《現(xiàn)代電子技術》2003年第9期總第152期信息與安全網絡與信息系統(tǒng)安全性評估及其指標體系的研究郭振民, 胡學龍, 姜會亮(揚州大學信息工程學院　江蘇揚州　225009)摘　要:闡述了網絡與信息系統(tǒng)安

《現(xiàn)代電子技術》2003年第9期總第152期信息與安全

網絡與信息系統(tǒng)安全性評估及其指標體系的研究

郭振民, 胡學龍, 姜會亮

(揚州大學信息工程學院　江蘇揚州　225009)

摘　要:闡述了網絡與信息系統(tǒng)安全性評估的意義、概念與原則, 提出的信息系統(tǒng)安全性評估指標體系簡明、實用、可操作性強。對構建網絡與信息系統(tǒng)的安全保障體系具有一定的指導意義。

關鍵詞:網絡安全; 信息安全; 安全性評估; 指標體系

中圖分類號:T P 393. 08　　　　　文獻標識碼:A 　　　　　文章編號:1004373X (2003) 0900903

Security Evaluation of Network and Inf ormation System and Its Index System ′s Research

G U O Zhenmin, HU X uelong , JIA N G Huiliang

(Informa tion Eng i neeri ng Co llege, Yangzhou Universi t y, Yangzhou, 225009, China)

Abstract :Expounds the significance, concept ion and pr inciple of the ev aluation of netw o rk and infor matio n system secur ity. Its index sy stem, w hich is concise, pra ctical and easy to o per ate, may co nt ribute to the dev elo pment o f the secur ity sy st em o f netw or k and info rm atio n sy st em.

Keywords :netw or k secur ity ; infor matio n secur ity ; security ev aluat ion ; index sy st em

1　引　言

網絡與信息系統(tǒng)的安全性評估, 在信息系統(tǒng)的安全技術管理中占有十分重要的地位, 是構建系統(tǒng)總體安全策略中一個不可缺少的組成部分。

第一, 網絡與信息系統(tǒng)在受到惡意攻擊, 因管理上的疏忽和發(fā)生意外事故的情況下, 能否連續(xù)工作, 能否保證信息的完整性、機密性和可用性, 是人們極為關注的問題。這就需要對網絡與信息系統(tǒng)在各種威脅下, 是否具有足夠的保護能力進行客觀的評價。

第二, 通過對網絡與信息系統(tǒng)各種安全機制、安全活動的全程動態(tài)檢查與定量的客觀評判, 就可以發(fā)現(xiàn)其存在的薄弱環(huán)節(jié)。從而采取相應措施, 杜絕不安全隱患, 有利于把未來可能發(fā)生的風險降至最小。

第三, 網絡與信息系統(tǒng)的安全性要求, 往往因其處理信息的秘級、系統(tǒng)的用途以及應用環(huán)境的不同而有較大的差別。反映在安全性評估指標體系上應有量的概念, 這就需要把定性的分析上升為定量的計算。

第四, 網絡與信息系統(tǒng)是一個復雜的系統(tǒng)工程, 既有硬件, 又有軟件, 既有外部影響, 又有內部因素, 而且許多方面是相互制約的; 加之, 因人們看問題的角度不同, 同一個系統(tǒng)得出的結論也不盡相同。因此, 必

收稿日期:200302

12

須有一個規(guī)范的、統(tǒng)一的、客觀的標準進行評價。

本文討論的網絡與信息系統(tǒng)安全性評估指標體系, 正是在這一背景下提出的。2　概念與原則

2. 1　概　念

網絡與信息系統(tǒng)的安全性評估, 就是運用系統(tǒng)工程的方法, 對各種信息系統(tǒng)的安全防護措施、管理機制以及二者結合所產生的客觀效果, 按照統(tǒng)一的、規(guī)范的安全等級標準, 做出是否安全的結論。實質上, 是對網絡與信息系統(tǒng)在各種威脅下, 是否具有足夠的抗攻擊能力的一種評價和測定。

2. 2　制定系統(tǒng)安全性評估指標體系的原則

根據國家對網絡與信息系統(tǒng)安全性的基本要求, 結合多年從事信息安全管理工作的實際體會。我們認為, 在制定系統(tǒng)安全性評價指標體系時應遵循如下原則:

