基于信息系统业务特点的测评方法探讨.pdfVIP

第三届全国信息安全等级保护技术大会论文集 基于信息系统业务特点的 测评方法的探讨 李永辉石贤栋江西神舟信息安全评估中心 【摘要】 依据信息安全目标的cIA三性与基本要求中的测评指标sAG间的关联，对测评指标是否是 保障信息系统的信息安全目标进行权重区分，在风险可接受的范围内，对重点保护信息系 统信息安全目标的测评项作为必选测评项；对保障信息系统安全的测评项作为重，最测评项； 其余的作为补充测评指标。根据不同行业不同规模的信息系统承载的业务特点、存在的业 务风险高低不尽相同，依照测评指标的权重在测评强度和深度有所区分。 【关键词】 cIA测评指标sAG业务特点 全目标，信息系统的安全目标的核心是保障数据 一、引言 的安全，包括保密性、完整性、可用性、可控性 随着我国信息化进程的全面加快，针对不同 和不可否认性五个安全目标。其中信息安全的保 行业的不同业务特点的信息系统应运而生。为保 密性、完整性和可用性主要强调对非授权主体的 障信息系统安全，选择合理保障措施成为关键凶 控制。 素。而依据等级保护标准，只有明确了信息系统 (1)保密性(c)：数据和信息系统的保护性 的安全保护等级，才能依据信息系统安全保护等 要求私人或保密信息不向未经授权个人公开。保 级确定等级测评中的测评指标、力度和方法。安 静眭保护适用于保存、处理和传送过程中的数据。 全保护等级的确定是以等级保护对象受到破坏时 (2)完整性(I)：包括数据的完整性，即要 所侵害的客体和对客体造成侵害的程度来决定的。 求数据在保存、处理或传送过程中不被未经授权 在等级保护基本要求标准下，各行各业陆续制定 篡改和信息系统的完整性，即信息系统在未被破 了本行业的测评指标，但在这种背景下，一方面 坏状态下执行规定功能时的质量，不会被未经授 造成对信息系统防护措施不当或保障措施过高， 权控制。 造成财力、物力、人力资源的浪费；另一方面忽 (3)可用性(A)：确保系统正常运转，以及 视了信息系统的业务特点和信息安全主要目标。 针对授权用户的服务不被拒绝。这一目标可保护 以达到最小的代价部署最合适的控制措麓，将安 系统免受有意或意外未经授权删除数据、拒绝服 全风险降低至q机构可接受的范围内的目的。所以 务、数据的困扰，同时还可防止系统或数据被用 探讨不同业务特点的测评方法有重要意义，采取 于未经授权的用途。 合理的防护措施保障信息系统的信息安全目标。 信息系统由于承载的业务不同，对其的安全 关注点会有所不同，有的更关注信息的安全性， 二、信息系统的保护目标 即更关注对搭线窃听、假冒用户等可能导致信息 所有的信息安全技术都是为了达到一定的安 泄密、非法篡改等；有的更关注业务的连续性， ’ 《冀溺第三届全国信息安全等级保护技术大会论文集 入选论文 即更关注保证系统连续正常的运行，免受对系统 (3)通用安全保护类，即G类，关注的是业务信 未授权的修改、破坏而导致系统不可用引起业务 息系统的安全性和系统的连续可用性。不同级别 中断；有的关注信息保密性，防止未授权的人员 的信息系统安全保护测评的指标分类如表l所示。 查询、检索而导致信息泄露。