趙洪剛

（廣西壯族自治區(qū)信息安全測(cè)評(píng)中心，廣西 南寧 530031）

0 引言

近年來，網(wǎng)絡(luò)安全是越來越熱的話題。網(wǎng)絡(luò)安全問題，諸如漏洞、黑客攻擊、信息泄露等，更是頻頻發(fā)生，造成的損失不計(jì)其數(shù)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不降反增。據(jù)IDC估算，在2021 年全球網(wǎng)絡(luò)安全支出將達(dá)1435 億美元。Gartner 預(yù)測(cè)，到2022 年，全球網(wǎng)絡(luò)安全支出將達(dá)到1704 億美元。從過去的網(wǎng)絡(luò)安全形勢(shì)分析，出現(xiàn)了很多令人震驚的網(wǎng)絡(luò)安全事件，事件造成的經(jīng)濟(jì)損失重大，同時(shí)也引起了人們對(duì)網(wǎng)絡(luò)安全的重視，如何強(qiáng)化網(wǎng)絡(luò)安全管理成為研究重點(diǎn)。

1 信息安全等級(jí)保護(hù)測(cè)評(píng)的等級(jí)

從當(dāng)前的網(wǎng)絡(luò)安全分析，面臨嚴(yán)峻的形勢(shì)。一般來說，常見的攻擊類型和威脅類型如下：①勒索軟件與惡意軟件。根據(jù)統(tǒng)計(jì)的數(shù)據(jù)信息，2020 年勒索軟件的平均贖金額比2019 年增長了33%，達(dá)到111605 美元。②網(wǎng)絡(luò)釣魚。③物聯(lián)網(wǎng)和DDos 以及其他攻擊。賽門鐵克發(fā)布的數(shù)據(jù)稱物聯(lián)網(wǎng)設(shè)備平均每月遭受5200 次攻擊；思科稱到2023 年，全球DDoS 攻擊總數(shù)將達(dá)到1540 萬。目前，國際上各個(gè)國家都高度重視網(wǎng)絡(luò)安全，積極構(gòu)建完善的安全保護(hù)體系。其中，信息安全等級(jí)保護(hù)測(cè)評(píng)是重要的手段。通過對(duì)網(wǎng)絡(luò)安全進(jìn)行測(cè)評(píng)分析，劃分為不同的等級(jí)，實(shí)施相應(yīng)的保護(hù)措施，進(jìn)而保障網(wǎng)絡(luò)信息安全。一般來說，評(píng)測(cè)等級(jí)劃分為五級(jí)，從第一級(jí)到第五級(jí)逐級(jí)增高。按照網(wǎng)絡(luò)安全管理要求，定期開展等級(jí)測(cè)評(píng)。等級(jí)的具體分析：①第一級(jí)為用戶自主保護(hù)級(jí)。通常來說，鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)和縣級(jí)某些單位中一般的信息系統(tǒng)等，屬于第一級(jí)保護(hù)系統(tǒng)。這些系統(tǒng)被破壞后，會(huì)對(duì)公民和法人以及其他組織的合法權(quán)益造成損害，不會(huì)損害國家安全和社會(huì)秩序以及公共利益。②第二級(jí)為安全審計(jì)保護(hù)級(jí)。一般來說，縣級(jí)某些單位中的重要信息系統(tǒng)或者地市級(jí)以上國家機(jī)關(guān)、企業(yè)以及事業(yè)單位內(nèi)部一般的信息系統(tǒng)，都屬于此等級(jí)。③第三級(jí)為安全標(biāo)識(shí)保護(hù)級(jí)。地市級(jí)以上國家機(jī)關(guān)、重要企事業(yè)單位內(nèi)部重要的信息系統(tǒng)，比如辦公系統(tǒng)與管理系統(tǒng)等，屬于此等級(jí)。④第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)。國家重要領(lǐng)域、重要部門中的特別重要系統(tǒng)和核心系統(tǒng)，比如鐵路和民航等的調(diào)度系統(tǒng)，都屬于第四級(jí)保護(hù)級(jí)。⑤第五級(jí)為訪問驗(yàn)證保護(hù)級(jí)。國家重要領(lǐng)域和重要部門中的極端重要系統(tǒng)，都屬于第五保護(hù)級(jí)。日常的網(wǎng)絡(luò)安全測(cè)評(píng)中，根據(jù)測(cè)評(píng)對(duì)象的所屬保護(hù)級(jí)，根據(jù)相應(yīng)的保護(hù)方法，開展安全測(cè)評(píng)，包括信息安全和安全審計(jì)等具體內(nèi)容，涉及的種類很多，具有較高的要求。通過信息安全等級(jí)保護(hù)測(cè)評(píng)認(rèn)證，意味著系統(tǒng)的安全保護(hù)能力很強(qiáng)，可抵御外部威脅源發(fā)起的惡意攻擊或者自然災(zāi)難。