(1) 符合國家有關信息與信息系統(tǒng)安全的法律和法規(guī)。

(2) 滿足用戶及應用環(huán)境對信息系統(tǒng)提出的安全性要求。

(3) 具有良好的可操作性, 便于實施。(4) 簡明、實用、可行、經濟。

郭振民等:網絡與信息系統(tǒng)安全性評估及其指標體系的研究

3　網絡與信息系統(tǒng)安全性評估指標體系

初步擬定, 整個指標體系, 包括5個大項, 35個條款。3. 1　綱　目

如表1所示。

表1　指標體系綱目

類　別實體與環(huán)境安全組織管理與安全制度安全技術措施網絡通信安全軟件與信息安全

地　位基礎關鍵保障重點重點

分　值30分300分30 分20分10分10

中心有人值班, 出入口安裝防盜安全門, 窗戶安裝金屬防護裝置, 機房裝有無線電遙控防盜聯(lián)網設施。3. 2. 2　組織管理與安全制度(30分)

(11) 有專門的信息安全組織機構和專職的信息安全人員。(4分)

信息安全組織機構的成立與信息安全人員的任命必須有有關單位的正式文件。

(12) 有健全的信息安全管理的規(guī)章制度。(4分)

有規(guī)章制度的得2分, 上墻的得2分。

(13) 信息安全人員的配備, 調離有嚴格的管理制度。(4分)

(14) 設備與數(shù)據管理制度完備, 并且上墻。(4分)

(15) 有詳盡的工作手冊和完整的工作紀錄。(4分)

(16) 有緊急事故處理預案。(3分)

(17) 有完整的信息安全培訓計劃和培訓制度。(4分)

(18) 各類人員的安全職責明確, 安全管理制度嚴格。(4分)

3. 2. 3　安全技術措施(20分)

(19) 有災難恢復的技術對策。(3分)

(20) 采取開發(fā)工作與業(yè)務工作分離措施。(2分) (21) 具有應用業(yè)務。系統(tǒng)安全審計功能。(3分) (22) 有系統(tǒng)操作日志。(3分)

系統(tǒng)操作日志:指每天開、關機, 設備運行狀況等文字記錄。

(23) 有服務器備份措施。(4分) (24) 有防黑客入侵設施。(3分)

防黑客入侵設施:設置防火墻, 有入侵檢測等設施。

(25) 有計算機病毒防范措施。(2分)

計算機病毒防范措施:備有病毒預防及消除的軟、硬件產品, 并能定期升級。3. 2. 4　網絡與通信安全(10分)

(26) 放置通信設施的場所設有醒目標志。(2分) (27) 重要通信線路及通信控制裝置均有備份。(2分)

(28) 采取加密措施。(2分)

(29) 系統(tǒng)運行狀態(tài)有安全審計跟蹤措施。(2分) (30) 網絡與信息系統(tǒng)加有訪問控制措施。(2分) 訪問控制措施:指能根據工作性質和級別高低, 劃分系統(tǒng)用戶的訪問權限。

3. 2. 5　軟件與信息安全(10分)

(31) 操作系統(tǒng)及數(shù)據庫有訪問控制措施。(2分)

3. 2　細　則

3. 2. 1　實體與環(huán)境安全(30分)

(1) 機房周圍100m 內無危險建筑。(2分)

危險建筑:指易燃、易爆、有害氣體等存在的場所, 如加油站、煤氣站、煤氣管道等。

(2) 有監(jiān)控系統(tǒng)。(3分)

監(jiān)控系統(tǒng):指對系統(tǒng)運行的外圍環(huán)境、操作環(huán)境實施監(jiān)控(視) 的設施。

(3) 有放火、防水措施。(2分)

防火:指機房內安裝有火災自動報警系統(tǒng), 或有適用于計算機機房的滅火器材、應急計劃及相關制度。

防水:指機房內無滲水、漏水現(xiàn)象, 如機房上層有用水設施需加防水層。

(4) 機房有環(huán)境測控設施(溫度、濕度和潔凈度) 。(5分)

溫度控制:指機房有空調設備, 機房溫度保持在18～24℃。

濕度控制:指相對濕度保持在40～60。潔凈度控制:機房和設備應保持清潔、衛(wèi)生, 進出機房換鞋, 機房門窗具有封閉性能。

(5) 有防雷措施(具有防雷裝置, 接地良好) 。(2分)

