网络安全测评整改服务方案

招标编号：****

投标单位名称：****

授权代表：****

投标日期：****

第一章 项目背景和需求分析

第一节 项目背景

一、网络安全评估的重要性

信息技术的飞速进步引领全球信息化步伐显著加速，信息与网络空间的深度融合渗透至政治、经济、文化、科技、军事及社会管理等诸多领域，激发了前所未有的活力。在享受信息化所带来的诸多便利之际，信息安全与保密问题的严峻挑战亦随之凸显。

信息安全：社会发展的永恒挑战 - 政治斗争与军事行动中，信息保密与完整性至关重要 - 商业竞争中，保护商业秘密免受侵犯与验证信息真实性并举 - 在网络空间，国家机密与企业敏感信息的保护成为首要任务 - 网络环境下，用户身份验证、责任明确与权益保障不可或缺 - 高度依赖网络的业务系统如政务、商务运作需确保稳定运行 - 网络金融服务中的安全支付结算与金融机构的反欺诈措施备受瞩目 - 数据保护与管理系统在维护社会稳定和国家安全方面发挥关键作用

信息安全测评旨在规范信息安全特性，通过对信息安全模块、产品或信息系统的安全性进行深入验证、详尽测试与评价定级。该过程着重于检查各项关键安全功能、性能及运维使用状况，从而揭示在设计、研发、生产、集成、建设、运维和应用全周期内可能存在的信息安全隐患，识别产品的质量缺陷，监控系统的运行状态，预警潜在的安全风险，确保网络与信息系统的安全屏障得以有效维护。

(一)信息安全概述

1.信息安全的属性

信息安全定义为维护国家、组织和个人信息空间、载体及其资源免受内外各种潜在风险、威胁和侵犯的状态和手段，以及主体对安全状态的内在认知。随着信息技术的进步，信息安全的范畴不断扩展，特指信息系统抵御突发事故或蓄意行为的能力。这些可能的事件和行为会威胁存储、处理或传输数据的安全性，包括数据的机密性、完整性、可用性、不可否认性、真实性和可控性，这六个特性构成了信息安全的核心要素。

保密性：特指信息未经授权难以解读，信息系统不容非授权使用，确保即使数据遭到截取也无法被破解，同时确保即使系统可被访问，权限亦严格限定在与用户身份相匹配的范围内，防止越权获取信息。

完整性：主要体现在信息的不可篡改性，即确保在网络传输过程中，信息不受非法修改，并且任何可能发生的篡改行为能够被有效识别和追踪。

信息系统的可用性：核心在于无论何时何地，系统能在满足基本需求的条件下持续运作。这涉及到物理安全与运行安全的双重保障。其目标是确保基础信息网络与关键系统的稳定运行，其中包括信息的顺畅传递以及服务的正常供给功能得以实现。

特性概述：不可否认性强调的是信息系统的操作者或信息处理者的责任确认，确保他们无法抵赖其行为或处理结果。这一特性旨在预防任何一方在事后续航中否定曾经进行过的操作或通信事件的真实性。

真实性：强调信息系统在运行过程中确保并验证信息的源头及发布者的可靠性和不可抵赖性，目标是保障交互参与者身份的真实性和信息及其来源的真实性。

可控性：特指信息系统中实施的信息流监控与管理能力，包括对互联网上特定信息及信息流进行主动的监测、筛选、约束乃至中断的机能。

2.信息安全的多角度分析

信息安全的审视维度既源于客观的技术考量，又涵括主观的社会因素。从技术层面上观察，其本质特征显现无疑；而从社会视角出发，则揭示出更深层次的社会影响与认知。

信息安全的技术层面可细分为四个维度：物理安全、运行安全、数据安全及内容安全。这些维度各自揭示了技术体系的独特安全特性，并相应地塑造了信息安全技术的表现形态。

(1)物理安全

物理安全保障着重于网络与信息系统实体设施及其承载信息的防护。其关注点涵盖电磁辐射防护、设备耐受严酷工作环境的能力，其中包括抵御自然灾害、防止电磁泄漏以及防范通信干扰等潜在威胁。常规的防护手段包括数据和系统的定期备份、实施电磁屏蔽技术、增强设备抗干扰性能以及采用容错设计来提升系统的稳定性。

(2)运行安全

安全运行特性关注网络与信息系统在操作流程与工作状况下的保障，核心内容涵盖了信息系统常态运行与严谨的访问权限管理。所面临的挑战涵盖网络袭击、网络病毒侵扰、网络拥塞以及系统安全漏洞的滥用等。常规的防护手段包括但不限于：访问权限管理、病毒防范策略、应急事件响应、风险评估、漏洞扫描技术、入侵检测系统、系统强化措施以及定期的安全审计等工作环节。

(3)数据安全

数据生命周期的安全防护关注于数据生成、处理、传输与存储各阶段，核心内容涵盖数据泄露、损坏、伪造及否认等风险。面临的威胁主要包括数据盗窃、篡改、冒名顶替、抵赖、破解、权限超越等问题。常见的保障手段包括加密技术、身份验证、访问控制、鉴别机制以及签名策略等措施。

(4)内容安全

网络安全着重于防范未经授权的信息在网络上的扩散，核心在于对信息传播的严谨管控。其面临的挑战主要包括：网络上快速传播的有害信息以及恶意舆论的制造。常规的防护手段包括实施信息内容的监控与过滤措施。

