网络安全等级保护评估范文

Abstract:intheofficeautomationsystem,understandtheorganizationoftheinformationandnetworksystematpresentandfutureoftherisks,andfullyassesstheriskmaybringthreatsandinfluence,doitfundamentallyfoundthattheproblemistosolvetheproblemofinformationsecurityfirst.Sotheofficeautomationsystemsafetyriskassessmentstrategiesappearsveryimportant.

中图分类号：P415.1+3文献标识码：A文章编号：

一、安全风险评估目的

通过安全风险评估，明确了办公室自动化系统包含的资产、面临的主要威胁、本身的弱点，哪些威胁出现的可能性较大、造成的影响也较大，哪些威胁出现的可能性较小、造成的影响可以忽略不计；通过保护哪些资产、防止哪种威胁出现，如何保护和防止才能保证系统达到某一安全级所提出的安全方案，需要多少技术和费用的消耗；更进一步还会分析出信息系统的风险，是如何随时间变化的，将来如何面对这些风险。同时评估将为后期进一步安全防护技术的实施，提供了的安全理论依据，为决策者制定网络安全策略、构架安全系统以及确定有效的安全措施、选择可靠的安全产品、建立安全防护层次提供了一套完整、规范的指导模型。

二、安全风险评估要素

评估考虑的安全要素，将涵盖办公室自动化系统网络信息的整个体系。包括网络安全组织、制度和人员情况，网络安全技术方法的使用情况，防火墙布控及外联业务动态安全管理状况，链路、数据及应用加密情况，网络访问控制状况等。在网络系统的安全工作中，人是关键。无论网络系统的安全服务、安全机制和安全过程多么化和现代化，都需要人去操作、运行和管理。如果管理水平低下，人员素质不高，那么网络系统的安全性能就会减弱，漏洞就会增加。具体来讲风险评估考虑的安全范围有：

(1)网络基本情况分析:包括网络规模、网络结构、网络设备、网络出口、网络拓扑结构的安全状况;

(2)信息系统基本安全状况调查:包括黑客的攻击、内部违规操作及其造成的损失、系统内成员的安全意识、安全技术培训、安全意识教育等;

(3)信息系统安全组织、政策情况分析:包括安全组织机构、安全岗位、安全管理制度等;

(4)网络安全技术措施使用情况分析:包括网络资源(人员、数据、媒体、设备、设施和通信线路)的密级划分，对不同密级的资源的安全保护，采取的网络安全技术措施网络防病毒体系等;

(5)防火墙布控及外联业务安全状况分析:包括防火墙的布控方式、发挥的作用，信息系统对外提供的服务，对外连接的形式及其采取的安全防护措施等;

(6)动态安全管理状况分析:包括网络系统的漏洞扫描，操作系统和关键网络设备的软件补丁安装，对网络系统进行数据流的监控和入侵检测，系统日志的周期性审计和分析等;

(7)链路、数据及应用加密情况分析:包括系统关键应用采取的加密措施;网络综合布线符合安全标准;

(8)网络系统访问控制状况分析:系统用户进行控制的方法，关键服务器和设备用户的严格控制和管理，除复杂账号密码认证外的其他访问控制措施，管理员的权限分配，网络资源访问的日志和审计功能等;

(9)渗透测试:测试系统的抗攻击能力：包括拒绝服务攻击‘渗透入侵攻击能力。

三、安全风险评估原则

由于评估的内容涉及很多方面，因此进行分析时要本着多层面、多角度的原则，从理论到实际，从软件到硬件，从组织到人员，制定详细的评估计划和分析步骤，避免遗漏。为确保办公室自动化系统安全评估项目高效、顺利的进行，评估过程可以遵循以下原则:

1、标准性原则

依据以下安全标准和规范:

信息安全管理标准

BS7799(ISO/IEC17799)信息安全管理体系标准

ISO/IEC13335信息安全管理标准

ISO7498

(2)技术与工程标准

SSE一CM网安全系统工程能力成熟度模型

ISO/IEC15408(GB/丁18336)信息产品通用测评准则

(3)事实标准

SSL传输层加密标准

CVE通用脆弱性描述标准

PMI项目管理方法

2、规范性原则

在提供评估服务中，除了依据相关的国内和国际标准之外，还根据具体情况的需要遵循评估单位自身的一些规范和要求，这些规范包括:

(1)安全体系架构模型

(2)安全工程过程

(3)安全服务规范

(4)软件开发规范

(5)工程文档规范

3、可控性原则

在评估的实施过程中，需要从多个方面对项目进行监管，以保障项目的人员、工具、过程的可控性。

4、保密原则

所有参与评估项目的项目组成员，都需要签署此项目特定的保密协议，对工作过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不会利用此数据进行任何侵害办公室自动化系统网络的行为。

