信息系统监理安全方面的注意事项.docxVIP

在信息系统工程监理工作方法中，“控制”是最为重要的一个环节，结合以往的经验，监理所实施的控制主要包括两方面：第一，参考国际、国内或行业标准及法规政策，建立相关的评判准则；第二，按照确定后的评判准则，采用阶段性评审、评估以及适时检查等手段，监督实施过程质量的保证与管理的执行。上文中三个层面的法律、法规及条例就是建立评判准则的基础；而在此之上有效建立具体的准则并开展相关的检查与监督工作，关键在于的是否对信息系统安全有关的系统、产品、人员等方面有清晰的认识。以下是监理结合项目实施的经历，所总结出的一些要点：?1.?选用及检查安全产品时的注意事项?1)?安全产品必须具有公安部《计算机信息系统安全专用产品销售许可证》和检测报告，国家规定任何不具备许可证的安全产品不允许在中国销售；2)?如果该安全产品涉及数据加密，根据《商用密码管理条例》的规定，该产品的加密算法应具有国家密码管理委员会及其办公室的批准文号；3)?核对产品的技术参数时，需注意查看安全产品再权威机构（如公安部安全产品检测中心、中国信息安全测评认证中心）的检测报告，其各项安全功能是否达到安全要求；4)?根据中国国家质检总局、国家认监委在2008年发布了《关于部分信息安全产品实施强制性认证的公告》（2009年第33号）以及在2009年发布了《关于开展信息安全产品强制认证检测有关事项的公告》。对于“防火墙、数据备份与恢复产品、安全操作系统、安全数据库系统、入侵检测系统（IDS）、?网络脆弱性扫描产品、安全审计产品”等13类产品，在2010年5月后均开始列入信息安全产品强制性认证实的范围。因此在检查安全产品的销售许可后，若其包含在上述13类产品目录中，则还需要检查其是否有专业检验机构(如：中国信息安全认证中心)出具的证明，包括：强制性产品认证证书和中国强制性认证标志；5)?在选择安全产品时，应尽量选择具有我国自主知识产权的产品。这类产品具有自主知识产权的源代码，安全性较高，而且有利于厂家对产品的升级和维护；6)?应尽量选择具有更先进技术的安全产品。在安全领域中同一种安全产品往往具有几代技术，如防火墙产品就有包过滤技术、代理技术和包过滤加代理技术等不同的种类。后一种显然技术更先进一些，安全等级也更高。我们在选购之前硬适当了解该产品的技术规格，选择较先进的安全产品；7)?安全产品的系统处理速度值得考虑，安全类产品由于具有复杂的分析过滤功能，因此往往成为系统的瓶颈。对于一些带宽要求较高或访问量较大的应用来说（如视频服务等），安全产品的处理速度直接影响到应用的效果。?2.?选取安全服务商时的注意事项?在国务院于发布的《质量发展纲要（2011-2020年）》及《国民经济和社会发展第十二个五年规划纲要》中，作为夯实质量发展基础的重要举措，强调要“完善信息安全认证认可体系”，明确提出要“加强信息安全认证认可制度和能力建设，健全信息安全认证认可工作体系，促进信息安全认证认可结果的社会采信。同时，随着我国信息安全保障工作的不断深入推进，以安全建设、应急处理、风险评估、灾难恢复、系统测评、安全运维、安全培训和安全咨询等为主要内容的信息安全服务在信息安全领域中的作用日益突出。为保证用户可以选择到有能力的服务商开展相关工作，近年来国家建立了相应的信息安全资质评价方法，对服务商在法律地位、资源状况、管理水平、技术能力等方面的应达到的条件作了要求，对于符合条件的服务商将按照级别及服务范围获得相关的资质。以下列出的资质证书是近年来判断服务商能力重要参考依据，包括：?1)?“信息安全服务资质认证证书”从基本资格、服务管理能力、服务技术能力、服务过程能力和服务人员的能力进行综合评价。认证范围涵盖：应急处理服、风险评估服务、信息系统安全集成服务三个方面。资质级别分为一级、二级、三级，其中一级最高三级最低，有效期均为3年，由国中国信息安全认证中心颁发；2)?“国家信息安全测评信息安全服务资质证书（原：国家信息安全认证服务资质证书）”?是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力，以及其稳定性、可靠性进行评估，并依据公开的标准和程序，对其安全服务保障能力进行认定的过程。认证范围涵盖：安全工程类、灾难恢复类、安全开发类共三类。信息安全服务资质分为五个级别，由一级到五级依次递增，一级是最基本级别，五级为最高级别，有效期均为3年，由中国信息安全测评中心颁发；3)?“信息安全等级保护测评机构能力评估合格证书/信息安全等级保护测评机构推荐证书”即对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力进行综合评定。有效期为3年，由公安部信息安全等级保护评估中心；4)??“注册信息安全专业人员证书”（CISP）即国家对信息安全人员资质的最高认可，CISP分为三类，分别是“注册信息安全工程