从社会学视角审视信息安全，它体现在网络空间中的舆论文化、社会行为以及技术环境这三个核心维度。

(1)舆论文化

互联网的高度开放性，使网络信息得以迅速而广泛地传播，且难以控制，使传统的国家舆论管制的平衡被轻易打破，进而冲击着国家安全。境内外敌对势力、民族分裂组织利用信息网络，不断散布谣言、制造混乱、推行与我国传统道德相违背的价值观。有害信息的失控会在意识形态、道德文化等方面造成严重后果，导致民族凝聚力下降和社会混乱，直接影响到国家现行制度和国家政权的稳固。

(2)社会行为

以下是对信息及信息系统实施的有意识犯罪活动的描述： 1. 网络安全侵犯与泄露：通过非法手段获取或散布敏感信息，如网络窃密和信息泄密。 2. 网络恶意软件活动：诸如散播病毒，实施欺诈，如信息诈骗，以及在信息系统中植入后门，构成安全隐患。 3. 网络攻击行为：对各类信息系统发起的恶意攻击，威胁其正常运行。 4. 基础信息网络与重要系统瘫痪风险：由网络恐怖活动引起的对网络基础设施的控制或破坏行为，可能导致关键服务中断。 5. 国际间的信息网络冲突：涉及不同国家之间的竞争与对抗形式，即信息网络战。

(3)技术环境

信息系统因内在的安全隐患，易受网络攻击且在异常条件下可能无法稳定运行。具体表现为：系统的技术基础存在固有缺陷，安全防护功能不足；核心技术和关键设备的自主控制能力不足；以及在系统管理和运维上的技术实力薄弱。

4.信息安全的威胁

安全与威胁相伴而生，信息安全防护体系正是为应对这些威胁而设计的策略。信息安全威胁的出现源于社会进步所必然经历的阶段，其根源在于违法者的私心作祟，同时，它也受到其他直接或间接因素的影响。主要的信息安全威胁类型包括：

(1)来源威胁

当前，几乎所有CPU、操作系统、外围设备、网络体系以及部分加密解密技术均源于海外，这就好比关键技术掌握在他人之手，必然面临一定程度的制约与影响。

(2)传输渠道威胁

安全与威胁相伴而生，信息安全防护体系正是为应对这些威胁而设计的策略。信息安全威胁的出现源于社会进步所必然经历的阶段，其根源在于违法者的私心作祟，同时，它也受到其他直接或间接因素的影响。主要的信息安全威胁类型包括：

①来源威胁

当前，几乎所有CPU、操作系统、外围设备、网络体系以及部分加密解密技术均源于海外，这就好比关键技术掌握在他人之手，必然面临一定程度的制约与影响。

②传输渠道威胁

数据传输依赖于有线或无线媒介，然而在这一过程中面临着诸多风险。信息可能遭窃听，甚至在传输途中遭受篡改或伪造，从而对安全构成威胁，合法用户的权益亦随之受损。信息的传递途径涵盖了实体介质与虚拟介质，但外部环境因素如干扰、失真或信号损失，往往导致传输质量严重下降，信号完整性受到极大挑战。

③设备故障威胁

通信中断往往源于设备故障。鉴于信息系统中庞大的硬件设备阵容，其故障发生率相应显著。

④网络人员威胁

主要体现在2个方面：

在软件开发过程中，开发人员有时未能完全消除存在的隐藏瑕疵，这些潜在的严重错误可能导致无法弥补的损害。

网络安全深受网络管理员的文化与品行素养所影响。作为与网络机密最为紧密的接触者，网络管理员具有潜在风险，可能泄露用户的密码及敏感信息。其不当行为甚至可能对网络的完整性和信息安全性构成直接威胁。

⑤所处环境威胁

法律体系中的信息安全滞后现象为非法黑客活动创造了漏洞，其国际合作的不足，尤其是针对跨国黑客犯罪的联手应对，因各国的国家利益考量而显得尤为严峻。同时，信息安全技术的不完善之处时常成为违法者觊觎的目标，成为其犯罪手法的利用点。

⑥病毒威胁

计算机病毒构成日益严重的威胁：近期，网络空间中的病毒传播日益频繁，其潜在破坏力显著提升。然而，由于防毒软件的反应速度存在滞后，往往难以实现预防于初始阶段。

(二)信息安全保障体系

1.信息安全保障

信息安全的构成要素中，网络安全占据核心地位，其起源与发展几乎与信息安全同步，从而强调了网络安全保障与信息安全保障之间的紧密关联。

在1996年，美国国防部在其指令DoD 5-3600.1（DoDD 5-3600.1）中首次明确了‘信息保障’(IA)的官方定义：即通过实施保护措施，确保信息及信息系统的可用性、完整性、身份验证和不可否认性，这些措施涵盖了对信息及信息系统操作的维护，旨在提升系统的恢复能力，包括防护、监测和应对响应的能力。

早在1995年，西方国家便启动了对‘信息保障’的系统性探究。Shirey在其著作《网络管理数据的安全需求》中阐述，网络安全管理的本质是通过监控和操控安全服务与机制，分发安全信息，并报告安全事件，以此落实安全策略。该领域的关键功能包括：资源访问控制、安全信息的处理、实施、管理和加密过程的控制。1996年，Longley和Shain在《计算机与数据安全的标准概念与术语字典》中定义‘自动化信息系统安全’，即所有必要的安全措施，以确保系统和数据处理达到可接受的防护等级。Dobry和Schanken在《分布式系统安全》的研究中进一步区分了信息安全与信息安全保障，前者被视为产品或系统功能特性，后者则涵盖了开发、测试环境，以及支持产品运作和系统操作的质量保证。Longley和Shain综合定义，信息安全保障是为了确保自动化信息系统的安全特性和架构能准确调整并有效执行安全策略。另有学者从更广阔的视角定义信息保障，将其视为一种工程规范，旨在提供一种全面、系统的途径，确保个人自动化系统在动态组合的多环境运行中，具备特定的功能性、安全性和可靠性。

