《現(xiàn)代電子技術(shù)》2003年第9期總第152期信息與安全網(wǎng)絡(luò)與信息系統(tǒng)安全性評(píng)估及其指標(biāo)體系的研究郭振民, 胡學(xué)龍, 姜會(huì)亮(揚(yáng)州大學(xué)信息工程學(xué)院　江蘇揚(yáng)州　225009)摘　要:闡述了網(wǎng)絡(luò)與信息系統(tǒng)安

《現(xiàn)代電子技術(shù)》2003年第9期總第152期信息與安全

網(wǎng)絡(luò)與信息系統(tǒng)安全性評(píng)估及其指標(biāo)體系的研究

郭振民, 胡學(xué)龍, 姜會(huì)亮

(揚(yáng)州大學(xué)信息工程學(xué)院　江蘇揚(yáng)州　225009)

摘　要:闡述了網(wǎng)絡(luò)與信息系統(tǒng)安全性評(píng)估的意義、概念與原則, 提出的信息系統(tǒng)安全性評(píng)估指標(biāo)體系簡(jiǎn)明、實(shí)用、可操作性強(qiáng)。對(duì)構(gòu)建網(wǎng)絡(luò)與信息系統(tǒng)的安全保障體系具有一定的指導(dǎo)意義。

關(guān)鍵詞:網(wǎng)絡(luò)安全; 信息安全; 安全性評(píng)估; 指標(biāo)體系

中圖分類號(hào):T P 393. 08　　　　　文獻(xiàn)標(biāo)識(shí)碼:A 　　　　　文章編號(hào):1004373X (2003) 0900903

Security Evaluation of Network and Inf ormation System and Its Index System ′s Research

G U O Zhenmin, HU X uelong , JIA N G Huiliang

(Informa tion Eng i neeri ng Co llege, Yangzhou Universi t y, Yangzhou, 225009, China)

Abstract :Expounds the significance, concept ion and pr inciple of the ev aluation of netw o rk and infor matio n system secur ity. Its index sy stem, w hich is concise, pra ctical and easy to o per ate, may co nt ribute to the dev elo pment o f the secur ity sy st em o f netw or k and info rm atio n sy st em.

Keywords :netw or k secur ity ; infor matio n secur ity ; security ev aluat ion ; index sy st em

1　引　言

網(wǎng)絡(luò)與信息系統(tǒng)的安全性評(píng)估, 在信息系統(tǒng)的安全技術(shù)管理中占有十分重要的地位, 是構(gòu)建系統(tǒng)總體安全策略中一個(gè)不可缺少的組成部分。

第一, 網(wǎng)絡(luò)與信息系統(tǒng)在受到惡意攻擊, 因管理上的疏忽和發(fā)生意外事故的情況下, 能否連續(xù)工作, 能否保證信息的完整性、機(jī)密性和可用性, 是人們極為關(guān)注的問(wèn)題。這就需要對(duì)網(wǎng)絡(luò)與信息系統(tǒng)在各種威脅下, 是否具有足夠的保護(hù)能力進(jìn)行客觀的評(píng)價(jià)。

第二, 通過(guò)對(duì)網(wǎng)絡(luò)與信息系統(tǒng)各種安全機(jī)制、安全活動(dòng)的全程動(dòng)態(tài)檢查與定量的客觀評(píng)判, 就可以發(fā)現(xiàn)其存在的薄弱環(huán)節(jié)。從而采取相應(yīng)措施, 杜絕不安全隱患, 有利于把未來(lái)可能發(fā)生的風(fēng)險(xiǎn)降至最小。

第三, 網(wǎng)絡(luò)與信息系統(tǒng)的安全性要求, 往往因其處理信息的秘級(jí)、系統(tǒng)的用途以及應(yīng)用環(huán)境的不同而有較大的差別。反映在安全性評(píng)估指標(biāo)體系上應(yīng)有量的概念, 這就需要把定性的分析上升為定量的計(jì)算。

第四, 網(wǎng)絡(luò)與信息系統(tǒng)是一個(gè)復(fù)雜的系統(tǒng)工程, 既有硬件, 又有軟件, 既有外部影響, 又有內(nèi)部因素, 而且許多方面是相互制約的; 加之, 因人們看問(wèn)題的角度不同, 同一個(gè)系統(tǒng)得出的結(jié)論也不盡相同。因此, 必