2 信息安全等級(jí)保護(hù)測(cè)評(píng)中網(wǎng)絡(luò)安全現(xiàn)場測(cè)評(píng)方法的運(yùn)用

2.1 變更管理不足

從信息安全等級(jí)保護(hù)測(cè)評(píng)實(shí)際分析，常見變更管理缺失的問題，出現(xiàn)網(wǎng)絡(luò)拓?fù)鋱D和現(xiàn)場網(wǎng)絡(luò)拓?fù)洳灰恢碌那闆r。一般來說，被測(cè)大內(nèi)開展網(wǎng)絡(luò)建設(shè)時(shí)會(huì)留下相應(yīng)的資料，根據(jù)資料能夠繪制得到網(wǎng)絡(luò)拓?fù)鋱D，不過隨著時(shí)間的增加以及業(yè)務(wù)的調(diào)整，很容易促使網(wǎng)絡(luò)拓?fù)涑霈F(xiàn)變化。若未能及時(shí)做好變更調(diào)整，部分資料未能及時(shí)體現(xiàn)在技術(shù)文檔上，則會(huì)影響到網(wǎng)絡(luò)安全現(xiàn)場測(cè)評(píng)工作的開展現(xiàn)場。究其原因，缺少完善的變更管理制度、受到技術(shù)管理人員變更的影響或者技術(shù)交接出現(xiàn)問題，都會(huì)影響各項(xiàng)工作的開展。

2.2 網(wǎng)絡(luò)管理員的配合度不高

一般來說，各個(gè)單位和企業(yè)的網(wǎng)絡(luò)技術(shù)維護(hù)業(yè)務(wù)，主要是外包給信息系統(tǒng)服務(wù)企業(yè)，負(fù)責(zé)對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行維護(hù)。由于自身的網(wǎng)絡(luò)技術(shù)人員非專職或者業(yè)務(wù)能力有限，很多工作都是依靠外包單位，在日常的網(wǎng)絡(luò)信息安全方面不注重，缺少完善的管理制度和維護(hù)資源，當(dāng)出現(xiàn)服務(wù)中斷或者停止的情況，則會(huì)影響到自身的網(wǎng)絡(luò)安全，影響信息安全等級(jí)保護(hù)測(cè)評(píng)工作的開展。

2.3 網(wǎng)絡(luò)拓?fù)渥詣?dòng)化檢測(cè)工具的局限性

從當(dāng)前的信息安全等級(jí)保護(hù)測(cè)評(píng)工作實(shí)際分析，積極推廣使用自動(dòng)化工具，不過部分自動(dòng)化檢測(cè)工具不足，難以全面反映實(shí)際情況，影響到安全管理的效果。一般來說，多使用ICMP 和SNMP 以及RIP 協(xié)議等。在實(shí)際應(yīng)用中為保障網(wǎng)絡(luò)安全性，通常會(huì)關(guān)閉網(wǎng)絡(luò)設(shè)備協(xié)議的響應(yīng)，那么進(jìn)行網(wǎng)絡(luò)安全現(xiàn)場測(cè)評(píng)時(shí)使用的自動(dòng)化檢測(cè)儀器無法生成網(wǎng)絡(luò)拓?fù)洌瑫r(shí)也無法檢測(cè)，使得很多工作透明化。此外，部分自動(dòng)化設(shè)備無法穿透某段安全設(shè)備，例如防火墻等。組織開展網(wǎng)絡(luò)安全現(xiàn)場測(cè)評(píng)工作，如果測(cè)評(píng)的是較為重要的信息系統(tǒng)或工業(yè)控制系統(tǒng)，部分用戶或者測(cè)評(píng)機(jī)構(gòu)為防范自動(dòng)化檢測(cè)工具使用造成安全風(fēng)險(xiǎn)，在不具備生產(chǎn)系統(tǒng)離線或者構(gòu)建模擬系統(tǒng)的情況下，無法接入自動(dòng)化檢測(cè)工具[1]。