1997年起，国务院信息化工作领导小组办公室在我国率先推行"国际互联网安全研究项目计划"，其核心任务聚焦于技术研发。随后，各部门依据自身职责相继推出行动计划，如保密部门的保密技术发展计划、公安部门的公共信息网络安全监管体系、国家安全机关的信息安全评估认证体系，以及科技部启动的"863"信息安全专项和国家计委推动的信息安全产业示范项目。国家正式确立了建立国家信息安全保障体系的长远战略，这一举措标志着我国信息安全工作从分散、局部阶段迈向全面、整体的新阶段，从单一的技术产品关注扩展至标准制定、法规建设、管理优化以及专业人才培育等多个维度。这一发展趋势顺应了信息化发展的必然规律，也体现了全球范围内信息化建设和信息安全保障的共同追求。然而，当前我国主管机关、科技界与管理界对于安全保障体系的基本理念、架构、实施策略及基础衡量指标，尚未形成统一的认识和方案。

2.信息安全保障体系模型

国际社会普遍认知到信息安全是一个动态演进并持续优化的过程，对此进行了深入探讨并构建了多元化的动态安全保障体系框架。其中包括基于时间的PDR模型、P2DR模型、PDRR模型，全网动态安全体系的APPDRR模型，以及我国独特的WPDRRC模型等代表性研究成果。

(1)PDR模型

PDR模型由三个核心环节构成：防护、检测与响应。这三者共同构建了一个动态且全面的安全流程，如图所示。

系统的安全基石在于主动防护策略，其终极目标由全面的防护措施得以保障。防护的范围涵盖系统各个层面，从而促使防护手段的丰富多样。

动态响应和防护的强化建立在持续的检测基础之上，通过实时监控网络与系统，以实现威胁的及时发现。

主动防御通过实时策略调整和基于检测的动态防护得以实现，旨在达成预先的主动防御目标。

(2)P2DR模型

美国ISS公司首倡的动态网络安全体系中的标志性模型——P2DR模型，堪称动态安全模型的滥觞，其构架由四大部分构成：策略制定、防护实施、检测预警与应急响应环节组成。

核心内容：安全策略需基于风险评估结果，明确指出系统中哪些关键资源应受到保护，并阐述相应的保护方法。作为模型基石，所有防护措施、监测活动及应急响应均围绕这一策略展开。通常，网络安全策略涵盖两个主要组成部分：整体安全大策略与详细操作安全策略。

防护：通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生；通过定期检查来发现可能存在的系统脆弱性；通过教育等手段，使用户和操作员正确使用系统，防止意外威胁；通过访问控制、监视等手段来防止恶意威胁。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。

动态响应与防护的强化建立在持续的检测与监控之上，其目标是实时识别新出现的威胁与漏洞。通过连续的反馈机制，我们能迅速作出有效应对。尤其在防御体系被突破时，检测功能发挥至关重要的作用，与防护系统协同构成坚实的整体防护策略。

当系统侦测到潜在威胁时，其响应机制随即启动，执行事件管理流程。该流程涵盖两个主要部分：紧急应对与后续修复。后者进一步细分为系统复原与信息恢复措施。

P2DR模型：在整体安全策略的调控与引领下，该模型融合了防护手段（例如防火墙、操作系统身份验证、加密等），并借助检测工具（漏洞评估、入侵检测等）实时监控系统的安全状况。通过适时的应对措施，系统得以优化至‘最高安全性’和‘最低风险’水平。防护、检测与响应这一动态安全流程，确保信息系统始终遵循既定策略，维持稳固的安全防护态势。

该理论的基本原则认为，无论是攻击、防御、检测还是响应等与信息安全相关的所有行动，本质上都会消耗时间，从而使得时间成为评估系统安全性和防护效能的关键指标。

(3)PDRR模型

在PDRR（防护-检测-响应-恢复）框架中，安全的视角已超越了狭义的信息安全范畴，转向了更为全面的信息保障。这一理念融合了保护、侦查、即时应对和灾后重建，形成了一个系统化的模型，通常以PDRR模型示意图来呈现。

PDRR模型以信息安全保护为核心，视其为动态防护进程，强调通过监控手段实时识别潜在漏洞，并迅速修复；同时，配置有效的应急响应策略以对抗各类入侵行为；针对系统遭受攻击后的状况，实施恢复措施以恢复系统的正常运行，从而实现对信息安全的全面防护。其关键特性在于自动化的故障恢复机制。

(4)APPDRR模型

在PDR模型中，网络安全的动态特性得以展现，尤其侧重于通过入侵检测与响应实施动态防护。然而，该模型未能充分描绘网络安全的动态演进过程。为了精准捕捉网络安全的核心原理，学者们对PDR模型进行了修正和完善，进而衍生出APPDRR模型。根据这一新模型，网络安全的实现由风险评估、安全策略制定、系统保护、实时动态检测及应急响应和灾难恢复六个环节构成，如图所示。

