序言:寫作是分享個人見解和探索未知領域的橋梁�,我們為您精選了8篇的公安網絡安全建設樣本��,期待這些樣本能夠為您提供豐富的參考和啟發�,請盡情閱讀。
第1篇
【關鍵詞】網絡安全與執法 人才培養目標 專業研究方向 專業教學內容建設
隨著網絡應用種類增多及普及程度上升,網絡犯罪發案率呈現明顯上升趨勢���。網絡犯罪與傳統犯罪具有顯著區別。網際空間犯罪分子具有明顯的跨區域性、隱蔽性并在執法過程中存在沒有明確法律條文規范等問題����。我國不少公安院校將網絡安全與執法作為學院著力發展的專業��,并以該專業學生的培養為依托,為公安機關輸送一批批的網絡警察�。如何提高該專業學生的綜合素質使他們成為合格網絡警察�,是我們進行該專業建設時需要認真思考的問題�。筆者在文中就該專業開設的必要性、人才培養目標��、專業研究方向��、課程設置等內容進行闡述�。
一�、網絡安全與執法專業開設意義及必要性
“網絡安全與執法”是一新興公安技術類專業,屬公安技術學科�,大類為工學���,屬國家控制與特色專業����。其核心內容是:“研究預防網絡犯罪�����、控制網絡犯罪和處置網絡犯罪的理論�����、方法和規范,以計算機技術��、網絡輕薄技術�、計算機犯罪偵查取證技術、信息與網絡安全技術和網絡監察技術為核心技術�����,以相關法律法規為基礎理論����,是一門新興的交叉學科?�!彪S著網絡信息技術的高速發展����,網絡安全事件不時發生,網絡犯罪逐年攀升��,對網絡安全管理需求不斷提高�����。需要公安干警掌握管控網絡虛擬社會的技術體系���,全面提升自身“網上防范控制��、打擊處置及技術對接能力,提高虛擬社會陣地控制��、信息獲取����、情報分析整體水平�。”所以��,開設網絡安全與執法專業��,培養出大批網絡警察意義重大�����,具有明顯的開設必要性。
二���、網絡安全與執法專業人才培養目標
鑒于網絡安全與執法專業開設的重要意義及廣闊的市場需求,各地公安院校相繼開設該專業(或方向)�,培養該領域的專門人才�����。但前期調研發現,各地公安院校對該專業(或方向)的專業定位�、培養目標等等理解各異�����。以四川警察學院、湖北警察學院�、浙江警察學院等地方公安院校為例�����,其專業名稱、研究方向���、課程設置等對比。
通過對多家公安院校的調研�����,筆者認為���,公安院校對網絡安全與執法方面專業人才的培養��,主要從計算機能力、法律知識、公安干警通識能力(格斗�、戰術�、射擊�����、體能等)����、公安信息化知識等綜合知識及能力的培養。其培養目標也應定位于具備對涉及計算機��、網絡案件���、異常事件偵辦綜合能力的復合型應用人才���。
三�、網絡安全與執法專業研究方向
筆者認為,網絡安全與執法專業研究方向可考慮以下幾類�����。
一是信息安全技術�。網絡安全的底層核心技術是信息安全技術。為更好發展該專業��,必須有教師投入精力扎實研究信息安全技術����。即研究信息安全技術相關的知識體系。這包括對密碼學知識的研究及用戶口令分析;計算機操作系統安全�����;數據庫原理及數據庫安全檢測���;網絡協議分析��;多媒體信息安全等內容。
二是信息安全管理��。公安院校培養網絡安全與執法專業人才的目的是為了向公安機關輸送合格警察�����。就是能夠熟練應用信息安全技術�����,對虛擬網絡社會進行動態管理及涉網、涉機案件進行偵辦的公安干警。所以����,與上述內容相關的法律法規問題研究�����;虛擬網絡社會管理過程中若干關鍵問題研究;信息安全產品管理�����、相關人員的管理等一系列管理學上的關鍵問題��,都可作為該專業的研究方向及內容��。
