安全测评范文

安全测评范文（精选12篇）

安全测评 第1篇

尽管ICS发生安全事故要比互联网上的攻击事件要少, 但是由于ICS的特殊性, 每一次事件, 都代表着广大人群的生活、生产受到巨大影响, 经济遭受重大损失甚至倒退。因此, 对工控系统进行安全测评和保护已成为工业生产中的重要一环。由于中国工业以太网标准起步晚而没有形成完整的行业标准体系, 本文借助美国国土安全局旗下的一款工业安全测评软件CSET (Cyber Security Evaluation Tool) , 通过问答的方式分析存在的安全隐患, 进而获取增强ICS安全的有效措施。

一、工控系统脆弱性

信息网络给工控系统带来发展的同时也带来了自身存在的问题, 诸如网络病毒黑客攻击, 用户信息泄漏等一系列的安全隐患。以2013年6月被媒体披露的“棱镜”窃听计划为例, 有报道称自2009年以来, 美国已针对中国网络发动了大规模的入侵活动, 攻击目标达到数百个之多, 其中还包括学校。据悉, 美国政府黑客主要通过入侵巨型路由器从而一举入侵成千上万台电脑, 而不是分别入侵每一台电脑。由此可见, 因特网自身存在严重安全隐患, 并且随着两网融合, 因特网将其自身漏洞带进了工控网之中, 因此对工控网络的进行安全测评意义重大。

由于传统的计算资源有限, 在工控系统设计时通常只考虑到效率和实时性等问题, 并未将安全作为一个主要的考量指标。随着信息化的推动和工业化进程的加速, 越来越多的计算机和网络技术应用于工控系统, 在为工业生产带来极大推动作用的同时, 也就带来了工业控制系统的安全问题。现在能结合工业计算机使用的安全技术可谓多种多样。但是几乎所有的安全技术, 不论是基于硬件还是基于软件, 都有一个相同的缺陷:必须对系统进行改动。然而这正是工业环境下应不惜一切代价予以避免的问题, 因为系统一旦改动势必会造成生产中断, 增加额外的成本。对于基于硬件的系统 (如路由器、桥接器) 而言, 其缺点便是往往可通过其网络IP地址被予以识别, 因此, 很容易受到攻击。特别是在许多系统中, 为了便于数据传输, 标准端口通常是开放的。而基于软件的解决方案则由于不兼容, 使得它们无法在某些专有操作系统上运行[1,2]。

二、测评工具CSET

网络安全测评工具 (CSET) 是美国国土安全部旗下的、根据美国国家标准技术制定的工控安全测评软件。CSET提供给用户系统的、可反复操作的方法来评估网络系统的安全框架, 包含了高层次的、详尽的来自工业控制和信息产业的问题, 依据已出台的工业标准, 通过向导执行“一步一步”的评估过程。CSET对工控网络的现状和可能出现的问题进行提问, 用户只需根据实际情况进行回答即可。CSET会根据所有的回答进行总结, 编制方差统计表, 对排名最高的问题区域给出安全建议。CSET对最易出现问题部件和损失最严重两大问题类型分别给出五条最大的漏洞, 解决这些方面的问题, 可以收到最大的投资回报[3]。然而, CSET只会分析工控网络和管理上的漏洞, 并不涉及网络硬件或软件配置的详细审查。

CSET网络安全评估的前提是组建一个跨部门的工作小组, 通常由车间、维护、信息技术、市场部、安全及管理层等相关人员组成。CSET的核心是行业安全标准, CSET4.1提供15种标准, 而对于自动控制工业领域, 所选标准为NIST SP 800-82。此标准为ICS提供安全工控环境的指南, 其中包括SCADA、DCS和其他控制系统。CSET会指出这些系统存在的安全隐患, 对可能的风险提出安全防御建议, 包括一系列的方法和技术来增强ICS安全。如果要对工厂的具体设备层进行安全评估, 应该选择Component标准 (行业标准可多重选择) , 允许用户创建工控系统的拓扑图。同时CSET也会分析拓扑网络结构来鉴别和标记可能的网络安全入侵点。

典型的CSET测评过程如下:1) 新建一个评估程序;2) 选择行业安全标准;3) 填写评估信息;4) 完成安全评估等级;5) 报告生产及结果分析。

三、工控安全测评实例

本文以某炼油厂的操作车间为例, 进行工业控制系统测评研究, 为改善工业控制系统安全风险提供了一种有效途径。

首先, 进行有关NIST SP 800-82标准的问题回答[4,5], 如图1所示。这些问题涵盖了工控系统的计划/政策/程序、管理、设备、审计责任、开发维护、物理环境、接入点控制、系统信息完整性、网络架构、通信、防火墙、加密。在逐个回答问题后, 左边树形结构将显示红色的对号。

然后, 需要进行网络安全重要性评估, 其涵盖了现场和场外的损失, 有生命、财产、经济影响、事件平息所需的总金额。等级为1-5, 级数越高, 安全风险越大。本炼油厂生产线共有工人54人, 其中检修组有6人, 产品检测组20人, 设备操作一组16人, 二组12人。全生产线分为四班三倒, 检修组上白班, 夜班只有一人, 轮流值班。图2为本企业的安全等级评估界面。

在完成安全重要性评估之后, 绘出工控系统的DCS拓扑结构 (如图3) , 在Component标准下, 再对模型中的各节点所涉及的问题进行回答, 完成网络体系测评。

对DCS模型中的各个重要环节, 如防火墙、入侵检测系统、路由器、开关、远程服务器、操作站、DCS等, 进行相针对性的问题回答 (如图4) , 并生成测评报告。

四、结果分析

由于不同标准涉及到的专业问题较多, 在测评之初已忽略了若干管理层面的问题, 因此, 此工控系统最主要的问题将来自于其他网络层。与此同时, 在分析ICS中所存在的问题时, 依然要以人为主, 以CSET软件为辅, 全面综合的进行测评, 才能得出更加合理的结论和改善建议。

图5显示了该工控系统网络组件的分析报告, 蓝色表示问题未回答;深红色表示此处安全等级为4级, 即问题非常严重;红色表示此处安全等级为3级, 即问题严重;橙色表示此处安全等级为2级, 即有一定问题;黄色表示安全等级为1级, 即有隐患;绿色表示安全等级为0级, 即此处安全。

由图中可以明显看出, 此工控系统无重大安全问题, 但应用服务器, 集线器管理接口与PLC之中存在着明显的安全隐患, 而该工控系统存在安全隐患的区域有:身份认证与认证协议、信息与文件的管理、安全管理、审计与责任制度、系统与信息的完整性。

因此, 改善工控安全的建议为: (1) 对自动化控制设备与网络操作员进行身份认证, 在自动化控制组件中集成访问控制机制; (2) 采用防火墙等技术对办公网与自动化控制网络之间的接口进行访问控制; (3) 对未经授权的人员拒绝其访问, 物理上防止对关键部件的访问; (4) 进行责任划分, 安全问题追究到个人; (5) 进一步对自动化控制网络进行分区与隔离, 部署反病毒措施, 并在软件中采用白名单机制, 制定维护与更新的流程等。

此外, 还需要特别注意: (1) 一旦控制系统出现了严重事故, 防火墙安全功能应能检测出发生事件的责任人; (2) 系统应该保证在操作员离开一段时间后, 自动锁定系统, 待操作员重新输入密码指令后方可重新操作; (3) 防火墙应该保证不会将正常功能当作病毒隔离在外; (4) 防火墙安全功能应加强, 防火墙的访问应在严格的按照指定的标准来操作。防火墙安全功能只能允许授权管理员来进行操作; (5) 通信界面应当进行安全验证。

在测评完成后, 将改善建议反馈给企业领导, 以推进各种改善措施的实施, 定会大大提高工控系统的安全性。之后, 还需对此生产线进行定期测评, 以保证其始终处于安全的状态[6]。

五、结束语

本文通过使用网络安全评估工具 (CSET) 构建工控模型, 进行安全测评, 并给出安全改善建议的有效途径。然而, CSET虽然给出了一些改善建议, 但不可生搬硬套, 我们要反对本本主义, 走出一条适合自己的工控测评道路。要改善工控系统, 还要根据实际情况, 对相应部位进行调整, 不能忽视技术操作员的建议, 特别是一线工人的意见, 正所谓实践出真知, 他们长期进行实践操作, 对设备十分熟悉, 很多都有自己的改善思路。同时, 安全测评工作要定期进行, 特别是涉及到软件操作的极易感染网络病毒的部位, 更应该定期及时的进行安全测试。成立起由IT人员, 设备操作员, 安全开发人员及管理人员组成的安全测评小组亦是不可或缺的。只要加强监管, 定期测试与维护, 工业控制系统的安全必定可以保障, 人民生命财产的安全也可受到保护。

摘要：针对工业控制系统 (ICS) 存在的安全隐患, 在分析国内外工控系统安全脆弱性的基础上, 通过一款安全评估工具CSET (Cyber Security Evaluation Tool) 对某企业的工控系统进行测评。根据测评报告提出了改善ICS管理网络与控制网络安全的若干措施。

关键词：工业控制系统,CSET,安全,测评

参考文献

[1]李玉敏.工业控制网络信息安全的防护措施与应用[J].中国仪器仪表, 2012 (12) :59-64.

[2]韩晓波.企业工业控制网络安全技术探讨及实现[J].化工自动化及仪表, 2012 (4) :498-503.

[3]The Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) .CSET User Guide.http://ics-cert.us-cert.gov/Assessments, January 2012.

[4]唐一鸿, 杨建军, 王惠莅.SP800-82<工业控制系统 (ICS) 安全研究指南>研究[J].信息技术与标准化, 2012 (1-2) :44-47.

[5]Stouffer, Falco, Scarfone.Guide to Industrial Control System (ICS) Security, NIST SP800-82.http://csrc.nist.gov/publications/nistpubs/800-82/SP800-82-final.pdf.2011.

信息安全等级合规测评 第2篇

合规，简而言之就是要符合法律、法规、政策及相关规则、标准的约定。在信息安全领域内，等级保护、分级保护、塞班斯法案、计算机安全产品销售许可、密码管理等，是典型的合规性要求。

信息安全合规测评是国家强制要求的，信息系统运营、使用单位或者其主管部门，必须在系统建设、改造完成后，选择具备资质测评机构，依据信息安全合规性要求，对信息系统是否合规进行检测和评估的活动。信息安全合规测评具有强制性和周期性（定期检测），是国家信息安全部门督促合规性要求落地实施，保障信息安全的重要手段。

一、信息安全合规性要求

1、等级保护

等级保护将信息系统按照价值系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别划分五个等级进行保护。其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。等级保护依据公安部、国家保密局、国家密码管理局和国信办先后联合下发《关于信息安全等级保护工作的实施意见》、《信息安全等级保护信息安全等级保护管理办法》开展。

2、分级保护

分级保护针对的是涉密信息系统，根据涉密信息的涉密等级，涉密信息系统的重要性，遭到破坏后对国计民生造成的危害性，以及涉密信息系统必须达到的安全保护水平划分为秘密级、机密级和绝密级三个等级。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准，目前，正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。

国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构，山东省软件评测中心是国家保密科技测评中心在山东省设立的分中心。

3、塞班斯法案 针对安然、世通等财务欺诈事件，美国国会出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席塞班斯联合提出，又被称作《2002年塞班斯-奥克斯利法案》（简称塞班斯法案），法案对美国《1933年证券法》、《1934年证券交易法》做了不少修订，在会计职业监管、公司治理、证券市场监管等方面做出了许多新规定。

塞班斯法案成为在美上市企业躲不过去的坎。它规定，上市公司的财务报告必须包括一份内控报告，并明确规定公司管理层对建立和维护财务报告的内部控制体系及相应控制流程负有完全责任；此外，财务报告中必须附有其内控体系和相应流程有效性的评估。它的出台意味着在美国上市的公司不仅要保证其财务报表数据的准确，还要保证内控系统能通过相关审计。

4、计算机信息系统安全专用产品销售许可

计算机信息系统安全专用产品销售许可证是为了加强计算机信息系统安全专用产品的管理，保证安全专用产品的安全功能，由公安部公共信息网络安全监察局颁发的许可证书。

办理依据：

（1）《中华人民共和国计算机信息系统安全保护条例》、（1994年2月18日，国务院令147号发布）。

（2）、《计算机信息系统安全专用产品检测和销售许可证管理办法》（1997年12月1日，公安部令第32号）。

(3)、《计算机病毒防治管理办法》（2000年4月26日，公安部令第51号）。审批办理流程：

(1)、产品检测。申请单位须将样品送指定检测机构进行检测。

(2)、申请办证。检测合格后，申请单位按规定提交证书申请的相关材料。(3)、审批发证。公安部公共信息网络安全监察局。

5、信息系统密码安全管理

为推动商用密码发展，确保国家重要信息系统密码安全，具备检测资质的机构依据《信息安全等级保护商用密码管理办法》、《信息安全等级保护商用密码技术实施要求》 《信息系统安全等级保护基本要求》，对信息安全等级为三级以上（含三级）信息系统中的商用密码系统进行测评。的商用密码系统安全等级保护测评工作拟分以下三个阶段：测评申请阶段、现场检测阶段、报告与结论阶段。

