楊本毅

摘要：一直以來(lái)，國(guó)家都將信息系統(tǒng)的安全放在第一位置。現(xiàn)場(chǎng)對(duì)網(wǎng)絡(luò)安全展開(kāi)測(cè)評(píng)一直都是難點(diǎn)內(nèi)容。該文主要針對(duì)網(wǎng)絡(luò)現(xiàn)場(chǎng)安全測(cè)評(píng)中存在的難點(diǎn)進(jìn)行剖析，立足于這些難點(diǎn)問(wèn)題之上，提出一些必要的測(cè)評(píng)方法，確保能夠獲取準(zhǔn)確的測(cè)評(píng)網(wǎng)絡(luò)原始數(shù)據(jù)，對(duì)測(cè)評(píng)項(xiàng)目有效地進(jìn)行支持。

關(guān)鍵詞：信息安全;等級(jí)保護(hù);網(wǎng)絡(luò)安全;現(xiàn)場(chǎng)測(cè)評(píng)

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）29-0013-02

目前，國(guó)家針對(duì)信息安全等級(jí)保護(hù)已經(jīng)提出一些必要的制度，讓網(wǎng)絡(luò)安全現(xiàn)場(chǎng)測(cè)評(píng)能夠順利開(kāi)展。但是，實(shí)際情況反映出來(lái)的是對(duì)網(wǎng)絡(luò)現(xiàn)場(chǎng)實(shí)施安全測(cè)評(píng)的時(shí)候存在很多的困難，網(wǎng)絡(luò)管理人員對(duì)網(wǎng)絡(luò)的熟悉程度不夠，所謂的變更管理也存在很大的缺失，這就需要針對(duì)這些實(shí)際問(wèn)題加大調(diào)整，并采取合理的測(cè)評(píng)方法進(jìn)行分析。

1網(wǎng)絡(luò)現(xiàn)場(chǎng)安全測(cè)評(píng)存在的困難

1.1變更管理存在缺失

被測(cè)評(píng)單位展開(kāi)建設(shè)的時(shí)候會(huì)擁有完整的技術(shù)資料，從而繪制出比較完整的網(wǎng)絡(luò)拓?fù)鋱D。但是在時(shí)間的不斷推移之下，不管是將網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行增加，還是讓網(wǎng)絡(luò)區(qū)域得以改變，都會(huì)引起網(wǎng)絡(luò)拓?fù)涞淖兓?。如果信息系統(tǒng)得不到相應(yīng)的變更管理支持，技術(shù)文檔上就體現(xiàn)不出具體的變化。另外，技術(shù)管理人員也在不斷發(fā)生變更，技術(shù)交接的時(shí)候存在的漏洞十分大，這就讓變更管理的缺失問(wèn)題更加嚴(yán)重。

1.2網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)不夠掌握

網(wǎng)絡(luò)技術(shù)維護(hù)發(fā)揮的作用極大，可以對(duì)信息系統(tǒng)進(jìn)行良好的維護(hù)。業(yè)主方的技術(shù)管理人員由于技術(shù)能力有限，大多都是依賴(lài)外包單位的技術(shù)人員。業(yè)主方對(duì)于維護(hù)方在管理制度上存在一定的管理缺失，這很容易讓外包單位的服務(wù)終止。如果外包單位的技術(shù)人員再次進(jìn)行更換，就會(huì)讓業(yè)主單位對(duì)網(wǎng)絡(luò)的管理造成嚴(yán)重的影響，給網(wǎng)絡(luò)的安全測(cè)評(píng)造成極大的影響。

1.3被測(cè)評(píng)方技術(shù)人員故意將信息隱藏

信息系統(tǒng)中業(yè)主一方的人員存在逃避責(zé)任的現(xiàn)象，對(duì)于安全方面的隱患也會(huì)隱藏，具體的配合也不夠。對(duì)于重要的業(yè)務(wù)系統(tǒng)來(lái)說(shuō)，技術(shù)人員對(duì)測(cè)評(píng)工作理解不到位的情況下，因?yàn)閾?dān)心在正常測(cè)評(píng)的時(shí)候會(huì)對(duì)業(yè)務(wù)的正常運(yùn)行造成影響，所以故意將一些網(wǎng)絡(luò)信息隱藏。一些網(wǎng)絡(luò)管理人員為了讓網(wǎng)絡(luò)的管理更加方便導(dǎo)致網(wǎng)絡(luò)的配置和具體的網(wǎng)絡(luò)安全規(guī)定不符合，還會(huì)擔(dān)心因?yàn)榘踩珳y(cè)評(píng)擔(dān)心上級(jí)領(lǐng)導(dǎo)發(fā)現(xiàn)的具體安全隱患從而對(duì)自身不利嘲。這種情況下，技術(shù)人員通常只是將網(wǎng)絡(luò)的基本狀況進(jìn)行介紹，不會(huì)告訴測(cè)評(píng)人員詳細(xì)的信息，這就導(dǎo)致測(cè)評(píng)人員獲取的數(shù)據(jù)不夠真實(shí)，測(cè)評(píng)人員在挖掘網(wǎng)絡(luò)中存在的基本數(shù)據(jù)時(shí)存在巨大的挑戰(zhàn)。