三是公安信息化。公安信息化是公安部“十二五規劃”中重點發展內容�。是將信息安全技術、管理在公安系統中具體應用的研究方向����,并在此基礎上有所拓展��,更強調“執法”層面。在研究內容上涵蓋了電子設備勘查取證�����、情報信息分析研判���、網絡安全監察等等�����。電子設備的偵查��、取證技術��、涉及電子設備的犯罪案件偵查技術和電子證據的司法鑒定技術等。從電子證據的收集��、固定�����、分析�、鑒定檢驗等方面研究涉網涉機犯罪案件中的電子數據證據偵查�、取證技術及管理執法?����!扒閳笮畔⒅鲗Ь瘎铡笔谴髣菟?�。對公安情報信息的搜集、處理��、分析研判及熱點難點問題剖析等都是值得研究的關鍵問題���。對于這些問題的研究�����,有助于解決現階段公安工作情報分析面臨的海量信息無法快速甄別處理�、情報信息挖掘關鍵技術��、情報聚類分析存在的瓶頸等問題��。在網絡安全監察方面,對惡意代碼進行分析檢測���、對常用操作系統如WINDOWS, LINUX等進行內核分析���,對網絡攻防技術進行研究、控制網絡輿情信息等等都是值得關注的����。
四����、網絡安全與執法專業教學內容建設
(一)網絡安全與執法?�?普n程體系開設
筆者認為�����,專業教學內容的建設必須與專業培養學生的基本素質為導向。網絡安全與執法專業畢業生應具備下述能力:首先,基本素質方面要掌握��、思想和中國特色社會主義理論體系的基本原理����,并熟悉我國公安工作的路線�、方針、政策和相關法律法規。當然,作為理工科學生必須具備的通識知識:數學����、英文�����、計算機等理論知識體系必須掌握。其次,業務能力方面�����,學生需要能夠進行互聯網網絡安全監察��、了解國家相關法律法規及標準���,能夠根據等級進行網絡安全保護���;對涉網�、涉計算機案件能夠進行快速偵辦;能夠面對海量互聯網情報信息進行快速、有效的搜集工作等等。其他素質方面,應具備較強的人際關系處理能力���;具備格斗、查技戰術、警體�����、射擊等方面的要求�;具有獨自解決突發問題的能力等等。
綜上述,該專業課程內容應主要包括:網絡技術����、數據結構、操作系統、網絡安全技術、網絡安全監察�����、網絡信息監控技術����、電子證據分析與鑒定、網絡對抗技術、網絡情報信息獲取與分析技術��、計算機犯罪偵查與取證等內容����。
(二)網絡安全與執法專業課程建設的保障條件
一是師資保障。鑒于網絡安全與執法專業人才培養目標�����,不難發現�,該專業課程的教授涉及計算機、信息安全���、法律、管理等交叉學科����。為保障這些課程的順利教授���,師資隊伍建設是關鍵���。當然����,各公安院校為了更好加強師資隊伍建設���,都積極推出精品課程建設�、教學團隊建設等質量工程����,并鼓勵教師到一線去鍛煉,或到大學去豐富專業知識����。但在實際上課過程中�����,仍然存在“以教師定課程”的問題。即存在系部現有教師能上什么課��、甚至上什么課省事就開什么課的問題�。一些公安院校是近幾年升入本科的院校,部分資歷較老�、學歷偏低的教師往往在專業人才培養方案設置及選擇教授課程上具有優先權����。但部分教師直接從?��?茖W生的教授跨越到本科學生的教授��,部分老資格專業教師十幾年���、幾十年教授?���?茖W生,專業知識深度不夠���,知識結構存在老化問題�����。而這些同志往往主導了專業學科建設��。這無疑阻礙了專業課程建設,設置的專業課程內容也有所偏差�����。所以����,公安院校需要理清管理機制和體制,選擇職稱���、學歷較高并具有基層實踐經驗的中青年骨干教師共同確定教學內容。
二是實驗室建設。顯然,網絡安全與執法專業課程內容的教授必須以專業實驗室為依托。不少公安院校在公安技術類專業實驗室建設方面投入大量資金��。但一些實驗室建設定位不明����,僅局限于機房,完成日常教學工作。特別是公安信息技術實驗室的建設�,據了解����,這類實驗室的建設因涉及學院與各省公安廳��、地市公安局的共建����,并沒有成熟模式可借鑒���。關鍵問題在于信息系統真實系統接入還是培訓系統接入的選擇(如各地市綜合警綜平臺�����、大情報系統、視頻監控系統等信息系統的接入)、真實數據源獲取數據的清洗���、雙方合作的費用等關鍵問題。所以��,公安院校應在實驗室建設方面與學科建設�、專業建設緊密關聯,并制定短期�、中期�����、長期發展規劃。對科研方向正確定位�,將實驗室作為科學研究基地��;將研究成果不斷地在教學中及服務一線中得以實踐。
