等保测评中的问题与建议

news2024/11/23 15:53:28

随着信息技术的广泛使用和飞速发展,网络安全已逐渐演变为威胁经济社会发展的关键议题。信息安全的范围涵盖了政治、商务、军事、教育等多个方面。其中,信息的存储、分享以及管理,主要取决于政府的宏观规划和决策、商业运作的信息、银行的财务流动、股票、能源、科学研究的数据等关键信息的强有力支持。信息是一种独一无二的资产,存在被非法篡改、伪装、盗用和截获的安全风险,可能会引发信息泄露,对信息化进程产生负面影响。自21世纪初开始,信息安全问题越来越受到政府的重视。实施信息安全等级保护体系,成为处理信息安全威胁、迅速识别出信息系统缺陷的一项关键行动。执行信息安全的分级防护体系可以增强信息安全的防御效果与质量,保卫国家的安全、社会的稳定,推动信息技术的良性发展。

图片

等级保护测评管理系统的必要性

国家将信息安全的等级保护视为一项关键的信息安全管理体系。其中,等级保护的评估则是这项任务的核心与挑战。这项评估活动需要投入大量的时间与精力,并且需要相应的专业知识,同时,其得出的结论也可能存在一定的主观性。尽管学术界与专门的评价机构已经针对某些安全性的评价方案或评价工具进行了探索,然而,在实际应用中,这些评价的成果与数据往往无法被公开与深入地解析。因此,通过等级保护评价管理系统,能够在节省人力、规定评价过程、统一评价标准的基础上,对大批、大型、复杂的信息系统进行同步评价,既能实现评价的高效性,又能做到全方位的精确性,从而显著地提高评价的质量。

信息安全等保测评实施过程分析

根据国家的信息安全等级保障体系进行的等级评价,是由相关的管理规范和科学规范制约的。针对某一特殊的应用场景的信息系统,使用安全科学的评价以及安全管理的评价手段,监控并评价其防护状况,以此判断待测系统的科学性和管理等级是否满足预期的安全等级需求。依据满足性,评估其是否达到了预设的安全标准,并给出未达标的安全修正计划。在网络信息系统的完整使用过程中,对其进行层次划分与存储是确保信息安全的关键步骤。对于信息系统的层次划分,需遵循“自动评估、专家审核、管理部门批准、公安部门审查”的准则。在安全设计与执行的过程中,依照整体的信息系统安全规划,并且与信息系统的安全建设项目规划相配套,逐一执行各种安全策略。在执行等级保护的过程中,安全的操作与维护是保证信息系统能够稳定运行的关键。

图片

网络信息安全等级保护测评方法分析

1.对测评对象进行确定

当网络结构图的一致性不足、用户的业务系统过于庞大时,网络系统将变得极其复杂,对目标的评估也将面临一些挑战。因此,要明确用户的访问路线,并依据这些信息对互联网实物进行评估。当选择网络评估实物的时候,必须依据用户的访问路线,把各种类别的用户纳入到同一地带,并选择他们的特定连接地点作为初始地,调整业务系统内的应用服务器的位置,按照预先规划的步骤把网关设备纳入,使得所有的网关设备都能有效地构成网关设备的路线。以每个网络连接设施的访问路径为特定的评估目标,按照各自的路线把全部的公用节点整合到一起。网络连接器的种类繁多,包括防火墙、交流电源等,其中一些被归为网络连接器,这些连接器通常呈现出一种透明的状态,即所有相互连接的设备均被归为此种类别。

2.测评对象配置和状态数据的获取

使用命令行管理模式,能够从设备的版本号、路由表和日志状况等多种信息中获得所需的信息,这些信息大多以文字格式呈现。在具体的操作步骤里,首先创建一份测试操作手册,接着把所有必须使用的命令列出来,并且根据列表的排序来展示。这种做法极大地简化了测试工作者的日常任务,只需依照列表的顺序执行相应的命令,最后才能打开终端。需要把屏幕上的信息做好记录,然后把它们保存在文档中,这极大地增强了实地考察的效能。对于Web界面的管理,有许多不同的设备制造商,可供选择的类型非常丰富,并且它们的配置方法各不相同,给评估工作人员的选择带来了极大的便利。他们通常会使用截图的方式收集信息,目的是提升工作效率。因为绝大多数的信息都是以图像的形态呈现,有些设备甚至可以支持日志文档或策略指南的输出,即所谓的按照此类格式保存信息。在进行网络拓扑图的旁路安全设备和数据获取的验证流程中,只有在链接路径的末端,并非由商用计算机设备构成的情况下,才能识别出旁路设备。

