等级保护测评中的风险质量定性分析研究
文章运用项目管理的思想和方法,定性分析了各个安全层面等级保护测评方法中的风险成因,技术要求是指从物理安全、网络安全、主机安全、应用安全和数据安全几个层面通过对信息系统安全的测评流程分析,根据信息系统提供的技术安全机制,通过在信息系统中部署软硬件并正确的配置其安全功能来实施项目,对现实的和潜在的风险进行鉴别的过程。物理安全主要指对被测系统所在的物理空间及物理条件进行分析和查看。网络安全测评往往以被测系统的整体网络构架为基础,以内部各系统的边界为划分准则,对整个系统进行测评。但是还应注意应用系统关联的层面较多,以及应用安全具有特殊性。应用软件是部署在操作系统之上,通过与数据库连接,为用户交互数据,完成数据操作的系统。所以,在测评应用安全时,主机安全的控制点防护情况和应用安全有着息息相关的联系,在测评过程中,通过主机安全的测评完成能够起到对应用安全的部分防护能力。同时,网络安全也决定了部分应用安全的通信安全性,通过网络设备的安全策略和安全设备的防护性能,对应用安全也是有效的安全补充。应用软件不像操作系统安全中的操作系统、数据库系统具备可预见性,应用软件的具体展现没有一个固定的模式,目前应用软件仅存在三种状态,浏览器模式、客户端模式和这两者共存的模式。由于没有一个明确的测评对象框架,在测评过程中就容易发生许多不可预见的问题,导致风险的提高。在项目实施过程中,被测系统单位人员往往对应用软件无法清晰描述,不能提供完整的应用软件开发的文档材料,这样导致在测评过程中访谈和工具测试结果不吻合,使得测评结果不能反映系统存在的问题。
信息安全 等级保护 测评工作 风险控制
王智 王大萌 刘兆东
黑龙江省电子信息产品监督检验院,黑龙江哈尔滨150090
国内会议
合肥
中文
274-275
2013-06-01(万方平台首次上网日期,不代表论文的发表时间)