在信息安全合规性要求中，等级保护和分级保护以其涉及范围广，实施具有高度专业化和复杂性的特点，成为信息安全合规测评工作的重点和难点，后面的文章将会对这两个概念进行重点解读。

二、区分信息安全等级保护与分级保护

通过上文我们知道，信息安全等级保护与分级保护是在信息安全合规测评中两个非常重要的概念，二者密切相关又有区别。山东省软件评测中心结合在等级保护测评和分级保护测评中的具体实践，对等级保护和分级保护进行详细介绍，理清两者间的关联。

1、信息系统等级保护

由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的，是社会构成、行政组织体系的反映，因而这种系统结构是分层次和级别的，而其中的各种信息系统具有重要的社会和经济价值，不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律，其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。

信息系统安全等级保护将安全保护的监管级别划分为五个级别：

第一级：用户自主保护级完全由用户自己来决定如何对资源进行保护，以及采用何种方式进行保护。

第二级：系统审计保护级本级的安全保护机制受到信息系统等级保护的指导，支持用户具有更强的自主保护能力，特别是具有访问审计能力。第三级：安全标记保护级除具有第二级系统审计保护级的所有功能外，还它要求对访问者和访问对象实施强制访问控制，并能够进行记录，以便事后的监督、审计。

第四级：结构化保护级将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略。

第五级：访问验证保护级这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动，仲裁访问者能否访问某些对象从而对访问对象实行专控，保护信息不能被非授权获取。

在等级保护的实际操作中，强调从五个部分进行保护，即：

物理部分：包括周边环境，门禁检查，防火、防水、防潮、防鼠、虫害和防雷，防电磁泄漏和干扰，电源备份和管理，设备的标识、使用、存放和管理等；

支撑系统：包括计算机系统、操作系统、数据库系统和通信系统； 网络部分：包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警，网络攻击的监察和处理；

应用系统：包括系统登录、权限划分与识别、数据备份与容灾处理，运行管理和访问控制，密码保护机制和信息存储管理；

管理制度：包括管理的组织机构和各级的职责、权限划分和责任追究制度，人员的管理和培训、教育制度，设备的管理和引进、退出制度，环境管理和监控，安防和巡查制度，应急响应制度和程序，规章制度的建立、更改和废止的控制程序。

由这五部分的安全控制机制构成系统整体安全控制机制。

2、涉密信息系统分级保护

涉密信息系统实行分级保护，先要根据涉密信息的涉密等级，涉密信息系统的重要性，遭到破坏后对国计民生造成的危害性，以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级；涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准，目前，正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。从物理安全、信息安全、运行安全和安全保密管理等方面，对不同级别的涉密信息系统有明确的分级保护措施，从技术要求和管理标准两个层面解决涉密信息系统的分级保护问题。

涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级，可以划分为秘密级、机密级和机密级（增强）、绝密级三个等级：

秘密级：信息系统中包含有最高为秘密级的国家秘密，其防护水平不低于国家信息安全等级保护三级的要求，并且还必须符合分级保护的保密技术要求。

机密级：信息系统中包含有最高为机密级的国家秘密，其防护水平不低于国家信息安全等级保护四级的要求，还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级（增强）的要求：

（1）信息系统的使用单位为副省级以上的党政首脑机关，以及国防、外交、国家安全、军工等要害部门；

（2）信息系统中的机密级信息含量较高或数量较多；（3）信息系统使用单位对信息系统的依赖程度较高。

绝密级：信息系统中包含有最高为绝密级的国家秘密，其防护水平不低于国家信息安全等级保护五级的要求，还必须符合分级保护的保密技术要求，绝密级信息系统应限定在封闭的安全可控的独立建筑内，不能与城域网或广域网相联。

涉密信息系统要按照分级保护的标准，结合涉密信息系统应用的实际情况进行方案设计。涉密信息系统定级遵循“谁建设、谁定级"的原则，可以根据信息密级、系统重要性和安全策略划分为不同的安全域，针对不同的安全域确定不同的等级，并进行相应的保护。建设完成之后应该进行审批；审批前由国家保密局授权的涉密信息系统测评机构进行系统测评（山东省软件评测中心是山东省内唯一的涉密信息系统检测机构），确定在技术层面是否达到了涉密信息系统分级保护的要求。

3、等级保护和分级保护之间的关系

国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信息系统，而不论它是否涉密。如：国家事务处理信息系统（党政机关办公系统）；金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统；国防工业企业、科研等单位的信息系统等。

涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统，重点是党政机关、军队和军工单位，由各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全，确保国家秘密不被泄漏。

国家信息安全等级保护是国家从整体上、根本上解决国家信息安全问题的办法, 进一步确定了信息安全发展的主线和中心任务, 提出了总体要求。对信息系统实行等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。而涉密信息系统分级保护则是是国家信息安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。

三、等级合规测评的主要内容

1、单元测评。单元测评从信息安全管理制度、信息安全管理机构、人员安全管理、信息系统建设管理、信息系统运维管理、物理安全、网络安全、主机安全、应用安全、数据安全等层面，测评《信息系统安全等级保护基本要求》（GB/T 22239-2008）所要求的基本安全控制在信息系统中的实施配置情况。

2、整体测评。整体测评主要测评分析信息系统的整体安全性。在内容上主要包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等，是在单元测评基础上进行的进一步测评分析。

四、等级合规测评的重要作用

1、等级合规测评是落实信息安全等级保护制度的重要环节

在信息系统建设、整改时，信息系统运营、使用单位通过等级测评进行现状分析，确定系统的安全保护现状和存在的安全问题，并在此基础上确定系统的整改安全需求。信息系统定级是整个等级保护工作的开始，等级保护基本要求是对不同等级信息系统实行等级保护的基础。客户可以基于定级指南对信息系统定级，基于等级保护基本要求实施保护措施，从而将有效落实国家有关等级保护的制度要求和文件精神。

2、等级测评报告是信息系统开展整改加固的重要指导性文件，也是信息系统备案的重要附件材料

等级测评结论为信息系统未达到相应等级的基本安全保护能力的，运营、使用单位应当根据等级测评报告，制定方案进行整改，尽快达到相应等级的安全保护能力。

3、等级测评使整个组织规范一致的开展等级评定工作

合规测评基于客户的组织架构、运作模式等特点，制定信息系统安全保护等级定级指南，明确在组织内开展等级评定工作的原则、方法和流程，从而使得客户的等级评定工作能够在整个组织范围内一致地开展。

4、确保突出重点保护对象并进行适度保护

信息系统安全等级保护基本要求明确了不同等级信息系统的技术要求和管理要求，基于信息系统安全等级保护基本要求，合规测评可使客户在符合国家法律法规要求的前提下，针对不同等级信息系统采取相应等级的保护措施，从而确保重点突出、适度保护，节省IT投资。

5、等级测评提高内部人员的信息安全意识

合规测评过程中，第三方咨询专家将与被服务单位人员密切合作。通过与被服务单位人员有针对性的交流，以及精心设计的调查问卷等，被服务单位的管理、业务、技术等人员将逐步提高对信息安全合规的认识，强化信息安全意识，杜绝违规操作。

作为第三方测评机构，山东省软件评测中心认为，通过等级合规测评可指导用户在各个层面上综合采取多种保护措施，保护网络和安全域边界、网络及基础设施、终端计算环境的安全、以及进行安全运行中心等支撑性安全设施的建设。

五、等级合规测评的操作流程 要充分发挥等级测评对信息安全的保障作用，就要按照科学的流程和方法进行操作。山东省软件评测中心根据等级测评的相关要求将等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。具体过程如下：

1、测评准备活动

本活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况，准备测试工具，为编制测评方案做好准备。

2、方案编制活动

本活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评指导书测评指导书，形成测评方案。

3、现场测评活动

本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求，严格执行测评指导书测评指导书，分步实施所有测评项目，包括单元测评和整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。

4、分析与报告编制活动

本活动是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和《信息安全等级保护基本要求》的有关要求，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。

等级测评项目启动测评准备活动信息收集与分析工具和表单准备测评对象确定测评指标确定方案编制活动测评工具接入点确定测评内容确定测评指导书开发测评方案编制现场测评活动测评实施准备现场测评和记录结果结果确认和资料归还单项测评结果判定分析与报告编制活动单元测评结果判定整体测评风险分析等级测评结论形成测评报告编制沟通与洽谈

六、等级合规测评的关键点

确定了等级测评的具体流程，是为开展测评工作奠定了坚实基础，但是还要关注在具体环节上关键要素，它们对测评工作的成效高低具有重大影响。

1、等级测评的方法和强度

等级测评的基本方法一般包括访谈、检查和测试等三种。

访谈是测评人员通过与被测评单位的相关人员进行交谈和问询，了解被测信息系统安全技术和安全管理方面的相关信息，以对测评内容进行确认。

检查是测评人员通过简单比较或使用专业知识分析的方式获得测评证据的方法，包括：评审、核查、审查、观察、研究和分析等方法。

测试是指测评人员通过使用相关技术工具对信息系统进行验证测评的方法，包括功能测试、性能测试、渗透测试等。

等级测评机构应当根据被测信息系统的实际情况选取适合的测评强度。测评强度可以通过测评的深度和广度来描述。访谈的深度体现在访谈过程的严格和详细程度，广度体现在访谈人员的构成和数量上；检查的深度体现在检查过程的严格和详细程度，广度体现在检查对象的种类（文档、机制等）和数量上；测试的深度体现在执行的测试类型上（功能/性能测试和渗透测试），广度体现在测试使用的机制种类和数量上。

2、等级测评对象

测评对象是在被测信息系统中实现特定测评指标所对应的安全功能的具体系统组件。正确选择测评对象的种类和数量是整个等级测评工作能够获取足够证据、了解到被测系统的真实安全保护状况的重要保证。

测评对象一般采用抽查信息系统中具有代表性组件的方法确定。在测评对象确定中应兼顾工作投入与结果产出两者的平衡关系。

七、等级合规测评的指标

开展等级测评活动应从《信息系统安全等级保护基本要求》（GB/T 22239-2008）中选择相应等级的安全要求作为基本测评指标。

1、第二级信息系统等级测评指标，除按照《信息系统安全等级保护基本要求》所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的66项基本要求（177个控制点）作为基础测评指标以外，还应参照《信息系统通用技术要求》中的83个控制点、《信息系统安全管理要求》中的70个控制点、《信息系统安全工程管理要求》中的51个控制点以及行业测评标准所规定的其他控制点，结合不同的定级结果组合情况进行确定。

2、第三级信息系统等级测评指标确定，除按照《信息系统安全等级保护基本要求》所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的73项基本要求（290个控制点）作为测评指标以外，还应参照《信息系统通用技术要求》中的109个控制点、《信息系统安全管理要求》中的104个控制点、《信息系统安全工程管理要求》中的42个控制点以及行业测评标准所规定的其他控制点，结合不同的定级结果组合情况进行确定。

3、第四级信息系统等级测评指标确定，除按照《信息系统安全等级保护基本要求》所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的77项基本要求（317个控制点）作为测评指标以外，还应参照《信息系统通用技术要求》中的120个控制点、《信息系统安全管理要求》中的104个控制点、《信息系统安全工程管理要求》中的35个控制点以及行业测评标准所规定的其他控制点，结合不同的定级结果组合情况进行确定。

4、对于由多个不同等级的信息系统组成的被测系统，应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系，而且测评指标不能分开，则不能分开的测评指标应采用就高原则。

八、高效等级测评工作的注意事项

为了保障等级测评取得真正的成效，在测评之前，需要认真筹备；测评过程中依照相关规定，强化管理。同时，在测评操作过程中还应该严格遵循等级测评的相关原则。以上经验，都已经在山东省软件测评中心的实践中得到验证，成效显著。

1、认真做好等级测评质量保障工作

等级测评机构开展测评前应与委托单位联合成立等级测评工作组，建立通畅的沟通联络机制，确保等级测评活动的顺利开展。

等级测评机构开展等级测评时，必须保证足够的现场测评等级测评师。开展第二级信息系统的等级测评活动时，测评机构至少应由一名中级等级测评师、一名管理类等级测评师、二名技术类等级测评师参与等级测评活动；开展第三级信息系统的等级测评活动时，测评机构至少应由一名高级等级测评师、两名中级等级测评师、二名管理类等级测评师、三名技术类等级测评师参与等级测评活动；开展第四级信息系统的等级测评活动时，测评机构至少应由二名高级等级测评师、两名中级等级测评师、两名管理类等级测评师、四名以上技术类等级测评师参与等级测评活动。

等级测评机构开展等级测评时，应当投入满足测评需要的拓扑发现设备、网络安全配置核查设备、网络协议分析设备、漏洞扫描设备、渗透攻击集成设备等功能测试、性能测试、渗透测试工具以及必要的交通、通信设备。

