信息安全等級保護測評中網(wǎng)絡(luò)安全現(xiàn)場測評方法研究

◆宮 平

信息安全等級保護測評中網(wǎng)絡(luò)安全現(xiàn)場測評方法研究

◆宮 平

（長春市博鴻科技服務有限責任公司 吉林 130000）

在我國，保障信息安全的基本制度、策略以及方法是信息安全等級保護，而網(wǎng)絡(luò)安全現(xiàn)場測評是信息安全等級保護項目測評中的難點，本文提出了基于用戶訪問路徑的網(wǎng)絡(luò)測評對象確定和原始數(shù)據(jù)的分析迭代恢復網(wǎng)絡(luò)拓撲圖結(jié)構(gòu)方法，有效地解決了網(wǎng)絡(luò)現(xiàn)場測評中普遍存在的技術(shù)資料不全、被測評方技術(shù)人員能力有限、被測評方技術(shù)人員配合不足等問題，可以高效、準確、完整地獲取被測評網(wǎng)絡(luò)原始數(shù)據(jù)，確保測評項目能夠及時、高質(zhì)量的實施，希望對相關(guān)人士有所幫助。

信息安全；等級保護；網(wǎng)絡(luò)安全；現(xiàn)場測評

0 前言

現(xiàn)階段，國家針對信息安全等級保護制定出了一些制度、方針以及標準，并且在進行標準建設(shè)的過程中建立了相對完整的體系，國家針對信息安全等級保護測評要求頒布了標準：GB-T28488-2012《信息系統(tǒng)安全等級保護測評要求》，這一標準對信息安全等級保護測評技術(shù)提出了相應要求，提供了測評人員獲取證據(jù)的途徑和方法，用以指導測評人員從信息安全等級保護的角度對信息系統(tǒng)進行測試評估。鑒于網(wǎng)絡(luò)狀態(tài)的復雜性和現(xiàn)場情況的特殊性，一般情況下現(xiàn)場測評過程中測評人員將不能嚴格按照標準的流程實施，這給現(xiàn)場測評帶來比較大的難度和不確定性。本文將結(jié)合作者在信息安全等級測評工作實踐中對網(wǎng)絡(luò)安全現(xiàn)場測評實施進行分析和總結(jié)，力圖找出快速、高效、完整的獲取網(wǎng)絡(luò)現(xiàn)場安全配置和安全狀態(tài)原始數(shù)據(jù)的現(xiàn)場測評方法。

1 網(wǎng)絡(luò)現(xiàn)場安全測評遇到的困難

1.1 變更管理的缺失，網(wǎng)絡(luò)拓撲圖與現(xiàn)場網(wǎng)絡(luò)拓撲不一致

通常情況下被測評單位在建設(shè)的時候都有相對完整的技術(shù)資料，也會繪制出較完整的網(wǎng)絡(luò)拓撲圖，但是隨著時間的不斷推移，無論是增加網(wǎng)絡(luò)節(jié)點、增加網(wǎng)絡(luò)出口，還是改變網(wǎng)絡(luò)區(qū)域、調(diào)整業(yè)務應用，這些都會導致網(wǎng)絡(luò)拓撲發(fā)生變化。如果信息系統(tǒng)業(yè)主單位沒有嚴格的變更管理制度支持，這些變化將不能很好地體現(xiàn)在技術(shù)文檔上，加上技術(shù)管理人員變更，技術(shù)交接存在漏洞，這一問題將變得更加突出。

1.2 網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)掌握不夠，配合能力和水平有限

網(wǎng)絡(luò)技術(shù)維護工作外包是很多信息系統(tǒng)業(yè)主單位廣泛采用的信息系統(tǒng)維護方式，由于業(yè)主方技術(shù)管理人員多為非專職或技術(shù)能力所限，過分依賴外包單位技術(shù)人員的情況普遍存在，而業(yè)主方對外包維護方在管理制度和制度執(zhí)行上的管理缺失，造成一旦與外包單位終止服務或外包單位維護技術(shù)人員的更換將嚴重影響業(yè)主單位對網(wǎng)絡(luò)的管理，給網(wǎng)絡(luò)安全測評帶來嚴重的困難。