3 信息安全等級(jí)保護(hù)測(cè)評(píng)中網(wǎng)絡(luò)安全現(xiàn)場測(cè)評(píng)的策略

《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定，國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。除此之外，部分行業(yè)和企業(yè)系統(tǒng)安全管理都需要進(jìn)行網(wǎng)絡(luò)安全測(cè)評(píng)，評(píng)估網(wǎng)絡(luò)安全情況，分析是否存在隱患和問題，采取保護(hù)措施，保障網(wǎng)絡(luò)信息安全。

3.1 明確網(wǎng)絡(luò)安全現(xiàn)場測(cè)評(píng)要求

從網(wǎng)絡(luò)安全現(xiàn)場測(cè)評(píng)工作的開展角度分析，必須要嚴(yán)格按照現(xiàn)行的技術(shù)規(guī)范和要求，做好全面嚴(yán)格的控制。目前，執(zhí)行的是《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T 28448—2019），在具體執(zhí)行方面，需要根據(jù)等級(jí)水平，執(zhí)行相應(yīng)的標(biāo)準(zhǔn)。以第一級(jí)測(cè)評(píng)等級(jí)為例，安全通信網(wǎng)絡(luò)的測(cè)評(píng)主要圍繞以下內(nèi)容開展。

（1）通信系統(tǒng)。L1-CNS1-01 測(cè)評(píng)單元的要求中，測(cè)評(píng)指標(biāo)子為應(yīng)該采用校驗(yàn)技術(shù)保證通信過程中數(shù)據(jù)的完整性。在進(jìn)行測(cè)評(píng)時(shí)，以提供校驗(yàn)技術(shù)功能的設(shè)備或者組件為主，做好全面嚴(yán)格的測(cè)評(píng)；重點(diǎn)核查是否在數(shù)據(jù)傳輸環(huán)節(jié)中使用校驗(yàn)技術(shù)保護(hù)數(shù)據(jù)信息的完整性；若以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，那么可達(dá)到測(cè)評(píng)單元指標(biāo)要求，如果為否定則不符合測(cè)評(píng)單元指標(biāo)要求；在L1-CNS1-02 測(cè)評(píng)單元中，按照測(cè)評(píng)的技術(shù)要求，可基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序和系統(tǒng)程序等展開可信驗(yàn)證，當(dāng)檢測(cè)到其可信性受到破壞后及時(shí)報(bào)警。一般來說，測(cè)評(píng)的對(duì)象為提供可信驗(yàn)證的設(shè)備或者組件。實(shí)施測(cè)評(píng)時(shí)，重點(diǎn)核查是否基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序和系統(tǒng)程序等開展可信驗(yàn)證。重點(diǎn)檢測(cè)當(dāng)檢測(cè)到通信設(shè)備可信性被破壞時(shí)能否及時(shí)報(bào)警。如果可以報(bào)警，則通過測(cè)評(píng)；若不符合要求則不通過測(cè)評(píng)[2]。