3.信息安全风险评估

在评估信息安全的潜在风险时,应该依照风险管理的原则,运用科学的方法深入研究系统中的潜在问题和风险。针对可能出现的安全事件,需要做出评估,并依据这些危险制定合适的防护方案。通过实施这个方法,可以有效地应对信息安全的隐患,并将其控制在合适的范围内,从而确保信息安全的有效防御。当对风险进行评估时,三个关键因素是财富、可能的威胁以及容易受损的部分,每个因素都有其独特性。财富的优先级则由其价值决定。威胁的因素可能是对威胁执行者的威胁,也可能是推动力。对于容易遭受破坏的区域,主要揭示了财富的脆弱性和其严重性。在探讨风险的过程中,需要思考许多因素。

首先,必须精确地识别出资产,接着对其价值进行评估。同时,也需要识别出可能的威胁,并详尽地描述其特性,以便更深刻地理解威胁如何影响其价值。另外,需要精确掌握和评价其脆弱性,并根据其可能导致的经济损害的严重程度定义其等级。为了辨认出潜在风险所带来的脆弱性,必须运用科学的方法测定其可能导致的安全事故的风险。根据这种脆弱性的实际严重程度,需要明确应对该种安全事故的财务回报,同时也要预估由此带来的财务伤害。对于可能的安全事故的破坏以及其带来的后果,需要进行评估,即需要计算的风险指标。

4.保护能力构成框架

此框架为信息系统的等级防御和防御能力的建立提供了理论支持。一方面,该框架明确展示了信息系统的安全等级防御所需的防御能力结构;另一方面,它给予操作者执行系统安全等级防御强大的支持,以此保障安全目标的顺畅执行,达到预设的防御效果,让信息系统拥有对抗安全风险的能力。这需要在两个层次上实施。

第一个层次是技术层次,也就是对业务信息与系统服务的安全性进行有效的保障。这个层次主要体现在三个方面:防护、检测、恢复响应。这三个部分各自代表了业务信息与系统服务的安全性,包括防护、检测和恢复响应的能力。第二个层次是管理,通过科学且高效的管理,可以强化信息系统的安全性。如果从安全管理的视角分析,这种方法涵盖了四个主要的部分:规章制度、团队成员、安全建设和安全操作。这种方法有助于更好地理解信息系统的安全管理元素,并且可以清楚地知道信息系统在运作期间所执行的所有安全管理任务。因此,安全管理的核心功效在于展示了信息系统的标准化、团队协作、安全项目的确认性及其稳定性。

5.持续开展网络安全等级保护测评

为了最大限度地保障信息系统的网络安全、完善、平稳且高效的操作,并且能够实现即时、符合标准且安全的获取、存储、分享和利用信息,业务主管需要遵循公司所有职员均可参加的普遍准则,持续进行与信息系统的网络安全、保密等级以及防护等级的评价任务。而这些网络安全的评价和防护等级必须严格按照公司管理层的大部分核心职员的标准执行。主要目标是增强企业员工对于互联网及安全技术的了解,让他们深刻领会到自己的重大安全职责,并且让他们熟练运用所需的技能,熟知并应用网络及安全防护的各种策略和科学原则。因此,企业要经常进行培训,评价和研究其网络与安全技术的稳定性及其严重程度,同时也要收集员工所需的多样化的专业技术援助,从而实现企业的长期稳定发展。

图片

风险控制建议

关于评估的风险性,需要在平时的任务执行、评估流程的预备、计划设计、实地考察等环节进行管理。这些风险性主要被划分为三个类别:

1.敏感信息泄露防范

为了避免敏感信息的泄露,必须从人员管理和设备管理两个层面入手。在人员管理方面,通过执行安全管理措施加强对信息安全的教育,提高大众的信息安全认知,以降低主观上泄露被测单位信息的可能性;此外,应当采取保密协议,以保证在评估人员泄露了被测单位的信息后,对其进行追责,必要时通过法律手段解决。因此,所有的评价组织都必须建立适当的条例,定期对员工进行教育,同时为员工的雇佣、解雇等相关流程设定清晰的标准,可以防止从个人角度泄漏检验组织的敏感数据。在设备管理方面,必须注重保障存储媒介的安全,同时也要注意对工作电脑的恶意代码的防范。针对那些专门用来记录待检单位数据的设备,必须做好全面的维护,设立完善的条例和审核步骤,以防止这些设备出现混乱。