等级测评活动包括测评准备、方案编制、现场测评、分析及报告编制四个基本阶段。第二级信息系统单个业务系统等级测评全过程，一般不少于5个工作日。第三级信息系统单个业务系统等级测评全过程，一般不少于10个工作日。第四级信息系统单个业务系统等级测评全过程，一般不少于20个工作日。

等级测评活动中，测评机构需要提交给委托方的资料不少于以下纸质文档：项目计划书、公正性声明、保密协议、等级测评方案、现场测评记录、等级测评报告、安全建设整改意见

2、严格等级测评管理

信息系统的运营、使用单位或主管部门应当选择年审合格的测评机构，按照《信息系统安全等级保护测评要求》等技术标准，定期对信息系统的安全状况开展等级测评。

第三级信息系统应每年进行一次等级测评，第四级信息系统应每半年进行一次等级测评。重要的第二级信息系统可参照第三级信息系统的测评要求进行等级测评。符合测评条件的新建、扩建信息系统及信息系统发生重大改变时，应及时安排等级测评。等级测评活动结束后，测评机构应在15个工作日内向被测评信息系统的运营、使用单位提供等级测评报告，并应同时向省、市两级等保办提交第三级（含）以上信息系统的等级测评报告。被测评信息系统安全状况未达到信息安全等级保护制度要求的，由等级测评机构提出安全建设整改意见，运营、使用单位应当及时制定方案进行整改。

省内信息系统的等级测评工作原则上由省内等级测评机构完成，特殊行业等级测评机构或省外其他等级测评机构在省内开展等级测评活动时，应在省等保办办理登记备案手续，按照本规范开展等级测评活动，并接受省等保办的监督管理。测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改建议、信息安全等级保护宣传教育等工作的技术支持，但不得从事下列活动：

(1)、影响被测评信息系统正常运行，危害被测评信息系统安全；(2)、泄露被测评单位及被测信息系统的敏感信息和工作秘密；

(3)、故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假，未如实出具等级测评报告；

(4)、未按规定格式出具等级测评报告；

(5)、非授权占有、使用等级测评活动中的获得的相关资料及数据文件；(6)、分包或转包等级测评项目；

(7)、从事信息安全产品开发、销售和信息系统安全集成；(8)、限定被测评单位购买、使用其指定的信息安全产品；

(9)、其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。

九、等级合规测评中应当严格遵循的五个原则

1、客观公正原则。测评人员应当在没有偏见和最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方法和过程，实施测评活动。

2、充分性原则。为客观反映被测评信息系统的安全状况，测评活动要保证必需的广度和深度，以满足国家标准和行业标准的测评指标的要求。

3、经济性原则。测评活动应尽可能降低成本，减少投入。基于测评成本和工作复杂性，鼓励测评工作部分使用能反映信息系统当前安全状态的已有测评结果，包括商业安全产品测评结果和信息系统已有的安全测评结果。

4、结果一致性原则。针对同一信息系统的等级测评，不同测评机构依据同一的测评方案和测评方法得出的测评结果应当一致，同一测评机构重复执行相同测评过程得出的结果应当一致。

安全测评 第3篇

近年来，随着信息安全等级保护工作机制的不断完善，主管部门监督检查力度的不断加大，信息系统开展等级测评的数量稳步增长，测评覆盖率显著提升。通过统计分析本单位近些年测评的数百个信息系统的数据，可以得出以下结论：一是较早开展等级测评的行业，经过测评和整改建设，测评符合率逐年提高；二是随着等级测评工作的持续推进，近期才开展首次测评的行业特别是基层单位的信息安全工作基础较薄弱，测评得分明显偏低。通过对物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等10个层面的测评结果进行统计，其中网络安全、主机安全、应用安全、系统运维管理等方面的不符合率相对较高，信息系统的建设、使用、运维阶段存在一些较普遍的问题。

信息系统安全保护措施落实情况分析

整体而言，随着等级测评工作的持续推进，党政机关、企事业单位对信息系统安全等级保护的认识和重视程度得到普遍提升，在管理和技术两方面主要采取了以下安全措施：

信息安全管理措施落实情况

在信息安全管理方面呈现出两级分化的特点。一些重点行业的业务信息化程度高、自身信息技术队伍力量足、信息安全投入经费有保障，其安全管理措施一般也能得到有效落实，在机构、人员、制度、建设管理、运维管理等方面均能较好地符合相关标准的要求。这一类的典型包括银行、证券、电力等行业主管部门对信息安全监管严格的几大行业。相反，部分对信息系统管控相对松散的单位如大专院校、在信息安全投入方面得不到充分保障的单位如基层政府部门，其信息安全专业人员的配备达不到标准规范的要求，安全责任部门地位偏低权限不足，很难制定并有效贯彻落实结合本单位实际的信息安全管理制度。

信息安全技术措施落实情况

多数单位通过部署边界安全设备，强化入侵防范措施来提高网络的安全性；通过加固操作系统和数据库的安全策略，启用安全审计，安装杀毒软件等措施，来提高主机安全防护水平；通过开发应用系统的安全模块，从身份鉴别、访问控制、日志记录等方面，强化业务应用的安全性；通过部署数据备份设备、加密措施，加强对数据安全的保护。

信息系统常见安全问题分析

随着等级测评工作的覆盖面进一步扩大，近年来初次测评的单位和基层部门仍发现一些典型问题。

信息安全意识有待提高

很多单位对当前日趋严峻的网络安全形势认识不足，将信息安全工作视为被动应付上级检查、被动应对安全事件的任务来消极对待。一些单位认为取得“基本符合”的测评结论就高枕无忧，完成测评备案就完成了等级保护。由此造成对信息安全合规的落实不够、资金和人员投入不足、重建设轻运维、有制度无执行、有预案不演练等问题，根源还是安全意识薄弱。

信息安全管理有待加强

信息安全管理不到位主要表现在安全管理制度、系统建设管理、系统运维管理等方面。

信息安全管理制度不完善。基层单位信息安全管理制度不全、人员配备不足、授权审批流于形式、执行记录缺失等问题较为常见。部分单位的信息安全管理制度照搬模版，未结合本单位实际进行修订，导致缺乏可操作性。

系统建设管理不到位。系统建设过程中落实信息安全“同步建设”原则不到位。在软件开发阶段较普遍未遵循安全编码规范，导致安全功能缺失、应用层漏洞频现。在系统验收阶段，很多单位仅注重业务功能验收，缺乏专门的安全性测试；电子政务类项目较普遍未按规定在项目验收环节完成“一证两报告”（即等级测评报告、风险评估报告和系统备案证明）。

系统运维管理不到位。在系统运维管理方面，部分单位运维和开发岗位不分，职责不清，存在一人身兼数职现象。很多单位在信息资产管理、介质管理、变更管理等方面缺乏操作规程和相关记录，数据备份策略不明，应急预案不完善并缺乏演练。

关键技术措施有待落实

分析近年来的测评结果，安全技术措施不足问题主要体现在以下几个方面：

在物理安全方面，随着电子政务集约化建设的推进，大量信息系统已经集中到高规格的专业机房，但仍有部分单位自有机房条件简陋，位置选择不规范，出入管理较随意，防盗防破坏、防雷防火防潮能力较差，环境监控措施不足。

在网络安全方面，常见网络和安全设备的配置不到位，如未合理划分区域、未精细配置访问控制策略、未对重要设备做地址绑定等；较普遍缺少专业审计系统。部分单位设备老旧，安全产品本身存在一定缺陷导致无法满足等级保护要求。个别单位用于生产控制的重要信息系统在网络层面未采取必要安全措施的同时，还违规接通互联网，存在极大的安全隐患。

在主机安全方面，部分单位存在弱口令、不启用登录失败处理和安全审计功能、不及时更新补丁、不关闭非必要服务等问题。此外，由于主流操作系统和数据库很少支持强制访问控制机制，相关要求普遍未落实。

在应用安全方面，很多应用软件安全功能不足，缺少身份鉴别、审计日志、信息加密等能力。由于很少进行安全扫描、渗透测试，相当一部分系统存在高危风险，如SQL注入、跨站脚本、文件上传等漏洞，以及弱口令、网页木马等问题。

在数据安全方面，较常见的是数据保密性和完整性措施薄弱。此外，部分信息系统的备份和恢复措施欠完善，缺乏有效的灾难恢复手段。

针对新技术的等级保护测评标准有待出台

随着浙江政务服务网的大力推进，省内各级政务云平台的建设使用已全面开展，有相当数量的电子政务系统已迁移上云。同时涉及城市公共设施、水电气等工控系统密集的行业对等级保护工作越来越重视，对云计算、工控系统、移动APP等的测评需求不断加大。但现有的《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》未涉及云计算、工业控制、移动互联等领域，在测评实践中已遇到诸多不适应情况。针对这些新技术新应用的等级保护测评标准需求已非常迫切。

重要信息系统安全保护对策建议

针对上述存在的问题，本文提出以下对策建议，以供参考。

提高信息安全意识

提高全员信息安全意识是全面提升信息安全保障水平的根本解决之道。要树立全体人员的安全观念，加强信息安全培训。除了通过强化工作考核和安全检查来督促信息安全工作的深入开展，还应通过多种方式开展信息安全政策解读和信息安全标准宣贯，强化对全员的安全意识教育和考查。建议结合一些合适的安全职业技能培训，落实信息安全相关岗位“持证上岗”的要求。

加强信息安全管理

“三分技术，七分管理”，各单位应转变观念，将“信息安全”与“系统稳定、功能正常”同等重视起来，将安全管理要求与自身业务紧密结合，制订完善的体系化的安全管理制度。

在系统建设管理过程中，应要求开发人员遵循安全编码规范进行开发；在系统验收环节，应认真做好安全性验收测试。在电子政务领域应落实国家对电子政务项目管理的制度要求，验收阶段完成等级测评，未通过测评的应不予验收。

在系统运维管理方面，应加强制定信息系统日常管理操作的详细规范，明确定义工作流程和操作步骤，使日常运行管理制度化、规范化。对信息资产按重要性进行分类梳理，建立完善应急灾备措施，定期开展演练，确保备份的有效性。

落实关键技术措施

针对测评发现的问题，各单位应根据系统所定级别，结合自身条件，综合考虑问题的影响范围、严重程度、整改难度等因素，制定整改计划，有步骤地落实相关技术措施。对于策略配置类的问题及时纠正；对于整改难度大、需要添置硬件或修改代码的问题，应在充分测试和试运行的基础上实施整改。对于强制访问控制、敏感标记、双因子鉴别等难点问题，建议国家加强相关产业政策的引导，促进安全厂商研发技术、推出产品，解决市场供应问题。各级主管部门应通过测评、整改、监督检查、再测评的闭环管理，督促关键技术措施的落实。

加快新技术的等级保护测评标准编制工作

目前公安部信息安全等级保护评估中心在牵头起草针对云计算安全的等级保护标准，尚处于征求意见阶段。其余新技术领域的等级保护标准制定工作进度更晚，随着智慧城市、云计算、大数据、移动互联、工业控制等新技术的快速应用，安全标准相对滞后的问题更加突出，应进一步加快相关新标准的制定。

生物安全柜性能测评方法的研究 第4篇

生物安全柜(Biological safety cabinets,BSCs)是一种负压过滤排风柜,防止操作者和环境暴露于实验过程中产生的生物气溶胶;是利用空气净化和通风技术,实现第一道物理隔离屏障,为操作原代培养物、菌毒株以及诊断性标本等具有感染性的实验材料时,用来保护操作者本人、实验室环境以及实验材料,使其避免暴露于上述操作过程中可能产生的感染性气溶胶和溅出物而设计;是在现代生物技术的研究、开发和应用中对可能产生的生物学危险所采取的有效预防和控制措施。目的是保护生产或实验对象,保护生态环境和人体健康。

在实验操作过程中,实验室工作人员由于肉眼无法看到直径小于5μm的气溶胶以及直径为5~100μm的微小液滴,通常意识不到有这样大小的颗粒在生成,就可能吸入,或交叉污染工作台面的其他材料以及造成对环境的污染。有时,人们往往会注重对操作者本人和实验材料的保护而忽视对环境的保护,不关注高效过滤的完整性和消毒的有效性,仅通过建筑物的排风系统将生物安全柜的排除风排到建筑物外面或排到实验室中,然后再通过实验室排风系统排到建筑物外面,这样对环境造成的污染是不可忽视的。

此外,由于生物安全柜的种类繁多,质量参差不齐,甚至某些生物安全柜存在质量缺陷,如:缺乏高效过滤的完整性、柜体的密封性以及负压系统等质量问题,都会造成感染性气溶胶或有毒有害物质的外泄,因此生物安全柜的质量问题会带来很多生物性危害。

