錢平 肖黎彬 李陽冬

摘 ?要：信息安全等級保護(hù)是我國保障信息安全的基本制度、策略以及方法，而其中最大的難點(diǎn)就是網(wǎng)絡(luò)安全現(xiàn)場測評。網(wǎng)絡(luò)安全現(xiàn)場測評現(xiàn)在還存在很多問題，主要是被測評方技術(shù)人員能力不足以及被測評方技術(shù)人員不配合等等，而針對這些現(xiàn)象制定了迭代恢復(fù)網(wǎng)絡(luò)拓?fù)鋱D結(jié)構(gòu)方法，可以確保獲取被測評網(wǎng)絡(luò)原始數(shù)據(jù)的高效性和完整性，保障測評項(xiàng)目能夠高效率的實(shí)施。本文主要探究了信息安全等級保護(hù)測評中網(wǎng)絡(luò)安全現(xiàn)場測評的方法。

關(guān)鍵詞：信息安全 ?等級保護(hù) ?網(wǎng)絡(luò)安全 ?現(xiàn)場測評

中圖分類號：TP393.08 ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識碼：A ? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1674-098X（2019）07（b）-0151-02

現(xiàn)階段，我國針對信息安全等級保護(hù)制定了一系列方針制度，國家也針對信息安全等級保護(hù)測評頒布了相應(yīng)的標(biāo)準(zhǔn)。標(biāo)準(zhǔn)的提出為信息安全等級保護(hù)測評技術(shù)制定了相應(yīng)的標(biāo)準(zhǔn)，測評人員也可以根據(jù)標(biāo)準(zhǔn)獲取相應(yīng)的證據(jù)。由于網(wǎng)絡(luò)狀態(tài)不穩(wěn)定以及現(xiàn)場的不確定性，所以一般情況下，測評人員無法嚴(yán)格按照標(biāo)準(zhǔn)實(shí)施，這就造成了測評的差異性和不確定性。本文主要基于用戶訪問路徑的網(wǎng)絡(luò)測評對象確定和原始數(shù)據(jù)的分析迭代恢復(fù)網(wǎng)絡(luò)拓?fù)鋱D機(jī)構(gòu)方法，有效的解決網(wǎng)絡(luò)現(xiàn)場測評中普遍存在的技術(shù)漏洞。

1 ?網(wǎng)絡(luò)現(xiàn)場安全測評存在的困難

網(wǎng)絡(luò)安全測評工作大致分為四個階段，分別是測評準(zhǔn)備階段、指導(dǎo)開發(fā)階段、現(xiàn)場測評階段以及測評結(jié)果匯總分析階段。測評過程的效率和質(zhì)量受信息安全等級測評中信息系統(tǒng)相關(guān)的技術(shù)影響[1]。

1.1 變更管理的缺失，網(wǎng)絡(luò)拓?fù)鋱D與現(xiàn)場網(wǎng)絡(luò)拓?fù)洳灰恢?/p>

被測評單位的網(wǎng)絡(luò)拓?fù)鋱D一般繪制的都是比較完整的，因?yàn)槠湓诮ㄔO(shè)時技術(shù)資料就比較完整，但是隨著時間的變化，網(wǎng)絡(luò)節(jié)點(diǎn)和網(wǎng)絡(luò)出口都會隨之而增加，而且隨著業(yè)務(wù)的不斷拓展，其業(yè)務(wù)量也會不斷增加，這就導(dǎo)致網(wǎng)絡(luò)拓?fù)浒l(fā)生變化。但是如果信息系統(tǒng)沒有嚴(yán)格的變更管理制度規(guī)范，那么這些變化就不會在文檔上體現(xiàn)變化，另外管理人員也會不斷變更，這就容易造成技術(shù)交接出現(xiàn)各種漏洞，最終導(dǎo)致網(wǎng)絡(luò)拓?fù)鋱D與現(xiàn)場網(wǎng)路拓?fù)洳灰恢耓2]。