2.系统功能验证风险防范

在执行等级保护的评估流程时,主要采用了面谈、审核以及测试三种手段。当观察设备的配置时,错误的操作很可能导致待测系统出现问题。同时,在实施测试的阶段,比如输入数据的审核,也可能因为这个步骤的审核而给信息系统带来损害。为了防止系统功能的验证出现问题,需要在预备阶段对待测的信息系统进行全面了解,不仅需要搜集必需的数据,也需要审阅相关的开发文档以及配置指南,尽量减少可能存在的功能验证风险。例如,通过阅读信息系统的源代码或者说明文档确认待测的信息系统是否满足相同的功能需求。为了避免错误操作导致的危害,需要在评估前的准备过程中设计适当的紧急计划。在测试前,应急预案必须经过被测单位的审查,以确认其有效性。同时,重要的信息系统也需要进行备份。

3.工具测试风险防范

工具的审查有可能干扰网络的流量和设备的操作情况,同时,渗透性的审查也有可能损害系统的效率。因此,在进行评估之前,需要全方位地了解扫描系统的操作方式,并对待测部门的设备操作情况、网络流量等多个方面进行深入研究。在构建扫描方案的过程中,需要尽量避开网络拥塞或设备过度忙碌的时段,同时也需要为待审查的信息系统设计一个安全的扫描方案。

结语

综上所述,风险时刻存在,唯有对整体的信息系统做出深入的审查,同时考虑到系统的具体情况,才能尽量减少测试方式的潜在危害,以便确保每一个项目的测试分析都能够高效地执行。

来源:《网络安全和信息化》杂志

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1869955.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

字节跳动发布的Coze,可以免费使用GPT-4o模型了

Coze是字节跳动推出的一个AI聊天机器人和应用程序编辑开发平台,可以理解为字节跳动版的GPTs。无论用户是否有编程经验,都可以通过该平台快速创建各种类型的聊天机器人、智能体、AI应用,并将其部署在社交平台和即时聊天应用程序中,…

丝杆支撑座:滚珠丝杆稳定运行的守护者!

丝杆支撑座是丝杆和电机之间连接的重要组成部分,发挥着非常重要的功能。提到丝杆支撑座和滚珠丝杆,很多人都会想到支撑关系,但丝杆支撑座作为滚珠丝杆系统中至关重要的角色,其作用远不止于简单的支撑。 丝杆支撑座安装过程非常简单…

解锁横向招聘:创新您的人才搜索

技能差距仍然是面试官面临的问题之一。在这些空缺职位中,很难找到合适的技能候选人,特别是高级职位或以上职位。另一方面,申请人也发现很难找到一份适合自己的工作,因为他们抱怨工作要求太窄或太具体。在具有挑战性的职位招聘环境…

目标检测之YoloV1

一、预测阶段(前向推断) 在预测阶段Yolo就相当于一个黑箱子,输入的是448*448*3的图像,输出是7*7*30的张量,包含了所有预测框的坐标、置信度和类别 为什么是7*7*30呢? --将输入图像划分成s*s个grid cell&a…

深海电波,智能驾驭:海上发电系统中的先进网关技术

随着技术的不断演进,海上风电场逐渐走向深海,随之而来的高速通信保障成为一大难题。同时,海上风电特殊的环境与部署技术,也给运维带来了作业难、成本高、响应慢等困难。通过在沿海岸边建立高站,结合超远覆盖、载波聚合…

Packer-Fuzzer一款好用的前端高效安全扫描工具

★★免责声明★★ 文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将信息做其他用途,由Ta承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 1、Packer Fuzzer介绍 Packer Fuzzer是一款针对Webpack…

SAP 免费退货销售订单类型配置简介

作为一名 SD顾问,必须具备熟悉系统和系统配置,但是之前都是做的PP顾问,现在用户需要新增了一个销售订单类型,所以自己研究销售订单类型的配置,才有了以下的文章,希望对各位学习的同学有所帮助 1、创建销售…

如何有效降低云消息使用成本?涂鸦Pulsar云消息史诗级大更新来了!超级干货攻略快收藏

月末了,相信大家都会有信用卡额度超支的担忧,生怕一不留神就会超出预算,并且事后还需要仔细核对消费情况。类似的焦虑,也会出现在使用涂鸦 Pulsar 云消息服务时。虽然涂鸦 Pulsar 云消息能满足开发者对设备各类事件实时性和持久化…

