浅谈信息安全在环境信息化建设中的重要性及主要测评手段
发布时间:2019-08-13 来源: 感悟爱情 点击:
摘 要 当前,我国的环境保护事业进入了新的发展阶段,环境信息化建设对于推动环保工作的开展,有着重要的作用,环境信息是关系着国计民生的问题,因此,信息安全在环境信息化建设中有着举足轻重的位置,要认真贯彻落实国家信息化建设指导方针,稳步稳打的开展工作,同时注重信息安全在环境信息化中的应用,争取不断取得新的成效。
关键词 环境信息化;信息安全;等级保护;风险评估
前言
随着信息技术的高速发展和网络应用的迅速普及,我国国民经济和社会信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信息资源已经成为国家经济建设和社会发展的重要战略资源之一。环境保护是民生工程,信息安全是环保单位的保障,是环境信息系统动作的重要部分,是信息流的流动过程,其优势体现在信息资源的充分共享和运作方式的高效率上,其安全的重要性不言而喻,保障环境信息安全,维护国家安全、公共利益和社会稳定,是当前环境信息化发展中迫切需要解决的问题。
1 概要
信息安全贯彻到整个环境信息化建设中,从基础环境建设,网络建设、应用系统开发、数据资源共享,任何一个环节和节点,都关乎着信息安全。百姓通过网络、平面媒体等各种渠道了解当前的环境保护情况,一旦出现安全问题,影响是广泛而巨大的,因此信息安全在环境保护中的重要性则不言而喻了,下面从人民、社会、国家三个方面来阐述信息安全在环境信息化建设中的重要性。
1.1 从人民层面来讲
每天的环境信息公开,是人民了解当前环境保护情况的唯一方式,大气、水、土壤等与人民生活息息相关的环境,是什么样的情况?环境保护单位在治理环境污染以及保护生态环境方面采取了哪些手段?做了哪些工作?都可以通过环境信息公开的方式,让人民充分了解,切身体会,而时下,人民环保意识的增强,对环境的重视程度也有很大的增加,一旦出现了安全事故,难免会引起人民的恐慌;造成不安定的因素[1]。
1.2 从社会层面来讲
反映在网络空间中的舆论文化、社会行为和技术环境这三个方面,由于互联网的广泛应用,基于互联网的高效传播性,以及高度开放性,一旦发生信息安全事故,舆论的导向会向不利的方向传导,网络的舆论环境因此变得恶劣,难以控制,引发社会的动荡,对社会的稳定造成一定的影响;
1.3 从国家层面来讲
因为环境保护是一项关系到国计民生的工作,一旦发生信息安全事故,会影响到国家的国际名声,容易引发国家与国家之间的信息网络战,如果有境外敵对势力引导,加剧社会动荡,对国家的稳定也不利。
基于以上几点,信息安全在环境信息化建设中起着非常重要的作用,因此,信息安全必须贯穿到整个环境信息化建设过程当中。那如何才能得知你的信息系统是否安全,下面从目前常用的测评手段加以阐述。
2 信息安全主要测评手段
如何检验一套信息系统是否存在安全隐患,国家出台了一系列的测评标准,就目前而言,主要的测评手段有三种,一种是网络安全等级保护测评,一种是风险评估,下面就这两种测评手段进行阐述。
2.1 网络安全等级保护测评
网络安全等级保护测评主要分为安全技术测评和安全管理测评,安全技术测评包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复;安全管理测评包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。网络安全等级保护共分5级,1-5级逐级递增,网络安全等级保护共分5级,不同等级的信息系统安全保护能力不同,其安全要求也不同,从宏观角度来看,各个级别的安全要求在逐级增强,常见的信息安全等级保护级别为2级的系统,测评项有10项,测评点有179个,3级的系统,测评项有10项,测评点有290个;在等级保护测评过程中,常见的测评方法有访谈、检查、测试等。其中安全管理测评主要采用的是访谈和检查的方法。安全技术测评主要采用的是访谈、检查、漏洞扫描等[2]。
(1)物理安全测评:是对保障信息系统安全运行的物理环境进行测评,主要是从物理位置的选择、物理访问控制、防盗窃、防破坏、防雷击、防火、防水、防潮、防静电、温湿度控制 、电力供应、电磁防护等方面进行测评。
(2)网络安全测评:是对网络环境进行的测评,以三级测评为例,主要是从结构安全;访问控制;安全审计;边界完整性检查;入侵防范;恶意代码防范;网络设备防护等方面进行测评。
(3)主机安全测评:是对操作系统、中间件、数据库等进行测评,以三级测评为例,主要是从身份鉴别;安全标记;访问控制;可信路径;安全审计;剩余信息保护;入侵防范;恶意代码防范;资源控制等方面进行测评。
(4)应用安全测评:是对应用系统的测评, 以三级测评为例,主要是从身份鉴别;安全标记;访问控制;可信路径;安全审计;剩余信息保护;通信完整性;通信保密性;抗抵赖;软件容错;资源控制等方面进行测评。
(5)数据安全及备份恢复:是对数据安全的测评,主要是从数据完整性;数据保密性;数据备份与恢复等方面进行测评。
(6)安全管理制度:是对管理制度的测评,主要是从管理制度;制定与发布;评审和修订等方面进行测评。
(7)安全管理机构:是对管理机构的测评,主要是从岗位设置;人员配备;授权和审批;沟通和合作;审核和检查等方面进行测评。
(8)人员安全管理:是对人员管理的测评,主要是从人员录用;人员离岗;人员考核;安全意识教育和培训;外部人员访问管理等方面进行测评。
(9)系统建设管理:是对系统建设管理的测评,主要是从系统定级;安全方案设计;产品采购;自行软件开发;外包软件开发;工程实施;测试验收;系统交付;系统备案;等级测评;安全服务商选择等方面进行测评。
(10)系统运维管理:是对系统运维管理的测评,主要是从环境管理;资产管理;介质管理;设备管理;监控管理和安全管理中心;网络安全管理;系统安全管理;恶意代码防范管理;密码管理;变更管理;备份与恢复管理;安全事件处置;应急预案管理等方面进行测评[3]。
热点文章阅读