概述信息安全等級保護測評中網(wǎng)絡(luò)安全現(xiàn)場測評方法

周松?周放

摘 要 對于國家的戰(zhàn)略國防建設(shè)以及可持續(xù)性發(fā)展而言，信息安全是重中之重，而在我國，保障信息安全的基本制度、策略以及方法是信息安全等級保護，而網(wǎng)絡(luò)安全現(xiàn)場測評是信息安全等級保護項目測評中的難點，基于用戶訪問路徑的網(wǎng)絡(luò)測評對象確定和原始數(shù)據(jù)的分析迭代恢復(fù)網(wǎng)絡(luò)拓?fù)鋱D結(jié)構(gòu)方法，有效地解決了網(wǎng)絡(luò)現(xiàn)場測評中普遍存在的技術(shù)資料不全、被測評方技術(shù)人員能力有限、被測評方技術(shù)人員配合不足等問題，可以高效、準(zhǔn)確、完整地獲取被測評網(wǎng)絡(luò)原始數(shù)據(jù)，確保測評項目能夠及時、高質(zhì)量的實施，希望對相關(guān)人士有所幫助。

關(guān)鍵詞 信息安全;等級保護;網(wǎng)絡(luò)安全;現(xiàn)場測評

國家信息安全是國家發(fā)展中十分關(guān)鍵的部分，只有在保證信息安全的前提下，才能夠確保國家發(fā)展的重要信息不泄露，而為了進(jìn)一步的確保國家信息安全，完善信息保護的相關(guān)制度、策略以及方法，信息系統(tǒng)安全等級保護逐漸受到重視。對于國家信息安全而言，任何問題都不容忽視，因此開展信息安全等級保護時關(guān)系到國民發(fā)展的重要內(nèi)容以及政治任務(wù)。當(dāng)前。國家關(guān)于信息安全等級保護的相關(guān)政策、制度以及措施標(biāo)準(zhǔn)等基本設(shè)定完畢，如《信息安全等級保護測評要求》對信息安全等級保護測評提出了具體的標(biāo)準(zhǔn)要求，如其中的技術(shù)獲得方法，測評人員獲取信息數(shù)據(jù)的途徑等都做出了明確的要求，這樣測評人員在進(jìn)行信息系統(tǒng)測試評估時將更多地從信息安全等級保護的角度出發(fā)。但是當(dāng)前信息安全等級保護測評中網(wǎng)絡(luò)安全現(xiàn)場測評還是存在著很多不合標(biāo)準(zhǔn)的現(xiàn)象，這就使得現(xiàn)場測評難以有效開展，同時測試結(jié)果也出現(xiàn)不確定性。因此本文將對網(wǎng)絡(luò)現(xiàn)場安全配置以及安全狀態(tài)原始數(shù)據(jù)的現(xiàn)場測評方法進(jìn)行探討。

1當(dāng)前網(wǎng)絡(luò)現(xiàn)場安全測評存在的問題

1.1 變更管理不到位

在進(jìn)行網(wǎng)絡(luò)現(xiàn)場安全測評時，通常被測評單位需要出示較為完整的技術(shù)資料，包括繪制完整的網(wǎng)絡(luò)拓?fù)鋱D等，但是這些數(shù)據(jù)信息會隨著時間的推移發(fā)生改變，如網(wǎng)絡(luò)節(jié)點和網(wǎng)絡(luò)出口等都在逐漸增加，網(wǎng)絡(luò)區(qū)域也與原來不同，業(yè)務(wù)應(yīng)用范圍進(jìn)行了調(diào)整，上述這些改變都將使得網(wǎng)絡(luò)拓?fù)鋱D發(fā)生變化。如果在現(xiàn)場測評中沒有對這些變化進(jìn)行及時的管理，建立相應(yīng)的制度加以支持，技術(shù)文檔中就無法有效反映這些變更，更極端的情況下如果技術(shù)管理人員如果出現(xiàn)調(diào)整，沒有進(jìn)行變更管理的技術(shù)標(biāo)準(zhǔn)交接就會出現(xiàn)各種問題以及漏洞，最終使得測評結(jié)果出現(xiàn)偏差[1]。

1.2 網(wǎng)絡(luò)管理員水平有限

很多業(yè)主方選擇將網(wǎng)絡(luò)技術(shù)維護工作外包以實現(xiàn)信息系統(tǒng)的有效維護，這種做法一定程度上使得信息安全維護工作的效率提升，但是由于業(yè)主方面的網(wǎng)絡(luò)管理人員水平欠缺，過分依賴外包方，就會導(dǎo)致業(yè)主方管理制度的缺失，無法對信息系統(tǒng)安全維護工作進(jìn)行有效的管理，這就會為網(wǎng)絡(luò)安全埋下相當(dāng)大的隱患。一旦合作方發(fā)生改變或者合作方的技術(shù)維護人員變更，在工作交接以及配合上就會出現(xiàn)各種各樣的問題，業(yè)主單位的網(wǎng)絡(luò)管理工作質(zhì)量嚴(yán)重下降，這對于網(wǎng)絡(luò)安全測評也是不小的威脅[2]。