1.2 網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)掌握不夠，配合能力和水平有限

網(wǎng)絡(luò)技術(shù)維護(hù)工作現(xiàn)在普遍依賴外包單位，主要是因?yàn)楹芏鄻I(yè)主方技術(shù)管理人員都不是專職的技術(shù)人員其技術(shù)能力也是有限的，多數(shù)采用網(wǎng)絡(luò)技術(shù)維護(hù)工作外包形式。但是由于外包維護(hù)方在管理制度和執(zhí)行制度上存在一定缺失，所以一旦出現(xiàn)問題，就會影響業(yè)主單位對網(wǎng)絡(luò)的管理，常見的就是與外包單位終止服務(wù)或者維護(hù)技術(shù)人員頻繁更換，以上情況都會對網(wǎng)絡(luò)安全測評造成相應(yīng)的影響。

1.3 被測評方配合不主動

由于大多數(shù)業(yè)主方技術(shù)管理人員都是兼職網(wǎng)絡(luò)管理員，往往出現(xiàn)一人多職的現(xiàn)象。在測評過程中不能隨時陪同，而且配合的比較被動，對于網(wǎng)絡(luò)安全測評的流程和重要性關(guān)注度不高。

1.4 被測評方技術(shù)人員故意隱藏信息

信息系統(tǒng)業(yè)主方技術(shù)人員隱藏網(wǎng)絡(luò)詳細(xì)信息也是配合不夠的重要因素之一，由于業(yè)主方技術(shù)人員對測評工作流程理解不夠透徹，害怕測評過程中出現(xiàn)風(fēng)險，就會故意隱藏一部分網(wǎng)絡(luò)信息。還經(jīng)常出現(xiàn)的就是網(wǎng)絡(luò)管理員為了省事，對網(wǎng)絡(luò)的管理以及自己工作不認(rèn)真而違反相關(guān)網(wǎng)絡(luò)安全規(guī)定，害怕安全測評或者出現(xiàn)的安全隱患對自己不利而故意隱藏一些信息。一般發(fā)生這種情況，技術(shù)管理人員就會主要介紹主要網(wǎng)絡(luò)情況，很多詳細(xì)信息會一帶而過，這就影響了測評人員對信息獲取的真實(shí)性和準(zhǔn)確性，而測評人員如何發(fā)現(xiàn)問題并快速獲取相關(guān)數(shù)據(jù)是一項(xiàng)有困難的工作[3]。

2 ?信息安全等級保護(hù)測評中網(wǎng)絡(luò)安全現(xiàn)場測評方法

在信息系統(tǒng)安全等級保護(hù)測評指南中具體規(guī)定了一些測評的評估方法，比如說檢查、測試以及訪談等等，一般檢查是通過文檔審查、配置核查以及對實(shí)際現(xiàn)場地形進(jìn)行查看等等。現(xiàn)階段，主要為了進(jìn)一步完善和改革測評方法關(guān)于網(wǎng)絡(luò)安全現(xiàn)場測評這一塊，是網(wǎng)絡(luò)安全現(xiàn)場測評更加高效和可操作性。綜上所述，網(wǎng)絡(luò)現(xiàn)場安全測評是有一定難度的，配置核查是獲取數(shù)據(jù)和網(wǎng)絡(luò)基本安全配置的重要手段之一。

2.1 確定測評對象

實(shí)際操作過程中，如果實(shí)際與網(wǎng)絡(luò)拓?fù)鋱D不符，尤其是網(wǎng)絡(luò)系統(tǒng)復(fù)雜或者是用戶業(yè)務(wù)系統(tǒng)繁多的狀態(tài)下確定測評對象就比較有難度。一般是根據(jù)用戶訪問路徑來確定網(wǎng)絡(luò)測評對象方法?；谟脩粼L問路徑的網(wǎng)絡(luò)測評對象確定方法的主要思路是將不同類型用戶的接入?yún)^(qū)域用戶的接入點(diǎn)作為起點(diǎn)，然后終點(diǎn)設(shè)置在業(yè)務(wù)系統(tǒng)中的應(yīng)用服務(wù)器的位置。將網(wǎng)關(guān)設(shè)備按照一定的順序納入訪問路徑中，所有路徑上面的網(wǎng)關(guān)設(shè)備構(gòu)成了網(wǎng)絡(luò)網(wǎng)關(guān)設(shè)備路徑，其上面的所有網(wǎng)關(guān)設(shè)備都會被列為測評對象，還應(yīng)該合并不同路徑上面的公共節(jié)點(diǎn)。