1.4網(wǎng)絡(luò)拓?fù)渥詣?dòng)化檢測(cè)工具的局限性

展開(kāi)網(wǎng)絡(luò)測(cè)評(píng)的時(shí)候通常都會(huì)使用到自動(dòng)化生成工具，但是自動(dòng)化檢測(cè)工具也存在一定的不足，將網(wǎng)絡(luò)運(yùn)行真實(shí)的情況根本反映不出來(lái)。多數(shù)網(wǎng)絡(luò)為了確保運(yùn)行安全性，將網(wǎng)絡(luò)設(shè)備協(xié)議關(guān)閉，這就導(dǎo)致檢測(cè)工具無(wú)法形成具體的網(wǎng)絡(luò)拓?fù)?，?duì)于一些安全設(shè)備也不具備穿透功能。

2信息安全等級(jí)保護(hù)測(cè)評(píng)中網(wǎng)絡(luò)安全現(xiàn)場(chǎng)測(cè)評(píng)方法

2.1對(duì)測(cè)評(píng)對(duì)象進(jìn)行確定

網(wǎng)絡(luò)拓?fù)鋱D如果不夠一致，用戶(hù)業(yè)務(wù)系統(tǒng)十分繁多的時(shí)候，網(wǎng)絡(luò)系統(tǒng)會(huì)十分復(fù)雜，對(duì)對(duì)象的測(cè)評(píng)也會(huì)存在一定的困難。因此，可以對(duì)用戶(hù)的訪(fǎng)問(wèn)途徑進(jìn)行確定，然后對(duì)網(wǎng)絡(luò)對(duì)象展開(kāi)測(cè)評(píng)。

確定網(wǎng)絡(luò)測(cè)評(píng)對(duì)象的時(shí)候需要建立在用戶(hù)訪(fǎng)問(wèn)途徑的基礎(chǔ)上，將不同類(lèi)型的用戶(hù)接入同一個(gè)區(qū)域中，將其具體的接人點(diǎn)作為起點(diǎn)，對(duì)業(yè)務(wù)系統(tǒng)中存在的應(yīng)用服務(wù)器位置進(jìn)行設(shè)置，在訪(fǎng)問(wèn)路徑中遵循相應(yīng)的順序?qū)⒕W(wǎng)關(guān)設(shè)備加人其中，讓所有路徑上面的網(wǎng)關(guān)設(shè)備能夠有效組成網(wǎng)關(guān)設(shè)備路徑，將訪(fǎng)問(wèn)路徑中所有的網(wǎng)關(guān)設(shè)備作為具體的測(cè)評(píng)對(duì)象，根據(jù)不同的路徑將所有的公共節(jié)點(diǎn)合并在一起。

網(wǎng)關(guān)類(lèi)設(shè)備具有多種類(lèi)型，防火墻、交換機(jī)等都屬于網(wǎng)關(guān)類(lèi)設(shè)備，部分網(wǎng)關(guān)類(lèi)設(shè)備屬于一個(gè)透明的模式，也就是說(shuō)所有串聯(lián)在一起的設(shè)備都屬于網(wǎng)關(guān)類(lèi)設(shè)備。

2.2配置測(cè)評(píng)對(duì)象、獲取狀態(tài)數(shù)據(jù)

（1）獲取命令型管理設(shè)備的數(shù)據(jù)

通過(guò)執(zhí)行命令形式可以獲取不同的數(shù)據(jù)類(lèi)型，主要的形式是文本文件。具體展開(kāi)操作的時(shí)候需要編制測(cè)評(píng)操作指導(dǎo)書(shū)，通過(guò)相應(yīng)的列表形式對(duì)各個(gè)設(shè)備所用到的命令進(jìn)行表示，這樣測(cè)評(píng)工作人員就會(huì)根據(jù)列表具體的順序執(zhí)行相關(guān)命令。開(kāi)啟終端，對(duì)屏幕上顯示出來(lái)的數(shù)據(jù)進(jìn)行記錄，將輸出的文件存為文本文件，這樣就可以讓現(xiàn)場(chǎng)的測(cè)評(píng)效率得到相應(yīng)的保證。

（2）獲取WEB界面管理方式的設(shè)備數(shù)