根据APPDRR模型，网络安全的第一个重要环节是风险评估，通过风险评估，掌握网络安全面临的风险信息，进而采取必要的处置措施，使信息组织的网络安全水平呈现动态螺旋上升的趋势。网络安全策略是APPDRR模型的第二个重要环节，起着承上启下的作用：一方面，安全策略应当随着风险评估的结果和安全需求的变化做相应的更新；另一方面，安全策略在整个网络安全工作中处于原则性的指导地位，其后的检测、响应诸环节都应在安全策略的基础上展开。系统防护是安全模型中的第三个环节，体现了网络安全的静态防护措施。接下来是动态检测、实时响应、灾难恢复三环节，体现了安全动态防护和安全入侵、安全威胁“短兵相接”的对抗性特征。

APPDRR模型揭示了网络安全的动态演变特性，强调其相对性与螺旋式提升：理想的网络安全并非静态可达，而是一个持续优化的过程。该过程通过六个关键步骤——风险评估、安全策略制定、系统防护部署、动态监控、即时响应以及灾难恢复，形成一个循环提升的链条。随着每个环节的逐步强化，网络安全水平不断提升，最终达成保护网络资源的核心安全目标。

(5)PADIMEE模型

PADIMEE模型依据客户的技术与业务需求分析，并充分考量客户信息安全的全程管理，围绕七个关键领域展示了信息系统安全的动态循环，主要包括：安全策略规划、风险评估、设计与提案、执行与落地、运营管理与监控、应急响应机制以及安全意识提升，如图所示。

该模型的核心理念着重于通过工程手段推动信息安全实践，尤其关注安全管理及建设过程中的人力要素。依据PADIMEE模型，网络安全需求的关键要点体现在以下五个维度。

网络安全策略的制定映射出组织的整体安全需求，其过程包括通过深入的网络安全评估来识别和提炼这些需求，以便于我们能更为科学、高效地策划和执行网络防护工作。

在设计与实现新系统和项目的过程中，务必对可能引发的网络安全需求进行全面剖析，并据此采取适宜的防护策略。早期纳入网络安全考量，通常能实现‘事半功倍’的工作成效。

网络安全的有效实施离不开管理与监控的双重保障。它涵盖了动态监测的内容，同时囊括了安全管理的关键元素。借助于严格的‘管理/监控’手段，并结合适用的静态安全防护策略，我们得以满足定制化的网络安全需求，从而顺利达成预定的网络信息安全目标。

作为网络安全体系的终极防护策略，紧急响应在维护信息安全中扮演着至关重要的角色。鉴于网络安全的相对动态性，所有实施的安全举措本质上是权衡潜在损失与投入成本的决策结果。因此，在网络安全工程构建模型中设立这一防线具有深远的含义。通过精心挑选紧急响应措施，我们能够以最低的成本获取最大的安全保障效益，有效地减轻甚至消除安全事件的负面影响，从而推进信息系统的网络安全目标的实现。

(6)WPDRRC模型

我国在融合了PDR模型、P2DR模型以及PDRR等网络安全模型的基础上，独创了一种适应本土需求的动态安全模型，即WPDRRC安全模型。它在PDRR模型的基础上增添了预警与反击环节，如图所示。

WPDRRC模型构成于六个关键阶段和三大基石。这六个阶段分别为预警、防护、侦查、应急反应、复原与反击，它们展现出显著的时间序列和动态特性，充分体现了信息系统安全防护体系在预警、防护、侦查、应急响应、恢复以及反击方面的综合能力。三大基石包括人力资源、策略规划和技术支持，其中人力资源居核心地位，策略起纽带作用，技术支持则是实施保障。这三大要素贯穿于WPDRRC模型的各个环节，将安全策略转化为实际的防护实践。

3.我国信息安全保障工作

信息安全管理体系的核心要素：等级保护制度详解

在信息安全保障工作中，我国遵循'积极防御、综合防范'的核心策略，致力于全面提升防护效能。首要关注点在于确保基础信息网络与关键系统安全，目标是营造一个安全稳定的网络生态，以推动信息化的持续发展，同时守护公众权益，维护国家整体安全。体系构建的核心要素包括：

①信息安全等级保护制度；

构建以密码技术为核心的坚实信息安全保障体系及可信网络环境

③建设和完善信息安全监控体系；

④重视信息安全应急处理工作；

致力于信息安全技术的深入研发，积极推动产业的创新发展。

⑥加强信息安全法制建设和标准化建设；

致力于培养高素质的信息安全人才，同时提升全社会的信息化安全认知素养。

⑧保证信息安全资金到位；

强化信息安全的顶层领导，构建并完善信息安全责任体系。

早在1994年，我国信息安全保障体系中的关键环节——信息安全等级保护制度，依据国务院令第147号的《中华人民共和国计算机信息系统安全保护条例》，由公安部主导启动。历经多年的深入研究、实践与试点，该制度在2007年正式步入全面实施阶段，旨在提升信息系统安全防护水平。

国家信息安全等级保护体系秉持"自主定级，自我防护"的核心理念，针对信息系统实施分级保护，强调按照标准化流程进行建设、管理和监管。其基本准则包括：明确各方职责，共同维护信息安全；依据相关标准，自主实施保护措施；建设与管理并重，根据需求动态调整；实施指导监督，重点关注关键环节的保护工作。