收稿日期:200302

12

須有一個(gè)規(guī)范的、統(tǒng)一的、客觀的標(biāo)準(zhǔn)進(jìn)行評(píng)價(jià)。

本文討論的網(wǎng)絡(luò)與信息系統(tǒng)安全性評(píng)估指標(biāo)體系, 正是在這一背景下提出的。2　概念與原則

2. 1　概　念

網(wǎng)絡(luò)與信息系統(tǒng)的安全性評(píng)估, 就是運(yùn)用系統(tǒng)工程的方法, 對(duì)各種信息系統(tǒng)的安全防護(hù)措施、管理機(jī)制以及二者結(jié)合所產(chǎn)生的客觀效果, 按照統(tǒng)一的、規(guī)范的安全等級(jí)標(biāo)準(zhǔn), 做出是否安全的結(jié)論。實(shí)質(zhì)上, 是對(duì)網(wǎng)絡(luò)與信息系統(tǒng)在各種威脅下, 是否具有足夠的抗攻擊能力的一種評(píng)價(jià)和測(cè)定。

2. 2　制定系統(tǒng)安全性評(píng)估指標(biāo)體系的原則

根據(jù)國(guó)家對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全性的基本要求, 結(jié)合多年從事信息安全管理工作的實(shí)際體會(huì)。我們認(rèn)為, 在制定系統(tǒng)安全性評(píng)價(jià)指標(biāo)體系時(shí)應(yīng)遵循如下原則:

(1) 符合國(guó)家有關(guān)信息與信息系統(tǒng)安全的法律和法規(guī)。

(2) 滿足用戶及應(yīng)用環(huán)境對(duì)信息系統(tǒng)提出的安全性要求。

(3) 具有良好的可操作性, 便于實(shí)施。(4) 簡(jiǎn)明、實(shí)用、可行、經(jīng)濟(jì)。

郭振民等:網(wǎng)絡(luò)與信息系統(tǒng)安全性評(píng)估及其指標(biāo)體系的研究

3　網(wǎng)絡(luò)與信息系統(tǒng)安全性評(píng)估指標(biāo)體系

初步擬定, 整個(gè)指標(biāo)體系, 包括5個(gè)大項(xiàng), 35個(gè)條款。3. 1　綱　目

如表1所示。

表1　指標(biāo)體系綱目

類　別實(shí)體與環(huán)境安全組織管理與安全制度安全技術(shù)措施網(wǎng)絡(luò)通信安全軟件與信息安全

地　位基礎(chǔ)關(guān)鍵保障重點(diǎn)重點(diǎn)

分　值30分300分30 分20分10分10

中心有人值班, 出入口安裝防盜安全門, 窗戶安裝金屬防護(hù)裝置, 機(jī)房裝有無(wú)線電遙控防盜聯(lián)網(wǎng)設(shè)施。3. 2. 2　組織管理與安全制度(30分)

(11) 有專門的信息安全組織機(jī)構(gòu)和專職的信息安全人員。(4分)

信息安全組織機(jī)構(gòu)的成立與信息安全人員的任命必須有有關(guān)單位的正式文件。

(12) 有健全的信息安全管理的規(guī)章制度。(4分)

有規(guī)章制度的得2分, 上墻的得2分。

(13) 信息安全人員的配備, 調(diào)離有嚴(yán)格的管理制度。(4分)

(14) 設(shè)備與數(shù)據(jù)管理制度完備, 并且上墻。(4分)

(15) 有詳盡的工作手冊(cè)和完整的工作紀(jì)錄。(4分)

(16) 有緊急事故處理預(yù)案。(3分)

(17) 有完整的信息安全培訓(xùn)計(jì)劃和培訓(xùn)制度。(4分)

(18) 各類人員的安全職責(zé)明確, 安全管理制度嚴(yán)格。(4分)

3. 2. 3　安全技術(shù)措施(20分)

(19) 有災(zāi)難恢復(fù)的技術(shù)對(duì)策。(3分)

(20) 采取開(kāi)發(fā)工作與業(yè)務(wù)工作分離措施。(2分) (21) 具有應(yīng)用業(yè)務(wù)。系統(tǒng)安全審計(jì)功能。(3分) (22) 有系統(tǒng)操作日志。(3分)

系統(tǒng)操作日志:指每天開(kāi)、關(guān)機(jī), 設(shè)備運(yùn)行狀況等文字記錄。

(23) 有服務(wù)器備份措施。(4分) (24) 有防黑客入侵設(shè)施。(3分)