五�����、總結
總之����,網絡安全與執法專業建設是各地公安院校建設的重點與熱點,具有非常重要的意義及必要性。根據其人才培養目標可確定該專業學生的培養在業務能力上應具備計算機知識�����、信息安全知識等基礎�,并具備軟件開發、網絡監察、情報分析、電子證據偵查取證等方面業務素質和能力。課程開發過程中應注意采用“厚基礎�、重實踐”的模式設定教授課程體系����,并克服師資建設���、實驗室建設存在的問題���,為公安系統培養網絡安全專業人才奠定基礎�。
參考文獻:
[1]靳慧云. 地方公安院校網絡安全與執法專業建設探究[J]. 信息網絡安全. 2011年第10期.
[2]佟 暉, 齊瑩素���, 劉長文, 尤 慧. 網絡安全與執法專業實踐教學體系研究[J]. 北京人民警察學院學報. 2012年第6期.
[3]郭風海�����, 賈春福. 信息安全開放實驗探討[J]. 計算機教育. 2010年第10期.
第2篇
1入侵防護系統功能分析
1.1多種入侵檢測機制相互結合
入侵防護系統以協議為基礎����,結合智能協議識別、專家系統、異常檢測以及狀態防火墻技術,為用戶提供多層次的網絡安全防護功能�����。協議識別和分析機制可對網絡報文中的協議特征進行動態分析�����,還能在無人操作的情況下快速準確地檢測入侵行為�����,發現入侵木馬和后門。專家知識庫將攻擊特征與已知攻擊特征庫進行匹配和識別����,記錄新的攻擊特征,不斷豐富數據庫�����,為及時監測攻擊行為提供了保障�。異常檢測機制包括流量異常和協議異常檢測機制。流量異常檢測機制以“正常流量值”為標準���,及時發現非預期的異常流量,從而防范未知蠕蟲��、分布式拒絕服務器攻擊以及其他零日攻擊��。協議異常檢測機制以RFC為標準�,檢測操作行為是否符合RFC規定�。協議異常檢測機制可發現未知的溢出攻擊、拒絕服務器攻擊和零日攻擊。
1.2防御深度入侵
入侵防護系統可通過精細的檢測和防御措施�,阻斷SQL注入��、拒絕服務器、蠕蟲病毒等多種入侵行為���。同時,入侵防護系統還能阻斷廣告或間諜軟件����、木馬等非法程序擴散�。最后��,入侵防護系統重組IP碎片能力強大�,并可追蹤數據流�����,可有效阻斷任意分片式攻擊行為�。
1.3防御病毒
入侵防護系統可對HTTP��、IMAP��、SMTP等協議進行特征和啟發式掃描���,檢測和控制協議的病毒流量����,并及時查殺病毒�,防范病毒對網絡造成損害����。
1.4防御Web的威脅
由于病毒種類越來越多,木馬傳播方式和途徑也更加隱蔽,Web危險具有新的特點����,web威脅呈混合性�、滲透性���、和利益驅動性特點�����,web威脅也已經成為增速碎塊�、危害最大的網絡風險因素之一��。而網絡是辦公的重要措施�,對網絡的依賴性使網絡遭受web威脅的幾率更高�����。而入侵防護系統可根據web信譽評價技術和URL過濾技術檢測web��,對植入木馬的web網頁發出警報,提醒操作人員,達到預防低于web威脅入侵網絡的目的。
1.5流量管理功能
流量管具有全局維度����、局部維度、時間維度��、流量維度流量控制四元組�����,并基于內容和面向對象提供流量保護對策����,為用戶提供豐富的���、靈活性更強的流量管理功能����。入侵防護系統可對流量進行智能識別和分類,根據流量管理協議對流量許可和優先級進行控制,阻斷非授權用戶的流量,管理合法網絡資源�,優化各類型流量的比例和分布情況����,在保證最小寬帶和限制最大寬帶的基礎上�,確保關鍵程序能夠正常穩定地運行。
2入侵防護系統在供電局網絡安全建設中的應用分析
2.1入侵防護系統部署方式
入侵防護系統包括兩種在部署方式����,一是在線部署�����,二是旁路部署。除特殊情況外����,入侵防護系統選擇直接串聯介入網絡��,以實現有效管理和控制所有流經入侵防護系統的數據流量�,而采用路旁部署方式接入入侵防護系統無法完全發揮防護系統功能,系統只能發揮入侵檢測的作用���,系統設備也只能監視流量使用情況,無法及時控制異常流量���。