5、全面性原则

避免由于遗漏，造成未来的安全隐患，保证评估的全面性，既要包括技术方面的又要包括管理和策略方面的内容。

6、最小影响原则

从项目管理和技术应用的层面，将评估过程对系统和网络的正常运行所可能的影响降到最低程度，不对现网的运行和业务产生显著影响(包括系统性能明显下降、网络拥塞、服务中断)，同时在评估和加固前做好备份和应急措施。

7、高效性原则

保证评估的高效性，在尽可能短的时间内，高质量的完成风险的评估工作，使得评估报告的结果，能准确地反映出评估前的真实情况。

8、持续性原则

根据安全工程模型划分过程区，在每个过程区都建立持续监控机制，制定相应的文档规范，对工作过程中产生的文档进行跟踪和控制。另外在项目结束后，建立安全跟踪机制，继续对采取措施后剩余的风险以及没有采取安全措施的低风险因素进行跟踪监控。这样既可以保证最终风险评估报告的有效性和真实性，又可以实现信息系统的持续安全规划。

网络安全等级保护评估范文篇2

关键词：DDN网络系统风险评估控制对策

0引言

DDN(DIGITALDATANETWORK)数字数据网主要由数字传输电路和相对应的数字交叉复用设备构成，采用光缆、数字微波和卫星信道等数字信道提供永久性或半永久性的连接电路，为用户提供专门的传输数据信号的通信网络。采用DDN专线接入具有延时较短，便于开通、调配信道的优点，使用户可以开通各种信息业务，传输任何合适的信息。空管分局DDN网络系统是民航地区空管局信息网络的一部分，它充分利用DDN的技术特性，开通雷达、自动转报、甚高频遥控、航空气象、语音数据等业务，成为空管分局的综合业务传输平台，作为空管系统的通信基础设施之一，其正常运行关系到多种空管通信、导航和监视设备的运行正常，对飞行安全工作的保障具有重要意义。

各空管分局的DDN网络系统作为空管系统的通信基础设施，确保其安全稳定运行的必要性毋庸置疑。为确保其持续安全，必须对其开展定期的运行风险评估，或在运行环境发生重大变化时开展特定条件下的运行风险评估，通过深入分析寻求有针对性的风险控制对策，从而降低系统运行风险，进一步提高该系统的防范风险和应对突发事件的保障能力。从而促进整个空管信息网络的安全运行。下面，笔者结合自己从事空管分局DDN网络日常维护工作的多年实践，对空管分局的DDN网络系统的风险评估方法及相应的控制对策制定的基本思路做一个简单的阐述。

1DDN网络系统的组成及风险评估范围

空管分局DDN网络系统是民航地区空管局信息网络的一部分，它充分利用DDN的技术特性，开通雷达、自动转报、甚高频遥控、航空气象、语音数据等业务，成为空管分局的综合业务传输平台。该系统主要由核心路由器以及与之相连的各业务接入端口，以及为这些业务接入所配套的接入或复用设备组成。

分局站DDN网络系统的风险评估，将评估边界确定为核心路由器以及与之相连的各业务接入端口，以及为这些业务接入所配套的接入或复用设备。评估工作的依据即规范性文件为《信息安全等级保护管理办法》（公通字[2007]43号）和《信息安全技术－信息安全风险评估规范》（GB/T20984-2007）。根据评估结果，一般将系统风险等级设为高、中、低三个等级。

2威胁分析

2.1威胁来源的分析和认定通过对分局DDN网络系统管理、维护和日常运行等各具体业务开展情况的综合分析，我们不难确定该系统的威胁来源，通常为非故意人为因素，环境因素及故障两个方面。具体而言，非故意人为因素通常来源于操作失误，机房环境（室温、湿度、静电干扰）不符要求和设备硬件故障则成为环境因素和故障威胁来源。

2.2威胁分析的具体操作方法

2.2.1维护操作失误影响维护操作失误的主要因素有：一是设备维护人员在专业技术水平；二是设备维护人员在开展日常的维护操作工作过程中，对于已有的设备维护规章制度、维修维护操作实施细则是否能规范执行？三是维护人员的管理者执行监控运行规章制度的能力大小。我们通过对以上列举的三方面因素造成的威胁能力、威胁意图的具体深入分析，不难确定维护操作失误相应于DDN网络系统的威胁等级。

2.2.2机房环境条件机房环境条件最主要的是温度、湿度和静电三项因素，同时还包括机房环境配套的监测装置和技术手段。由于上述装置和手段对于机房环境影响很大，因此机房的温湿度环境是否在设备技术说明书要求的范围内？机务维护人员在日常的设备维护操作中是否能采取专门的防静电措施（如佩戴防静电护腕拔插电路板）？这些因素造成的威胁意图和威胁能力需要我们重点分析，最终为机房环境对于DDN网络系统的威胁明确定级。