防黑客入侵設(shè)施:設(shè)置防火墻, 有入侵檢測(cè)等設(shè)施。

(25) 有計(jì)算機(jī)病毒防范措施。(2分)

計(jì)算機(jī)病毒防范措施:備有病毒預(yù)防及消除的軟、硬件產(chǎn)品, 并能定期升級(jí)。3. 2. 4　網(wǎng)絡(luò)與通信安全(10分)

(26) 放置通信設(shè)施的場(chǎng)所設(shè)有醒目標(biāo)志。(2分) (27) 重要通信線路及通信控制裝置均有備份。(2分)

(28) 采取加密措施。(2分)

(29) 系統(tǒng)運(yùn)行狀態(tài)有安全審計(jì)跟蹤措施。(2分) (30) 網(wǎng)絡(luò)與信息系統(tǒng)加有訪問(wèn)控制措施。(2分) 訪問(wèn)控制措施:指能根據(jù)工作性質(zhì)和級(jí)別高低, 劃分系統(tǒng)用戶的訪問(wèn)權(quán)限。

3. 2. 5　軟件與信息安全(10分)

(31) 操作系統(tǒng)及數(shù)據(jù)庫(kù)有訪問(wèn)控制措施。(2分)

3. 2　細(xì)　則

3. 2. 1　實(shí)體與環(huán)境安全(30分)

(1) 機(jī)房周圍100m 內(nèi)無(wú)危險(xiǎn)建筑。(2分)

危險(xiǎn)建筑:指易燃、易爆、有害氣體等存在的場(chǎng)所, 如加油站、煤氣站、煤氣管道等。

(2) 有監(jiān)控系統(tǒng)。(3分)

監(jiān)控系統(tǒng):指對(duì)系統(tǒng)運(yùn)行的外圍環(huán)境、操作環(huán)境實(shí)施監(jiān)控(視) 的設(shè)施。

(3) 有放火、防水措施。(2分)

防火:指機(jī)房?jī)?nèi)安裝有火災(zāi)自動(dòng)報(bào)警系統(tǒng), 或有適用于計(jì)算機(jī)機(jī)房的滅火器材、應(yīng)急計(jì)劃及相關(guān)制度。

防水:指機(jī)房?jī)?nèi)無(wú)滲水、漏水現(xiàn)象, 如機(jī)房上層有用水設(shè)施需加防水層。

(4) 機(jī)房有環(huán)境測(cè)控設(shè)施(溫度、濕度和潔凈度) 。(5分)

溫度控制:指機(jī)房有空調(diào)設(shè)備, 機(jī)房溫度保持在18～24℃。

濕度控制:指相對(duì)濕度保持在40～60。潔凈度控制:機(jī)房和設(shè)備應(yīng)保持清潔、衛(wèi)生, 進(jìn)出機(jī)房換鞋, 機(jī)房門窗具有封閉性能。

(5) 有防雷措施(具有防雷裝置, 接地良好) 。(2分)

防雷裝置:指機(jī)器設(shè)備有接地措施, 電器設(shè)備(包括通信設(shè)備和電源設(shè)備) 有防雷設(shè)施。

(6) 備用電源和自備發(fā)電機(jī)。(2分) (7) 使用U PS 。(2分)

(8) 防靜電措施(采用防靜電地板, 設(shè)備接地良好) 。(2分)

(9) 專線供電(與空調(diào)、照明用電分開(kāi)) 。(5分) (10) 防盜措施。(5分)

《現(xiàn)代電子技術(shù)》2003年第9期總第152期

(32) 應(yīng)用軟件、系統(tǒng)信息有防破壞措施。(2分) (33) 對(duì)數(shù)據(jù)庫(kù)及系統(tǒng)狀態(tài)有監(jiān)控設(shè)施。(2分) (34) 有用戶身份識(shí)別措施。(2分) (35) 系統(tǒng)用戶信息采用異地備份。(2分) 4　結(jié)　語(yǔ)

經(jīng)江蘇油田信息中心、揚(yáng)州大學(xué)網(wǎng)管中心等單位的試用表明, 本文提出的網(wǎng)絡(luò)與信息系統(tǒng)安全性評(píng)估指標(biāo)體系, 簡(jiǎn)單、易行、可操作性強(qiáng), 對(duì)定量評(píng)價(jià)網(wǎng)絡(luò)與信息系統(tǒng)的安全性有指導(dǎo)意義。

參　考　文　獻(xiàn)

信息與安全

[1]　郭振民, 姜楠, 陳琳. 信息安全發(fā)展策略的思考[J]. 微電子與計(jì)算機(jī), 2002(4) .

