沙小睿

（蘇州供電公司，江蘇 蘇州 215004）

保證信息安全不發(fā)生外泄現(xiàn)象，是至關重要的?？墒牵F(xiàn)在我國信息安全保障和其它先進國家相比，仍難望其項背，還有不少問題迫切需要我們著手解決：

中國保證信息安全工作經(jīng)歷了三個時期。第一時期是不用聯(lián)網(wǎng)，只作用于單一電腦的查殺和防控病毒軟件；第二個時期是獨立的防止病毒產(chǎn)品向為保證信息安全采用的成套裝備過渡時期；第三個時期是建設保證信息安全的系統(tǒng)時期。

1 需要解決與注意的問題

信息安全保障的內(nèi)容和深度不斷得到擴展和加深，但依然存在著“頭痛醫(yī)頭，腳痛醫(yī)腳”的片面性，沒有從系統(tǒng)工程的角度來考慮和對待信息安全保障問題;信息安全保障問題的解決既不能只依靠純粹的技術，也不能靠簡單的安全產(chǎn)品的堆砌，它要依賴于復雜的系統(tǒng)工程、信息安全工程（system security engineering）;信息安全就是人們把利用工程的理論、定義、辦法和技術進行信息安全的開發(fā)實施與維護的經(jīng)過，是把通過歲月檢驗證明沒有錯誤的工程實施步驟管理技術和當前能夠得到的最好的技術方法相結(jié)合的過程;由于國家8個重點信息系統(tǒng)和3個重點基礎網(wǎng)絡本身均為復雜的大型信息系統(tǒng)，因此必須采用系統(tǒng)化方法對其信息安全保障的效果和長效性進行評估。

2 安全檢測標準

2.1 CC標準

1993年6月，美國、加拿大及歐洲四國協(xié)商共同起草了《信息技術安全評估公共標準CCITSE(commoncriteria of information technical securityevaluation)》，簡稱CC，它是國際標準化組織統(tǒng)一現(xiàn)有多種準則的結(jié)果。CC標準，一方面可以支持產(chǎn)品(最終已在系統(tǒng)中安裝的產(chǎn)品)中安全特征的技術性要求評估，另一方面描述了用戶對安全性的技術需求。然而，CC沒有包括對物理安全、行政管理措施、密碼機制等方面的評估，且未能體現(xiàn)動態(tài)的安全要求。因此，CC標準主要還是一套技術性標準。

2.2 BS 7799標準

BS 7799標準是由英國標準協(xié)會(BSI)制定的信息安全管理標準，是國際上具有代表性的信息安全管理體系標準，包括：BS 7799-1∶1999《信息安全管理實施細則》是組織建立并實施信息安全管理體系的一個指導性的準則；BS7799-2∶2002 以 BS 7799-1∶1999 為指南，詳細說明按照PDCA模型，建立、實施及文件化信息安全管理體系(ISMS)的要求。

2.3 SSE-CMM標準

SSE-CMM(System Security Engineering Capability Maturity Model)模型是CMM在系統(tǒng)安全工程這個具體領域應用而產(chǎn)生的一個分支，是美國國家安全局(NSA)領導開發(fā)的，它專門用于系統(tǒng)安全工程的能力成熟度模型。

3 網(wǎng)絡安全框架考察的項目

對網(wǎng)絡安全進行考察的項目包括：限制訪問以及網(wǎng)絡審核記錄：對網(wǎng)絡涉及的區(qū)域進行有效訪問控制；對網(wǎng)絡實施入侵檢測和漏洞評估；進行網(wǎng)絡日志審計并統(tǒng)一日志時間基準線；網(wǎng)絡框架：設計適宜的拓撲結(jié)構(gòu)；合乎系統(tǒng)需求的區(qū)域分界；對無線網(wǎng)接入方式進行選擇方式；對周邊網(wǎng)絡接入進行安全控制和冗余設計；對網(wǎng)絡流量進行監(jiān)控和管理；對網(wǎng)絡設備和鏈路進行冗余設計；網(wǎng)絡安全管理：采用安全的網(wǎng)絡管理協(xié)議；建立網(wǎng)絡安全事件響應體系；對網(wǎng)絡設備進行安全管理。網(wǎng)絡設備是否進行了安全配置，并且驗證設備沒有已知的漏洞等。對網(wǎng)絡設置密碼：在網(wǎng)絡運輸過程中可以根據(jù)其特點對數(shù)字設置密碼；在認證設備時對比較敏感的信息進行加密。