1.3 網(wǎng)絡(luò)拓撲自動化檢測工具局限性

目前，在網(wǎng)絡(luò)測評中廣泛使用了自動化生成工具，但是由于自動化檢測工具的不足，不能很好地反映網(wǎng)絡(luò)的真實情況。通常自動化工具基于ICMP、SNMP、RIP、OSPF協(xié)議，很多網(wǎng)絡(luò)為了保證網(wǎng)絡(luò)安全性，關(guān)閉了網(wǎng)絡(luò)設(shè)備協(xié)議的響應，這時候自動檢測儀器就不能生成網(wǎng)絡(luò)拓撲，也不能夠檢測，并且工作模式處于透明化。除此之外自動化設(shè)備也不能夠穿透某段安全設(shè)備，以網(wǎng)閘、應用防火墻等為主。

在開展現(xiàn)場測試評估的過程中，倘若對象是非常重要的信息系統(tǒng)或者工業(yè)控制系統(tǒng)，用戶或測評機構(gòu)為了避免自動化檢測工具在測評過程中給系統(tǒng)引入安全風險，在不具備生產(chǎn)系統(tǒng)離線或建立模擬系統(tǒng)的情況下是不能接入自動化檢測工具的。

2 信息安全等級保護測評中網(wǎng)絡(luò)安全現(xiàn)場測評方法

在GBT 28449-2012 《信息系統(tǒng)安全等級保護測評過程指南》中規(guī)定了信息安全測試評估方法，包括訪談、檢查以及測試等，檢查以文檔審查，配置核查以及對實際地形進行察看為主。本文的目的不在于對標準所規(guī)定的這些測評方法的否定，而在于旨在對這些測評方法在網(wǎng)絡(luò)安全現(xiàn)場測評活動中進行進一步細化和完善，使其更富有操作性，效率更高，配置核查將是本文研究的主要內(nèi)容。

如前述所述，網(wǎng)絡(luò)現(xiàn)場安全測評存在困難，所以在訪談和文檔核查中獲取網(wǎng)絡(luò)信息的真實性、一致性有嚴重的缺陷，配置核查將是確保獲取網(wǎng)絡(luò)基本安全配置和安全狀態(tài)數(shù)據(jù)一致性的主要手段。

2.1 確定測評對象

在實際的情況下，如果網(wǎng)絡(luò)拓撲圖不相一致，特別是用戶業(yè)務系統(tǒng)較多，網(wǎng)絡(luò)系統(tǒng)復雜情況下，確定測評對象比較困難。為此，本文提出基于用戶訪問路徑的確定網(wǎng)絡(luò)測評對象方法。

基于用戶訪問路徑的網(wǎng)絡(luò)測評對象確定方法基本思路是將不相同類型用戶接入?yún)^(qū)域用戶接入點作為起點，將業(yè)務系統(tǒng)中的應用服務器的位置設(shè)置成終點，按照順序?qū)⒕W(wǎng)關(guān)設(shè)備納入訪問路徑中，所有路徑上面的網(wǎng)關(guān)設(shè)備組成網(wǎng)絡(luò)網(wǎng)關(guān)設(shè)備路徑，把訪問路徑上面的所有網(wǎng)關(guān)設(shè)備作為測評對象，還應該將不相同路徑上面的公共節(jié)點進行合并。

網(wǎng)關(guān)類設(shè)備類型包括：防火墻、路由器、交換機、上網(wǎng)行為管理、入侵防御系統(tǒng)、數(shù)據(jù)安全隔離網(wǎng)閘等，部分網(wǎng)關(guān)類設(shè)備工作在透明模式（OSI二層），這里凡是串接的設(shè)備都暫且歸于網(wǎng)關(guān)類設(shè)備。

