網絡安全等級保護定級策略在安全需求分析中的應用研究

2021-01-20 06:19:44

探索科學(學術版) 2020年5期

湖北省煙草公司鄂州市公司湖北鄂州 436000

引言

依據當前階段在安全需求的現狀分析,發現不管是軟件開發方還是客戶方,在系統安全意識方面普遍不高,在相關需求文檔當中很少對安全方面進行詳細的描述,促使系統上線之后經常出現安全問題,使得社會影響極為不良,客戶的信息資產也存在了損失,在后期修復與維護階段,投入的成本也在極大程度上得到了增加。因此,在實際開展軟件系統開發的過程中,嚴格依照定級備案的主要流程來實施安全建設,促使系統能夠有效提升安全水平。

1 網絡安全等級保護定級備案的主要流程

依據現行的《信息安全等級保護管理辦法》當中的相關規定,再具體實施等級保護工作的時候,主要分為5個環節來具體實施,分別為定級、備案、建設整改、登記測評以及監督檢查這5個環節,而定級與備案這兩個環節,在實際開展網絡安全等級保護工作當中屬于首要環節,那些沒有經過備案的項目,各個網絡運行人員都應該對系統級別進行確認,然后再去公安機關進行相應的備案,定級工作在實際開展的時候,必須要嚴格遵循“網絡運營者擬定網絡安全保護等級、專家評審、公安機關審核以及主管部門核準”的各項原則來具體實施,當公安機關對其審核并通過之后,會下發相應的備案審批號。而那些已經備案的項目相關運營者僅需要對系統的級別、備案號、備案材料進行確認就可以了。而在實施等級保護對象定級工作的時候,一般都需要先對定級對象進行確定,然后初步確定相應的等級,初步確定完成之后需要經過專家的評審、主管部門的審核、公安機關備案審查,最終將等級進行確定。

2 網絡安全等級保護定級策略在安全需求分析中的應用研究

2.1 網絡安全等級保護定級對象的確定網絡安全等級的定級對象是多樣化的,尤其是電信、廣播電視傳輸以及互聯網絡等各種基礎信息網絡,都需要與各種因素相結合來實施相應的等級對象劃分,比如服務類型、地域以及安全責任主體等因素。其中信息系統主要包括工業控制系統、云計算平臺、物聯網、移動互聯網技術下的信息系統以及其他類型的信息系統,工業控制系統的構成部分主要有生產管理、現場設備、現場控制以及過程監控這4個階層,除生產管理層外,其他均可以作為一個整體的定級對象,各層的要素定級都不需要單獨進行定級。處于云計算環境之中,需要將云計算平臺單獨作為定級對象。物聯網則屬于一個整體的定級對象,包含多層要素,分別為感知層、網絡傳輸層和處理應用層等。移動互聯技術當中的等級保護對象則應該作為一個整體的定級對象,主要涵蓋移動終端、移動應用、無線網絡以及應用系統等。

2.2 針對安全保護等級的初步確定在初步實施定級的時候,需要遵循相應的定級方法。⑴針對受破壞時的侵害客體進行確定:對于業務信息中遭受到破壞時所侵害的客體進行確定,對系統服務中受到侵害的客體進行確定;⑵針對客體遭受侵害的程度進行確定:需要與各個侵害客體相結合,以保證能夠在多個角度被破壞的業務信息安全綜合的進行評定,進而確定客體的侵害程度;⑶針對安全保護等級進行確定:對于業務信息與系統服務的安全保護等級進行確定。在確定受侵害客體的時候,應該先對其是否對國家安全產生侵害進行判斷,然后在對其是否對社會秩序、公眾利益等方面進行判斷,最后再對公民、法人以及其他組織所具備的合法權益進行判斷。對于客體侵害程度的確定需要以客觀角度來思考,通常其外在表現為對于定級對象的破壞,主要是針對業務信息安全、信息系統服務方面造成的破壞,業務信息安全能夠對信息系統內部信息在保密性、完整性以及可用性等方面得到保證,系統服務安全的定級對象能夠確定為客戶提供及時、有效地服務,進而將相應的預定業務目標得以完成。當業務信息安全與系統服務安全遭受到破壞之后,那么將會產生極大的危害與不良后果,比如工作職能的行使受到影響、業務能力下降、法律糾紛、財產損失以及社會不良影響等。

2.3 其他安全需求分析的應用通過上述的網絡安全等級保護定級備案主要流程,我們得知初步確定安全保護等級之后,還需要進行安全保護等級的確定、專家評審、主管部門審核以及公安機關備案審查,在對安全保護等級進行確定的時候,需要與業務信息安全被侵害時的客體以及課題侵害的具體程度相結合。(如表1、2所示).

表1 業務信息安全保護等級矩陣表:

表2 系統服務安全保護等級矩陣表:

專家評審的環節中定級對象實施初步定級評審的時候,需要運營單位、使用單位組織相應的信息安全專家、業務專家來具體實施,并出具相應的專家評審意見。主管部門審核需要運營與使用單位,將初步定級結果上報給行業主管部門來具體實施審核的。然后相關單位需要依照相關管理規定,將相應的定級結果提交給公安機關,進而完成相應的備案審查環節。

結束語

綜上所述,網絡安全等級定級備案,在信息系統安全等級保護當中,僅僅屬于其前期的準備工作,但是這一環節也是極為重要的環節,必須要通過備案材料公安機關的審核,并且將備案編號下發之后,處于第三方的測評機構才能夠真正實施相應的測評環節。