您现在的位置: 论文资源库 >> 论文资源 >> 计算机 >> 计算机网络 >> 正文

信息系统网络安全评价指标的分析和建立|论文资源库

信息系统网络安全评价指标的分析和建立
作者:未知 文章来源:网络 点击数: 更新时间:2009-12-16

【摘 要】建立的网络安全评价指标是否合理和科学,关系到能否发挥评价的作用和功能,即关系到能否通过评价来提高网络安全水平。指标选取的多少应合适,每一项指标都是从一个方面反映了评价对象的某些信息。欲想建立一套完善、合理、科学的评价指标,应遵循科学性、全面性、可行性和稳定性共5个指导原则去建立一个评价指标体系。本文着重探讨了信息系统网络安全评价指标的建立。
  【关键词】信息系统 网络安全 评价指标
  
  根据国家网络和信息系统的安全性要求,结合多年的网络管理经验,从以下五个指标对信息系统网络安全进行评价:
  
  1.实体与环境安全
  
  实体与环境指计算机设备及计算机网管人员工作的场所,这个场所内外的环境条件必须满足计算机设备和网管人员的要求。对于各种灾害、故障要采取充分的预防措施,万一发生灾害或故障,应能采取应急措施,将损失降到最低限度。可以从以下几个方面来检查:
  (1)机房周围环境
  机房是否建在电力、水源充足、自然环境清洁、通讯、交通运输方便的地方。
  (2)机房周围100m内有无危险建筑
  危险建筑:指易燃、易爆、有害气体等存在的场所,如加油站、煤气站、煤气管道等。
  (3)有无监控系统
  监控系统:指对系统运行的外围环境、操作环境实施监控(视)的设施,及时发现异常,可根据使用目的不同配备以下监视设备,如红外线传感器、监视摄像机等设备。
  (4)有无防火、防水措施
  防火:指机房内安装有火灾自动报警系统,或有适用于计算机机房的灭火器材,如卤代烷1211和1301自动消防系统或灭火器。
  防水:指机房内无渗水、漏水现象,如机房上层有用水设施需加防水层,有暖气装置的机房沿机房地面周围应设排水沟,应注意对暖气管道定期检查和维修。是否装有漏水传感器。
  (5)机房有无环境测控设施(温度、湿度和洁净度),如温湿度传感器
  温度控制:指机房有空调设备,机房温度保持在18—24摄氏度。
  湿度控制:指相对湿度保持在40%—60%。
  洁净度控制:机房和设备应保持清洁、卫生,进出机房换鞋,机房门窗具有封闭性能。
  (6)有无防雷措施(具有防雷装置,接地良好)
  计算机机房是否符合GB 157《建筑防雷设计规范》中的防雷措施。
  在雷电频繁区域,是否装设有浪涌电压吸收装置。
  (7)有无备用电源和自备发电机
  (8)是否使用UPS
  UPS:(Uninterruptible Power System),即不间断电源,是一种含有储能装置,以逆变器为主要组成部分的恒压频的不间断电源。主要用于给单台计算机、计算机网络系统或其它电力电子设备提供不间断的电力供应。
  (9)是否有防静电措施(采用防静电地板,设备接地良好)
  当采用地板下布线方式时,可铺设防静电活动地板。
  当采用架空布线方式时,应采用静电耗散材料作为铺垫材料。
  通信设备的静电地板、终端操作台地线应分别接到总地线母体汇流排上定期(如一周)对防静电设施进行维护和检验。
  (10)是否保证持续供电
  设备是否采用双路市电供电,提供冗余备份,并配有实时告警监控设备。是否与空调、照明用电分开,专线供电。
  (11)是否有防盗措施
  中心有人值班,出入口安装防盗安全门,窗户安装金属防护装置,机房装有无线电遥控防盗联网设施。
  
  2.组织管理与安全制度
  
  (1)有无专门的信息安全组织机构和专职的信息安全人员
  信息安全组织机构的成立与信息安全人员的任命必须有有关单位的正式文件。
  (2)有无健全的信息安全管理的规章制度
  是否有健全的规章制度,而且规章制度上墙;是否严格执行各项规章制度和操作规程,有无违章操作的情况。
  (3)是否有信息安全人员的配备,调离有严格的管理制度
  (4)设备与数据管理制度是否完备
  设备实行包干管理负责制,每台设备都应有专人负责保管(包括说明书及有关附件);在使用设备前,应掌握操作规程,阅读有关手册,经培训合格后方可进行相关操作;禁止在计算上运行与业务无关的程序,未经批准,不得变更操作系统和网络设置,不得任意加装设备。
  (5)是否有登记建档制度
  登记建档是做好网络安全工作的前提,一些技术资料对网络安全工作很重要,要注意收集和保存。可从以下几个方面检查相关文档:
  策略文档(如,法规文件、指示)、系统文档(如,系统用指南、系统管理员手册、系统设计和需求文档、采购文档)、及安全相关的文档(如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全策略)都可提供系统使用的或计划的安全控制方面的信息。任务影响分析或资产重要性评估可提供有关系统和数据重要性及敏感性的信息。
  设计资料,如网络拓扑结构图,综合布线结构图等。
  安装资料,包括安装竣工及验收的技术文件和资料。
  设备升级维修记录等。
  (6)是否有紧急事故处理预案
  为减少计算机系统故障的影响,尽快恢复系统,应制定故障的应急措施和恢复规程以及自然灾害时的措施,制成手册,以备参考。
  (7)是否有完整的信息安全培训计划和培训制度
  开展网络安全教育是为了使所有人员了解网络安全的基本常识及网络安全的重要性,要坚持经常的、多样化的安全教育工作,广播、图片、标语、报告培训班都是可以采用的宣传教育方式。
  (8)各类人员的安全职责是否明确,能否胜任网络安全管理工作
  应对网络管理人员严格分工,使其职责分明,要对网络管理人员定期进行安全培训及考核,对关键岗位人员,应该持有相应的认证。
  
  3.安全技术措施
  
  (1)是否有灾难恢复的技术对策
  是否为网络中断和灾难做好准备,以及如何快速反应将中断和损失降至最小。灾难恢复措施包括灾难预防制度、灾难演习制度及灾难恢复制度。
  (2)是否有系统安全审计功能
  安全审计功能主要是监控来自网络内部和外部的用户活动,侦察系统中存在现有和潜在的威胁,对与安全有关的活动的相关信息进行识别,记录,存储和分析,安全审计系统往往对突发事件进行报警和响应。
  (3)是否有系统操作日志
  系统操作日志:指每天开、关机,设备运行状况等文字记录。
  (4)是否有服务器备份措施
  服务器数据备份是预防灾难的必要手段。随着对网络应用的依赖性越来越强和网络数据量的日益增加,企业对数据备份的要求也在不断提高。许多数据密集型的网络,重要数据往往存储在多个网络节点上,除了对中心服务器备份之外,还需要对其他服务器或工作站进行备份,有的甚至要对整个网络进行数据备份,即全网备份。网络备份需要专业备份软件,Ba

这篇论文来自lunwen.5151doc.com[论文资源库]收集与整理,感谢原作者。
本文版权归原作者所有,如需转载或摘录请注明出处:论文资源库 http://lunwen.5151doc.com

论文录入:5151doc    责任编辑:5151doc 
【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
| 设为首页 | 加入收藏 | 联系站长 | 在线投稿 | 版权申明 | 网站登陆 |