第十二节：信息安全分级管理与监督 遵循分级原则，我国的信息系统（及网络）依据其重要性和潜在损害程度划分为五个防护等级（从低至高，依次递增）。每个等级的系统需经过如下步骤： - 定级阶段：系统根据业务性质确定相应的等级，第二级（含）以上系统需向公安机关进行备案。 - 备案与审核：公安机关对备案申请材料及定级结果进行严谨审查，审核通过后颁发备案证书。 - 建设与维护：备案单位须根据系统安全等级执行国家安全建设要求，配置安全设施，落实安全措施，明确并执行安全责任，并建立健全安全管理制度。 - 测评与认证：选择符合国家标准的测评机构进行等级测评。 - 监督与指导：公安机关对二级系统提供指导，对三级和四级系统则实施定期监督与检查，确保信息安全体系的有效运行。

探讨国家信息安全保障体系的实施策略：'一二三四五'的信息安全保障工作详解

国家信息安全保障体系包括积极防御、综合防范等多个方面的多个原则。因此，要建立和完善信息安全等级保护制度就要加强和建设多个层面。根据我国信息技术和信息安全技术的发展和应用现状，中国工程院院士方滨兴指出，当前国家信息安全的保障体系需要围绕以下细节全面建设，具体为：加强密码技术的开发与应用，建设网络信息安全体系，加强网络信息安全风险评估工作，建设和完善信息安全监控体系，高度重视信息安全应急处置工作，重视灾难备份建设。在此基础上，方滨兴院士提出我国的信息安全保障体系可以从以下5个方面来开展建设。

①一个机制

一个机制，特别是强调其全面且持久的特性，其有效性双管齐下：一是在组织与协调上的精细构建，二是在支撑力量上的坚实保障。这一要求涉及宏大的战略层面，即仰赖主管机关的有力支撑与鼓励。

②两个原则

第一条基本原则乃为积极防护与全面保障。其综合体现在于各产业的协同进步，即网络信息安全与信息化的相互融合。积极的内涵多元，尽管并不鼓励主动发起攻击，但对攻击技术的理解和掌握却是信息对抗的必要手段。真正的积极态度体现在，面对新兴技术，我们需迅速思考其可能带来的安全挑战，并策划相应的应对策略。此外，技术手段并非万能，必要时依赖于有效的管理；反之，管理手段亦需辅以技术支持，两者相辅相成。

第二个基本原则为契合国内环境，其核心在于实现安全成本与风险的均衡。在此过程中，关键点在于明确区分，例如通过等级保护体系，依据信息系统的重要程度进行分级，进而实施相应级别的保护措施。同时，发展过程中必须纳入对安全挑战的前瞻性考虑，因为安全目标是推动而非制约进步。

③三个要素

三个要素包括人、管理、技术。

在人才培养策略上，我们注重两点：一是人才的培育，涵盖学历教育、专业研究人才的选拔与培养，以及针对各学科领域的专门人才塑造。同时，技能知识培训和网络教育也是提升队伍能力的关键环节。二是构建一套机制，旨在有效吸引并充分利用高水平的信息安全管理和技术研发人才。

互联网的治理体系主要包括以下四个方面： 1. 法律基石：国家层面确立方针、政策与法规，提供基本的法律保障。 2. 技术与管理导向：遵循标准化原则，从技术及管理角度设定指引，标准侧重于操作实施（做什么），法规则关注行为准则（怎么做）。 3. 细化执行层面：各管理机构需制定具体、实用的规章制度、策略和措施，确保有效执行。

信息安全技术的本质在于其可信可控性，研发新科技与拓展新业务的过程中，需辅以明确的政策指导与市场机制。我们的终极目标是确保信息安全技术主要依赖自主知识产权的支撑。

④四个核心能力

以下是我们的四大核心竞争力：一是法律保障下的信息安全能力，二是基础支撑的网络安全实力，三是网络舆情的有效管理和宣传技巧，四是提升在国际信息安全领域的影响力。

信息安全法律保障体系以信息安全法规为核心，通过构建一系列配套措施，其中包括制定相应的规章制度，确保系统的稳固与合规性。

国家的基础支撑能力体现在一系列配套体系的构建上，例如数字证书系统、计算机网络应急响应机制及灾难恢复体系等。这一能力需紧随技术与应用的演进，持续进行优化和强化。

舆情掌控的关键要素体现在三个方面：一是有效引导网络舆论导向，二是对网络热点议题进行适时的洞察与回应，三是提升应对网络事件的处置效能。这三大环节象征着舆情驾驭的精髓。舆情管理的具体目标包括：首当其冲，需具备发现并及时获取舆情信息的能力；其次，要求具备深度分析及舆论引导的技能；最后，应设及预警机制并妥善处置相关事宜。

展现国家信息安全影响力的关键在于激烈的国际竞争环境。为此，必须充分发挥整体的信息安全潜能，包括在应对有害信息及运用先进技术手段方面的实力。

⑤五项工作

以下是五个核心任务： 1. 提升风险管理效能，构建并优化安全保护等级制度； 2. 繁荣密码技术研发与应用，构筑网络信任环境； 3. 建立健全信息安全监控系统； 4. 对信息安全应急响应给予极高重视，强化应对措施； 5. 实施灾难备份策略，保障数据安全冗余。

风险评估与等级保护：一个完整的视角 - 风险评估作为起点，揭示系统的潜在威胁； - 等级划分随之而来，作为衡量安全状态的关键节点； - 安全控制措施则是基于风险评估结果的实施落脚点。 因此，风险评估与等级保护相互依存，缺一不可。明确系统风险的严重程度，等级保护策略方能精准有效。

