��,將超級用戶的權限細化(可分為系統管理員、安全管理員、數據庫管理員����、用戶管理員等)�����。
(2)應用軟件是否有防破壞措施
對應用程序安全的考慮可以遵循如下的方向:對通用應用,如消息傳遞��、文件保護�����、軟硬件交付等��,制定通用技術要求����;對于特定的復雜應用,可分解為通用應用����,同時考慮互操作性問題�。一般來講��,應用程序的安全機制應該包括以下內容:身份標識與鑒別���、數據保密性����、數據完整性����、數據可用性、配置管理等����。
?����。?)對數據庫及系統狀態有無監控設施
可以使用系統安全檢測工具來定期掃描系統,查看系統是否存在各種各樣的漏洞��。
(4)是否有用戶身份識別措施
身份認證與數字簽名策略,身份認證是證明某人或某物身份的過程���,當用戶之間建立連接時,為了防止非法連接或被欺騙,就可實施身份確認,以確保只有合法身份的用戶才能與之建立連接��。
?��。?)系統用戶信息是否采用備份
日常備份制度是系統備份方案的具體實施細則�,應嚴格按照制度進行日常備份��,否則將無法達到備份方案的目標���。此外�,還要認真完成一些管理工作��,如:定期檢查�,確保備份的正確性�����;將備份磁帶保存在異地一個安全的地方(如專門的磁帶庫)�����;按照數據增加和更新速度選擇恰當的備份數據。系統備份不僅備份系統中的數據�,還要備份系統中安裝的應用程序��、數據庫系統、用戶設置����、系統參數等信息�。
綜上所述����,利用科學的管理方法及以往的經驗,從硬件�、軟件����、內部�����、外部等方面對信息系統網絡安全從五個指標進行評價分析。
|