2.2系統部署方式選擇
入侵防護系統部署方式影響流經防護系統的流量,并對入侵防護系統的防護作用和防護范圍造成影響���。因此,要充分發揮入侵防護系統的功能�,更大范圍的提供保護作用����,應采用在線部署方式。通常情況下���,可采用透明式串聯部署,并將入侵防護系統部署在網絡關鍵出口位置����。該部署方式不僅能夠發揮入侵防護系統實時監測網絡流量�、過濾和阻斷非法網絡流量的功能��,還能更好的發揮系統BYPAASS容錯功能��,使系統軟件或硬件發生故障后依然能維持正常網絡通信。但是��,還需根據供電局網絡具體情況��,選擇最恰當的入侵防護系統部署方式���。(1)部署在內網核心交換機與出口防火墻之間��。采用該部署方式無需改變現有網絡及業務模式,還能對內網客戶端進行嚴格的管理�、觀察客戶端的IP����,以便準確定位攻擊源���。入侵防護系統還能防護向外和向內的攻擊和流量�,而且由于防火墻已經過濾多數非法攻擊和流量�����,流經入侵防護系統的攻擊流量更少����,系統復雜輕����。(2)布置在出口防火墻與出口路由器之間,該部署方式無需改變的現有網絡結構和業務模式��。同時����,部署方式將入入侵防護系統作為最外層防護網關,可有效放于外部攻擊流量��,入侵防護系統日志會清楚記錄外部攻擊信息����。由于外來攻擊流量都必須經過入侵防護系統,因而流經防火墻的攻擊流量較少,防火墻的負載更輕�����。最后�����,采用該方式部署后,入侵防護系統對對內網客戶端的入侵行為防護措施簡單,只有事件設置策略�,如目的any��。該不是方式的缺點也較為明顯。如內網客戶端訪問外網需通過防火墻NAT地址翻譯,而無法在入侵防護系統內查詢內網客戶端的真實IP地質�����,而只能觀察NAT后的地址�����,造成入侵防護系統無法準確定位內部攻擊源��,也無法針對不同客戶端IP設置入侵保護策略。
2.3系統部署
從入侵防護系統兩種部署方式可以看到,入侵防護系統部署在內網核心交換機與出口防火墻之間的優勢更多,更適合我國供電局網絡安全建設需求。這種部署方式在防放于外來攻擊的同時�,還能避免入侵防護系統受防火墻NAT地質翻譯的影響���,對內網不同IP設置不同入侵范湖策略�,有效阻斷和定位內部攻擊行為。例如,供電網可采用透明方式��,將入侵防護系統部署在內網核心交換機與出口防火墻之間��,部署拓撲結構如圖1所示��。該部署方式具有以下四個優點。第一,入侵防護系統設備配置簡單,安裝更加方便��;第二�����,入侵防護系統對內網客戶端管理更加有效���,可對內網客戶端的行為和流量進行有效管理和控制���。第三,可觀察內網客戶端的真實IP地址,電網運行管理人員也更容易快速查找和定位內網攻擊源��。第四���,入侵防護系統部署在內網核心交換機與出口防火墻之間�,系統防護可同時監控和控制內網向外的流量和來透過防火墻的外網攻擊流量,系統在監控和管理流入電網系統攻擊流量和流向電網外部流量之前����,電網的防火墻的訪問控制級攻擊防護系統已經對多數外網攻擊進行了過濾處理��,最終流經入侵防護系統的外網攻擊流量大大減少,入侵防護系統的負載也更輕���,入侵防護系統傳輸內外網數據的效率顯著提高。
3結語
供電局網絡安全建設應用入侵防護系統后��,系統能夠實施主動攔截攻擊�����、木馬和而言流量等����,避免用戶操作時被植入惡意代碼���,有效的保證了關鍵系統業務正常應用���,凈化了局域網使用環境���,提高企業生產和辦公效率���。最后��,入侵防護系不僅提高了電網防御能力,管理員的工作量減輕��,管理員可將時間和精力用于分析網絡安全時間�����,及時發現全局網絡安全中存在的不足���,為開展下一步工作提供參考����。
作者:阮俊杰 單位:廣東電網有限責任公司佛山供電局
引用:
[1]張文明.淺談入侵防護系統在供電局網絡安全建設中的應用[J].無線互聯科技�,2013.