密码技术在构建网络信任体系中发挥核心作用，密钥体系的整合不可或缺。

国家强制性规定所有运营单位必须配备网络监控系统，以实现对信息的有效处理与管理。

国家级的应急响应预案对于信息安全的保障具有严格的要求，强调其有效执行与贯彻实施的重要性。

首要任务是实现高效恢复，其次为尽早察觉，随后是迅速反应：这是灾难备份的核心关注点。

4.国外信息安全保障工作

在当前阶段，发达国家在信息安全保障方面积累了丰富的经验，已经建立起一系列完善的保障体系。其中，美国的信息保障技术框架(IATF)和国际标准化组织(ISO)推出的ISO/IEC27000信息安全管理体系尤为引人关注，作为全球公认的典范。

(1)信息保障技术框架

作为美国政府和私营部门信息与信息基础设施安全管理的核心指南，信息保障技术框架(IATF)旨在确保对处理、存储和传输的关键数据进行有效保护。鉴于这些信息对各组织正常运营的至关作用，IATF详细阐述了针对现代信息基础设施的全方位安全要求。

IATF依据‘深度防御策略’，明确了涵盖四个关键技术领域的信息安全保障流程，规定了系统硬件与软件的安全标准，旨在实现对信息基础设施的多层次保护。

在构建信息安全防护体系时，务必从人员、技术和操作三个核心维度进行全面的深度防御策略考量。

IATF专注于信息技术领域的提升。其宗旨在于增强对信息安全技术的认知，明确指出信息系统用户对于信息安全（IA）的需求，并为其问题的解决策略提供指导方针。

IATF起始阶段即明确阐述了信息基础设施的概貌，包括其界定边界，详尽阐明了信息保障框架的涵盖范围，并深入剖析了威胁的根本性质。

IATF通过四个关键技术支柱——网络与基础设施防护、区域边界管控、计算环境守护以及支持性基础设施的保障，详尽阐述了信息保障策略。针对信息基础设施的潜在威胁，IATF将其分类为五类攻击形态：被动式侵扰、主动发起的攻势、物理空间的邻近威胁、内部人员的潜在风险，以及涉及软件硬件植入与分发的恶意行为，如图表所示。

(2)IS027000信息安全管理体系

ISO/IEC27000系列标准，由国际标准化组织（ISO）与国际电工委员会（IEC）合作制定，专为信息安全管理体系构建了一整套详尽的标准体系，涵盖了从ISO/IEC27000至ISO/IEC27059共六十个标准编号。这套标准主要划分为四个核心部分：

第一章涵盖了基础和必要指引，详细阐述了ISO/IEC 27000至ISO/IEC 27005的相关规定，构成了信息安全管理体系的核心要素与最低标准。

第二部分详述了面向认证机构和审核人员的认证认可与审核相关指引，涵盖ISO/IEC 27006至ISO/IEC 27008的内容。

第三部分阐述的是针对特定行业，如金融和电信领域，其特有的信息安全管理规定，或者在诸如数字证据保全和业务连续性等专业安全领域中的应用需求。

第四部分是由IS0技术委员会TC215单独制定的（而非和IEC共同制定)应用于健康行业的标准IS027799,以及一些处于研究阶段并以新项目提案方式体现的成果，如供应链安全、存储安全等。

风险评估遵循ISO/IEC 27000系列标准的核心理念，认为信息资产的风险度主要源于三个要素：资产价值、漏洞影响和弱点程度。这一评估流程首先涉及对信息资产的估值（通过资产评估）、漏洞检测（通过漏洞评估）和弱点识别（通过薄弱点评估），然后综合考量已实施的管控措施，最终计算出全面的风险评估结果。

IS027000标准是建立信息安全管理体系(ISMS)的一套规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准，它采用PDCA(策划一实施一检查一处置)的过程方法来建立、实施、运行、监控和评审，维持和提高组织的信息安全，保证ISMS业绩的持续改进。包含了信息安全管理的最佳实践规则，共11个大类、39个控制目标、133项控制措施，每一个安全控制覆盖了不同的主题和区域，可供信息安全管理体系实施者参考使用，几乎涉及了信息安全的方方面面，保证了信息安全管理的先进性和完整性，有助于IS027000从保密性、完整性、可用性这3个信息安全特性来保护组织的信息资产。

(三)安全测评的作用

现代质量体系的精髓在于测评认证，其核心内容是通过公正、专业且权威的评估机构，依据公开、客观与先进标准，向潜在消费者和采购方（需方）确保供应商的产品和服务达到了既定要求。具体来说，测评认证涵盖产品、系统、过程或服务的全面验证；它依托于国家和行业的标准，或是认证机构认可的技术规范作为评判基础；其实施过程包括对样品的检验、供方质量管理体系的评估，以及后续的定期监督；这项活动由具备专业技术能力和官方授权的认证机构，严格按照科学程序进行公正评价；其成果以认证证书和认证标识的形式予以正式公布和展示。

鉴于信息技术的特性及其重要影响，信息产品的合规性、安全产品的效能、信息系统的安全性以及信息化基础设施的抗风险能力，皆亟待通过科学的验证。为了确保这些关键环节，各国政府普遍采取了标准化措施，并通过测评认证的方式，严格管控信息技术产品的研发、制造、交易、应用和跨境流通，同时对信息系统的全生命周期，从规划、设计至废弃，实施全方位的安全审查。在美国，信息安全被视为国家安全的核心组成部分，由美国国家安全局，在美国国家标准技术局的协助下，主导着相关产品的测评认证工作。西方其他国家亦纷纷跟进，使得信息安全测评认证成为信息化进程中不可或缺的核心领域。