防雷裝置:指機器設備有接地措施, 電器設備(包括通信設備和電源設備) 有防雷設施。

(6) 備用電源和自備發(fā)電機。(2分) (7) 使用U PS 。(2分)

(8) 防靜電措施(采用防靜電地板, 設備接地良好) 。(2分)

(9) 專線供電(與空調、照明用電分開) 。(5分) (10) 防盜措施。(5分)

《現(xiàn)代電子技術》2003年第9期總第152期

(32) 應用軟件、系統(tǒng)信息有防破壞措施。(2分) (33) 對數(shù)據庫及系統(tǒng)狀態(tài)有監(jiān)控設施。(2分) (34) 有用戶身份識別措施。(2分) (35) 系統(tǒng)用戶信息采用異地備份。(2分) 4　結　語

經江蘇油田信息中心、揚州大學網管中心等單位的試用表明, 本文提出的網絡與信息系統(tǒng)安全性評估指標體系, 簡單、易行、可操作性強, 對定量評價網絡與信息系統(tǒng)的安全性有指導意義。

參　考　文　獻

信息與安全

[1]　郭振民, 姜楠, 陳琳. 信息安全發(fā)展策略的思考[J]. 微電子與計算機, 2002(4) .

[2]　關義章, 戴宗坤. 信息系統(tǒng)安全工程學[M ].

北京:電子工業(yè)出版社, 2002.

[3]　潘立軍, 等. 網絡通信中的基本安全技術[J].

網絡安全技術與應用, 2002(7) . [4]　萬里威. 網絡通信中的數(shù)據安全技術[J ]. 網

絡安全技術與應用, 2002(7) .

作者簡介　郭振民　男, 揚州大學信息工程學院教授。主要研究方向:信息安全與信息對抗, 信號與信息處理。

胡學龍　男, 揚州大學信息工程學院副教授, 江蘇省“333跨世紀學術技術帶頭人”。主要研究方向:多維信息處理與多媒體技術, 信息系統(tǒng)與信息安全。

姜會亮　男, 揚州大學信息工程學院信號與信息處理專業(yè)碩士研究生。

(上接第8頁)

只有當工作機發(fā)生某種故障而當機時, 備份機才取得

資源對象的全部管理權限, 而且這種權限也是獨占的。

參　考　文　獻

[1]　DataW ar e for w indow s NT [S]. Installation

Reference Guide Rev . 2Copyright 1997, 1998

-2000ProWare Technolog y Corp. 16.

1

6

[2]　ZXB 10(V 2. 1. 2) 多業(yè)務路由交換機技術手冊

[S ]. ZT E 中興深圳市通訊股份有限公司, 2002, 1. 5859, 7375.

作者簡介　王喜成　男, 1966年出生, 河南西平人, 工程師, 1988年畢業(yè)于解放軍信息工程學院, 獲學士學位。現(xiàn)從事通信

技術工作。

臺灣地區(qū)最大民營銀行“

搶灘”上海

產業(yè)看臺

　　臺灣地區(qū)第一商業(yè)銀行上海代表處近日宣告成立。作為臺灣地區(qū)最大的民營銀行, 第一商業(yè)銀行成立百年來, 歷史已橫跨三個世紀。根據該行的戰(zhàn)略規(guī)劃, 這家“百年老店”正逐步實現(xiàn)其全球化銀行夢想。專程前來慶賀開業(yè)的臺灣地區(qū)第一商業(yè)銀行總經理蔡哲雄在接受采訪時表示, 設立上海代表處是第一商業(yè)銀行全球化戰(zhàn)略的重要部署。

在第一商業(yè)銀行之前, 已有臺灣地區(qū)的銀行選擇來上?；蛑苓叺貐^(qū), 蔡哲雄承認:“上海是個國

際化都市, 也是未來重要的國際金融中心, 而且, 上海及周邊是臺商聚集地。今后進一步開設分行時, 我們也不排除進入其他臺商聚集地。此外, 還有第一商業(yè)銀行全球化戰(zhàn)略部署的考慮, 我們已經在新加坡、越南和香港特別行政區(qū)設置分行, 再加上上海, 把這幾個點連起來看, 會發(fā)現(xiàn)這里有亞洲地區(qū)最具競爭力的市場。設立上海代表處對第一商業(yè)銀行來說, 是全球化部署的重要起步?！?/p>

(華　夏)