[2]莫若節.供電局互聯網訪問存在的安全問題及對策探討[J].技術與市場,2013.
[3]呂維新.入侵防護系統在昆明供電局網絡安全建設中的應用[J].電力信息化��,2010.
[4]謝群.昆明供電局綜合數據網三層網絡架構研究與應用[J].電子制作����,2014.
第3篇
關鍵詞:等級保護;測評��;信息安全�;管理
中圖分類號:TP393
文獻標志碼:C
文章編號:1006-8228(2011)12-60-02
0 引言
信息安全等級保護作為國家信息安全工作的一項基本制度、基本國策�,已經在全國實行多年�,各信息系統運營使用單位都深刻認識到等級保護制度的重要性。在我國信息安全等級保護制度中����,等級保護分五個工作環節――定級���、備案���、建設整改����、等級測評和監督檢查�。其中��,等級測評是等級測評機構依據國家信息安全等級保護制度規定�,受有關單位委托�����,按照有關管理規范和技術標準�,對非涉及國家秘密信息系統安全等級保護狀況進行的檢測評估活動���,是信息安全等級保護工作的重要環節����。
隨著等級保護工作的不斷推進���,等級測評機構的體系建設也在不斷深入�,全國等級測評機構的數量在不斷增加���,測評機構的品質和能力����、測評人員的水平和素質、測評競爭環境等諸多方面的問題將不斷出現��。因此�,加強對等級測評機構的合理、有效監管��,對提升測評行業質量����,保證測評數據公正���、客觀����,以及保障重點行業的重要信息系統安全等至關重要。
1 國家層面對測評機構的監管模式
測評工作作為等級保護制度中最重要工作環節�,具有明顯的專業性和技術性恃點����,其政策導向性強����。因此,僅有相關測評技術標準是不夠的����,測評機構的體系化����、規范化管理也是關鍵。
2009年7月公安部開始信息安全等級保護測評體系建設試點工作,其目的是探索信息安全等級保護測評體系建設和管理的模式和經驗,保證全國重要信息系統等級保護安全建設工作的順利開展。試點工作主要在浙江、重慶��、河南���、廣東等省市展開。其主要內容是根據《信息安全等級保護管理辦法》和有關技術標準完成五個方面的工作:一是檢驗并完善等級測評機構應具備的條件;二是檢驗并完善等級測評機構建設的主要內容����;三是檢驗并完善等級測評人員管理的主要內容�;四是檢驗并完善等級測評工作規范性要求的主要內容;五是檢驗并完善測評機構監督管理的主要內容等��。從試點工作情況分析���,國家對等級保護測評機構的監管模式采用的是能力評估和政府干預相結合的模式����。
從工作程序上分為四個步驟:
(1)各測評機構向設區的市級以上所在地公安網安部門申請,公安網安部門根據《信息安全等級保護測評工作管理規范(試行)》對測評機構所提交的申請材料進行審核��,審核通過后���,提交給上一級公安網安部門報批����,并予以受理。
(2)公安部網絡安全保衛局統一將各地上報的測評機構信息轉發給公安部信息安全等級保護評估中心���,由評估中心按照《信息安全等級測評機構能力要求(試行)》對各測評機構進行能力評估。能力評估通過后����,由評估中心將能力評估材料遞交公安部網絡安全保衛局審核批準����。
(3)各省公安網安部門收到公安部網絡安全保衛局對測評機構審核的意見及相關證書��,下發給各地網安部門����。
(4)公安部信息安全等級保護評估中心在網站上公布測評機構名單�����,接受社會監督。
能力評估的內容和要求上�����,分為組織管理能力、測評實施能力、設施和設備安全與保障能力�����、質量管理能力���、規范性保證能力��、風險控制能力�����、可持續發展能力等七個方面和基本要求、約束性要求等兩個部分�。