STM32单片机实现串口IAP升级

一.概述 1.要实现串口IAP升级,首先要编写一个bootloader程序,然后再写支持IAP的app程序; 2.keil下bootloader的程序rom和ram设置 3.app程序要用bin文件 注:本文以STM32H743举例,其他stm32单片机IAP升级原理类似。 …

AI时代的风口,中小企业也不能错过

文|白 鸽 编|周效敬 这些场景,对你来说或许并不陌生: 在医院的大屏上,一个医生模样的数字人在做医疗知识科普;在抖音的直播间里,一个真人模样的数字人在线上直播带货,24小时无休无…

音频剪辑技巧:音频降噪在线怎么降噪?分享7种录音去除杂音方法

相信很多小伙伴们都有这种苦恼:在编辑音频时,你可能发现即使你使用了价格昂贵的隔音麦克风,在录音中仍然存在呼吸声和咳嗽声。因此,如果要传达清晰干净的声音以表达你的信息,你该如何从录音去除杂音呢?别心…

基于STM32的智能水质监测系统

目录 引言环境准备智能水质监测系统基础代码实现:实现智能水质监测系统 4.1 数据采集模块4.2 数据处理与分析4.3 控制系统实现4.4 用户界面与数据可视化应用场景:水质管理与优化问题解决方案与优化收尾与总结 1. 引言 智能水质监测系统通过使用STM32嵌…

可转债交易的规则,权限开通条件。可转债的佣金最低标准万0.44!

可转债交易规则 【1】可转债最小交易单位为1手,1手10张,每张的价格就是大家看到的价格。这和股票很不一样,股票的1手是100股股票。可转债最小价格变动单位为0.001 【2】可转债是T0交易,即当天买入,当天就可以卖出。这…

[每周尝鲜]用GPTs排名全球Top1的 GitHub 代码仓库分析神器AI Code Analyzer解读每周热门项目

前言: GitHub 代码仓库分析神器AI Code Analyzer自1月12日在GPTs 上线以来,凭借其强大的功能和卓越的用户体验,取得了令人瞩目的成绩。收获了诸多好评,目前在同类插件中全球排行第一,已有1000用户正在使用。并且已入选…

MATLAB2024a下的BP神经网络分类工具箱预测

1 打开BP神经网络分类工具箱GUI界面 图1-1 如图1-1所示,虽然叫神经网络模式识别但确实是BP神经网络分类工具箱,如果想要使用其他神经网络模型,可以打开左边的深度网络网络设计器,如图1-2、图1-3所示: 图1-2 图1-3 2 导…

Linux0.12内核源码解读(5)-head.s

大家好,我是呼噜噜,好久没有更新old linux了,本文接着上一篇文章图解CPU的实模式与保护模式,继续向着操作系统内核的世界前进,一起来看看heads.s as86 与GNU as 首先我们得了解一个事实,在Linux0.12内核源…

怎么优化亚马逊Listing?看这一篇就够了!

运营亚马逊最重要的工作之一就是优化listing,精心优化好亚马逊标题、五点描述、图片和关键词才能提高产品的可见性和吸引力,很多小伙伴对于怎么写出专业的亚马逊listing还是不知道如何下手,今天为大家分享一套实用的亚马逊listing优化指南&am…

软考系统架构师系统工程与信息系统基础考点

软考系统架构师系统工程与信息系统基础考点 系统工程 定义:一种组织管理技术,一种现代的科学决策方法 目的:以最好的方式实现系统 目标:整体最优 意义:利用计算机为工具,对系统的结构、元素、信息和反馈…

2024车载测试还可以冲吗?

2024年已过接近1/4了,你是不是还在围观车载测试行业的发展?同时也在思考着:现在进入车载测试行业还来得及吗?如何高效学习车载测试呢? 我们先来了解一下车载测试行情发展,通过某大平台,我们获取…

使用Ghostscript将PostScript(.ps)文件转换为PDF文件格式

如何使用Ghostscript将PostScript文件转换为PDF文件格式: /* Example of using GS DLL as a ps2pdf converter. */#if defined(_WIN32) && !defined(_Windows) # define _Windows #endif #ifdef _Windows /* add this source to a project with gsdll32.dll, or comp…