网络与信息系统安全性评估及其指标体系的研究

《现代电子技术》2003年第9期总第152期信息与安全网络与信息系统安全性评估及其指标体系的研究郭振民, 胡学龙, 姜会亮(扬州大学信息工程学院　江苏扬州　225009)摘　要:阐述了网络与信息系统安

《现代电子技术》2003年第9期总第152期信息与安全

网络与信息系统安全性评估及其指标体系的研究

郭振民, 胡学龙, 姜会亮

(扬州大学信息工程学院　江苏扬州　225009)

摘　要:阐述了网络与信息系统安全性评估的意义、概念与原则, 提出的信息系统安全性评估指标体系简明、实用、可操作性强。对构建网络与信息系统的安全保障体系具有一定的指导意义。

关键词:网络安全; 信息安全; 安全性评估; 指标体系

中图分类号:T P 393. 08　　　　　文献标识码:A 　　　　　文章编号:1004373X (2003) 0900903

Security Evaluation of Network and Inf ormation System and Its Index System ′s Research

G U O Zhenmin, HU X uelong , JIA N G Huiliang

(Informa tion Eng i neeri ng Co llege, Yangzhou Universi t y, Yangzhou, 225009, China)

Abstract :Expounds the significance, concept ion and pr inciple of the ev aluation of netw o rk and infor matio n system secur ity. Its index sy stem, w hich is concise, pra ctical and easy to o per ate, may co nt ribute to the dev elo pment o f the secur ity sy st em o f netw or k and info rm atio n sy st em.

Keywords :netw or k secur ity ; infor matio n secur ity ; security ev aluat ion ; index sy st em

1　引　言

网络与信息系统的安全性评估, 在信息系统的安全技术管理中占有十分重要的地位, 是构建系统总体安全策略中一个不可缺少的组成部分。

第一, 网络与信息系统在受到恶意攻击, 因管理上的疏忽和发生意外事故的情况下, 能否连续工作, 能否保证信息的完整性、机密性和可用性, 是人们极为关注的问题。这就需要对网络与信息系统在各种威胁下, 是否具有足够的保护能力进行客观的评价。

第二, 通过对网络与信息系统各种安全机制、安全活动的全程动态检查与定量的客观评判, 就可以发现其存在的薄弱环节。从而采取相应措施, 杜绝不安全隐患, 有利于把未来可能发生的风险降至最小。

第三, 网络与信息系统的安全性要求, 往往因其处理信息的秘级、系统的用途以及应用环境的不同而有较大的差别。反映在安全性评估指标体系上应有量的概念, 这就需要把定性的分析上升为定量的计算。

第四, 网络与信息系统是一个复杂的系统工程, 既有硬件, 又有软件, 既有外部影响, 又有内部因素, 而且许多方面是相互制约的; 加之, 因人们看问题的角度不同, 同一个系统得出的结论也不尽相同。因此, 必

收稿日期:200302

12

须有一个规范的、统一的、客观的标准进行评价。

本文讨论的网络与信息系统安全性评估指标体系, 正是在这一背景下提出的。2　概念与原则

2. 1　概　念

网络与信息系统的安全性评估, 就是运用系统工程的方法, 对各种信息系统的安全防护措施、管理机制以及二者结合所产生的客观效果, 按照统一的、规范的安全等级标准, 做出是否安全的结论。实质上, 是对网络与信息系统在各种威胁下, 是否具有足够的抗攻击能力的一种评价和测定。

2. 2　制定系统安全性评估指标体系的原则

根据国家对网络与信息系统安全性的基本要求, 结合多年从事信息安全管理工作的实际体会。我们认为, 在制定系统安全性评价指标体系时应遵循如下原则:

(1) 符合国家有关信息与信息系统安全的法律和法规。

(2) 满足用户及应用环境对信息系统提出的安全性要求。

(3) 具有良好的可操作性, 便于实施。(4) 简明、实用、可行、经济。

郭振民等:网络与信息系统安全性评估及其指标体系的研究

3　网络与信息系统安全性评估指标体系

初步拟定, 整个指标体系, 包括5个大项, 35个条款。3. 1　纲　目

如表1所示。

表1　指标体系纲目

类　别实体与环境安全组织管理与安全制度安全技术措施网络通信安全软件与信息安全

地　位基础关键保障重点重点

分　值30分300分30 分20分10分10

中心有人值班, 出入口安装防盗安全门, 窗户安装金属防护装置, 机房装有无线电遥控防盗联网设施。3. 2. 2　组织管理与安全制度(30分)

(11) 有专门的信息安全组织机构和专职的信息安全人员。(4分)

信息安全组织机构的成立与信息安全人员的任命必须有有关单位的正式文件。

(12) 有健全的信息安全管理的规章制度。(4分)

有规章制度的得2分, 上墙的得2分。

(13) 信息安全人员的配备, 调离有严格的管理制度。(4分)

(14) 设备与数据管理制度完备, 并且上墙。(4分)

(15) 有详尽的工作手册和完整的工作纪录。(4分)

(16) 有紧急事故处理预案。(3分)

(17) 有完整的信息安全培训计划和培训制度。(4分)

(18) 各类人员的安全职责明确, 安全管理制度严格。(4分)

3. 2. 3　安全技术措施(20分)

(19) 有灾难恢复的技术对策。(3分)

(20) 采取开发工作与业务工作分离措施。(2分) (21) 具有应用业务。系统安全审计功能。(3分) (22) 有系统操作日志。(3分)

