关于信息系统安全等级保护测评的研究

​​​随着互联网、移动应用逐步渗透到人民生活的各个方面，信息安全形势也日渐严峻，重大信息安全问题可能会直接威胁国家安全、社会稳定和经济发展。

信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作不仅是实现国家对重要信息系统重点保护的重大措施，也是一项事关国家安全、社会稳定的政治任务。

信息安全等级保护的过程

信息安全等级保护的过程信息安全等级保护工作贯穿了信息系统从系统规划、建设、运行维护直到废止的整个生命周期。等级保护的过程包括了定级、备案、安全建设整改、等级测评和监督检查五个环节。

​测评方法和测评内容

测评方法和测评内容本次主要内容围绕等级测评的方法和测评内容展开，包括了物理安全、网络安全、主机安全和应用与数据安全。

（1）物理安全：物理安全从物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护10个控制点进行安全测评。主要通过访谈、实地查看和文档审阅三种测评方式，现场测评主要以实地查看和文档审阅为主，可以较直观地获取物理安全防护的情况。（2）网络安全：网络安全测评主要从结构安全、访问控制、边界完整性检查、入侵防范、恶意代码防范、安全审计和网络设备防护7个控制点进行安全测评。测评方式包括了访谈、文档审阅、配置检查和测试。（3）主机安全：主机安全主要从身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防护和资源控制等7个控制点进行安全测评。测评方式包括了访谈、文档审阅、配置检查和工具测试。（4）应用与数据安全：应用与数据安全主要由应用安全和数据安全及备份恢复组成。应用安全主要从身份鉴别、访问控制、安全审计、剩余信息保护、抗抵赖、通信完整性、通信保密性、软件容错和资源控制等9个控制点。数据安全及备份恢复主要从数据完整性、数据保密性、备份和恢复3个方面进行测评。测评方式包括了访谈、文档审阅、配置检查和测试。

浦软平台对信息安全等级保护的测评方法和测评方式上进行了深入研究，已经获得了多个安全参数的信息安全CMA资质认可，同时也配备了多种专业的安全测评工具，包括应用安全扫描工具、系统评估设备、数据库安全评估设备和主机配置检查工具等，可覆盖包括网络安全、主机安全和应用与数据安全等多个方面的测评。

经过调研发现，很多客户在没有准备的情况直接接受信息系统安全等级保护的测评，往往很难顺利通过测评，在测评过程中发现的问题和缺陷也不知道如何进行整改，导致整改的周期拖长。由于没有专业人员指导，甚至会出现整改多次的情况，费时费力，还可能仍达不到要求。

基于这样的情况，我方具备专业技术能力可提供客户安全建设准备、整改阶段的预测评和咨询服务，使客户顺利通过正式的信息安全等级保护测评。

案例介绍

我方在现有的测试标准的基础上，丰富了关于信息安全性测试的方法和内容，在多个项目中结合了信息系统安全等保测试的要求进行了安全测评。

近期，浦软平台受某园区的委托，对其园区的官网进行了信息安全等级保护二级预测评工作，模拟正式的安全测评流程，出具包括测评方案、测评计划书、调查表、现场记录表、测评报告等多份材料。并在测评过程中，使用了包括应用扫描工具、系统扫描工具、数据库扫描工具，配置检查工具等多个专业设备对被测对象进行了安全测评。

在测评过程中，技术团队发现在网络安全方面，存在信息在网络传输过程中被窃听的风险，在主机安全方面，存在启动了多余服务和端口的情况，并且在对于数据安全未采取异地备份的方式，对数据的完整性和保密性防护存在不足。最后，根据整改意见，浦软平台帮助客户完成了相关的整改工作，加固了官网的安全性，顺利通过了正式的二级等保测评工作。

上海浦东软件平台是国内最早建立的软件技术增值服务平台之一，拥有专业的执证技术团队，可提供涵盖信息化咨询与监理、软件测评与质量保障、云计算服务能力符合性评估、电子数据与司法鉴定、知识产权与双软评估、两化融合、IT咨询等服务，为企业创造一个优良的创业和技术创新环境，为各行业提供信息系统全生命周期质量保障。

客服热线：021-61636300 

网址：www.pd-sts.com