2 浙江省等級測評機構現有監管模式
浙江省信息等級保護工作一直處于國內前列�����,2006年就頒布了《浙江省信息安全等級保護管理辦法》(省政府第223號令),并在同年開展了全國等級保護試點項目�。通過多年積累的經驗�����,2007年浙江省開始在測評機構管理、測評工作模式等方面進行探索�����,初步形成具有浙江特色的等級保護測評機構監管模式�。
(1)以社會協會管理為主,政府監管為輔的管理模式
浙江省結合實際,政府層面出臺了《浙江省信息安全等級保護測評機構管理規定(試行)》,明確了省內從事等級測評工作的單位性質�、條件和義務等要素�����。社會協會層面出臺了《浙江省信息安全測評機構資信等級評定管理辦法(試行)》實現測評機構資信等級一、二級管理���,形成測評機構管理行業規范,變政府由市場參與主體向市場監管主體轉變����,由管理審批型向管理服務型轉變���、由直接行政干預向間接宏觀調控轉變����。
(2)建立以行業自律管理為主的監管體系
嚴格測評機構行業自律管理�,測評機構間簽署《信息安全等級保護測評機構行業自律公約》,強化機構自律化管理����,進一步規范測評機構行為和工作秩序���。
(3)建立機構統一管理標準����,?���?貙彶闄C構自身及人員能力建設
全省測評機構必須按照“審核標準統一���,管理規范標準統一�����、技術標準統一�、測評工具標準統一��、報告樣式標準統一”的五統一規范開展測評工作��,并由政府組織機構年審,設立準入準出機制。測評機構的能力審查對測評過程中技術人員行為的規范性、合理性和程序標準性���,對機構業務范圍、管理能力和技術能力要求等給予明確規定,規范申請����、審核�、查驗和推薦流程����,組建由公安、保密����、密碼管理�����、信息辦和安全等部門專家組成的專門審查小組對機構背景、管理水平�����、資格和技術能力進行量化評價�,作為推薦依據�。同時,嚴格規范測評機構工作程序�����,加強對機構內部管理規范化建設督導��,要求健全人員管理���、項目管理����、文檔管理、設備管理����、保密制度等各項制度����,要求制定《質量手冊》����、《程序文件》、《作業指導書》����、《測評過程記錄表單》等測評實施過程文檔��,完善測評實施規程。
全省機構都已被要求必須獲得CMA中國計量認證����,并被引導和鼓勵去獲得CNAS實驗室認證���、ISO27001認證等。所有從業人員必須獲得初級以上“測評師”技術證書����,測評工作中持證上崗���。對測評從業人員要進行錄用考核��、備案和背景審查等工作。
3 現有監管模式的不足
在現行的測評機構監管模式中�����,我們側重于對測評機構應具備條件(包括審核是否在境內注冊成立��、注冊資本多少���、法人資格�����、公司已有的資質、測評人員已獲得的技術認證等)的監管;僅關注機構是否已具有完備的保密管理��、項目管理�、質量管理、人員管理和培訓教育等制度,而對這些制度的落實情況及執行情況缺乏有效監督;對測評活動實施過程中的合法性�����,有效性問題缺乏必要的考量��。
4 對測評機構進行有效性監管方法的探討
(1)對測評機構的測評大綱實行報備審核
測評大綱應是等級測評機構的整體測評策略性文件����,能綜合反映不同測評機構從事等級測評活動的經驗����、知識���、測評方法和測評程序�。基于對被測評單位的利益保護以及對測評機構的監管要求,測評大綱應具有法律效力�,須報公安機關審核備案后使用�。測評機構只有按照測評大綱中明確的指標嚴格檢測����、測評,其測評結果才能真實地反映被測單位計算機信息