系统操作日志:指每天开、关机, 设备运行状况等文字记录。

(23) 有服务器备份措施。(4分) (24) 有防黑客入侵设施。(3分)

防黑客入侵设施:设置防火墙, 有入侵检测等设施。

(25) 有计算机病毒防范措施。(2分)

计算机病毒防范措施:备有病毒预防及消除的软、硬件产品, 并能定期升级。3. 2. 4　网络与通信安全(10分)

(26) 放置通信设施的场所设有醒目标志。(2分) (27) 重要通信线路及通信控制装置均有备份。(2分)

(28) 采取加密措施。(2分)

(29) 系统运行状态有安全审计跟踪措施。(2分) (30) 网络与信息系统加有访问控制措施。(2分) 访问控制措施:指能根据工作性质和级别高低, 划分系统用户的访问权限。

3. 2. 5　软件与信息安全(10分)

(31) 操作系统及数据库有访问控制措施。(2分)

3. 2　细　则

3. 2. 1　实体与环境安全(30分)

(1) 机房周围100m 内无危险建筑。(2分)

危险建筑:指易燃、易爆、有害气体等存在的场所, 如加油站、煤气站、煤气管道等。

(2) 有监控系统。(3分)

监控系统:指对系统运行的外围环境、操作环境实施监控(视) 的设施。

(3) 有放火、防水措施。(2分)

防火:指机房内安装有火灾自动报警系统, 或有适用于计算机机房的灭火器材、应急计划及相关制度。

防水:指机房内无渗水、漏水现象, 如机房上层有用水设施需加防水层。

(4) 机房有环境测控设施(温度、湿度和洁净度) 。(5分)

温度控制:指机房有空调设备, 机房温度保持在18～24℃。

湿度控制:指相对湿度保持在40～60。洁净度控制:机房和设备应保持清洁、卫生, 进出机房换鞋, 机房门窗具有封闭性能。

(5) 有防雷措施(具有防雷装置, 接地良好) 。(2分)

防雷装置:指机器设备有接地措施, 电器设备(包括通信设备和电源设备) 有防雷设施。

(6) 备用电源和自备发电机。(2分) (7) 使用U PS 。(2分)

(8) 防静电措施(采用防静电地板, 设备接地良好) 。(2分)

(9) 专线供电(与空调、照明用电分开) 。(5分) (10) 防盗措施。(5分)

《现代电子技术》2003年第9期总第152期

(32) 应用软件、系统信息有防破坏措施。(2分) (33) 对数据库及系统状态有监控设施。(2分) (34) 有用户身份识别措施。(2分) (35) 系统用户信息采用异地备份。(2分) 4　结　语

经江苏油田信息中心、扬州大学网管中心等单位的试用表明, 本文提出的网络与信息系统安全性评估指标体系, 简单、易行、可操作性强, 对定量评价网络与信息系统的安全性有指导意义。

参　考　文　献

信息与安全

[1]　郭振民, 姜楠, 陈琳. 信息安全发展策略的思考[J]. 微电子与计算机, 2002(4) .

[2]　关义章, 戴宗坤. 信息系统安全工程学[M ].

北京:电子工业出版社, 2002.

[3]　潘立军, 等. 网络通信中的基本安全技术[J].

网络安全技术与应用, 2002(7) . [4]　万里威. 网络通信中的数据安全技术[J ]. 网

络安全技术与应用, 2002(7) .

作者简介　郭振民　男, 扬州大学信息工程学院教授。主要研究方向:信息安全与信息对抗, 信号与信息处理。

胡学龙　男, 扬州大学信息工程学院副教授, 江苏省“333跨世纪学术技术带头人”。主要研究方向:多维信息处理与多媒体技术, 信息系统与信息安全。

姜会亮　男, 扬州大学信息工程学院信号与信息处理专业硕士研究生。

(上接第8页)

只有当工作机发生某种故障而当机时, 备份机才取得

资源对象的全部管理权限, 而且这种权限也是独占的。

参　考　文　献

[1]　DataW ar e for w indow s NT [S]. Installation

Reference Guide Rev . 2Copyright 1997, 1998

-2000ProWare Technolog y Corp. 16.

1

6

[2]　ZXB 10(V 2. 1. 2) 多业务路由交换机技术手册

[S ]. ZT E 中兴深圳市通讯股份有限公司, 2002, 1. 5859, 7375.

作者简介　王喜成　男, 1966年出生, 河南西平人, 工程师, 1988年毕业于解放军信息工程学院, 获学士学位。现从事通信

技术工作。

台湾地区最大民营银行“

抢滩”上海

产业看台

　　台湾地区第一商业银行上海代表处近日宣告成立。作为台湾地区最大的民营银行, 第一商业银行成立百年来, 历史已横跨三个世纪。根据该行的战略规划, 这家“百年老店”正逐步实现其全球化银行梦想。专程前来庆贺开业的台湾地区第一商业银行总经理蔡哲雄在接受采访时表示, 设立上海代表处是第一商业银行全球化战略的重要部署。

在第一商业银行之前, 已有台湾地区的银行选择来上海或周边地区, 蔡哲雄承认:“上海是个国

际化都市, 也是未来重要的国际金融中心, 而且, 上海及周边是台商聚集地。今后进一步开设分行时, 我们也不排除进入其他台商聚集地。此外, 还有第一商业银行全球化战略部署的考虑, 我们已经在新加坡、越南和香港特别行政区设置分行, 再加上上海, 把这几个点连起来看, 会发现这里有亚洲地区最具竞争力的市场。设立上海代表处对第一商业银行来说, 是全球化部署的重要起步。”

(华　夏)