1 国内外测评方法现状

目前国外一些发达国家和地区在本世纪初已注重生物安全柜的各项性能,制订测评准则和确定测评方法。如:欧盟2000年颁布的“Biotechnologyperformance criteria for microbiological safety cabinets”(BS EN12469:2000)的方法和准则;美国国家标准学会(American National Standard Institute,ANSI)官方认可的美国NSF49生物安全柜标准。我国缺少国家测量和评价相关的方法和准则,仅有医药行业标准(YY0569-2005)和建设工业行业标准(JG170-2005)。上述两个行业标准仅控制和监管生物安全柜的生产领域,而在使用领域一直没有一个好的测量方法和评价的标准,这给对生物安全柜的质量控制和监督管理带来诸多不便。

目前生物安全柜在医疗卫生、生物制药、环境监测等行业的各级实验室大量使用。为了保护操作者人身安全,环境的安全和实验材料的安全,避免发生生物危险,必须用技术手段来评价和规范生物安全柜的各项技术指标。

因此,我们在参考和借鉴美国、欧盟及国内医药行业、建设工业行业等相关标准的基础上探索了对在用生物安全柜性能测评方法。通过对主要的性能指标要求的规范,可保证生物安全柜安全可靠,让实验室工作人员能够放心地使用生物安全柜。

2 测评方法

2.1 柜体防泄漏性能的测试

对生物安全柜柜体防泄露要求是对生物安全柜的基本要求。采用压力衰减法进行测试,即将安全柜的前窗和排风口封闭,柜体内加压到500Pa,保持30min后,在安全柜工作区域内连接压力计或压力传感器系统以显示内压。要求柜内的气压不低于450Pa。压力衰减测试法对生物安全柜柜体防泄漏性能是可靠的检测方法,对它的气道密闭性和柜体整体设计要求都较高。

如果采用压力衰减法测试柜内的气压低于450Pa时,则要采用另一种肥皂泡测试法。即在生物安全柜加压的情况下,沿安全柜压力通风系统的所有焊缝、套接处和封口处的外表面喷或涂刷检漏肥皂溶液,同时观察是否有气泡产生,如果发生大的泄漏,可通过轻微的气流感觉和声音发现。

通过这两种测试方法可以非常精确地测试柜体的气密性,保证了污染气体和微粒无外泄的可能。

检测实践表明,生物安全柜在使用了一段时间之后,密封性变差是一个普遍现象。因此对密封性达不到要求的生物安全柜要进行及时修理或降级使用。

2.2 高效过滤器完整性的测试

生物安全柜高效过滤的完整性是生物安全柜的主要性能,它由高效空气过滤器(HEPA)构成。高效空气过滤器安装在生物安全柜里的是由坚硬外壳支撑的一次性的、具有延伸/皱褶介质的过滤膜组成的。它主要目的是过滤流入安全柜工作区的空气里的灰尘等微粒,确保安全柜里的空气达到一定的洁净度和将试验时样品产生的气溶胶等危险粒子过滤掉,保护样品并避免样品间的交叉污染,以及防止试验操作过程中产生的生物危险粒子直接排放到环境中去。

检测时,在含有气溶胶的上游气流进行取样,证实该浓度的气溶胶的光散射强度至少应等于由10μg/L DOP的光散射强度;如果是线性刻度的光度计(0~100分度),将读数调整为100;如果是对数刻度的光度计,将上游气流浓度的读数调整在一个分度对应浓度的1104以上。

将气溶胶光度计探针放在被测试面上距测试面不超过25mm,以小于50mm/s的扫描速率移动,使探针扫测过HEPA过滤器的整个下游气流一侧和每个组合过滤片的边缘,扫测路线应略微重叠。围绕整个过滤器外围、沿组合过滤片和框架的连接处以及围绕过滤器和设备之间的密封处仔细检视。结果应使高效过滤器的过滤效率不低于99.99%。对于可进行扫描检测的过滤器在任何点的漏过率不应超过0.02%,不能进行扫描检测的过滤器在检测点的漏过率不应超过0.01%。

只有满足这些要求的生物安全柜,才能保证过滤器对流入流出安全柜的空气里的灰尘和试验时产生的气溶胶等微粒安全有效的过滤率,进而实现安全柜的安全作用。

由于高效过滤器是消耗性材料,在检测过程中若不满足要求时,允许使用单位更换高效过滤器,更换后再进行检测。

2.3 对人员、产品和交叉污染的保护测试

生物安全柜对人员、实验材料、以及交叉污染的保护是它的主要目的。

启动生物安全柜至少正常运行30min才能开始测试,并连续运行至所有测试完成。

2.3.1 人员保护测试

人员保护测试采用微生物法或碘化钾法。

微生物法是比较经典的方法,又称微生物挑战测试,是用盛有浓度为5108~8108个/mL芽孢悬浮液的喷雾器在柜内进行喷雾,再用撞击采样器进行取样并置于合适的培养基上培养。当培养到24~28h时检查菌落数,如果呈阴性,继续培养44~48h再检查菌落数。

碘化钾测量方法(KI-Discus测试法)是一种物理测试方法,可以准确、快速地实现检测。它通过测量开放工作台碘化钾粒子数的传递指数与安全柜内部碘化钾粒子数的传递指数的比值(称为:保护因子Apf),用来衡量危害性气溶胶从安全柜逸出量,是无量纲的量,计算公式如下:

式中:

M气溶胶发生器分散的碘化钾溶液的体积,以毫升(mL)表示;

3.1107由液滴尺寸、采样流量和涡流盘转速导出的一个常数;

V采样流量,以升每分(L/min)表示;

n过滤膜上的斑点数;

我们在实际检测中使用的条件是:M=20m L,V=100L/min,此时(1)变成:

在实际检测工作中只要数过滤膜上斑点数,就非常简单地得出保护因子Apf值。如果过滤膜上没有斑点,则意味着保护系数高于该值,可记为Apf>6.2106。

方便快捷的碘化钾测试法可以在1min内完成检测结果,远远低于微生物法的48h以上的培养所需要的时间,它测得的前操作口的保护因子小于1105,我们认为存在生物危险。

2.3.2 产品保护测试

在安全柜的工作台面上,以交叉三等分线的方式放5个敞开的琼脂培养皿;将盛有浓度为5106个/mL~8106个/mL孢子悬浮液的喷雾器放在安全柜外,喷雾器喷射轴在安全柜中心并与前窗操作口上沿平齐,喷雾器的喷嘴前端位于前窗操作口外100mm,喷雾方向平行于工作台面,正对前窗操作口,一个阳性对照琼脂培养皿放在圆筒下,并位于前窗进气格栅上方或下方10mm,使其对进气气流的干扰最小,启动喷雾器,运行5min后关闭。喷雾关闭5min后盖上琼脂培养皿的盖子;将培养皿在37.0℃培养;养24~48h检查菌落数。如果呈阴性,继续培养至总培养时间达44~48h检查菌落数。

2.3.3 交叉污染保护的测试

将盛有浓度为5104~8104个/mL的芽孢悬浮液的喷雾器置于安全柜内,紧靠左侧内壁的中心,启动喷雾器,5min后关闭喷雾器。

按工作台面三等分的方式,分排列8个敞开的琼脂培养皿,15min后盖上培养皿,并进行培养。当培养到24~28h检查菌落数。如果呈阴性,继续培养至总培养时间达44~48h再检查菌落数。

将喷雾器放于靠右侧内壁中央执行上述步骤。

2.4 气流测试

2.4.1 下降气流流速的测试

生物安全柜工作区垂直下降气流的流速以及流速的均匀性和稳定性是至关最要的。它对安全柜试验样品保护和交叉感染防护性能产生重要的影响,如果气流流速太小将导致试验样品失去保护。

按在工作区上方高于前窗操作口上沿100mm的水平面上确定测量点位置,且等距分布,形成的正方形栅格不大于150 mm150mm,测试点最少应有3排,每排最少应有7个测量点;测试区域边界与安全柜的内壁及前窗操作口的距离应不大于150mm;用夹具将风速计探针准确定位在各测量点进行测量。将所有测试点的测量值用规范的方法计算出下降气流的流速平均值以及流速的均匀性和稳定性。

2.4.2 流入气流流速流向的测试

生物安全柜工作窗口的气流流向和气流速度,是安全柜最重要的性能指标。它的流向和流速直接关系到对实验人员的保护。如果它的流速和流向失准将会对试验操作人员生命安全构成威胁。

用密封条带将风速计的捕获罩密封在生物安全柜的前窗操作口中心;运行安全柜,读取风速计至少10次,得到相应的气体速度测量值;计算出风速的平均值。

对于带有手套的生物安全柜,用热式风速仪在手套连接口中心测量气流流速,至少测量1min。在其他手套连接口进行同样测量。

气流流向测量可在生物安全柜的外离开口处约100mm的整个截面上发可视性烟雾,观察烟雾的流向。

2.5 其他测试

除上述主要参数外,生物安全柜工作区域的洁净度、温升、噪声、照度、振动幅度以及柜体内外的压差等参数也关系着其质量,也必须进行测试。

2.5.1 洁净度的测试

生物安全柜的洁净度用粒子计数器的采样数来表征。被测生物安全柜置于正常工作条件下运行30min;测量边界距离内表面或前窗100mm范围内;粒子计数器的采样口置于工作台面向上200mm高度位置。读取粒子计数器的采集数。

2.5.2 压差的测试

生物安全柜的压差用微压差计直接测量。被测生物安全柜置于正常工作条件下,用微压差计测出柜内外压差。

2.5.3 温升测试

被测生物安全柜置于正常工作条件下连续运行4h。将一个干球温度计置于被测生物安全柜前窗开口面中心向外80mm处测量环境温度,另一个干球温度计置于被测生物安全柜工作台面的几何中心向上300mm处测量操作区温度。当温度计上的数值达到稳态后,两个温度计的差值即为生物安全柜的温升。

2.5.4 噪声测试

对试验环境停止送风。声级计设置为“A”计权模式。在被测生物安全柜前壁面中心水平向外300mm,工作台面上方380mm处测量噪声。此时声级计的测量结果即为该生物安全柜的噪声。

2.5.5 照度测试

生物安全柜的光照度用照度计直接测量。在工作台面上,沿工作台面内侧壁中心连线设置照度测量点,测量点之间的距离不超过300mm,与侧壁最小距离为150mm;被测生物安全柜置于正常工作条件下,重复各测量点测量。被测生物安全柜照度为各测量点照度的算术平均值,即为该生物安全柜的光照度。

2.5.6 振动幅度测试

生物安全柜的振动幅度用振动仪直接测量。被测生物安全柜置于正常工作条件下,将振动仪的振动传感器牢固地固定在工作台面的中心,测量生物安全柜工作时的振幅。振动仪的最大值数为工作台面的振动幅值。

3 结束语

安全可靠的生物安全柜是目前保护生物安全最有效方法之一,由于它应用广泛,其质量安全性和可靠性已引起政府和社会各界的关注和重视,我院经常收到用户对生物安全柜质量检测的请求。因此生物安全柜性能测评方法的探讨和研究将对生物安全及社会公共安全将起到非常重要的作用,并由此产生重大的社会效益。

本方法快速、准确、简单、易于操作,使对生物安全柜的逐台检测成为可能。利用上述测评方法,我院对广州地区部分在用的生物安全柜性能进行测量和评价,对不能满足要求的生物安全柜进行了修理或降级使用,同时对净化工作台的测评也参照本方法的相关方法进行,已经产生了良好的社会效益。

参考文献

[1]U.S.Department of Health and Human Services,Center forDisease Control and Prevention,National Institutes of Health.Biosafety in Microbiological and Biomedical Laboratories[M].4th ed.Washington:US Government Printing Office,1999.

[2]World Health Organization.Laboratory Biosafety Manual[M].2nd ed.Geneva:WHO,2003.

[3]朱守一.生物安全与防治污染[M].北京:化学工业出版社,1999.

[4]BS EN12469:2000.Biotechnology-Performance Criteria for Microbiological Safety Cabinets[S].

[5]许钟麟.空气洁净技术原理[M].北京:科学出版社,2003.

[6]GB19489—2004,实验室生物安全通用要求[S].

[7]YY0569-2005,生物安全柜[S].

[8]胡良勇.生物安全柜的性能和质量控制[J].医学保健器具,2008(8):18-20.

[9]胡良勇.生物安全柜质量管理的现状分析及对策[J].中国医学装备,2009(2):32-34.