WEB界面管理方式的設(shè)備的廠(chǎng)商是十分多的，設(shè)置方式也具有多樣化，測(cè)評(píng)人員需要合理地進(jìn)行選取。獲取的主要數(shù)據(jù)會(huì)有多種，配置良好的接口，然后再重新進(jìn)行開(kāi)啟，采用不同的工作方式、訪(fǎng)問(wèn)控制策略。為了讓設(shè)備數(shù)獲取的效率能夠充分提高，對(duì)這些數(shù)據(jù)在獲取的時(shí)候可以采用截圖的方式，讓其以圖片的形式展現(xiàn)出來(lái)，一些設(shè)備文件具有一定的導(dǎo)出功能，可以將文件以相應(yīng)的格式進(jìn)行存儲(chǔ)。

（3）旁路安全設(shè)備和數(shù)據(jù)獲取

在迭代過(guò)程中需要對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)流程進(jìn)行遵循，當(dāng)鏈路路徑的端點(diǎn)不屬于業(yè)務(wù)計(jì)算類(lèi)設(shè)備的時(shí)候，就可以對(duì)旁路設(shè)備進(jìn)行確定嘲。旁路類(lèi)安全設(shè)備包括的種類(lèi)十分繁多，有病毒服務(wù)器、日志服務(wù)器等。

配置旁路類(lèi)的設(shè)備，獲得安全狀態(tài)數(shù)據(jù)就可以獲取不同設(shè)備的版本號(hào)，并對(duì)不同版本的信息進(jìn)行防護(hù)和啟用，相應(yīng)的還可以對(duì)日志信息進(jìn)行配置。旁路設(shè)備中很多設(shè)備都是采用WEB來(lái)管理的，這種類(lèi)型的設(shè)備對(duì)數(shù)據(jù)進(jìn)行收集的時(shí)候會(huì)以截圖的形式來(lái)傳輸。

2.3信息安全風(fēng)險(xiǎn)評(píng)估

評(píng)估信息安全風(fēng)險(xiǎn)的時(shí)候需要從風(fēng)險(xiǎn)管理的角度出發(fā)，采用科學(xué)的手段對(duì)系統(tǒng)中存在的潛在問(wèn)題和威脅進(jìn)行分析，對(duì)于安全事件發(fā)生的時(shí)候出現(xiàn)的危害進(jìn)行評(píng)估，有針對(duì)性的威脅采取相應(yīng)的防護(hù)措施，將信息安全方面存在的風(fēng)險(xiǎn)進(jìn)行化解，將風(fēng)險(xiǎn)控制在合理的范圍中，讓信息安全得到一定的保障。

風(fēng)險(xiǎn)分析中涉及三大要素，分別是資產(chǎn)、脆弱性、威脅，每個(gè)要素所具有的屬性不同，資產(chǎn)主要需要資產(chǎn)價(jià)值。威脅屬性不僅可以是威脅主體，還會(huì)是動(dòng)機(jī)等。脆弱性屬性主要是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。對(duì)風(fēng)險(xiǎn)進(jìn)行分析的時(shí)候主要涉及的內(nèi)容有多種。做好資產(chǎn)的識(shí)別工作，對(duì)資產(chǎn)價(jià)值進(jìn)行賦值。對(duì)威脅同樣展開(kāi)識(shí)別，并對(duì)威脅的屬性進(jìn)行描述，掌握威脅引發(fā)的賦值。對(duì)脆弱性同樣需要做好識(shí)別，并對(duì)可能引發(fā)的資產(chǎn)的嚴(yán)重程度做好賦值。利用威脅引發(fā)的脆弱性需要對(duì)安全事件的可能性科學(xué)地進(jìn)行判斷。依據(jù)脆弱性具體的嚴(yán)重程度對(duì)安全事件所用到的資產(chǎn)價(jià)值進(jìn)行計(jì)算，并對(duì)安全事件產(chǎn)生的損失進(jìn)行計(jì)算。對(duì)安全事件所發(fā)生的可能性對(duì)安全事件的損失進(jìn)行計(jì)算，并對(duì)安全事件產(chǎn)生的影響進(jìn)行計(jì)算，也就是計(jì)算風(fēng)險(xiǎn)值。

3結(jié)束語(yǔ)

綜上所述，保護(hù)測(cè)評(píng)需要依據(jù)信息安全等級(jí)來(lái)開(kāi)展，并對(duì)網(wǎng)絡(luò)展開(kāi)安全測(cè)評(píng)，這項(xiàng)測(cè)評(píng)中存在諸多難點(diǎn)。對(duì)網(wǎng)絡(luò)進(jìn)行安全測(cè)評(píng)的時(shí)候網(wǎng)絡(luò)拓?fù)鋱D是必須具備的條件，這就需要對(duì)測(cè)評(píng)對(duì)象展開(kāi)正確的選擇，這樣測(cè)評(píng)出來(lái)的結(jié)果才會(huì)具有一定的安全性和可靠性。