实习复习总结报告.docxVIP

1 - 卓越工程师班企业实习总结报告 题 目：甘肃安信信息安全技术有限公司 测评能手的测试及发布过程 班 级： 2015级卓越工程师班 学 号： 201571030119 学生姓名： 刘 丽 实习单位： 甘肃安信信息安全技术有限公司 企业指导教师： 严维兵 学校指导教师： 王维盛 在我加入实习单位“甘肃安信信息安全技术有限公司”后，接触了我在学校未系统学习过的网络安全知识体系，来实习单位之后，通过单位学习平台以及对公司业务的了解，我进入了网络安全的知识海洋，增进了我对自我所掌握的IT技能的认知，以及初步规划了个人在今后职业生涯中发展的方向，通过单位学习平台以及公司业务开展过程中跟着公司老员工现场实施，我认识到技能学习及提升要切合工作情况和个人发展相结合。以下我将针对在实习单位“甘肃安信信息安全技术有限公司”工作中学习到的技能进行总结。 项目的研发、测试及验收过程如下图所示： 网络安全等级保护标准 网络安全等级保护是我国家信息安全方面的基本政策，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发【2003】27号）（以下简称27号文）明确要求我国信息安全保障工作实行等级保护制度，提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。同时，《中华人民共和国网络安全法》于2016年11月7日正式发布，2017年6月1日正式施行。这标识我国信息安全工作的开展有法可依，有据可查。《网络安全法》第二十一条明确提出国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务。网络安全等级保护工作是配合国家做好各系统使用单位的网络安全工作，是帮助网络信息系统找出系统中存在的安全风险和潜在威胁，并提醒及协助信息系统运营使用单位做好安全防护工作，做到降低信息系统运行过程中被非法组织或恶意人员进行破坏，影响单位信息系统正常运行，对系统运营使用单位造成不必要的损害。 网络安全等级保护测评 1.信息系统安全等级保护状况测评评估，主要包括两个方面的内容： 一是安全控制项测评，主要测评信息安全等级保护要求的基本安全控制项在信息系统中的实施配置情况； 二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。 2.对安全控制测评的描述，使用工作单元方式组织。工作单元分为安全技术测评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。 3.系统整体测评涉及到信息系统的整体拓扑、局部结构，也关系到信息系统的具体安全功能实现和安全控制配置，与特定信息系统的实际情况紧密相关，内容复杂且充满系统个性。因此，全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息系统的具体情况，结合标准要求，确定系统整体测评的具体内容，在安全控制测评的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。 以上为实习单位主营业务工作的说明，之后我将针对在我来公司之后具体接触及实施过程中学习到的知识总结，我将测评工作中包含的几个安全层面逐一进行解析，对我在实习阶段中学习的知识进行梳理总结。 物理安全 物理安全层面主要针对承载信息系统计算设备和通信设备的机房，在物理安全测评中主要有：机房位置的选择、机房温湿度、机房防盗窃、机房防火、机房进出管控、机房静电防护、机房电力供应等；在机房位置的选择中，测评过程中需要了解机房是否在楼层的顶楼或负一楼以及一楼，机房所在建筑是否具备防震、防风、防雨等措施；机房进出管控中，测评工作中需要了解被测单位是否制定机房管理规章制度，对进出机房的内部人员以及外来第三方人员的管控措施，是否做到进出需要得到机房管理员以及信息化管理部门领导审批，是否具有审批流程、审批表单（审批表单内容制定是否详细，便利与机房管理员检查、追溯进出人员信息）等，机房温湿度控制中，测评过程中需要了解被测单位机房环境中是否有温湿度控制设备（空调、新风机），设备运行是否正常，机房温湿度取值是否设置合理，机房中是否有动力环境监控系统，对机房温湿度进行监控并提供阈值报警；在机房防火中，测评工作中，需要对机房建筑材料进行研判，机房