1.3 被測評方缺乏有效的配合

很多被測評的業(yè)主網(wǎng)絡(luò)技術(shù)管理人員本身專業(yè)素質(zhì)不夠，屬于非專業(yè)的網(wǎng)絡(luò)管理員，很多是其他崗位的人員進(jìn)行兼職，這就使得現(xiàn)場測評環(huán)節(jié)很多業(yè)主方?jīng)]有監(jiān)督陪同，對于信息網(wǎng)絡(luò)安全測評工作缺乏重視，不夠關(guān)注測評流程以及測評結(jié)果，更是沒有積極主動的進(jìn)行配合，這給網(wǎng)絡(luò)安全現(xiàn)場測評帶來了一定的困難[3]。

1.4 被測評方技術(shù)人員責(zé)任心不足

網(wǎng)絡(luò)安全現(xiàn)場測評的準(zhǔn)確性以及有效性需要建立在信息完整的基礎(chǔ)上，因此被測評方的技術(shù)人員需要提供所需信息，但是很多信息系統(tǒng)的業(yè)主方技術(shù)人員為了逃避責(zé)任，存在隱藏安全隱患的現(xiàn)象，沒有向測評方提供必要的數(shù)據(jù)信息。同時，很對業(yè)主方技術(shù)人員為了避免因測評工作對設(shè)備正常運行工作造成的影響，選擇隱藏關(guān)鍵的網(wǎng)絡(luò)信息。更有甚者，很多業(yè)主方的網(wǎng)絡(luò)管理員會根據(jù)自己的不良習(xí)慣或者使用的方便選擇更改某些數(shù)據(jù)信息或者網(wǎng)絡(luò)配置，在現(xiàn)場測評環(huán)節(jié)為了逃避責(zé)任選擇隱藏這些安全隱患，這樣測評工作人員就不能夠有效的獲取完成的數(shù)據(jù)信息，導(dǎo)致現(xiàn)場測評的效率以及真實性不足，給現(xiàn)場測評帶來了不小的挑戰(zhàn)。

1.5 網(wǎng)絡(luò)拓?fù)渥詣踊瘷z測工具的限制

很多網(wǎng)絡(luò)安全現(xiàn)場測評中采用自動化生成工具，但是部分自動化檢測工具并不能夠有效發(fā)揮作用，無法反映出信息網(wǎng)絡(luò)的真實狀況，這也是造成測評結(jié)果偏差的因素之一。而且針對某些重要的信息心痛如工業(yè)控制系統(tǒng)，自動化檢測工具反而會引入一些不必要的安全風(fēng)險，這樣就不能夠直接使用自動化檢測工具[4]。

2網(wǎng)絡(luò)安全現(xiàn)場測評方法

在進(jìn)行網(wǎng)絡(luò)安全現(xiàn)場測評工作時，首先需要確定測評對象，通常確定網(wǎng)絡(luò)測評對象時基于用戶訪問路徑加以確定;之后進(jìn)行測評對象的配置以及狀態(tài)數(shù)據(jù)的有效獲取，如設(shè)備版本號、命令配置文件、路由表、接口狀態(tài)、日志狀態(tài)等都是需要獲取的數(shù)據(jù)類型;接下來需要進(jìn)行網(wǎng)絡(luò)拓?fù)浞闲则炞C工作，包括每一條路徑上的網(wǎng)關(guān)節(jié)點接口鏈路的符合性;最后進(jìn)行的是旁路安全設(shè)備及其數(shù)據(jù)獲取過程，確定旁路設(shè)備時主要根據(jù)鏈路路徑端點的計算類設(shè)備類型，當(dāng)屬于非業(yè)務(wù)計算類設(shè)備時，確認(rèn)為旁路設(shè)備，在獲取其相關(guān)安全策略配置以及狀態(tài)數(shù)據(jù)。最后，需要對現(xiàn)場測評的數(shù)據(jù)進(jìn)行整理，基于網(wǎng)絡(luò)安全層面測試得到的測評控制點以及各要求項進(jìn)行原始記錄數(shù)據(jù)的歸類整理，填寫相應(yīng)的網(wǎng)絡(luò)單元測評結(jié)果表，對測評結(jié)果分析并提供相應(yīng)的信息安全等級保護措施[5]。

3結(jié)束語

綜上所述，國家信息安全是其發(fā)展的關(guān)鍵因素，因此采用信息安全等級保護時必然的選擇，其中網(wǎng)絡(luò)安全現(xiàn)場測評工作時等級保護工作的重點難點問題，實現(xiàn)在網(wǎng)絡(luò)拓?fù)鋱D基礎(chǔ)上的網(wǎng)絡(luò)安全現(xiàn)場測評工作還是受到各種因素的限制，需要對測評方法進(jìn)行優(yōu)化，以使得測評效率提升，并保證測評質(zhì)量。

參考文獻(xiàn)

[1] 宮平. 信息安全等級保護測評中網(wǎng)絡(luò)安全現(xiàn)場測評方法研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019，（5）：17-18.

[2] 王世軼，吳江，張輝. 滲透測試在網(wǎng)絡(luò)安全等級保護測評中的應(yīng)用[J]. 計算機應(yīng)用與軟件，2018，35（11）：190-193.

[3] 陸昊. 在醫(yī)療機構(gòu)中開展信息安全等級保護測評實踐和探討[J]. 信息網(wǎng)絡(luò)安全，2012，（z1）：44-46.

[4] 袁文浩，林家駿，王雨. 信息安全等級保護中等級測評的CAE建模[J]. 計算機應(yīng)用與軟件，2012，（10）：230-233.

[5] 王智，王大萌，劉兆東. 等級保護測評中的風(fēng)險質(zhì)量定性分析研究[J]. 信息技術(shù)，2014，（10）：185-187.