探讨网络信息安全等级保护测评方法分析

周放?倪培利

摘 要 进入新世纪之后，我国经济快速发展，互联网在人们日常生活中的应用也越来越广泛，如何保障人们的信息安全也成为人们极为关注的问题。为了切实我国提出的信息安全等级保护要求，建立完善的信息安全防护体系，制定统一的信息安全保护标准，需要对信息的级别进行划分，合理配置资源，建立规范化的信息系统，并对不同安全等级的信息进行安全保护，切实提升我国的网络安全信息防护水平。本文基于此，对信息安全等级保护的测评方法以及具体过程做了分析和介绍，详细阐述了如何进行网络信息安全等级保护测评，希望能够为相关的工作人员提供指导和帮助。

关键词 网络信息安全;等级保护;测评方法

对于网络信息来说，网络安全等级保护测评主要是指对涉及国家安全、社会稳定、公共利益均等相关指标的测评。它借助于网络信息安全相关的管理措施以及安全保护技术，切实保障信息系统的安全和稳定。对网络信息安全性进行评估后，能够落实对重要信息系统的分级保护和监督管理，实现了对信息安全事件的层次化管理和保护，切实保障了网络信息的机密和完整。

1信息安全等级保护测评的实施过程

在对国家信息安全级别保护系统进行登记评估时，要以相关的管理标准以及技术标准为前提对其进行约束。对于某些具有特定功能的信息系统，在进行评估时采用安全技术评估以及安全管理评估实现对信息系统保护状态的评估，实现被评估信息系统所需要的管理级别以及安全等级。以此为基础判断其是否符合规定的安全等级，对于不合格的安全等级，采用相关的解决方案予以整改和处理。

在网络信息系统的整个生命周期中，涉及信息安全级别保护的信息系统分级和归档管理是其重要的组成部分和工作内容。在进行信息系统分级时，需要严格遵循“自动评级、专家审核、负责单位审批、公安信息保护部门审核”的原则和流程。而在进行信息系统的分级时，安全设计以及设施阶段的目标则是通过信息系统的安全措施来进行的[1]。

对于网络信息来说，其安全措施主要是指在各种级别信息应用的过程中，能够切实保障各种资产平稳运行的维护机制，当信息的应用端遭到转移、丢弃后，对其进行级别保护是进行信息系统安全保护的最终环节。在整个信息系统的生命周期中，部分系统尽管很少在市场上见到，但是实质上部分工作人员将信息系统尽心改进，这也同时带动了信息系统以及信息安全的保护。对于这些改造了的信息系统，有必要切实保障信息传输、设备销毁的安全性。

2信息安全等级保护测评的办法

对于网络信息安全保护来说，整个过程分为四个阶段，即测评、检查、评估以及测试。在进行测评准备时，需要对测评的对象进行明确，并签署相应的保密协议。现阶段，我国在进行信息安全等保护测评时，常用的方法包括访谈和检查两种。

访谈，是指对负责网络信息安全保护的工作人员进行沟通的访问，获取相应的数据信息和看法，并以此作为证据证明信息系统的安全管理有效。在明确访谈的广度时，需要建立一个覆盖所有工作人员的测评，并且对其进行及时的更新。而在访谈的深度上，需要提出更加全面且具有深度的相关问题[2]。

检查，则是指负责信息安全等级保护测评的工作人员通过对研究对象进行观察、评估和分析，获取相应的信息，并以此来评估安全保护是否有效可行。一般来说，进行检查的范围必须要覆盖所有的文档和机制，并对数据信息进行采样分析，而在检查的深度方面，需要对具体的问题进行具体的分析。

评估，是指测试人员需要按照本次评估的具体方法对对象进行评估分析，获取相关的证据信息，证实信息系统安全级别保护措施具有可行性。

测试，通常是指一种具有试探性的测量，也就是测试和试验的有效结合。在进行测试时，需要全面覆盖不同类型的信息系统安全保护机制，并且能够保障对相当数量的样本进行采集。而在测试的深度方面，需要进行安全测试，并且将涉及机制的规范和程序进行记录。

举例来说，在进行计算机机房信息系统安全保护时，首先需要建立一个灵敏度极高的自动消防系统，它具有烟雾报警器的功能，能够及时发现潜在的火灾，并进行自动灭火;其次，对区域范围内进行隔离和防火，将重要的设备和普通设备进行隔离，避免火灾发生传播给重要设备;第三，设定温度自动调节装置，它主要能够将机房的温度控制在最适宜的温度之内;第四，在网络边境进行检测并将可能对机房计算机设备进行攻击的恶意代码进行识别和清除;第五，访问控制设备能够在计算机会话状态信息的基础上提供数据访问以及拒绝的权限[3]。

3等级保护测评的工作流程

在进行网络安全信息登记评估时，需要对被测评系统的信息进行分析，并以此确定准备阶段的评估对象，对整个系统以及相关的业务应用进行分析和评估。在明确测评指标时，需要结合测评系统的分级结果对评估指标进行明确，而在选择测评路径时，需要根據已有的信息系统信息来对测评对象进行评价，并选择恰当的路径，在确定测评路径的基础上再确定测试工具的访问点。

在进行实地测评时，传统意义上的现场评估实质上是一种较为单调且可信程度不高的测评方法。在进行测评时，需要从网络安全、五莲泉、信息管理机构、主机安全性等多个方面入手进行分析。在准备阶段，需要对进行测评调研的结果进行评价，评估每个被评价对象的评价结果，并将涉及的相关信息详细列出。而对于安全系统的评估对象来说，在进行整体测评时，如果有部分测评结果不符合要求，那么需要采用逐一确认的方法，从安全控制层以及区域的角度入手进行分析[4]。

4结束语

综合全文，在进行网络信息安全等级保护测评时，需要在已有评价结果的基础上，明确系统保护现状和水平保护之间的差距，形成对应的结论，并结合等级测评来确定最后的测评报告，最终实现对信息安全等级的准确评价。

参考文献

[1] 宫平.信息安全等级保护测评中网络安全现场测评方法研究[J].网络安全技术与应用，2019，（05）：17-18.

[2] 胡赟鹏.网络信息安全等级保护测评方法分析[J].信息与电脑（理论版），2019，（04）：219-220.

[3] 陈鑫，路超，霍珊珊，等.网络安全等级保护测评实施模型研究[C].2018第七届全国安全等级保护技术大会.2018第七届全国安全等级保护技术大会论文集.北京：信息产业信息安全测评中心，北京市海淀区太极计算机培训中心，2018：5.

[4] 张文勇，李维华，唐作其.信息安全等级保护测评中网络安全现场测评方法研究[J].电子科学技术，2016，03（03）：272-276.