（2）安全區(qū)域邊界。L1-ABS1-01 測(cè)評(píng)單元中，主要是測(cè)評(píng)各類設(shè)備和組件是否具備保證跨越邊界的訪問和數(shù)據(jù)流通通過邊界設(shè)備的受控接口進(jìn)行通信，測(cè)評(píng)的對(duì)象包括網(wǎng)閘和防火墻以及路由器等，即提供訪問控制功能的設(shè)備或者組件。測(cè)評(píng)時(shí)重點(diǎn)檢查在網(wǎng)絡(luò)邊界位置是否部署訪問控制設(shè)備或者相關(guān)組件，同時(shí)檢查設(shè)備配置的信息是否指定端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信，指定端口是否配置并且啟用了安全策略。采用其他技術(shù)手段核查是否不存在其他未受控端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信，例如非法無線網(wǎng)絡(luò)設(shè)備定位技術(shù)或者核查設(shè)備配置信息技術(shù)等。訪問控制測(cè)評(píng)單元L1-ABS1-02 的測(cè)評(píng)中，對(duì)網(wǎng)閘和防火墻等展開測(cè)評(píng)。按照訪問控制要求，這些設(shè)備或者組件需要在網(wǎng)絡(luò)邊界根據(jù)訪問控制策略部署安全訪問控制規(guī)則，m 默認(rèn)情況下除了允許通信外受控接口拒絕所有通信。在測(cè)評(píng)檢查中，需要認(rèn)真核查在網(wǎng)絡(luò)邊界是否部署訪問控制設(shè)備并且啟用訪問控制策略；同時(shí)檢查設(shè)備的最后一條訪問控制策略是否為禁止所有網(wǎng)絡(luò)通信。在測(cè)評(píng)單元L1-ABS1-03，對(duì)路由器和防火墻等進(jìn)行測(cè)評(píng)。按照要求這些設(shè)備和組件應(yīng)該刪除多余或者無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，同時(shí)保證訪問控制規(guī)則數(shù)據(jù)最小化。在進(jìn)行測(cè)評(píng)時(shí)進(jìn)行全面核查，判斷是否達(dá)到要求[3]。

由于信息安全等級(jí)保護(hù)測(cè)評(píng)的等級(jí)不同，測(cè)評(píng)的單元差異，在具體測(cè)評(píng)時(shí)執(zhí)行的具體技術(shù)要求存在差別，需做好嚴(yán)格的控制，切實(shí)保障網(wǎng)絡(luò)信息安全。從具體實(shí)施的角度分析，要求測(cè)評(píng)人員明確測(cè)評(píng)技術(shù)要求和具體規(guī)范，嚴(yán)格按照測(cè)評(píng)的要求開展具體核查工作，評(píng)估信息安全等級(jí)保護(hù)能力，即使發(fā)現(xiàn)存在的問題，提出優(yōu)化和改進(jìn)的措施，保障網(wǎng)絡(luò)信息的安全。針對(duì)測(cè)評(píng)發(fā)現(xiàn)的問題進(jìn)行全面處理，保障信息安全達(dá)到要求[4]。