安全评估过程涉及测评对象在其全生命周期中的各个环节，包括对防护措施、检测手段、响应机制及恢复策略等安全保障要素进行全面系统的安全工程分析。通过遵循特定程序和模式，采用一套结构化的测试、评估技术，旨在验证信息化基础设施、信息安全基础设施、安全保障技术和信息技术产品的安全保障效能。安全评估作为国家和社会对信息安全保障体系质量监管和技术把控的重要途径，确保了体系的稳健性和有效性。

二、概述基础安全评估原理

(一)国内外信息安全测评发展状况

信息安全测评作为一项全面的实践活动，旨在通过对信息安全产品和系统的综合考量，提供具有高度系统性与权威性的结论，从而对设计研发、系统集成和用户选购等环节提供决策支持。这项技术的本质在于通过验证、测试以及评估三个核心环节来确保信息系统的安全性及其程度。具体来说，验证技术与测试技术负责通过分析和专业技术手段揭示信息产品的安全属性，并收集衡量其安全性能的数据；而评估方法则在这些结果的基础上，采用公正且客观的方式对安全性能进行评级。当前，信息安全领域的验证与测试技术不断进步，伴随着多元化的手段和工具，评估流程、方法及其所需遵循的安全功能规范，通常依赖于相应的标准、准则和指南来指导实施。

信息安全测评是实现信息安全保障的有效措施，对信息安全保障体系、信息产品/系统安全工程设计，以及各类信息安全技术的发展演进有着重要的引导规范作用，很多国家和地区的政府和信息安全行业均已经认识到它的重要性。美国国防部于1979年颁布了编号为5200.28M的军标，它为计算机安全定义4种模式，规定在各种模式下计算机安全的保护要求和控制手段。当前普遍认为5200.28M是世界上第一个计算机安全标准。1977年，美国国家标准局(NBS)也参与到计算机安全标准的制定工作中来，并协助美国国防部于1981年成立国防部计算机安全中心。该中心于1985年更名为国家计算机安全中心(NCSC),归美国国家安全局(NSA)管辖。NCSC及其前身为测评计算机安全颁布一系列的文件和规定，其中，最早于1983年颁布的《可信计算机系统评估准则》将安全程度由高至低划分为四类，每类中又分为2或3级。如得到广泛应用的WindowsNT和Windows2000系列产品被测评为C2级，而美国军队已经普遍采用更高级别的军用安全操作系统。在美国的带动下，1990年前后，英国、德国、法国、荷兰、加拿大等国也陆续建立计算机安全的测评制度并制定相关的标准或规范。如加拿大颁布了《可信计算机产品评估准则》。美国还颁布了《信息技术安全联邦准则》，通常它被简称为FC。由于信息安全产品国际市场的形成，出现了多国共同制定、彼此协调信息安全评估准则的局面。1991年，英国、德国、法国、荷兰4国率先联合制定了《信息技术安全评估准则》，该准则事实已经成为欧盟其他国家共同使用的评估准则。美国在ITSEC出台后，立即倡议欧美6国7方（即英国、德国、法国、荷兰、加拿大的国防信息安全机构和美国的NSA与NIST)共同制定一个各国通用的评估准则。从1993年~1996年，以上6国制定了《信息安全技术通用评估准则》，一般简称为CC。CC已经于1999年被国际标准化组织(ISO)批准为国际标准，编号是“ISO/IEC15408 1999”。另外，为指导对密码模块安全的评估，NIST自20世纪80年代~21世纪初，一直在编制《密

《模块安全需求的国际标准》：2002年，美国国家标准与技术研究院(NIST)发布了备受瞩目的FIPS PUB 140-2，标志着其新版的出炉。目前，全球众多国家和地区已设立信息安全评估机构，这些机构为信息安全供应商和用户提供了权威的测评服务。

我国于20世纪90年代末也开始了信息安全的测评工作。1994年2月，国务院颁布了《中华人民共和国计算机信息系统安全保护条例（国务院147号令）》。为了落实国务院147号令，1997年6月和12月，公安部分别发布了《计算机信息系统安全专用产品检测和销售许可证管理办法（公安部32号令)》和《计算机信息网络国际联网安全保护管理办法（公安部第33号令）》。1998年7月，成立了公安部计算机信息系统安全产品质量监督检验中心，并通过国家质量技术监督局的计量认证[(98)量认（国）字(L1800)号]和公安部审查认可，成为国家法定的测评机构。1999年，我国发布了国家标准《计算机信息系统安全保护等级划分准则》(GB17859 1999)。1999年2月，国家质量技术监督局正式批准了国家信息安全测评认证管理委员会章程及测评认证管理办法。2001年5月，成立了中国信息安全产品测评认证中心，该中心是专门从事信息技术安全测试和风险评估的权威职能机构。2003年7月，成立了公安部信息安全等级保护评估中心，它是国家信息安全主管部门为建立信息安全等级保护制度、构建国家信息安全保障体系而专门批准成立的专业技术支撑机构，负责全国信息安全等级测评体系和技术支撑体系建设的技术管理及技术指导。2001年，我国根据CC颁布了国家标准《信息技术安全技术信息技术安全性评估准则》(GB/T18336 2001),并于2008和2015年对其进行了版本更新，当前版本为(GB/T18336 2015)。当前，已经有大量信息安全产品/系统通过了以上机构的检验认证，信息安全测评已经逐渐成为一项专门的技术领域。

