@时光机
2年前 提问
1个回答

涉密信息系统建设使用单位和方案设计单位应注意哪些问题

Anna艳娜
2年前

涉密信息系统建设使用单位和方案设计单位应注意以下问题:

  • 系统分析、安全保密风险分析和安全保密需求分析叙述空洞,内容缺乏针对性,使得对于保护对象界定不足,缺乏对于攻击者内部和外部攻击的准确评估,无法准确识别系统存在的风险,不能明确系统的保护需求,影响方案的可行性。

  • 分域分级把握不准,缺乏理论指导和实际经验,建设使用单位和集成资质单位普遍认为安全域的划分难度大。

  • 安全域的边界控制策略和措施不翔实。应逐一明确安全域的边界,说明跨域访问对于访问控制的要求,在网络层或应用层上所采用的产品或方法,以及策略配置。

  • 对数据的导入到处未提出安全保密措施。应提供来自互联网或其他信息系统数据如何导入、系统内数据如何导出的方法描述。

  • 忽视安全保密措施与应用系统的结合。有的涉密信息系统配备了数字证书,但应用系统仍然采用账户与口令的鉴别方式,所以数字证书无法起到实际安全作用。

  • 为明确安全保密产品的具体数量,缺乏产品配置图及相关说明。不明确产品的具体数量及具体部署位置,无法分析设计安全保密产品的实际防护效果。为此,需提供与网络拓扑图相吻合的产品部署图,并说明产品所在的安全控制点。

  • 技术与管理没有结合。有的方案对技术措施详细设计,但缺乏管理手段和措施;有的方案对重要的安全保密环节只有管理要求,没有配套的技术措施;还有的方案没有建立“统一监控、分级负责”的安全保密管理平台,难以对系统安全漏洞补丁、病毒样本库进行统一升级,难以掌控系统的整体安全保密态势。

  • 安全保密管理措施缺乏可操作性。由于建设使用单位或方案设计单位对国家保密标准的理解和掌握不够,致使形成的安全保密管理要求没有结合实际单位的机构设置、人员情况、业务工作特点,无法发挥管理措施的最佳效用。