信息系统网络安全评价指标的分析和建立【摘要】建立的网络安全评价指标是否合理和科学，关系到能否发挥评价的作用和功能，即关系到能否通过评价来提高网络安全水平。指标选取的多少应合适，每一项指标都是从一个方面反映了评价对象的某些信息。欲想建立一套完善、合理、科学的评价指标，应遵循科学性、全面性、可行性和稳定性共5个指导原则去建立一个评价指标体系。本文着重探讨了信息系统网络安全评价指标的建立。【关键词】信息系统网络安全评价指标根据国家网络和信息系统的安全性要求，结合多年的网络管理经验，从以下五个指标对信息系统网络安全进行评价：1.实体与环境安全实体与环境指计算机设备及计算机网管人员工作的场所，这个场所内外的环境条件必须满足计算机设备和网管人员的要求。对于各种灾害、故障要采取充分的预防措施，万一发生灾害或故障，应能采取应急措施，将损失降到最低限度。可以从以下几个方面来检查：机房周围环境机房是否建在电力、水源充足、自然环境清洁、通讯、交通运输方便的地方。机房周围100m内有无危险建筑危险建筑：指易燃、易爆、有害气体等存在的场所，如加油站、煤气站、煤气管道等。有无监控系统监控系统：指对系统运行的外围环境、操作环境实施监控的设施，及时发现异常，可根据使用目的不同配备以下监视设备，如红外线传感器、监视摄像机等设备。有无防火、防水措施防火：指机房内安装有火灾自动报警系统，或有适用于计算机机房的灭火器材，如卤代烷1211和1301自动消防系统或灭火器。防水：指机房内无渗水、漏水现象，如机房上层有用水设施需加防水层，有暖气装置的机房沿机房地面周围应设排水沟，应注意对暖气管道定期检查和维修。是否装有漏水传感器。机房有无环境测控设施，如温湿度传感器温度控制：指机房有空调设备，机房温度保持在18—24摄氏度。湿度控制：指相对湿度保持在40%—60%。洁净度控制：机房和设备应保持清洁、卫生，进出机房换鞋，机房门窗具有封闭性能。有无防雷措施计算机机房是否符合GB157《建筑防雷设计规范》中的防雷措施。在雷电频繁区域，是否装设有浪涌电压吸收装置。有无备用电源和自备发电机是否使用UPSUPS：(UninterruptiblePowerSystem)，即不间断电源，是一种含有储能装置，以逆变器为主要组成部分的恒压频的不间断电源。主要用于给单台计算机、计算机网络系统或其它电力电子设备提供不间断的电力供应。是否有防静电措施当采用地板下布线方式时，可铺设防静电活动地板。当采用架空布线方式时，应采用静电耗散材料作为铺垫材料。通信设备的静电地板、终端操作台地线应分别接到总地线母体汇流排上定期对防静电设施进行维护和检验。是否保证持续供电设备是否采用双路市电供电，提供冗余备份，并配有实时告警监控设备。是否与空调、照明用电分开，专线供电。是否有防盗措施中心有人值班，出入口安装防盗安全门，窗户安装金属防护装置，机房装有无线电遥控防盗联网设施。2.组织管理与安全制度有无专门的信息安全组织机构和专职的信息安全人员信息安全组织机构的成立与信息安全人员的任命必须有有关单位的正式文件。有无健全的信息安全管理的规章制度是否有健全的规章制度，而且规章制度上墙；是否严格执行各项规章制度和操作规程，有无违章操作的情况。是否有信息安全人员的配备，调离有严格的管理制度设备与数据管理制度是否完备设备实行包干管理负责制，每台设备都应有专人负责保管；在使用设备前，应掌握操作规程，阅读有关手册，经培训合格后方可进行相关操作；禁止在计算上运行与业务无关的程序，未经批准，不得变更操作系统和网络设置，不得任意加装设备。是否有登记建档制度登记建档是做好网络安全工作的前提，一些技术资料对网络安全工作很重要，要注意收集和保存。可从以下几个方面检查相关文档：策略文档、系统文档、及安全相关的文档都可提供系统使用的或计划的安全控制方面的信息。任务影响分析或资产重要性评估可提供有关系统和数据重要性及敏感性的信息。设计资料，如网络拓扑结构图，综合布线结构图等。安装资料，包括安装竣工及验收的技术文件和资料。设备升级维修记录等。是否有紧急事故处理预案为减少计算机系统故障的影响，尽快恢复系统，应制定故障的应急措施和恢复规程以及自然灾害时的措施，制成手册，以备参考。是否有完整的信息安全培训计划和培训制度开展网络安全教育是为了使所有人员了解网络安全的基本常识及网络安全的重要性，要坚持经常的、多样化的安全教育工作，广播、图片、标语、报告培训班都是可以采用的宣传教育方式。各类人员的安全职责是否明确，能否胜任网络安全管理工作应对网络管理人员严格分工，使其职责分明，要对网络管理人员定期进行安全培训及考核，对关键岗位人员，应该持有相应的认证。3.安全技术措施是否有灾难恢复的技术对策是否为网络中断和灾难做好准备，以及如何快速反应将中断和损失降至最小。灾难恢复