2.2.3设备硬件故障空管分局DDN网络系统由核心路由器以及与之相连的雷达、自动转报、甚高频遥控、航空气象、语音数据等业务接入端口，以及为这些业务接入所配套的多种接入或复用设备构成。上述设备的主用、备用系统配置情况及故障时的切换方式，关键设备板件、接头的储备情况，是设备保障的关键点，也是分析威胁意图和威胁能力的关键所在，由此我们可判断硬件故障对于分局DDN网络系统的威胁等级处于哪级？

通过对上述三方面的综合考量，不难判定系统威胁等级所处的级别。

3脆弱性分析

通常从管理、技术两大角度开展脆弱性识别。

3.1技术脆弱性分析影响技术脆弱性的主要因素有：一是设备的硬件及配套软件是否获得民航行业主管部门的入网许可证？二是生产厂家售后服务如何，包括配套的系统软件升级服务和响应时间？三是软件系统登录是否采用严格的用户分级管理和复杂的密令策略？四是是否由专业技术人员从事日常运行维护工作？五是DDN网络系统与其它网络的物理隔离性如何（一般不能与其他网络互联）？

3.2管理脆弱性影响管理脆弱性的主要因素包括：一是设备维护制度、维修规程和应急处置预案的完备性；二是系统安全运行的组织管理水平，即由机房现场管理、人员管理水平决定的环境安全性；三是系统安全运行的技术管理水平，即设备定期维护制度的执行情况、业务培训组织和应急演练实效性。

4现有控制措施有效性分析

空管分局DDN网络系统通常采用以下风险控制措施：一是要求维护人员严格执行设备定期维护巡检制度，即维护周期为周、月、季、年的定期维护（实施内容由简到繁）和每日分时的巡检制度；二是及时开展有针对性的维护人员设备专业培训（根据设备软硬件更新变动情况）；三是详细可行的应急处置预案，并定期组织演练，实时调整优化。

评估上述控制措施的有效性要把握点、线、面相结合的原则，既有就事论事的具体分析，也有统筹兼顾的综合分析。一是对比控制措施实施前后的系统运行状况，二是深入分析影响信息网络安全运行的事件（如存在），三是分析具体的维护记录。为确保分析的准确性，选取的案例要有针对性，具体真实、分析客观。通过分析最终确定控制措施有效性所处于的等级。

5风险分析

经过上述过程，我们可以得到最终的风险分析结果。

首先是根据威胁等级和脆弱性等级分析结果确定风险概率分析过程中间结果。

从威胁等级、脆弱性等级分析结果均为“低”，可以确定风险概率分析过程中间结果也为“低”。

然后根据风险概率矩阵表，得出风险概率最终结果。

6风险控制对策

根据上述对分局DDN网络系统运行情况风险分析的结果，可以最终确定该系统的风险处于什么级别。

处于风险高级别的DDN网络系统，要反复审视其风险分析过程，特别是要考量仅仅在现有的系统架构上针对具体的威胁来源进行改进，对于降低该系统风险是否有决定性作用，特别重视从脆弱性角度评估系统正常运行的可持续性，打破原有思维定式进行改进。在多次改进仍无法将风险降至低等级的，要对现有DDN网络系统进行升级改造或重建。

对于风险处于中级别的DDN网络系统，主要采用对症下药的改进方法，依据风险分析过程，逐一有针对性的改进具体的威胁来源，从脆弱性角度进行技术和管理分析，逐一验证每一项控制措施的有效性，改进完成后，重新组织评估工作，直到确定该系统风险处于低级别。

通过评估判断为风险低级别的DDN网络系统，说明其现有的控制措施有效性，必须继续严格执行现行的有效控制措施，从业务培训、专业维护、运行管理等方面加强对DDN网络系统的日常维护检查，提高设备运行可靠性，以重点系统设备（如核心路由器、接入复用设备等）、重点系统用户/服务对象（如上/下级个节点系统、管制部门、雷达飞行数据处理系统、应急自动化系统等）的实时监控为工作重点，加强监控系统及重点用户的使用状况，及时排除问题，重视应急处置训练，提高专业技术人员的应急处置能力。

网络安全等级保护评估范文

随着宽带网络和用户规模的不断增长，用户对宽带接入业务的高可用性要求不断增强，对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手，结合电信IP城域网，提出电信IP城域网安全管理、风险评估和加固的实践方法建议。