2.2 測評對象配置和狀態(tài)數(shù)據(jù)的獲取

2.2.1 命令行管理方式設(shè)備的數(shù)據(jù)獲取

一般設(shè)備版本號、路由表、日志狀態(tài)都是通過執(zhí)行命令行命令的方式而獲取的，通常采用的形式都是文本文件。在實(shí)際操作過程中，要先編制測評操作指導(dǎo)書，然后將每一種設(shè)備需要用到的命令通過列表形式對其進(jìn)行表示，這樣方便了測評工作人員的日常工作，只需要按照列表上的順序執(zhí)行命令就可以，然后開啟終端，并將屏幕顯示的數(shù)據(jù)進(jìn)行記錄，將輸出的存到文本文件，這樣可以大大提高現(xiàn)場的測評效率。

2.2.2 WEB界面管理方式設(shè)備數(shù)獲取

WEB管理方式的設(shè)備廠商比較多，供選擇的范圍比較廣，其設(shè)置方式也是多種多樣，給測評人員的選擇提供了很大的方便。通常采用截圖的方式來獲取數(shù)據(jù)以便提高效率，因?yàn)榇蟛糠謹(jǐn)?shù)據(jù)都是以圖片的形式存在，一部分設(shè)備都是支持日志文件或者策略規(guī)則的導(dǎo)出功能，就是我們常說的以這種格式進(jìn)行儲存文件。

2.2.3 旁路安全設(shè)備及數(shù)據(jù)獲取

網(wǎng)絡(luò)拓?fù)鋱D的驗(yàn)證過程就是當(dāng)鏈路路徑端點(diǎn)不是業(yè)務(wù)計算類設(shè)備時，可確定出旁路設(shè)備。常見的旁路設(shè)備就是入侵防御系統(tǒng)、網(wǎng)絡(luò)審計系統(tǒng)、安全管理中心等等。而獲取旁路類設(shè)備安全策略配置和安全狀態(tài)數(shù)據(jù)主要是為了獲取設(shè)備的版本號和各種類型的庫版本信息防護(hù)啟用配置等等。WEB方式是我們經(jīng)常廣泛應(yīng)用的旁路設(shè)備，或者經(jīng)常使用管理軟件的方式進(jìn)行管理，這種類型設(shè)備的數(shù)據(jù)一般也是通過截圖方式進(jìn)行傳輸。

2.3 信息安全風(fēng)險評估框架及流程

從風(fēng)險管理的角度來看，信息安全風(fēng)險是利用科學(xué)的方法將信息系統(tǒng)所面臨的危險和存在的問題進(jìn)行分析，以及評估安全事件發(fā)生所造成的危害嚴(yán)重程度，一旦評估安全事件可能發(fā)生危害程度，就會提出有針對的抵御策略和解決措施，為了將信息安全風(fēng)險將風(fēng)險降到最低水平，最大限度的保障信息安全提供最有效的科學(xué)依據(jù)。

3 ?結(jié)語

網(wǎng)絡(luò)安全測評是信息安全等級保護(hù)測評項(xiàng)目實(shí)施的重中之重，也是極有難度的。網(wǎng)絡(luò)安全測評的基礎(chǔ)就是網(wǎng)絡(luò)拓?fù)鋱D。選取正確的網(wǎng)絡(luò)安全測評對象可提高網(wǎng)絡(luò)安全測評記過的準(zhǔn)確性和可靠性。本文介紹的基于用戶訪問路徑的方法可以提高網(wǎng)絡(luò)安全測評工程師的速度和更準(zhǔn)確的確定測評對象。在我國，保障信息安全的制度、策略以及方法都是信息安全等級保護(hù)，而其中的網(wǎng)絡(luò)安全現(xiàn)場測評就是信息安全等級保護(hù)項(xiàng)目測評中的難點(diǎn)。

參考文獻(xiàn)

[1] 陳雪鴻，葉世超，石聰聰.淺談工業(yè)控制系統(tǒng)信息安全 等級保護(hù)定級工作[J].自動化博覽，2015（5）：66-70.

[2] 李文兢，謝翠萍.大型信息系統(tǒng)網(wǎng)絡(luò)安全測評的關(guān)鍵技 術(shù)分析[J].信息通信，2016（2）：140-141.

[3] 靳英伯.信息安全等級保護(hù)模型評測平臺的設(shè)計與實(shí)現(xiàn) [D].山東大學(xué)，2017.