2.2 測評對象配置和狀態(tài)數(shù)據(jù)的獲取

（1）命令行管理方式設(shè)備的數(shù)據(jù)獲取

獲取的數(shù)據(jù)類型：設(shè)備版本號、命令配置文件、路由表、接口狀態(tài)（活動、吞吐）、日志狀態(tài)、MAC地址表，這類數(shù)據(jù)主要是通過執(zhí)行命令行命令的方式進行獲取的，采用的形式是文本文件。在具體的操作過程中應該先對測評操作指導書進行編制，用列表形式對指導書中的每一種設(shè)備可能用到命令進行表示，這樣作為測評工作人員只需要按照列表上的順序?qū)γ顖?zhí)行就可以；然后對終端進行開啟，記錄屏幕顯示數(shù)據(jù)，將輸出存為文本文件，這樣可以保證現(xiàn)場的測評效率。

（2）WEB界面管理方式設(shè)備數(shù)獲取

由于WEB管理方式的設(shè)備廠商比較多，設(shè)置方式多種多樣，需要測評人員做選取。這里獲取的數(shù)據(jù)有：版本號、授權(quán)情況、運行狀態(tài)；接口配置和啟用情況、工作方式、路由表、MAC地址表、資源定義、訪問控制策略、訪問控制策略引用、攻擊防護的配置、管理參數(shù)配置、日志記錄等。為了提高效率，在獲取此類數(shù)據(jù)時采用截圖方式，多數(shù)以圖片形式存在，部分設(shè)備支持日志文件或策略規(guī)則導出功能，即可以相應格式文件存儲。

（3）旁路安全設(shè)備及數(shù)據(jù)獲取

基于迭代過程的網(wǎng)絡(luò)拓撲圖驗證流程，當鏈路路徑端點為非業(yè)務計算類設(shè)備時，可確定出旁路設(shè)備，一般旁路類安全設(shè)備包括：入侵防御系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、網(wǎng)絡(luò)審計系統(tǒng)、病毒服務器、日志服務器、安全管理中心等。

旁路類設(shè)備安全策略配置和安全狀態(tài)數(shù)據(jù)的獲取主要是為了獲取設(shè)備的版本號和各特征庫版本信息防護啟用配置、日志配置信息等，其中旁路設(shè)備絕大多數(shù)都是采用WEB方式或者用專門使用管理的軟件方式進行管理，通常這種類型設(shè)備的數(shù)據(jù)在采集過程中通過截圖形式進行傳輸。

2.3 信息安全風險評估框架及流程

信息安全風險評估就是從風險管理的角度，運用科學的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，為防范和化解信息安全風險，將風險控制在可接受的水平，最大限度地保障信息安全提供科學依據(jù)。

（1）風險分析原理

風險分析中要涉及資產(chǎn)、威脅、脆弱性三個基本要素。每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值;威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等;脆弱性的屬性是資產(chǎn)弱點的嚴重程度。風險分析的主要內(nèi)容為：

①對資產(chǎn)進行識別，并對資產(chǎn)的價值進行賦值;

②對威脅進行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值;

③對脆弱性進行識別，并對具體資產(chǎn)的脆弱性的嚴重程度進行賦值;

④根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性;

⑤根據(jù)脆弱性的嚴重程度及安全事件所作用的資產(chǎn)的價值計算安全事件的損失;

⑥根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計算安全事件一旦發(fā)生時的影響，即風險值。

（2）實施流程

風險評估的實施流程如圖1所示：

圖1 風險評估的實施流程示意圖

3 結(jié)束語

綜上所述，在信息安全等級保護測評項目實施過程中網(wǎng)絡(luò)安全測評是一大難點，而網(wǎng)絡(luò)拓撲圖是進行網(wǎng)絡(luò)安全測評的前提條件，所以要對測評對象進行正確選擇，這樣就能確保測評結(jié)果的可靠性和安全性。

[1]陳雪鴻，葉世超，石聰聰.淺談工業(yè)控制系統(tǒng)信息安全等級保護定級工作[J].自動化博覽，2015(05)：66-70.

[2]李文兢，謝翠萍.大型信息系統(tǒng)網(wǎng)絡(luò)安全測評的關(guān)鍵技術(shù)分析[J].信息通信，2016(02)：140-141.

[3]靳英伯.信息安全等級保護模型評測平臺的設(shè)計與實現(xiàn)[D].濟南：山東大學，2017(23)：245-246.