返回
信息系统网络安全评价指标的分析和建立

信息系统网络安全评价指标的分析和建立

ID:10338788

大小:61.00 KB

页数:6页

时间:2018-07-06

信息系统网络安全评价指标的分析和建立 _第1页
信息系统网络安全评价指标的分析和建立 _第2页
信息系统网络安全评价指标的分析和建立 _第3页
信息系统网络安全评价指标的分析和建立 _第4页
信息系统网络安全评价指标的分析和建立 _第5页
资源描述:

《信息系统网络安全评价指标的分析和建立 》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、信息系统网络安全评价指标的分析和建立  【摘要】建立的网络安全评价指标是否合理和科学,关系到能否发挥评价的作用和功能,即关系到能否通过评价来提高网络安全水平。指标选取的多少应合适,每一项指标都是从一个方面反映了评价对象的某些信息。欲想建立一套完善、合理、科学的评价指标,应遵循科学性、全面性、可行性和稳定性共5个指导原则去建立一个评价指标体系。本文着重探讨了信息系统网络安全评价指标的建立。  【关键词】信息系统网络安全评价指标    根据国家网络和信息系统的安全性要求,结合多年的网络管理经验,从以下五个指标对信息系统网络安全进行评价:    1.

2、实体与环境安全    实体与环境指计算机设备及计算机网管人员工作的场所,这个场所内外的环境条件必须满足计算机设备和网管人员的要求。对于各种灾害、故障要采取充分的预防措施,万一发生灾害或故障,应能采取应急措施,将损失降到最低限度。可以从以下几个方面来检查:  (1)机房周围环境  机房是否建在电力、水源充足、自然环境清洁、通讯、交通运输方便的地方。  (2)机房周围100m内有无危险建筑  危险建筑:指易燃、易爆、有害气体等存在的场所,如加油站、煤气站、煤气管道等。  (3)有无监控系统  监控系统:指对系统运行的外围环境、操作环境实施监控(视)

3、的设施,及时发现异常,可根据使用目的不同配备以下监视设备,如红外线传感器、监视摄像机等设备。  (4)有无防火、防水措施  防火:指机房内安装有火灾自动报警系统,或有适用于计算机机房的灭火器材,如卤代烷1211和1301自动消防系统或灭火器。  防水:指机房内无渗水、漏水现象,如机房上层有用水设施需加防水层,有暖气装置的机房沿机房地面周围应设排水沟,应注意对暖气管道定期检查和维修。是否装有漏水传感器。  (5)机房有无环境测控设施(温度、湿度和洁净度),如温湿度传感器  温度控制:指机房有空调设备,机房温度保持在18—24摄氏度。  湿度控制:

4、指相对湿度保持在40%—60%。  洁净度控制:机房和设备应保持清洁、卫生,进出机房换鞋,机房门窗具有封闭性能。  (6)有无防雷措施(具有防雷装置,接地良好)  计算机机房是否符合GB157《建筑防雷设计规范》中的防雷措施。  在雷电频繁区域,是否装设有浪涌电压吸收装置。  (7)有无备用电源和自备发电机  (8)是否使用UPS  UPS:(UninterruptiblePo),即不间断电源,是一种含有储能装置,以逆变器为主要组成部分的恒压频的不间断电源。主要用于给单台计算机、计算机网络系统或其它电力电子设备提供不间断的电力供应。  (9)是

5、否有防静电措施(采用防静电地板,设备接地良好)  当采用地板下布线方式时,可铺设防静电活动地板。  当采用架空布线方式时,应采用静电耗散材料作为铺垫材料。  通信设备的静电地板、终端操作台地线应分别接到总地线母体汇流排上定期(如一周)对防静电设施进行维护和检验。  (10)是否保证持续供电  设备是否采用双路市电供电,提供冗余备份,并配有实时告警监控设备。是否与空调、照明用电分开,专线供电。  (11)是否有防盗措施  中心有人值班,出入口安装防盗安全门,窗户安装金属防护装置,机房装有无线电遥控防盗联网设施。    2.组织管理与安全制度   

6、 (1)有无专门的信息安全组织机构和专职的信息安全人员  信息安全组织机构的成立与信息安全人员的任命必须有有关单位的正式文件。  (2)有无健全的信息安全管理的规章制度  是否有健全的规章制度,而且规章制度上墙;是否严格执行各项规章制度和操作规程,有无违章操作的情况。  (3)是否有信息安全人员的配备,调离有严格的管理制度  (4)设备与数据管理制度是否完备  设备实行包干管理负责制,每台设备都应有专人负责保管(包括说明书及有关附件);在使用设备前,应掌握操作规程,阅读有关手册,经培训合格后方可进行相关操作;禁止在计算上运行与业务无关的程序,未

7、经批准,不得变更操作系统和网络设置,不得任意加装设备。  (5)是否有登记建档制度  登记建档是做好网络安全工作的前提,一些技术资料对网络安全工作很重要,要注意收集和保存。可从以下几个方面检查相关文档:  策略文档(如,法规文件、指示)、系统文档(如,系统用指南、系统管理员手册、系统设计和需求文档、采购文档)、及安全相关的文档(如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全策略)都可提供系统使用的或计划的安全控制方面的信息。任务影响分析或资产重要性评估可提供有关系统和数据重要性及敏感性的信息。  设计资料,如网络拓扑结构图,综

8、合布线结构图等。  安装资料,包括安装竣工及验收的技术文件和资料。  设备升级维修记录等。  (6)是否有紧急事故处理预案  为减少计算机系统故障的影

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。