探討網絡信息安全等級保護測評方法分析

周放?倪培利

摘 要 進入新世紀之后，我國經濟快速發展，互聯網在人們日常生活中的應用也越來越廣泛，如何保障人們的信息安全也成為人們極為關注的問題。為了切實我國提出的信息安全等級保護要求，建立完善的信息安全防護體系，制定統一的信息安全保護標準，需要對信息的級別進行劃分，合理配置資源，建立規范化的信息系統，并對不同安全等級的信息進行安全保護，切實提升我國的網絡安全信息防護水平。本文基于此，對信息安全等級保護的測評方法以及具體過程做了分析和介紹，詳細闡述了如何進行網絡信息安全等級保護測評，希望能夠為相關的工作人員提供指導和幫助。

關鍵詞 網絡信息安全;等級保護;測評方法

對于網絡信息來說，網絡安全等級保護測評主要是指對涉及國家安全、社會穩定、公共利益均等相關指標的測評。它借助于網絡信息安全相關的管理措施以及安全保護技術，切實保障信息系統的安全和穩定。對網絡信息安全性進行評估后，能夠落實對重要信息系統的分級保護和監督管理，實現了對信息安全事件的層次化管理和保護，切實保障了網絡信息的機密和完整。

1信息安全等級保護測評的實施過程

在對國家信息安全級別保護系統進行登記評估時，要以相關的管理標準以及技術標準為前提對其進行約束。對于某些具有特定功能的信息系統，在進行評估時采用安全技術評估以及安全管理評估實現對信息系統保護狀態的評估，實現被評估信息系統所需要的管理級別以及安全等級。以此為基礎判斷其是否符合規定的安全等級，對于不合格的安全等級，采用相關的解決方案予以整改和處理。

在網絡信息系統的整個生命周期中，涉及信息安全級別保護的信息系統分級和歸檔管理是其重要的組成部分和工作內容。在進行信息系統分級時，需要嚴格遵循“自動評級、專家審核、負責單位審批、公安信息保護部門審核”的原則和流程。而在進行信息系統的分級時，安全設計以及設施階段的目標則是通過信息系統的安全措施來進行的[1]。

對于網絡信息來說，其安全措施主要是指在各種級別信息應用的過程中，能夠切實保障各種資產平穩運行的維護機制，當信息的應用端遭到轉移、丟棄后，對其進行級別保護是進行信息系統安全保護的最終環節。在整個信息系統的生命周期中，部分系統盡管很少在市場上見到，但是實質上部分工作人員將信息系統盡心改進，這也同時帶動了信息系統以及信息安全的保護。對于這些改造了的信息系統，有必要切實保障信息傳輸、設備銷毀的安全性。

2信息安全等級保護測評的辦法

對于網絡信息安全保護來說，整個過程分為四個階段，即測評、檢查、評估以及測試。在進行測評準備時，需要對測評的對象進行明確，并簽署相應的保密協議。現階段，我國在進行信息安全等保護測評時，常用的方法包括訪談和檢查兩種。

訪談，是指對負責網絡信息安全保護的工作人員進行溝通的訪問，獲取相應的數據信息和看法，并以此作為證據證明信息系統的安全管理有效。在明確訪談的廣度時，需要建立一個覆蓋所有工作人員的測評，并且對其進行及時的更新。而在訪談的深度上，需要提出更加全面且具有深度的相關問題[2]。

檢查，則是指負責信息安全等級保護測評的工作人員通過對研究對象進行觀察、評估和分析，獲取相應的信息，并以此來評估安全保護是否有效可行。一般來說，進行檢查的范圍必須要覆蓋所有的文檔和機制，并對數據信息進行采樣分析，而在檢查的深度方面，需要對具體的問題進行具體的分析。

評估，是指測試人員需要按照本次評估的具體方法對對象進行評估分析，獲取相關的證據信息，證實信息系統安全級別保護措施具有可行性。

測試，通常是指一種具有試探性的測量，也就是測試和試驗的有效結合。在進行測試時，需要全面覆蓋不同類型的信息系統安全保護機制，并且能夠保障對相當數量的樣本進行采集。而在測試的深度方面，需要進行安全測試，并且將涉及機制的規范和程序進行記錄。

舉例來說，在進行計算機機房信息系統安全保護時，首先需要建立一個靈敏度極高的自動消防系統，它具有煙霧報警器的功能，能夠及時發現潛在的火災，并進行自動滅火;其次，對區域范圍內進行隔離和防火，將重要的設備和普通設備進行隔離，避免火災發生傳播給重要設備;第三，設定溫度自動調節裝置，它主要能夠將機房的溫度控制在最適宜的溫度之內;第四，在網絡邊境進行檢測并將可能對機房計算機設備進行攻擊的惡意代碼進行識別和清除;第五，訪問控制設備能夠在計算機會話狀態信息的基礎上提供數據訪問以及拒絕的權限[3]。

3等級保護測評的工作流程

在進行網絡安全信息登記評估時，需要對被測評系統的信息進行分析，并以此確定準備階段的評估對象，對整個系統以及相關的業務應用進行分析和評估。在明確測評指標時，需要結合測評系統的分級結果對評估指標進行明確，而在選擇測評路徑時，需要根據已有的信息系統信息來對測評對象進行評價，并選擇恰當的路徑，在確定測評路徑的基礎上再確定測試工具的訪問點。

在進行實地測評時，傳統意義上的現場評估實質上是一種較為單調且可信程度不高的測評方法。在進行測評時，需要從網絡安全、五蓮泉、信息管理機構、主機安全性等多個方面入手進行分析。在準備階段，需要對進行測評調研的結果進行評價，評估每個被評價對象的評價結果，并將涉及的相關信息詳細列出。而對于安全系統的評估對象來說，在進行整體測評時，如果有部分測評結果不符合要求，那么需要采用逐一確認的方法，從安全控制層以及區域的角度入手進行分析[4]。

4結束語

綜合全文，在進行網絡信息安全等級保護測評時，需要在已有評價結果的基礎上，明確系統保護現狀和水平保護之間的差距，形成對應的結論，并結合等級測評來確定最后的測評報告，最終實現對信息安全等級的準確評價。

參考文獻

[1] 宮平.信息安全等級保護測評中網絡安全現場測評方法研究[J].網絡安全技術與應用，2019，（05）：17-18.

[2] 胡赟鵬.網絡信息安全等級保護測評方法分析[J].信息與電腦（理論版），2019，（04）：219-220.

[3] 陳鑫，路超，霍珊珊，等.網絡安全等級保護測評實施模型研究[C].2018第七屆全國安全等級保護技術大會.2018第七屆全國安全等級保護技術大會論文集.北京：信息產業信息安全測評中心，北京市海淀區太極計算機培訓中心，2018：5.

[4] 張文勇，李維華，唐作其.信息安全等級保護測評中網絡安全現場測評方法研究[J].電子科學技術，2016，03（03）：272-276.