4 安全信息檢測辦法

4.1 調(diào)整材料和訪問

調(diào)整材料和訪問是對安全信息檢測的手段。評估人員首先通過對信息系統(tǒng)的網(wǎng)絡拓撲圖、安全運作記錄、相關的管理制度、規(guī)范、技術文檔、歷史事件、日志等的研究和剖析，從更高的層次上發(fā)現(xiàn)網(wǎng)絡系統(tǒng)中存在的安全脆弱性。并找準信息資產(chǎn)體現(xiàn)為一個業(yè)務流時所流經(jīng)的網(wǎng)絡節(jié)點，查看關鍵網(wǎng)絡節(jié)點的設備安全策略是否得當，利用技術手段驗證安全策略是否有效。評估專家經(jīng)驗在安全顧問咨詢服務中處于不可替代的關鍵地位。通過對客戶訪談、技術資料進行分析，分析設備的安全性能，而且注意把自己的實際體會納入網(wǎng)絡安全的檢測中。

4.2 工具發(fā)現(xiàn)

工具發(fā)現(xiàn)是利用掃描器掃描設備上的缺陷，發(fā)現(xiàn)危險的地方和錯誤的配置。利用檢測掃描數(shù)據(jù)庫、應用程序和主機，利用已有的安全漏洞知識庫，模擬黑客的攻擊方法，檢測網(wǎng)絡協(xié)議、網(wǎng)絡服務、網(wǎng)絡設備、應用系統(tǒng)等各主機設備所存在的安全隱患和漏洞。漏洞掃描主要依靠帶有安全漏洞知識庫的網(wǎng)絡安全掃描工具對信息資產(chǎn)進行基于網(wǎng)絡層面安全掃描，其特點是能對被評估目標進行覆蓋面廣泛的安全漏洞查找，并且評估環(huán)境與被評估對象在線運行的環(huán)境完全一致，從而把主機、應用系統(tǒng)、網(wǎng)絡設備中存在的不利于安全的因素恰切地展現(xiàn)出來。

4.3 滲透評估

滲透評估是為了讓使用的人員能夠知道網(wǎng)絡當前存在的危險以及會產(chǎn)生的后果，從而進行預防。滲透評估的關鍵是經(jīng)過辨別業(yè)務產(chǎn)業(yè)，搭配一定手段進行探測，判斷可能存在的攻擊路徑，并且利用技術手段技術實現(xiàn)。由于滲透測試偏重于黑盒測試，因此可能對被測試目標造成不可預知的風險；此外對于性能比較敏感的測試目標，如一些實時性要求比較高的系統(tǒng)，由于滲透測試的某些手段可能引起網(wǎng)絡流量的增加，因此可能會引起被測試目標的服務質(zhì)量降低。由于中國電信運營商的網(wǎng)絡規(guī)范龐大，因此在滲透測試的難度也較大。因此，滲透層次上既包括了網(wǎng)絡層的滲透測試，也包括了系統(tǒng)層的滲透測試及應用層的滲透測試。合法滲透測試的一般流程為兩大步驟，即預攻擊探測階段、驗證攻擊階段、滲透實施階段。不涉及安裝后門、遠程控制等活動。

我國信息安全要想得到保證，需要有一定的信息安全監(jiān)測辦法。依靠信息安全監(jiān)測辦法對中國業(yè)務系統(tǒng)和信息系統(tǒng)整體分析和多方面衡量，將對中國信息安全結(jié)論的量化提供強有力的幫助，給我國所做出的重要決策實行保密，對中國籌劃安全信息建設以及投入，甚至包括制定安全信息決策、探究與拓寬安全技術，都至關重要。因而，制定我國信息安全檢測辦法，是一項不容忽視的重要工作。

[1]曹一家,姚歡,黃小慶,等.基于D-S證據(jù)理論的變電站通信系統(tǒng)信息安全評估[J].電力自動化設備,2011,31(6):1-5.

[2]焦波,李輝,黃赪東,等.基于變權證據(jù)合成的信息安全評估[J].計算機工程,2012,38(21):126-128,132.

[3]張海霞,連一峰.基于測試床模擬的通用安全評估框架[J].信息網(wǎng)絡安全,2013,(z1):13-16.

[4]張恒雙.信息安全評估算法研究[J].計算機與現(xiàn)代化,2011(4):42-44.

[5]楊浩.協(xié)同OA系統(tǒng)信息安全評估及建模研究[J].辦公自動化（綜合版）,2011,(1):39-40.