移动银行系统安全测评内容 第5篇

1)管理安全测评

安全管理措施与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。评估内容主要涉及以下几个方面：

 安全策略；

 内控制度建设；

 风险管理状况；

 电子银行业务运行连续性计划；

 电子银行业务运行应急计划；

 电子银行风险预警体系；

 电子银行系统运行管理。

2)业务安全测评

业务安全测评主要测试关注从业务申请开通、业务运行到交易处理过程中的安全措施，包括业务申请开通、业务安全交易机制、客户教育及权益保护等方面。可以从下面几方面进行评估：

 业务申请及开通；

 业务安全交易机制；

 客户教育及权益保护。

3)技术安全测评

因系统托管在城市商业银行资金清算中心，所以技术安全测评主要内容为客户端安全和专用安全设备安全，不包含服务器端安全。

 客户端安全；

安全测评 第6篇

在进行“甲醛释放量”、“重金属含量”、“边缘与尖端”和“警示标识”四个方面的对比测试中，“重金属含量”全部过关，均未检出。甲醛释放量则差异较大。而问题最突出的是关乎结构性安全的”边缘与尖端”测试，产品表现良莠不齐。

七彩人生甲醛释放量最多

在家具市场，最经常被提及的就是对甲醛挥发的忧虑了。

在此次“甲醛释放量”测试方面，七彩人生一款粉色板材储物柜的甲醛释放量达1.0mg/L，超过其声称“行内最低”的甲醛释放量<0.3mg/L。而自称“行业内唯一采用欧洲E0标准板材”的酷漫居，甲醛释放量为0.2mg/L，表现较好，位列板材家具甲醛释放量最低。当然，如果不考虑板材和实木的区别，以全实木家具著称的松堡王国松木床头柜则以0.1mg/L的甲醛释放量成为真正冠军。

之所以具有这样的差异，是因为甲醛释放量的“主犯”是粘合剂。在板材中，由于生产工艺不同造成刨花板所需要的粘合剂用量远少于中纤板。相对而言，由实木做成的儿童家具就更少了。

而如果在粘合剂相当的情况下，甲醛释放量的高低主要取决于粘合剂种类。这是一个考验儿童家具“业界良心”的重要时刻。因为，如果使用尿醛树脂意味着成本便宜，但是甲醛高；如果换成酚醛树脂则意味着增加许多成本，但甲醛释放量少。

家长们特别关注的另一个环保指标是“重金属含量”。如果仅从这次的测评来看，消费者们似乎可以暂时松一口气了。因为在送检的4品牌旗下儿童储物柜、儿童桌中，无一检测出铅、汞、锑、铬等8种可迁移性重金属。

不过，有业内人士提醒广大消费者，不能说这次送检的几个品牌产品没检测出重金属，就认为整个儿童家具行业没有重金属的问题。毕竟这与企业所选用的家具原材料——特别是油漆有非常大的关系，而目前市场上仍充斥着不少劣质油漆涂料。

七彩人生、宜家结构不安全

结构安全性方面，整体而言问题较多。

在边缘与尖端测试中，七彩人生、酷漫居、宜家旗下储物柜和一款松堡王国床头柜的结果显示：宜家“斯多瓦”儿童储物柜和七彩人生儿童储物柜，均不符合国标。也就是说，这两款产品具有潜在的结构性危险。而松堡王国自从出过类似乱子之后“改邪归正”，通过测评。另一个达标的送检品牌则是来自广州的酷漫居。

警示标识指标上，整体成绩较好。只有七彩人生的送检样品不符合要求。

综合来看，就安全性而言，四个儿童家具品牌中，松堡王国表现最好，七彩人生甩尾，酷漫居和宜家居中。

本刊此次有关儿童家具的安全性综合测评，基于产品在“甲醛释放量”、“重金属含量”、“边缘与尖端”和“警示标识”的第三方检测结果进行赋分。前两项指标突出显示各品牌的环保安全，后两项指标反映并不太受到关注的结构安全；依照各25%的权重，并在考量价格的基础上进行综合评价。

安全测评 第7篇

主机采用的主流操作系统平台有Windows, Uuix, Linux等, 本文主要结合等级保护自测评和预测评工作, 介绍基于SUSE Linux操作系统主机的一些常用且重要的安全加固设置。

一、密码策略加固

应通过以下命令对口令复杂度策略及有效期策略进行限制。

(一) 修改/etc/login.defs文件中的下述内容:

(二) 将/etc/profile文件中的umask修改为027。

二、登录策略加固

应配置登录失败处理策略、登录锁定策略、操作超时锁定策略以及限制root用户远程登录策略。

(一) 修改/etc/passwd文件, 将无用的系统用户的shell信息为/bin/false。

(二) 修改/etc/host.allow和etc/host.deny文件, 在操作系统层限制访问IP。

(三) 修改/etc/ssh/sshd_config文件, 限制root用户远程登录以及最大尝试次数, 将协议的版本改为2, 提高安全性:

(四) 修改/etc/pam.d/common-auth文件, 增加“尝试登录X次后, 即锁定账号Y秒”的锁定策略:

(五) 修改/etc/profile文件, 增加登录终端的操作超时锁定策略:

三、资源控制加固

在操作系统层限制可远程管理主机的终端IP及限制单个用户对系统资源的使用限度。

(一) 修改/etc/security/limits.conf文件:

(二) 重要文件的权限应当设置为640, 644。

(三) 使用chkconfig命令确认不必要的服务已关闭。

四、警示信息

修改/etc/motd文件, 将默认配置中会泄露操作系统版本的banner修改为警示信息。

计算机网络测评与安全防范技术 第8篇

1 计算机网络测评技术

随着社会的不断发展，计算机网络技术也已经被人们广泛的应用到各个行业当中，这就给人们的生活、工作以及学习带来了许多的便利。其中计算机网络测评技术的运用，则是在计算机网络技术的进程上，建立一个网络测评系统或者模块，通过人工测评和设备测试这两种不同手段，对测评对象进行测试，这样就是使得测评效果得到进一步的提升，有效的解决了传统测评技术在实际应用过程中存在中的相关问题，从而保障了计算机网络信息资源共享，有利于社会经济的稳定发展。

2 计算机网络安全概述

目前我们已经进入到了开放性的网络信息时代，人们在生活和工作的过程中，都可以利用网络技术来对其相关的信息数据进行传播，并且获取重要的信息资源，这样就充分的体现出了当代互联网开放性、共享性以及国际性等方面的特点。但是，计算机网络在使用的过程中，其计算机系统和网络都存在着许多不安全的因素，这就对信息数据的传播有着严重的影响，其中计算机网络的不安全性主要表现为以下几点：

1）网络的开放性

在现代化网络技术发展的过程中，开放性是其最为突出的特点之一，这不仅满足了人们对信息资源的需求，还改变了人们的生活方式，从而促进社会经济的发展。但是，开放性的网络技术在实际应用的过程中，也十分容易受到各方面因素的影响，而出现一些安全问题，从而导致信息数据出现泄漏、丢失等方面的现象。

2）网络的国际性

在互联网技术发展的过程中，互联网的国际性特点越来越多突出，网络技术的安全问题不在只局限于本地网络，而是面临着一个国际化的挑战，就给人们的计算机网络的安全防范处理工作加大了难度。

3）网络的自由性

目前，在网络技术运用的过程中，其网络信息技术的传播获取也已经不再受到时间、地点等方面因素的限制，这就使得用户可以随时随地的获取或者发布相关的信息，从而使网络技术的安全性受到了极大的影响。

4）网络系统的脆弱性

在我国网络系统建设的过程中，由于其技术存在着一定的局限性，因此导致网络系统在运行的过程中，没有良好的安全防范措施，计算机网络的安全性无法得到很好的保障。

3 相关对策

3.1 技术层面对策

在安全防范技术方面，当前我们采用的计算机网络安全技术主要有实时扫描技术、在线监测技术以及防火墙等，这些网络安全技术在实际应用的过程中有着良好的安全防范效果。而且随着科学技术的不断进步，人们也在对这些保护技术进行不断的创新和改进，其中主要表现在以下两个方面：

1）建立安全管理制度

对计算机网络技术的安全管理制度进行完善，并且对系统管理人员的技术水平和综合素质提出更高的要求，从而使在对计算机网络进行信息安全测评的过程中，不会出现相关的问题。

2）网络访问控制

在当前网络安全技术发展的过程中，网络访问控制是保护网络安全的主要措施之一，它在实际使用时，可以很好的保障网络资源使用的合法性，有效得到减少了信息数据丢失、泄露等方面情况的出现，并且在计算机完了技术发展的过程中，网络访问控制技术的应用范围也越来越广，这就很好的保障了网络技术的安全性。

3.2 管理层面对策

计算机网络的安全管理，不仅要看所采用的安全技术和防范措施，而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合，才能使计算机网络安全确实有效。计算机网络的安全管理，包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念，提高计算机用户的安全意识，这就要对计算机用户不断进行法制教育，明确计算机用户和系统管理人员应履行的权利和义务，维护计算机及网络系统的安全，维护信息系统的安全。

3.3 物理安全层面对策

要保证计算机网络系统的安全、可靠，必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施，主要包括以下内容：

1）计算机系统的环境条件

计算机系统的安全环境条件，包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面，都要有具体的要求和严格的标准。

2）机房场地环境的选择

计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地，要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性，避开强振动源和强噪声源，并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。

4 结论

由此可见，在计算机网络技术发展的过程中，网络测评和安全防范技术有着十分重要的意义，这不仅有利于计算机网络技术的进步，还使得网络技术的各方面性能得到有效的保障。虽然目前在我国计算机网络实际应用的过程中，网络测评和安全防范技术并没有达到理想的效果，但是人们已经将一些先进的科学技术应用到了其中，相信在未来计算机网络技术的应用效果将会更加的完善。

摘要：随着科学技术的不断发展,计算机网络信息技术也已经广泛的应用到了人们的生活和生产当中,这不仅给人们的生活带来了许多的便利,还有利于社会经济的发展。而在计算机网络技术发展的过程中,计算机网络测评技术和安全防范技术作为其核心内容,它们在实际应用的过程中,可以使得计算机网络信息技术的安全性和稳定性得到有效的保障。本文通过对计算机网络测评的相关内容进行介绍,讨论了在计算机网络技术运营的过程中,安全防范技术的实际应用,以供相关技术人员参考。

关键词：网络测评,安全防范技术,安全管理

参考文献

[1]李娜.浅谈计算机网络安全防范技术[J].电脑知识与技术.2011(08)

安全测评 第9篇

物联网 (Internet of things, IOT[1]) 是通过无线射频识别 (RFID) 、红外感应器、全球定位系统、激光扫描器等信息传感设备, 按约定的协议, 把任何物品与互联网连接起来, 进行信息交换和通讯, 以实现智能化识别、定位、跟踪、监控和管理的一种网络。随着物联网的应用范围迅速扩展, 物联网信息系统的安全性问题越来越为人们所关注, 其中之一就是物联网信息系统安全测评服务的探索[2]。目前, 我国信息安全测评工作已取得了很大的进步, 信息安全测评已不仅仅局限于分析静态脆弱性, 还对动态安全态势进行评估, 基于主动防御思想对主机层面、网络层面、系统层面等进行安全漏洞的挖掘, 对信息系统的安全脆弱性进行量化评估。基于安全咨询、体系规划、安全管理、应急响应等的信息安全服务已逐渐与信息安全测评形成一体化的服务模式, 构成了信息系统生命周期的闭环保障体系, 利用信息系统前期安全服务的分析数据, 实现信息系统风险状况及发展态势的动态评估, 为物联网的信息安全测评服务的开展提供基础性指导[3]。但是, 由于物联网应用和产业发展总体处于初级阶段, 标准体系尚在建立, 基于物联网的信息安全测评的服务综合性、复杂性、环境性、主体性、时间性、对策性和高技术等特点, 无疑给测评服务提出了巨大的挑战, 信息安全测评服务机构必须面对一轮一轮新的攻击威胁面前。物联网所面临的主要威胁有以下几类:

一是传统互联网的安全威胁。物联网是传感器、RFID等物联网技术与传统互联网相融合所形成的一个泛在网络, 其核心与基础仍然是互联网, 所以传统互联网的安全威胁内容是物联网安全的重要部分。互联网信息安全可分为三个方面:信息存储安全、信息计算处理安全和信息传输安全。

二是物联网节点产品安全威胁。物联网信息系统与传统互联网信息系统的区别在于物联网信息节点处的信息采集系统, 在这部分的物联网相关产品一般具有较低的运算能力、电池使用寿命较短以及不完善的安全防护能力, 无法有效抵御来自外界有意或无意的窃听、欺骗、拒绝服务、物理环境破坏攻击行为, 尤其是物联网射频识别系统中的电子标签可以被嵌入任何目标物品中, 这样标签的安全和隐私性就受到了极大地限制[4], 根据产品分类可将物联网节点产品安全分为RFID安全、智能卡安全、读写器安全、空中接口安全、中间件安全、传感器安全等。

三是不同应用模式下的安全威胁。随着物联网技术的不断发展, 物联网信息系统所应用的业务平台也层出不穷, 在不同的应用模式下, 物联网信息系统所面临的安全威胁也不尽相同。例如在医疗领域, 物理环境安全部分要特别考虑的是电子标签和读写器等设备对消毒药剂等化学药品的抗腐蚀情况。

因此, 相对于传统的互联网信息系统, 物联网信息系统所体现的高度开放性、感知信息多样性、应用环境多样性等新的特点为物联网信息系统安全测评服务带来的新的挑战, 本文将重点研究基于物联网信息系统的安全测评指标体系建立方法和服务模式, 将分别从物联网信息系统产品测评和物联网信息系统测评两方面进行讨论, 给出未来物联网信息系统安全测评服务提供理论基础。