[2]　關(guān)義章, 戴宗坤. 信息系統(tǒng)安全工程學(xué)[M ].

北京:電子工業(yè)出版社, 2002.

[3]　潘立軍, 等. 網(wǎng)絡(luò)通信中的基本安全技術(shù)[J].

網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2002(7) . [4]　萬(wàn)里威. 網(wǎng)絡(luò)通信中的數(shù)據(jù)安全技術(shù)[J ]. 網(wǎng)

絡(luò)安全技術(shù)與應(yīng)用, 2002(7) .

作者簡(jiǎn)介　郭振民　男, 揚(yáng)州大學(xué)信息工程學(xué)院教授。主要研究方向:信息安全與信息對(duì)抗, 信號(hào)與信息處理。

胡學(xué)龍　男, 揚(yáng)州大學(xué)信息工程學(xué)院副教授, 江蘇省“333跨世紀(jì)學(xué)術(shù)技術(shù)帶頭人”。主要研究方向:多維信息處理與多媒體技術(shù), 信息系統(tǒng)與信息安全。

姜會(huì)亮　男, 揚(yáng)州大學(xué)信息工程學(xué)院信號(hào)與信息處理專業(yè)碩士研究生。

(上接第8頁(yè))

只有當(dāng)工作機(jī)發(fā)生某種故障而當(dāng)機(jī)時(shí), 備份機(jī)才取得

資源對(duì)象的全部管理權(quán)限, 而且這種權(quán)限也是獨(dú)占的。

參　考　文　獻(xiàn)

[1]　DataW ar e for w indow s NT [S]. Installation

Reference Guide Rev . 2Copyright 1997, 1998

-2000ProWare Technolog y Corp. 16.

1

6

[2]　ZXB 10(V 2. 1. 2) 多業(yè)務(wù)路由交換機(jī)技術(shù)手冊(cè)

[S ]. ZT E 中興深圳市通訊股份有限公司, 2002, 1. 5859, 7375.

作者簡(jiǎn)介　王喜成　男, 1966年出生, 河南西平人, 工程師, 1988年畢業(yè)于解放軍信息工程學(xué)院, 獲學(xué)士學(xué)位。現(xiàn)從事通信

技術(shù)工作。

臺(tái)灣地區(qū)最大民營(yíng)銀行“

搶灘”上海

產(chǎn)業(yè)看臺(tái)

　　臺(tái)灣地區(qū)第一商業(yè)銀行上海代表處近日宣告成立。作為臺(tái)灣地區(qū)最大的民營(yíng)銀行, 第一商業(yè)銀行成立百年來(lái), 歷史已橫跨三個(gè)世紀(jì)。根據(jù)該行的戰(zhàn)略規(guī)劃, 這家“百年老店”正逐步實(shí)現(xiàn)其全球化銀行夢(mèng)想。專程前來(lái)慶賀開(kāi)業(yè)的臺(tái)灣地區(qū)第一商業(yè)銀行總經(jīng)理蔡哲雄在接受采訪時(shí)表示, 設(shè)立上海代表處是第一商業(yè)銀行全球化戰(zhàn)略的重要部署。

在第一商業(yè)銀行之前, 已有臺(tái)灣地區(qū)的銀行選擇來(lái)上?；蛑苓叺貐^(qū), 蔡哲雄承認(rèn):“上海是個(gè)國(guó)

際化都市, 也是未來(lái)重要的國(guó)際金融中心, 而且, 上海及周邊是臺(tái)商聚集地。今后進(jìn)一步開(kāi)設(shè)分行時(shí), 我們也不排除進(jìn)入其他臺(tái)商聚集地。此外, 還有第一商業(yè)銀行全球化戰(zhàn)略部署的考慮, 我們已經(jīng)在新加坡、越南和香港特別行政區(qū)設(shè)置分行, 再加上上海, 把這幾個(gè)點(diǎn)連起來(lái)看, 會(huì)發(fā)現(xiàn)這里有亞洲地區(qū)最具競(jìng)爭(zhēng)力的市場(chǎng)。設(shè)立上海代表處對(duì)第一商業(yè)銀行來(lái)說(shuō), 是全球化部署的重要起步?！?/p>

(華　夏)