系統的安全狀況���,為安全整改建設提供科學的依據和指南�。
(2)對等級測評活動的各周期程序實行監督指導
等級測評流程分為四個階段:測評準備�����、方案編制��、現場測評及報告編制,政府部門的督導工作須貫穿其中。如����,在測評準備階段�,為了避免測評小組成員和委托人之間存在利害關系����,影響測評結果的公平、客觀����、真實,測評機構在確定測評小組成員名單后讓測評委托人確認簽字,確認書要留檔備查�����,未經確認開展的項目測評報告不具有法律效力�����。方案編制中�����,必須明確測評對象、范圍�、依據法律法規和標準��、制定具體的測評檢查表,記錄文件要測評雙方簽字確認�,方案和測評過程文檔應留檔備查?�,F場測評中,測評小組必須使用可信�、安全等級測評工具采集數據����,測評工具要向公安機關報備���,現場測評要按照檢測程序全面檢測關鍵測評項����,依據測評標準客觀、公正�����、準確評價����,政府主管部門應隨機駐點督查現場測評過程實施情況���。測評報告反映的是被測評單位信息系統的安全保護現狀�����,應具有法律效力��,報告要使用標準模板,起草過程中測評機構和測評人員應當遵守國家的有關法律法規����,保守被測評單位秘密�����、保障被測單位利益,政府部門有必要明確測機構及其工作人員的法律責任來規范其職業道德。測評機構的測評結果直接對信息系統運營使用單位的建設、整改和運營成本��,以及對監管部門的行政監管成本產生影響,也就是說�,測評報告對國家和社會都會產生影響�。因此���,測評機構要對自身的測評行為負責�,政府主管部門將對機構及從業人員違反法律規定的行為予以民事、行政或刑事處罰��。
(3)對測評人員實行從錄用到離職的全程監督
等級測評涉及用戶單位的核心業務系統��,是一項高技術的專業安全服務�,需要具有一定政治素質��、道德素質和專業素質的測評人員來支撐����。管理應進一步加大對測評人員的政治背景�����、從業背景、專業背景�����、技術素養的審查力度����,建立完備測評人員檔案庫,考量測評機構測評人員穩定性,重點加大對離職測評人員的管控�,明確保密條約����,關注人員離職去向���。
(4)制定測評機構優劣考量機制��,促進誠信服務的企業文化
等級測評的執行主體是測評機構��,測評機構的企業文化是否具有凝聚性,企業價值觀是否誠信�,內部管理模式是否健康��,關乎其市場競爭力,更關乎測評機構能否為信息系統安全等級保護工作提供安全��、客觀���、公正的檢測評估服務��。因此����,要求測評企業必須有一定的政治覺悟����,要嚴格遵守國家有關法律法規�,要承擔社會責任和法律責任,不能唯利是圖��。政府部門要定期開展管理評審�����,制定考量測評機構優劣評判標準�����,完善被測評單位滿意度反饋機制,建立機構誠信狀況、信用狀況���、評級結果等信息公開機制,將政府監管和社會監督結合起來,通過評星評級、市場退出和獎懲機制的建立�����,鼓勵誠信機構��,懲戒不誠信機構����,增加機構不規范測評行為的風險成本。
(5)規范價格體系,推動測評機構良性發展
等級測評是近兩年才興起的行業,政府要引導建立良好的測評市場價格體系,借鑒其他行業自律的經驗手段���,避免惡性價格競爭,要保障等級測評有一定的利潤空間,以使得測評機構能朝更專業���、更具實力方向發展���,充分調動測評機構提升品牌建設�、服務工作效率、專業能力��、測評人員素質的內在動力����。