1 国内信息安全测评服务模式发展现状

所谓的信息安全测评是指遵循一个标准, 使用相应的方法, 对交付件 (例如系统) 安全所进行的验证, 以建立与标准的符合性, 并确定其保障。目前我国信息安全测评一般分为两类;一类是产品层面上的评估, 一类是系统层面上的评审。产品层面上的评估通常是由独立第三方测评机构承担的, 而后以产品形态投入市场, 并部署到成千上万个系统之中。系统层面上的评审一般是由信息系统开发人员、系统集成人员、认证机构、审核员、信息系统拥有者和组织的信息安全有关领导等所进行的, 对系统进行附加的评审。目前信息系统产品层面和系统层面上的测评服务模式可大致分为以下几类:

1.1 信息系统产品层面安全测评服务模式

1.1.1 信息系统产品认证服务

信息安全认证是认证机构证明信息系统产品、服务、管理体系符合相关技术规范或者标准的合格评定活动, 信息安全认可则是指由认可机构对信息安全认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格, 予以承认的合格评定活动[5]。信息系统产品认证服务可以分为以下两种认证模式:

(1) 一站式受理

申请方向指定的认证机构申请认证, 认证机构确认申请资料然后向实验室安排检测任务认证机构可从指定的实验室名单中选取检测实验室。实验室依据相关产品认证实施规则进行检测, 完成检测后将完整的检测报告提交至认证机构。认证机构对检测报告进行审查, 合格后由认证机构组织工厂检查, 对型式试验、工厂检查结果进行综合评价, 评价合格后向申请方颁发认证证书, 并定期对已获得证书的产品厂商进行监督检查。

(2) 分段式受理

申请方直接向实验室提交相关申请材料, 检测实验室需从指定实验室名单中选取。实验室确认申请产品提交资料, 合格后依据认证实施规则进行检测, 检测通过后向认证机构提交检测报告。认证机构对检测报告进行审查, 合格后申请方向认证机构提交认证所需资料。认证机构对所需资料进行确认, 合格后由认证机构进行工厂检查。认证机构对型式试验、工厂检查结果进行综合评价, 评价合格后向申请方颁发认证证书, 并定期对已获得证书的产品厂商进行监督检查。

根据国家标准, 信息技术安全产品的评估由低到高分为功能测试、结构测试等7 个级别。这种等级评估的方式不仅可以确定信息系统产品是否足够安全, 还可以确定产品使用过程中隐藏的安全风险是否可容忍, 信息安全认证是对信息技术领域内产品、系统、服务提供商和人员的资质和能力符合规范及安全标准要求的一种确认活动, 即检验评估过程是否正确并保证评估结果的正确性和权威性。

1.1.2 信息系统产品定制测试

目前, 随着信息安全服务提供商对信息安全产品质量的越来越关注, 委托第三方的评测机构进行定制的安全测试也逐渐成为一种服务模式, 在这种服务模式下, 第三方评测机构一般是在信息安全产品领域具有专业技术能力并取得国家认可的测试实施机构, 具体的测试活动可根据客户需求和评测机构的实施条件进行协商, 所有可实现的测试内容需写入服务合同中, 测试流程一般按照评测机构内部产品测试流程进行。

验收测试是定制测试的一种形式, 是指信息安全产品交付时进行的测试活动, 其测试活动一般包括五个方面:文档审核、功能测试、性能测试、安全性测试和按客户需求进行的其他测试项。对于信息安全产品验收测试应该由项目委托开发方组织实施, 但是由于技术条件等诸多因素限制, 项目委托开发方一般不具有完整的组织项目并实施验收测试的能力, 所以对于质量要求比较严格的信息安全产品而言, 项目组一般委托第三方评测机构完成产品验收测试工作。

1.1.3 技术咨询与培训

许多评测机构提供信息安全产品的技术咨询与培训业务, 包括传递与培训最新的有关信息安全产品的标准及最新进展, 分析客户的业务需求以及产品特点, 确定产品的安全目标, 建立产品结构, 进行风险分析, 并依据风险分析结果选择控制措施, 制定可执行的信息安全管理体系, 编制培训资料, 采用短训授课或专题讲座等形式为客户培训信息安全管理和技术人才。

1.2 信息系统层面安全测评服务模式

1.2.1 信息系统安全等级保护测评

信息安全等级保护是指国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护, 对信息系统中使用的信息安全产品信息系统安全等级保护工作包含系统定级、系统备案、安全建设、等级测评和监督检查五个工作环节[6]。测评通常用于判断信息系统的安全保护能力与国家要求之间的复合程度, 也可用于安全建设或安全改建的需求分析工作中, 通过对特定级别的信息系统进行等级测评, 寻找安全保护水平与国家要求之间的差距, 作为安全需求用于指导信息系统的安全建设或安全改造。实行按等级管理, 对信息系统发生的信息安全事件分等级响应和处置。

依据《信息安全技术信息系统安全案等级保护测评要求》等技术标准, 定期根据信息系统安全等级状况开展等级测评, 第三级信息系统应当每年至少进行一次等级测评, 第四级信息系统应当每半年至少进行一次等级测评, 第五级信息系统应当依据特殊安全需求进行等级测评。信息系统主管部门、信息系统运营和使用单位应根据《信息安全等级保护管理办法》和安全等级保护相关标准开展安全等级测评工作。按照《管理办法》中规定选择安全等级测评机构, 由测评机构制定安全等级保护测评方案, 测评报告应规范、完整, 测评结果应客观、公正, 一般测评机构的等级测评服务流程如下图所示:

目前安全测评工作是依据相关标准、规范, 通过有经验的测评人员进行检测和分析, 但信息系统安全测评是一个复杂的系统工程, 涉及到信息系统中的安全技术、管理体系、人员、资质等各方面, 并且测评人员水平高低不同, 从而导致评估结果主观性强, 并且评估周期难以控制, 随着评估方法的发展, 信息系统测评的过程逐渐转向自动化和标准化, 信息系统安全测评工具的开发不仅可以将分析人员从繁重的手工劳动中解脱出来, 还能够帮助企业了解相关标准和技术、提高企业的自我评估的能力, 使企业能够更清晰的认识到系统与标准和规范之间的差距。国内许多评测机构在深入分析信息系统的相关标准和技术要求、面临的安全威胁, 并结合多年积累的信息系统等级测评的经验和知识基础上研制出了许多可以为产品提供支持和服务的系列工具, 并已投入许多实践测评项目中, 取得了良好的效果, 大大提高了测评工作的效益, 这些测评工具不仅可以使相关单位和企业尽快掌握信息安全产品的标准和知识应用, 还提供了详细的操作流程、步骤说明, 为提高企业的自我检查和测评水平提高了自动化程度和工作效率。

1.2.2 信息系统风险评估

信息系统风险评估是依据国家有关政策、法律法规和信息技术标准, 运用科学的方法和手段, 对信息系统及其信息在机密性、完整性和可用性等安全属性面临的风险进行科学、系统、公正的综合评估[7]。采用信息系统风险评估可以帮助用户清楚的认识到信息系统的安全环境和安全状况, 以及信息化建设中各级的责任, 在相关指导建议下采取或完善更加经济、有效地安全保障措施, 来保证信息安全策略的一致性和持续性, 提高系统安全保障能力。

风险评估应贯穿信息系统的整个生命周期, 一般过程为:从信息系统的安全目标出发, 分析资源的重要程度和分布情况、风险分布情况, 评估信息系统的风险大小和信息系统采取的安全措施和实施情况, 确定系统是否达到安全目标或相应的安全等级。许多测评机构的风险评估的服务流程采用等级测评的服务流程, 但工作内容仍有区别, 一般工作流程如下图所示:

1.2.3 信息系统安全审计

信息系统安全审计是评判一个信息系统是否真正安全的重要方法之一。在国际通用的CC准则中对信息系统安全审计 (ISSA, Information System Security Audit) 给出了明确定义:信息系统安全审计主要指对与安全有关活动的相关信息进行识别、记录、存储和分析, 审计记录的结果用于检查网络上发生了哪些与安全有关的活动, 哪个用户对这个活动负责[8]。一般情况下测评机构有关信息系统审计的服务内容包括:依据相关标准和规范, 采用监测、记录、存储和分析等技术方法, 开展信息系统审计服务, 通过对信息系统的策划、开发、使用、维护等相关活动和产物完整有效的审计, 判断信息系统和IT环境能否保证资产安全、数据完整、资源有效利用和是否达到预定业务目标等。通过安全审计收集、分析、评估安全信息、掌握安全状态, 制定安全策略, 确保整个安全体系的完备性、合理性和适用性, 才能将系统调整到最安全和最低风险的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段, 也是威慑、打击内部计算机犯罪的重要手段。

目前, 随着信息安全建设的深入, 安全审计已成为国内信息安全建设的重要技术手段。总体来看, 由于信息系统发展水平和业务需求的不同, 各行业对安全审计的具体关注点存在一定差异, 但均是基于政策合规、自身安全建设要求, 如政府主要关注如何满足《信息系统安全等级保护》等政策要求的合规安全审计, 电信运营商则基于自身信息系统风险内控需求进行, 电力行业则将信息系统分为管理类信息系统和生产控制类信息系统, 对于生产控制类信息系统增强了对电力二次系统的安全要求, 金融行业和证券期货类行业也根据自身业务特点适当调整了信息系统安全等级保护基本要求。

1.2.4 信息系统的渗透测试

信息系统的渗透测试, 也称为黑盒测试或正派黑客测试, 是在经过用户授权批准后, 由信息安全专业人员采用攻击者的视角、使用同攻击者相同的技术和工具来尝试攻入信息系统的一种测评服务, 它用攻击来发现目标网络、系统、主机和应用系统所存在的漏洞, 从而帮助用户了解、改善和提高其信息系统安全的一种手段。

对于信息系统的渗透测试方法, 并没有一个统一的标准和规范, 开放信息系统安全组 (OISSG) 提出了一种比较具有代表性的3 阶段的渗透测试框架[9]。方案包括下列阶段和步骤:

阶段1:计划和准备

在这个阶段, 双方应签署一份正式的评估协议。这份协议内容包含指定工作小组、实际日期、测试时间、问题升级方式和其他工作安排。具体活动包含:指定双方联系人;首次会议确定范围、方案、方法和测试计划;就特定测试用例和问题升级路径达成协议。

阶段2:评估

在评估阶段, 应使用分层的方案, 每一层代表对信息资产更大一层的访问。执行步骤大致可分为以下几个内容:信息搜集、网络绘制、漏洞识别、渗透、获取访问和特权升级、进一步枚举、攻入远程用户或站点、维持访问、覆盖踪迹。执行步骤是循环和反复的。

阶段3:报告、清除和破坏测试过程产物

在此阶段, 报告内容包含口头报告和最终报告, 口头报告是指在渗透测试过程中对发现的关键问题及时报告被测方, 讨论关于这些问题的保护措施, 最终报告时在完成了工作中所定义的所有测试用例后测评机构出具的一份描述测试和审核详细结果以及改进推荐的书面报告。测试过程完毕后, 应从被测系统上删除所有创建或存储的信息。

1.2.5 信息系统安全等级保护测评

非金融机构支付业务设施技术认证, 是指对申请《支付业务许可证》的非金融机构或《非金融机构支付服务管理办法》所指的支付机构, 其支付业务处理系统、网络通信系统以及容纳上述系统的专用机房进行的技术标准符合性和安全性认证工作。非金融机构支付业务设施技术认证业务包括互联网支付、移动电话支付、固定电话支付、数字电视支付、预付卡发行与受理、银行卡收单以及中国人民银行确定的其他支付服务。认证依据《非金融机构支付业务设施技术认证规范》, 并将认证分为两级, 一级认证包含《非金融机构支付业务设施技术认证规范》中的基本要求, 二级认证包含《非金融机构支付业务设施技术认证规范》中的基本要求和增强要求, 认证的基本环节依据标准《ISCCC-SR-001:2014非金融机构支付业务设施技术认证实施规则》, 主要包括以下内容:认证申请及受理、检测、文件审查、现场审查、认证决定、获证后监督、再认证。

1.2.6 信息系统安全等级保护测评

信息系统安全建设是一个复杂的过程, 涉及到诸多方面, 如信息系统中安全保障措施、人员能力建设、管理体系建设等, 信息系统安全测评服务中的技术培训与咨询是由专业的测评机构提供的一项服务, 可指导和帮助被测方建立符合标准和技术要求的信息系统和管理体系, 并提升被测方的技术和管理能力。

技术培训与咨询服务项目可以在服务周期的各个阶段来展开, 技术资讯主要包括对安全策略的指导和规划, 技术培训主要包括人员意识教育培训、管理培训和技术培训等。

2 物联网信息系统安全测评指标体系

为保障物联网信息系统安全、可靠、有效地运行以及数据的完整性、保密性, 需根据标准规范的测评指标对系统安全进行有效性评审, 如何根据物联网信息系统安全性需求建立有效的测评服务保障论据, 需要从以下几个方面进行考虑:

