» 第二章  信息安全工程实践应用



               全策略是不可想象的。
                   安全策略是安全工程实施与正常运行的依据，它的内容包含了和信息系统有关的
               各个层次、方方面面，根据信息系统的分层结构，安全策略也需分层次进行开发、制
               定，并且还要不断地在持续的安全工作中进行修正、补充和完善。


                   五、安全产品的测试和选型

                   要保护信息与网络系统的安全，必须购买一定数量的安全产品。有些产品的功能
               之间是有联系的，如果选择不好，可能会出现冲突或重复，这都是一种浪费。如何根

               据实际需要，选择最理想的安全产品是一项保护网络信息安全的基础工作，必须谨慎
               对待。
                   由于信息安全有着关系到国家主权和国家安全的特殊性，信息安全的测评认证体
               系也是不同于一般民间第三方的认证体系，而是政府授权的第三方测评认证体系，即

               国家信息安全测评认证体系。认证机构的存在对于规范信息安全市场，强化产品的生
               产者和使用者的安全意识都起着积极的作用。
                   对于一般用户来说，不可能知道如何去测试一个安全产品，所以只要参考认证机

               构对该产品的测评结果就可以了。但是，如果了解有关的测评标准、测评程序、测评
               技术，那么对选择合适的安全产品会大有好处，所以在选择安全产品之前，参考一下
               这些方面的资料是很有用的。
                   选购安全产品除了要依据它的性能指标和测试结果以外，还有一些应该考虑的
               其他因素，它们是信息现在和将来的需求、厂商的信誉、售后服务、产品的市场占有

               率、产品的价位等，这些因素从一定程度上也反映了产品的性能。安全产品的测试选
               型工作要严格按照信息网络系统安全产品的功能规范要求，利用综合的技术手段，对
               参测产品进行功能、性能与可用性等方面进行测试，为企业选出符合功能规范的安全

               产品。测试工作原则上应该由中立组织进行，测试方法必须科学、准确、公正，必须
               有一定的技术手段。测试标准应该是国际标准、国家标准与信息网络系统安全产品功
               能规范的综合，测试范围包括产品的功能、性能与可用性等。


                   六、安全工程的实施与工程监理

                   为了保证安全工程的质量，有三个方面的工作必须重视：一是选择一个科学、合
               适的实施方案作为工程实施的指导；二是选择一个工程能力可靠的施工单位负责工程
               的建设；三是对工程实施的整个过程进行监理。

                   一个高水平的安全工程实施方案和实施单位只是一个高质量安全工程的必要条
               件，不是充分条件，工程实施过程中的各个环节和因素也在很大程度上影响着工程的


                                                                                          • 39 •