当前，信息技术的持续进步与应用模式的创新转型促使信息安全测评的对象日新月异，不断演变升级。

云计算：一种依托互联网的创新服务模式，它为用户提供了丰富且按需分配的虚拟数据存储和计算处理功能，涵盖了数据存储池、软件下载与维护、计算能力池、信息资源库以及客户服务等多个方面。作为信息技术领域的重要突破，云计算已深远影响了大众的生活和工作方式。然而，随着其广泛应用，随之而来的是诸如动态边界安全、数据保密与隐私保护，以及针对云计算的新型攻击与防御策略等安全挑战。如今，随着云服务平台在经济活动和社会服务中的基础地位日益凸显，人们对云平台的安全性关注度不断提高，使其成为网络信息安全评估的重点对象。在云计算环境中，安全评估不再局限于硬件和软件设备的潜在漏洞以及面临的威胁，而是更加侧重于云平台在服务海量用户、提供计算和存储的同时，如何确保自身的稳定运行，包括自主监控、主动隔离和自我修复能力，以防止因未知因素导致的服务中断，从而预防可能的重大安全事故。

物联网：一种网络架构，依托射频识别(RFID)、红外感应器、全球定位系统和激光扫描器等信息传感设备，通过约定的通信协议将实体物品与互联网相连，实现了智能化的识别、定位、追踪、监控与管理。它的核心基础是互联网，标志着从服务于人类通信转向了对物理世界万物的广泛接入。然而，物联网的广泛应用催生了一系列新的安全挑战，包括但不限于数据安全隐私的风险、假冒行为、恶意代码攻击以及感知节点自身的安全性问题。  尤其引人关注的是，由于物联网设备主要依赖电池供电，为了节能，往往无法采用计算性能强大的成熟安全措施，而必须依赖轻量级的安全解决方案。这无疑增加了对新型、高效安全评估手段的需求，以确保物联网在实际运行环境中具备足够的安全保障效能。

工业控制系统正日益成为网络攻击的重点目标，尤其对于那些源自敌对政府和组织的威胁。自2007年加拿大水利SCADA系统遭受攻击，继而2010年伊朗核设施遭遇震网病毒事件以来，网络袭击的焦点已从常规信息系统扩展至关乎国计民生的核心基础设施，如电力、水利和交通设施等。这些基础设施普遍依赖工业控制系统，任何重大攻击不仅威胁虚拟空间的信息系统，更会直接波及与民众生活息息相关的物理设备，乃至可能引发人身安全、公共安全和国家安全的重大风险。因此，信息安全保障的范围已延伸至这些关键领域。在新的形势下，构建适用于工业控制系统的安全评估标准和技术框架，以及确保国家关键基础设施的安全稳定，正构成当前安全测评技术面临的严峻挑战。

(二)信息安全测评技术

1.信息安全验证技术

评估信息安全产品的效能与安全特性时，着重于验证其安全性能及实施的有效性。这种分析涉及运用分析工具和专业知识，以确认产品或系统中未潜藏潜在风险。控制流程、信息流动以及边界条件作为核心考察对象，虽然常规漏洞易于识别，但针对复杂情况，依赖形式化的方法论是必要的。形式化方法指的是借助符号语言、数学描述或建模技术，精确地刻画待研究或设计的产品或系统，以便于逻辑推导并得出严谨的结论。目前，设计者和分析师已能利用诸如安全模型、协议的数学建模以及可证安全技术等方法，对安全策略、安全协议或密码算法进行详尽且严谨的验证。

(1)安全模型

安全策略作为系统安全的高级阐述，其表现形式通常称为安全模型，是安全方法的高层抽象，与具体的软件和硬件实施手段无关。其中，访问控制模型尤为常见。安全模型的价值在于支持形式化的描述与推理机制，借此我们可以评估和验证安全策略的特性和效能。

(2)协议形式化分析

当前，安全协议的形式化分析主要分为三种策略：逻辑推理为基础的方法、基于攻击结构的分析以及证明结构导向的验证。逻辑推理分析是通过运用逻辑系统，从参与方交互出发，逐步验证协议是否符合安全目标或说明，典型的例子是Burrows、Abadi和Needham提出的BAN逻辑。基于攻击结构的分析则从初始状态出发，深入探索合法主体与潜在攻击者可能的行为路径，旨在发现可能存在的错误或漏洞，此类分析通常依赖自动化工具，如FDR，它们通常使用形式化语言或数学方法来表述和验证协议。最后，基于证明结构的方法着重于在形式化语言或数学描述中确立安全特性，例如Paulson归纳法、秩函数法和重写逼近法等方法的运用。

(3)可证明安全性方法

近年来，密码算法和安全协议的开发过程日益倾向于采用可证明安全性的设计论证策略。相较于传统的‘设计-遭受攻击-改良-再攻击-反复优化’模式，这种方法在预设的安全框架内，将复杂系统的安全性建立在公认的伪随机函数和分组密码等坚实基础之上。这不仅提升了设计者对安全性的掌控能力，也促进了密码学与安全协议设计的整体提升。

2.信息安全测试技术

在信息安全产品或信息系统的开发或评估中，开发者或评估人员需要借助测试技术获得反映它们性能的数据。一般将能够反映产品或系统相关性能度量的检测对象称为指标(Metrics),将它们的值称为指标值。测试技术需要准确、经济地为开发者或评估人员提供指标值或计算它们的