(1) 从威胁源确定测评指标:根据物联网信息系统的业务特点和网络特点, 对物联网信息系统的现实和潜在的威胁源进行分析, 了解主要的威胁源, 并对威胁源进行分类。物联网信息系统应用体系结构可以分为三层:感知层、网络层和应用层, 每一层涉及若干相关技术领域, 例如在感知层就包含了各种传感器和RFID、二维码、视频采集终端等[10], 涉及的技术包括了RFID技术、传感器技术和通信和网络技术[11]等, 基于各层所采用的关键技术对系统可能面临的威胁源进行识别, 由于物联网信息系统相比于传统的互联网信息系统的主要区别在于感知层的组网和信息采集处理系统, 故可总结物联网信息系统威胁源如下图所示:

(2) 威胁源影响分析:分析威胁源对物联网信息系统的影响, 确定威胁源的重要等级。

(3) 威胁源量化和定性分析:基于对威胁源的量化和定性分析, 制定抵御威胁的量化指标。

(4) 设置权重:首先对指标的类别设置权重, 对关键类别的指标设置较重的权重, 然后根据指标对信息系统的安全影响进行权重设置。

3 物联网信息系统安全测评服务模型

通过对物联网信息系统的研究, 结合现有的国内发展较为成熟的信息系统测评服务模式, 提出一套适用于物联网信息系统的安全测评服务模型, 该模型仍将物联网信息系统安全测评服务分为产品层面和系统层面两大类, 结合物联网信息系统的特点, 形成以测评指标体系为核心, 以准备阶段、实施阶段、评估阶段、审定阶段、入库阶段服务活动为途径, 以技术支持与培训为保障的物联网铁路信息系统的安全服务模型。下图为物联网信息系统安全测评服务模型:

(1) 技术支持与咨询:该服务在安全服务整个周期里均有所体现。主要包含两方面的内容, 一方面就测评服务具体内容, 另一方面, 就系统的设计与管理方面的安全目标、策略、方案等内容。

(2) 准备阶段:此阶段是开展安全测评服务工作的基础, 在此阶段测评机构需对物联网信息系统当前业务和环境进行调研和分析, 充分了解被测系统的详细情况, 包括安全体系架构、业务架构、组织及人员结构、信息采集与处理端所使用的技术、安全策略等, 在此基础上制定测评方案。

(3) 实施阶段:在此阶段, 测评机构根据测评方案和测评体系及测评指标, 采用多种测评手段对物联网信息系统进行定性和定量的测评, 以了解系统的真实防护情况, 获取足够证据, 发现系统存在的安全问题, 主要的服务措施分为代码检测、漏洞扫描、渗透测试、现场审核与访谈等。

(4) 评估阶段:在此阶段, 主要根据现场实施的内容对系统进行深入评估, 来判断现有安全措施的有效性以及是否符合标准测评体系的要求, 分析系统部署情况与测评标准之间的差距, 并生成详细的测评报告。

(5) 审定阶段:在此阶段, 测评机构相关人员对测评报告内容进行审查, 对其中不合理之处与测评人员进行核实并形成最终测评报告, 对测评过程中发现的阿全漏洞和威胁对被侧方进行安全通告。

(6) 入库阶段:测评服务机构将系统测评报告和测评结果以及相关过程记录进行归档保存, 将相关测试经验形成知识库。

(7) 培训服务:在安全测评服务中添加培训服务内容能够为构建安全可靠的信息系统、提高安全服务测评效率发挥重要作用, 主要的培训服务内容包括:人员意识培训、管理培训和技术培训。

5 结论

物联网的快速发展给物联网信息系统的安全问题提出了新的挑战, 也给针对物联网信息系统的测评服务提出来越来越高的要求。如何快速有效的发现物联网信息系统的运行风险和潜在威胁, 对物联网信息系统做出合理、全面、有效的安全评估成为一个新的课题。本文针对这个问题提出了如何基于物联网信息系统的安全威胁建立测评指标体系的方法, 并给出了一套完整的物联网信息系统的测评服务模式, 其中包含物联网信息系统产品层面和系统层面的相关内容, 为物联网信息系统的安全测评提供理论基础。

摘要：近年来物联网的快速发展导致物联网信息系统的安全性问题越来越被人们所关注。面对物联网信息系统所面临的新的安全威胁, 如何对物联网信息系统进行有效、全面的安全测评成为新的挑战。本文介绍了当前信息系统测评服务的发展现状, 分析探讨了物联网信息系统所面临的新的安全威胁, 基于这些安全威胁给出了测评体系和测评指标的建立方法, 并设计出物联网信息系统的安全测评服务模式, 为开展物联网信息系统的安全测评工作提供理论基础。

关键词：物联网,安全性,测评指标,安全威胁,服务模式

参考文献

[1]Conti J.P.The Internet of Things[J].Communications Engineer, 2006, 4 (6) :20-25.

[2]祝咏升, 周泽岩, 张彦, 等.铁路信息系统安全测评服务体系的研究[J].信息系统工程, 2011 (12) :77-79.

[3]李维, 刘东, 骆俊瑞.一种面向Tiny OS的物联网系统信息安全测评工具[J].软件, 2012 (02) :1-5.

[4]李真, 宋朝阳.物联网技术发展及应用研究[J].软件, 2012, 33 (6) :125-127

[5]GB/T 18336-2008.信息技术安全技术信息技术安全性评估准则[S].

[6]GB/T 22239-2008.信息安全技术信息系统安全等级保护基本要求[S].

[7]GB/T 20984—2007.信息安全技术信息安全风险评估规范[S].

[8]CCMB-2005-08-001.Common Criteria for Information Technology Security Evaluation[S].

[9]中国信息安全测评中心.Web系统安全和渗透性测试基础[M].北京:航空工业出版社, 2009.

[10]李维, 苗勇, 汤业伟, 等.物联网系统可靠性检测与评估技术[J].软件, 2012, 33 (4) :1-4.

安全测评 第10篇

1 国内的政策及发展

面对严峻的形势和严重的问题,如何解决大型信息系统的信息安全问题,是摆在我国信息化建设人员面前的重大关键问题。美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁,制定了一系列强化信息网络安全建设的政策和标准,其中一个很重要思想就是按照安全保护强度划分不同的安全等级,以指导不同领域的信息安全工作。经过我国信息安全领域有关部门和专家学者的多年研究,在借鉴国外先进经验和结合我国国情的基础上,提出了分等级保护的策略来解决我国信息网络安全问题,依据国家规定的等级划分标准,设定其保护等级,自主进行信息系统安全建设和安全管理,提高安全保护的科学性、整体性、实用性。

2003年,中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中,已将信息安全等级保护作为国家信息安全保障工作的重中之重。2004年,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护工作的实施意见》(66号文)。从2006年1月由全国各级公安机关组织开展了全国范围内各行业、企业信息系统的基础信息调研工作,并先后出台了GB/T 22240-2008《信息系统安全保护等级定级指南》、GB/T 22239-2008《信息系统安全等级保护基本要求》等指导性文件。[1]

2 信息系统安全体系简介

信息系统的基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确地配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现[2]。

从目前我国目前的信息安全建设情况及整个安全体系建设过程来看,网络安全都是信息安全体系中核心内容之一。目前大多数在公安机关备案的较为重要的信息系统均为3级。下面就以3级系统的安全性测评为例说明大型信息系统网络安全测评其中所涉及的测评技术的分析。

3 信息系统的网络安全测评的主要内容

对信息系统网络安全进行测试评估,应包括两个方面的内容:一是单元测评,单元测评以安全控制为基本工作单位组织描述,包括测评指标、测评实施和结果判定三部分,主要测评国家标准GB/T 22239-2008所要求的基本安全控制在信息系统中的实施配置情况;二是整体测评,主要测评分析信息系统的整体安全性。单元测评包含的内容涉及到信息系统安全技术和安全管理上的各个安全控制措施。整体测评在单元测评的基础上,对信息系统开展整体测评,可以进一步分析信息系统的整体安全性。整体测评主要包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等。

信息系统网络安全性主要包括结构安全、安全审计、边界完整性检查、入侵防范、恶意代码防范、访问控制、设备防护等方面。下面将按照以上所涉及的几个方面详细展开说明其测评所涉及到的关键性技术内容。

3.1 结构安全

结构安全是网络安全测评检查的重点,网络结构是否合理直接关系到信息系统的整体安全。结构安全的测评内容包括:

(1)保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。具体检查方法为:访谈网络管理员,询问主要网络设备的性能及业务高峰流量。访谈网络管理员,询问采用何种手段对网络设备进行监控。

(2)在业务终端和业务服务器之间进行路由控制建立安全的访问路径。静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够自动地建立自己的路由表。测评过程主要是检查边界设备和主要网络设备,查看是否进行了路由控制建立安全的访问路径。

以CISCO IOS为例,输入命令:show running-config

检查配置文件中应当存在类似如下配置项:

iproute 192.168.1.0 255.255.255.0 192.168.1.193(静态)

router ospf100(动态)

ipospfmessage-digest-key 1 md5 7 XXXXXX(认证码)

(3)根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。检查方法为:访谈网络管理员,是否依据部门的工作职能、重要性和应用系统的级别划分了不同的VLAN或子网。

以CISCO IOS为例,输入命令:show vlan

检查配置文件中应当存在类似如下配置项:

vlan2 name info

inte0/2

vlan-membership static 2

(4)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。

以CISCO IOS为例,检查配置文件中是否存在类似如下配置项:

policy-map bar

class voice

priority percent 10

class data

bandwidth percent 30

class video

bandwidth percent 20

3.2 访问控制

访问控制是网络测评检查中的核心部分,涉及到大部分网络设备、安全设备。

访问控制的主要内容包括:

(1)能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;

以CISCO IOS为例,输入命令:show ipaccess-list

检查配置文件中应当存在类似如下配置项:

no access-list 111

ipaccess-list extended 111

deny ipx.x.x.0 0.0.0.255 any log

interface eth 0/0

ipaccess-group 111 in

(2)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;该测评项一般在防火墙、入侵防御系统上检查。首先查看防火墙、入侵防御系统是否具有该功能,然后登录设备查看是否启用了相应的功能。

(3)应在会话处于非活跃一定时间或会话结束后终止网络连接;该测评项一般在防火墙上检查。登录防火墙,查看是否设置了会话连接超时,设置的超时时间是多少,判断是否合理。

(4)地址欺骗在网络安全中比较重要的一个问题,这里的地址可以是MAC地址,也可以是IP地址。在关键设备上,采用IP/MAC地址绑定方式防止地址欺骗。

以CISCO IOS为例,输入show ip arp

检查配置文件中应当存在类似如下配置项:

arp 10.10.10.1 0000.e268.9980 arpa

3.3 安全审计

安全审计要对相关事件进行日志记录,还要求对形成的记录能够分析、形成报表。主要的检查内容有以下方面:

(1)检查测评对象,查看是否启用了日志记录,日志记录是本地保存,还是转发到日志服务器。记录日志服务器的地址。

(2)通过登录测评对象或日志服务器,查看日志记录是否包含了事件的日期和时间、用户、事件类型、事件是否成功等信息。

(3)通过访谈网络设备管理员采用了何种手段避免了审计日志的未授权修改、删除和破坏。如可以设置与门的日志服务器来接收路由器等网络设备发送出的报警信息。

3.4 边界完整性检查

(1)可以采用技术手段和管理措施对“非法接入”行为进行检查。技术手段包括网络接入控制、关闭未使用的端口、IP/MAC地址绑定。通过访谈网络管理员,询问采用何种技术手段或管理措施对“非法接入”进行检查,对于技术手段,在网络管理员配合下验证其有效性。

(2)可以采用技术手段和管理措施对“非法外联”行为进行检查。技术手段可以采取部署桌面管理系统或其他技术措施控制。通过访问网络管理员,询问采用了何种技术手段或管理措施对“非法外联”行为进行检查,对于技术手段,在网络管理员配合下验证其有效性。

3.5 入侵防范

对入侵事件不仅能够检测,并能发出报警,对于入侵防御系统要求定期更新特征库,发现入侵后能够报警并阻断。具体的检查内容包括:

(1)通过检查网络拓扑结构,查看在网络边界处是否部署了包含入侵防范功能的设备。登录相应设备,查看是否启用了检测功能。

(2)通过查看在网络边界处是否部署了包含入侵防范功能的设备。如果部署了相应设备,则检查设备的日志记录是否完备,是否提供了报警功能。

3.6 网络设备防护

网络设备的防护主要是对用户登录前后的行为进行控制,对网络设备的权限进行管理。具体测评内容包括:

对于网络设备,可以采用CON、AUX、VTY等方式登录。对于安全设备,可以采用WEB、GUI、命令行等方式登录。通过检查测评对象采用何种方式进行登录,是否对登录用户的身份进行鉴别,是否修改了默认的用户名及密码。