关键字（Keywords）：

安全管理、风险、弱点、评估、城域网、IP、AAA、DNS

1信息安全管理概述

普遍意义上，对信息安全的定义是“保护信息系统和信息，防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏，保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程，通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。

信息安全管理的本质，可以看作是动态地对信息安全风险的管理，即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408－1（信息安全风险管理和评估规则），给出了一个非常经典的信息安全风险管理模型，如下图一所示：

图一信息安全风险管理模型

既然信息安全是一个管理过程，则对PDCA模型有适用性，结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT（计划－实施与部署－监控与评估－维护和改进）的循环过程。

图二信息安全体系的“PDCA”管理模型

2建立信息安全管理体系的主要步骤

如图二所示，在PLAN阶段，就需要遵照BS7799等相关标准、结合企业信息系统实际情况，建设适合于自身的ISMS信息安全管理体系，ISMS的构建包含以下主要步骤：

（1）确定ISMS的范畴和安全边界

（2）在范畴内定义信息安全策略、方针和指南

（3）对范畴内的相关信息和信息系统进行风险评估

a)Planning（规划）

b)InformationGathering（信息搜集）

c)RiskAnalysis（风险分析）

uAssetsIdentification&valuation(资产鉴别与资产评估)

uThreatAnalysis（威胁分析）

uVulnerabilityAnalysis（弱点分析）

u资产/威胁/弱点的映射表

uImpact&LikelihoodAssessment（影响和可能性评估）

uRiskResultAnalysis（风险结果分析）

d)Identifying&SelectingSafeguards（鉴别和选择防护措施）

e)Monitoring&Implementation（监控和实施）

f)Effectestimation（效果检查与评估）

（4）实施和运营初步的ISMS体系

（5）对ISMS运营的过程和效果进行监控

（6）在运营中对ISMS进行不断优化

3IP宽带网络安全风险管理主要实践步骤

目前，宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高，且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理，以使得能够动态的了解、管理和控制各种可能存在的安全风险。

由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍，所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段，进行项目实践：

3.1项目准备阶段。

a)主要搜集和分析与项目相关的背景信息；

b)和客户沟通并明确项目范围、目标与蓝图；

c)建议并明确项目成员组成和分工；

d)对项目约束条件和风险进行声明；

e)对客户领导和项目成员进行意识、知识或工具培训；

f)汇报项目进度计划并获得客户领导批准等。

3.2项目执行阶段。

a)在项目范围内进行安全域划分；

b)分安全域进行资料搜集和访谈，包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等；

c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析，形成资产表、威胁评估表、风险评估表和风险关系映射表；

d)对存在的主要风险进行风险等级综合评价，并按照重要次序，给出相应的防护措施选择和风险处置建议。

3.3项目总结阶段

a)项目中产生的策略、指南等文档进行审核和批准；

b)对项目资产鉴别报告、风险分析报告进行审核和批准；

c)对需要进行的相关风险处置建议进行项目安排；

4IP宽带网络安全风险管理实践要点分析

运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同，其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段，需要特别注意以下要点：

4.1安全目标

充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。

4.2项目范畴

应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统：如网管系统、AAA平台、DNS等。

4.3项目成员

应该得到运营商高层领导的明确支持，项目组长应该具备管理大型安全咨询项目经验的人承担，且项目成员除了包含一些专业安全评估人员之外，还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。

4.4背景信息搜集：

背景信息搜集之前，应该对信息搜集对象进行分组，即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含：

a)IP宽带网络总体架构

b)城域网结构和配置

c)接入网结构和配置

d)AAA平台系统结构和配置

e)DNS系统结构和配置

f)相关主机和设备的软硬件信息

g)相关业务操作规范、流程和接口

h)相关业务数据的生成、存储和安全需求信息

i)已有的安全事故记录

j)已有的安全产品和已经部署的安全控制措施

k)相关机房的物理环境信息

l)已有的安全管理策略、规定和指南

m)其它相关

4.5资产鉴别

资产鉴别应该自顶向下进行鉴别，必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组；然后可以在一级资产组内，按照功能或地域进行划分二级资产组，如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组；进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别，鉴别其设备类型、地址配置、软硬件配置等信息。

4.6威胁分析

威胁分析应该具有针对性，即按照不同的资产组进行针对性威胁分析。如针对IP城域网，其主要风险可能是：蠕虫、P2P、路由攻击、路由设备入侵等；而对于DNS或AAA平台，其主要风险可能包括：主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。

4.7威胁影响分析

是指对不同威胁其可能造成的危害进行评定，作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见，尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。

4.8威胁可能性分析

是指某种威胁可能发生的概率，其发生概率评定非常困难，所以一般情况下都应该采用定性的分析方法，制定出一套评价规则，主要由运营商管理人员按照规则进行评价。