信息系统安全等级保护测评的研究

随着互联网、移动应用逐步渗透到人民生活的各个方面，信息安全形势也日渐严峻，重大信息安全问题可能会直接威胁国家安全、社会稳定和经济发展。

信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作不仅是实现国家对重要信息系统重点保护的重大措施，也是一项事关国家安全、社会稳定的政治任务。

信息安全等级保护的过程

信息安全等级保护工作贯穿了信息系统从系统规划、建设、运行维护直到废止的整个生命周期。等级保护的过程包括了定级、备案、安全建设整改、等级测评和监督检查五个环节。

测评方法和测评内容

本次主要内容围绕等级测评的方法和测评内容展开，包括了物理安全、网络安全、主机安全和应用与数据安全。

（1）物理安全：物理安全从物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护10个控制点进行安全测评。主要通过访谈、实地查看和文档审阅三种测评方式，现场测评主要以实地查看和文档审阅为主，可以较直观地获取物理安全防护的情况。

（2）网络安全：网络安全测评主要从结构安全、访问控制、边界完整性检查、入侵防范、恶意代码防范、安全审计和网络设备防护7个控制点进行安全测评。测评方式包括了访谈、文档审阅、配置检查和测试。

（3）主机安全：主机安全主要从身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防护和资源控制等7个控制点进行安全测评。测评方式包括了访谈、文档审阅、配置检查和工具测试。

（4）应用与数据安全：应用与数据安全主要由应用安全和数据安全及备份恢复组成。应用安全主要从身份鉴别、访问控制、安全审计、剩余信息保护、抗抵赖、通信完整性、通信保密性、软件容错和资源控制等9个控制点。数据安全及备份恢复主要从数据完整性、数据保密性、备份和恢复3个方面进行测评。测评方式包括了访谈、文档审阅、配置检查和测试。

浦软平台对信息安全等级保护的测评方法和测评方式上进行了深入研究，已经获得了多个安全参数的信息安全CMA资质认可，同时也配备了多种专业的安全测评工具，包括应用安全扫描工具、系统评估设备、数据库安全评估设备和主机配置检查工具等，可覆盖包括网络安全、主机安全和应用与数据安全等多个方面的测评。

经过调研发现，很多客户在没有准备的情况直接接受信息系统安全等级保护的测评，往往很难顺利通过测评，在测评过程中发现的问题和缺陷也不知道如何进行整改，导致整改的周期拖长。由于没有专业人员指导，甚至会出现整改多次的情况，费时费力，还可能仍达不到要求。

基于这样的情况，我方具备专业技术能力可提供客户安全建设准备、整改阶段的预测评和咨询服务，使客户顺利通过正式的信息安全等级保护测评。