3.2 制定完善的測(cè)評(píng)方案

按照信息系統(tǒng)安全等級(jí)保護(hù)基本要求，企業(yè)或者單位等網(wǎng)絡(luò)使用主體在信息系統(tǒng)建成運(yùn)行后，需根據(jù)管理辦法選擇專業(yè)的測(cè)評(píng)單位，依據(jù)相關(guān)技術(shù)標(biāo)準(zhǔn)，例如信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求等，對(duì)網(wǎng)絡(luò)信息安全進(jìn)行定期的測(cè)評(píng)，掌握信息系統(tǒng)安全等級(jí)情況，做好安全隱患和風(fēng)險(xiǎn)的處理。為保障信息安全等級(jí)保護(hù)測(cè)評(píng)高質(zhì)量開展，需要制定完善的測(cè)評(píng)工作方案，指導(dǎo)各項(xiàng)工作高效化開展。編制的測(cè)評(píng)方案，需要涉及以下內(nèi)容：①確定測(cè)評(píng)對(duì)象。通常來說，若網(wǎng)路拓?fù)鋱D不同，尤其是用戶業(yè)務(wù)系統(tǒng)類型很多，受到網(wǎng)絡(luò)系統(tǒng)復(fù)雜度高的影響，若想精準(zhǔn)確定測(cè)評(píng)對(duì)象面臨很多挑戰(zhàn)。在具體實(shí)施方面，可以基于用戶訪問路徑確定網(wǎng)絡(luò)測(cè)評(píng)對(duì)象，高效化開展測(cè)評(píng)活動(dòng)。②測(cè)評(píng)對(duì)象配置與狀態(tài)數(shù)據(jù)的獲取。一般來說，需要獲取的數(shù)據(jù)，主要包括設(shè)備的版本號(hào)和命令配置文件以及路由表等，可采取執(zhí)行命令的方式得到。在測(cè)評(píng)工作中需要編制測(cè)評(píng)操作指導(dǎo)書，采用列表的形式對(duì)指導(dǎo)書的每類設(shè)備所需要的命令加以標(biāo)識(shí)，使得測(cè)評(píng)人員可快速獲得信息開展測(cè)評(píng)。按照命令指標(biāo)，開啟終端并且記錄屏幕顯示數(shù)據(jù)，將輸出存為文本文件，進(jìn)而保障現(xiàn)場的測(cè)評(píng)效果[5]。③獲得Web界面管理方式設(shè)備數(shù)。在信息安全等級(jí)保護(hù)測(cè)評(píng)中，需要獲得版本號(hào)和MAC 地址表以及資源定義等信息。一般來說，可采取截圖的方法，獲得相應(yīng)的數(shù)據(jù)信息，部分設(shè)備也支持日志文件或者策略規(guī)則導(dǎo)出。④旁路安全設(shè)備和數(shù)據(jù)獲取。測(cè)評(píng)工作中基于迭代過程的網(wǎng)絡(luò)拓?fù)鋱D驗(yàn)證流程，如果鏈路路徑端點(diǎn)是非業(yè)務(wù)計(jì)算類設(shè)備，那么能夠確定旁路設(shè)備，例如入侵防御系統(tǒng)和數(shù)據(jù)庫審計(jì)系統(tǒng)以及網(wǎng)絡(luò)審計(jì)系統(tǒng)等。在信息獲得方面，可采取截圖形式傳輸信息。⑤風(fēng)險(xiǎn)評(píng)估方案。信息安全等級(jí)保護(hù)測(cè)評(píng)的開展目的就是確定系統(tǒng)風(fēng)險(xiǎn)，了解存在的隱患和問題。實(shí)踐中需要圍繞資產(chǎn)和威脅以及脆弱性，開展風(fēng)險(xiǎn)分析和評(píng)估，確定網(wǎng)絡(luò)系統(tǒng)存在的問題，掌握具體的情況，做好全面嚴(yán)格的控制。根據(jù)獲得的測(cè)評(píng)報(bào)告，為被測(cè)單位優(yōu)化網(wǎng)絡(luò)安全管理提供支持，全面提高管理的水平。

3.3 做好測(cè)評(píng)方法的優(yōu)化工作

信息安全等級(jí)保護(hù)測(cè)評(píng)需要根據(jù)測(cè)評(píng)的技術(shù)要求和方案進(jìn)行全面嚴(yán)格控制。在具體測(cè)評(píng)中，測(cè)評(píng)方法的選擇和應(yīng)用是重點(diǎn)，發(fā)揮著重要的作用，需注重測(cè)評(píng)方法的優(yōu)化。實(shí)踐中應(yīng)當(dāng)科學(xué)運(yùn)用自動(dòng)化測(cè)評(píng)技術(shù)，對(duì)測(cè)評(píng)對(duì)象進(jìn)行安全測(cè)評(píng)，保障測(cè)評(píng)結(jié)果的真實(shí)性。由于測(cè)評(píng)技術(shù)運(yùn)用時(shí)可能遇到很多問題，需要結(jié)合測(cè)評(píng)技術(shù)要求和具體情況進(jìn)行分析，在不影響信息安全的前提下進(jìn)行測(cè)評(píng)，保護(hù)好網(wǎng)絡(luò)安全。對(duì)使用的信息安全等級(jí)保護(hù)測(cè)評(píng)技術(shù)，進(jìn)行全面的評(píng)估和分析，形成完善的技術(shù)方案，交代給測(cè)評(píng)人員，使其可以規(guī)范開展測(cè)評(píng)工作[6]。

4 結(jié)語

綜上所述，信息安全等級(jí)保護(hù)測(cè)評(píng)對(duì)保護(hù)網(wǎng)絡(luò)安全，起到重要的作用。在網(wǎng)絡(luò)安全現(xiàn)場測(cè)評(píng)中嚴(yán)格按照測(cè)評(píng)的項(xiàng)目和要求，進(jìn)行全面的測(cè)評(píng)，評(píng)估網(wǎng)絡(luò)信息安全水平，及時(shí)發(fā)現(xiàn)安全保護(hù)漏洞和問題，強(qiáng)化信息安全保護(hù)能力，增強(qiáng)網(wǎng)絡(luò)安全威脅抵御能力，發(fā)揮保護(hù)的作用。