4 结语

本文通过对结构安全、安全审计、边界完整性检查、入侵防范、恶意代码防范、访问控制、设备防护等方面所涉及的关键测评技术进行系统、详细的分析。本文的测评方法经过笔者在公安部全国信息安全测评试点工作中的实践证明了其有效性及正确性,为对大型信息系统网络安全测评工作的开展提供了很好的思路。

摘要：大型信息系统的安全性日益成为关系国家安全和社会秩序的重要因素。本文详细介绍国家在信息安全方面相关的政策标准、测评的流程及测评的主要内容,并结合笔者在公安部全国信息安全测评试点工作中的实践经验详细分析其中各项测评内容所涉及的关键技术,为对大型信息系统网络安全测评工作的开展提供了很好的思路。

关键词：网络安全,安全测评,等级保护

参考文献

[1]沈昌祥,左晓栋.信息安全[M].浙江大学出版社,2007

安全测评 第11篇

《征求意见稿》指出，上海将建立全市普通高中学生综合素质评价信息管理系统，以高中学校为记录主体，采用客观数据导入、高中学校和社会机构统一录入，学生提交实证材料相结合的方式，客观记录学生日常行为规范、参加公益劳动、体育锻炼习惯、调查研究能力等学习成长经历。

在组织管理保障上，上海将实行市、区（县）、高中学校三级管理制度，共同负责、协调、落实综合素质评价的组织、实施和管理，并成立上海市中小学生综合素质评价工作领导小组；将建立信誉等级制度，对综合素质评价涉及的高中学校、社会机构等主体，由相关部门评定信誉等级；同时建立公示与举报投诉制度，高中学校需在全校公示本校综合素质评价的具体实施办法，学校统一录入信息管理系统的学生信息，除涉及个人隐私的信息外都要公示。

安全测评 第12篇

信息安全等级保护是[1,2,3]指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,信息和信息系统的安全保护等级共分五级,第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。

根据信息安全等级保护制度,等级保护工作主要分定级、备案、建设整改、等级测评和监督检查五个环节。

2 等级测评

等级测评是[4,5]指具有相关资质的、独立的第三方评测服务机构,受相关单位委托,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动,等级测评是信息安全等级保护实施中的一个重要环节。

2.1 等级测评内容

对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。对安全控制测评的描述,使用工作单元方式组织。工作单元分为安全技术测评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。

系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。

2.2 工作单元

工作单元是安全测评的基本工作单位,对应一组相对独立和完整的测评内容。工作单元由测评项、测评对象、测评方式、测评实施和结果判定组成,如图1所示。

测评项描述测评目的和测评内容,与信息安全等级保护要求的基本安全控制要求相一致。

测评方式是指测评人员依据测评目的和测评内容应选取的实施特定测评操作的方式方法,包括三种基本测评方式:访谈、检查和测试。

测评对象是测评实施过程中涉及到的信息系统的构成成分,是客观存在的人员、文档、机制或者设备等。测评实施是工作单元的主要组成部分,它是依据测评目的,针对具体测评内容开发出来的具体测评执行实施过程要求。

结果判定描述测评人员执行完测评实施过程,产生各种测评证据后,如何依据这些测评证据来判定被测系统是否满足测评项要求的方法和原则。

2.3 等级测评过程

等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。

2.4 等级测评结果的重要性和复杂性

等级测评是判定信息系统是否满足基本要求的方法。对于已经确定安全保护等级的系统是否满足对应等级的基本要求,是需要通过信息系统安全等级测评来进行判断的。另外,等级测评的结果也是国家信息安全监管部门依法行政管理的技术依据。

对于不同安全等级、不同类型的信息系统,在进行等级测评时基本要求中安全措施的选择是不同的,这就要求不同的等级测评过程和不同的测评结果判定方法,增加了评估的复杂性;即使对于一个信息系统,也需要在基本要求中从不同的技术类或管理类中选择非常多的安全措施,每一项安全措施都对应一个测评结果,最终的测评结果应由众多的单项测评结果综合而得,这个过程也是相当复杂的。

3 CAE模型中的等级测评

在信息系统的安全测评中,为了获得测评对象的评估结果,首先要开展测试,其方法是先对测评对象的安全空间域进行划分,形成安全子空间域;然后定义支撑形成安全子空间域安全子声明的安全因素;最后针对各安全因素收集安全证据。这个过程跟CAE模型中自上而下的分解过程是一致的。

而在进行评估时,依据自下向上的方式进行逐层评估,这个过程跟CAE模型的推理过程是一致的。

并且,CAE模型自身具有很强的层次性和结构性,采用该模型能够在一定程度上简化复杂的信息安全测评过程。

因此,CAE模型作为一种基于证据链的推理模型,描述了一个合理而有效的测评框架,且能够一定程度的简化信息安全测评过程。目前CAE模型已被广泛应用于信息安全及其测评过程中。文献[6]和文献[7]介绍了在信息安全保障中的CAE模型,并指出信息安全保障过程是符合CAE模型的证据推理结构的;文献[8]将CAE模型运用到信息安全风险评估中,得到一种有效的定量化的信息安全风险评估方法;文献[9,10]根据评估过程的实际需要在《信息系统安全保障评估框架》标准基础上建立了CAE模型证据推理链。

为了解决等级测评结果判决的复杂性,能够在众多的单项测评结果中条理清楚的得到最终的测评结果。我们将CAE模型引入到等级测评中,对等级测评的过程按照证据-论证-声明的结构进行体系化。

3.1 CAE模型

Claim Arguments and Evidence是表示联系安全论据组件的简单有效的标记法。

1) 安全证据(Evidence)

Evidence作为评估证据,是系统中可直接得到的,支持Claim或Subclaim的一致同意的既定事实,一般是可以从实际测评结果中得出的数据信息。在CAE模型中,Evidence位于模型底层,支撑着上层的Argument和Claim。

2) 安全论据(Argument)

多个Evidence经过某种测量和推理后能够形成某一类的Argument。Argument为连接Claim和Evidence的桥梁,Argument的作用是简明地解释Claim和Evidence之间关系,清晰地描述Claim是如何被证明的:

(1) 证据是如何被收集和解读的?

(2) 什么证据支持这个Claim?

Argument支持Claim结构的建立,将高层次和较大的目标分解为一系列的小的Subclaim。

3) 安全声明/子声明(Claim/Subclaim)

多类Argument经过融合形成Subclaim或者最终的Claim,在安全测评中即评估结果。

每个Claim可以看作是一个命题,是一个对预期结果、度量目标的描述。一个典型的Claim具有如下特点:

(1) Claim应是有界限的;

(2) Claim不应是开放的;

(3) Claim应是可证明的。

在定义了CAE模型的三个要素后,就可以进行CAE模型的分解过程。CAE的分解过程就是从最顶层的Claim一直分解到由Evidence具体支持的Subclaim。简单的CAE模型结构如图2所示。

由图2可以得出,在分析系统的CAE结构时,采用由上而下的分析顺序,从顶层的最终结果开始,逐层进行C-A分解,根据不同的Subclaim分支,继续向下分解为一系列的Evidence。

而进行实际测评的时候,通常是由下而上的分析顺序,因为Evidence是可以直接测评得到的,有了Evidence的底层支持,我们才可以继续向上逐层进行评估分析,最终得到评估结果Claim。

3.2 等级测评的CAE建模

根据CAE的分解原则,在等级测评中,可以认为最终定级得到的等级为Claim,其对应的Argument即为安全技术测评和安全管理测评两个测评类的测评结果组合。依次往下,安全技术测评可以作为一个Subclaim,对应的Argument为物理安全、网络安全、主机安全、应用安全和数据安全五个测评层面的测评结果的组合;安全管理测评可以作为另外一个Subclaim,对应的Argument为安全管理机构和安全管理制度两个测评层面的测评结果的组合。每个测评层面都由众多的测评单元支持,而测评单元由测评项支持,按照分解原则,可将测评单元作为测评层面的Subclaim,测评项作为测评单元的Subclaim。在最低层次上,测评项作为最后一级的Subclaim由Evidence(优势证据)来直接支持。优势证据是多种不同测评方式的测评结果按照一定的推理方法得到的最终证据。图3给出了CAE下等级测评的一般模型。

下面通过对安全技术测评中物理安全的物理位置选择的三个测评项和物理访问控制的四个测评项进行CAE建模,验证该一般模型的有效性,假设通过各种测评方式得到的测评结果有3个,如图4所示。

对安全管理测评可以进行同样的操作,例如对安全管理机构的岗位设置的四个测评项进行CAE建模,假设通过各种测评方式得到的测评结果有3个,如图5所示。

由图4和图5可见,将等级测评代入CAE模型中后,能够清晰辨识实际系统的组合和传递的逻辑关系,按照一定的推理方法从3种不同测评方式得到的测评结果,我们就可以得到各项的测评结果。然后,根据CAE的层次结构,可以由各测评项的测评结果最终得到整体的测评结果。

一般认为等级测评的复杂性和困难度主要存在于测评指标的选择和测评结果的融合两个方面:

1) CAE建模后的测评指标选择

根据Claim的等级要求,可以得到其对应的Argument,即安全技术测评和安全管理测评的要求,基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全5个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理5个层面提出,每个层面都可以看作为一个Subclaim。根据信息系统的定级结果,对应指标层面级的每个Subclaim,都可以得到对应等级的S类、A类和G类的安全指标子项。将安全指标子项作为Subclaim,其对应的Argument即为具体测评项的组合。具体的测评项是最低一层的Subclaim,由优势证据来直接支持。

可以看出,使用CAE模型后,将等级准则层指标层指标项指标子项的5层测评指标选择体系简化为ClaimArgument两个层次。测评指标的选择即为确定一系列的Argument,当得到指标项的Argument后,即可得到其Subclaim(指标子项),测评指标的选择工作结束。

2) CAE建模后的测评结果融合

等级测评复杂性的另外一方面是等级测评结果的融合。首先,要将各种不同测评方式得到的不同测评结果进行融合,即由很多证据得到优势证据。优势证据即为指标子项的测评结果,指标子项的结果合成为指标项的结果,指标项的结果合成为指标层的结果,指标层的结果合成为准则层的结果,最后,准则层的结果合成为最终的测评结果。

使用CAE模型后,因为Argument包含了其下一层的Subclaim的所有指标及这些指标之间的关系,对于这一层的融合过程就可以直接在该Argument中进行。如图6所示的简单CAE模型。

假设Subclaim1到Subclaim5的结果已知,为了简单起见,我们分别设为1、0、1、1、1,由Argument里面包含的内容和逻辑关系可得Claim的结果应为1+0+1+1+1=4。

4 结 语

信息安全等级保护是国家提高信息安全保障能力和水平、保障和促进信息化建设健康发展的一项重要措施。而等级测评是信息安全等级保护实施中的一个重要环节。CAE模型中的分解和推理过程分别与信息安全测评中的安全因素收集和逐层评估过程是一致的,由于CAE模型具有很强的层次性和结构性,所以被广泛应用于复杂的信息安全测评过程中。本文将CAE模型应用到等级测评中,将复杂的测评过程分为Claim、Argument和Evidence三个环节,实际结果表明:等级测评的过程完全可以归纳入CAE模型中,其测评过程与CAE模型的推理过程是一致的;使用CAE模型可以结构化等级测评的过程,简化了测评指标的选择和测评结果的融合。本文结论进一步验证了等级测评的有效性和合理性。

摘要：CAE模型具有很强的层次性与结构性,被广泛用于复杂的信息安全测评过程中。采用CAE模型对等级测评的过程进行建模,将测评过程的多个层面简化为声明-论据-证据三种层次,并从测评指标的选择和测评结果的融合两个方面具体说明了CAE模型的作用。结果表明等级测评的过程完全可以归纳入CAE模型中,等级测评的过程与CAE模型的分解和推理过程是一致的,进一步验证了信息安全等级保护标准支持下的等级测评的有效性和合理性。

关键词：等级保护,等级测评,CAE

参考文献

[1]GB/T22239-2008信息系统安全等级保护基本要求[S].

[2]GB/T22240-2008信息系统安全等级保护定级指南[S].

[3]GB/T25058-2010信息系统安全等级保护实施指南[S].

[4]信息系统安全等级保护测评过程指南报批.

[5]信息系统安全等级保护测评准则报批.

[6]Nikolai Mansourov,Djenana Campara.System Assurance[M].Burl-ington,USA:Morgan Kaufmann Publishers,2011.

[7]Robin E Bloomfield,Sofia Guerra,Marcelo Masera,et al.AssuranceCases for Security[R].Washington DC,USA:Assurance Case Work-shop,2005.

[8]张雪芹,江常青,林家骏,等.基于符合性判定的CME信息系统安全风险评估模型[J].清华大学学报,2010,50(S1):66-71.

[9]徐萃华,林家骏,张雪芹.基于证据推理及评估用例的信息系统安全评估模型[J].华东理工大学学报,2010,36(6):818-824.