信息安全等級保護測評中網絡安全現(xiàn)場測評方法探究

錢平 肖黎彬 李陽冬

摘 ?要：信息安全等級保護是我國保障信息安全的基本制度、策略以及方法，而其中最大的難點就是網絡安全現(xiàn)場測評。網絡安全現(xiàn)場測評現(xiàn)在還存在很多問題，主要是被測評方技術人員能力不足以及被測評方技術人員不配合等等，而針對這些現(xiàn)象制定了迭代恢復網絡拓撲圖結構方法，可以確保獲取被測評網絡原始數(shù)據(jù)的高效性和完整性，保障測評項目能夠高效率的實施。本文主要探究了信息安全等級保護測評中網絡安全現(xiàn)場測評的方法。

關鍵詞：信息安全 ?等級保護 ?網絡安全 ?現(xiàn)場測評

中圖分類號：TP393.08 ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A ? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1674-098X（2019）07（b）-0151-02

現(xiàn)階段，我國針對信息安全等級保護制定了一系列方針制度，國家也針對信息安全等級保護測評頒布了相應的標準。標準的提出為信息安全等級保護測評技術制定了相應的標準，測評人員也可以根據(jù)標準獲取相應的證據(jù)。由于網絡狀態(tài)不穩(wěn)定以及現(xiàn)場的不確定性，所以一般情況下，測評人員無法嚴格按照標準實施，這就造成了測評的差異性和不確定性。本文主要基于用戶訪問路徑的網絡測評對象確定和原始數(shù)據(jù)的分析迭代恢復網絡拓撲圖機構方法，有效的解決網絡現(xiàn)場測評中普遍存在的技術漏洞。

1 ?網絡現(xiàn)場安全測評存在的困難

網絡安全測評工作大致分為四個階段，分別是測評準備階段、指導開發(fā)階段、現(xiàn)場測評階段以及測評結果匯總分析階段。測評過程的效率和質量受信息安全等級測評中信息系統(tǒng)相關的技術影響[1]。

1.1 變更管理的缺失，網絡拓撲圖與現(xiàn)場網絡拓撲不一致

被測評單位的網絡拓撲圖一般繪制的都是比較完整的，因為其在建設時技術資料就比較完整，但是隨著時間的變化，網絡節(jié)點和網絡出口都會隨之而增加，而且隨著業(yè)務的不斷拓展，其業(yè)務量也會不斷增加，這就導致網絡拓撲發(fā)生變化。但是如果信息系統(tǒng)沒有嚴格的變更管理制度規(guī)范，那么這些變化就不會在文檔上體現(xiàn)變化，另外管理人員也會不斷變更，這就容易造成技術交接出現(xiàn)各種漏洞，最終導致網絡拓撲圖與現(xiàn)場網路拓撲不一致[2]。

1.2 網絡管理員對網絡掌握不夠，配合能力和水平有限

網絡技術維護工作現(xiàn)在普遍依賴外包單位，主要是因為很多業(yè)主方技術管理人員都不是專職的技術人員其技術能力也是有限的，多數(shù)采用網絡技術維護工作外包形式。但是由于外包維護方在管理制度和執(zhí)行制度上存在一定缺失，所以一旦出現(xiàn)問題，就會影響業(yè)主單位對網絡的管理，常見的就是與外包單位終止服務或者維護技術人員頻繁更換，以上情況都會對網絡安全測評造成相應的影響。

1.3 被測評方配合不主動

由于大多數(shù)業(yè)主方技術管理人員都是兼職網絡管理員，往往出現(xiàn)一人多職的現(xiàn)象。在測評過程中不能隨時陪同，而且配合的比較被動，對于網絡安全測評的流程和重要性關注度不高。

1.4 被測評方技術人員故意隱藏信息

信息系統(tǒng)業(yè)主方技術人員隱藏網絡詳細信息也是配合不夠的重要因素之一，由于業(yè)主方技術人員對測評工作流程理解不夠透徹，害怕測評過程中出現(xiàn)風險，就會故意隱藏一部分網絡信息。還經常出現(xiàn)的就是網絡管理員為了省事，對網絡的管理以及自己工作不認真而違反相關網絡安全規(guī)定，害怕安全測評或者出現(xiàn)的安全隱患對自己不利而故意隱藏一些信息。一般發(fā)生這種情況，技術管理人員就會主要介紹主要網絡情況，很多詳細信息會一帶而過，這就影響了測評人員對信息獲取的真實性和準確性，而測評人員如何發(fā)現(xiàn)問題并快速獲取相關數(shù)據(jù)是一項有困難的工作[3]。

2 ?信息安全等級保護測評中網絡安全現(xiàn)場測評方法

在信息系統(tǒng)安全等級保護測評指南中具體規(guī)定了一些測評的評估方法，比如說檢查、測試以及訪談等等，一般檢查是通過文檔審查、配置核查以及對實際現(xiàn)場地形進行查看等等。現(xiàn)階段，主要為了進一步完善和改革測評方法關于網絡安全現(xiàn)場測評這一塊，是網絡安全現(xiàn)場測評更加高效和可操作性。綜上所述，網絡現(xiàn)場安全測評是有一定難度的，配置核查是獲取數(shù)據(jù)和網絡基本安全配置的重要手段之一。

2.1 確定測評對象

實際操作過程中，如果實際與網絡拓撲圖不符，尤其是網絡系統(tǒng)復雜或者是用戶業(yè)務系統(tǒng)繁多的狀態(tài)下確定測評對象就比較有難度。一般是根據(jù)用戶訪問路徑來確定網絡測評對象方法。基于用戶訪問路徑的網絡測評對象確定方法的主要思路是將不同類型用戶的接入?yún)^(qū)域用戶的接入點作為起點，然后終點設置在業(yè)務系統(tǒng)中的應用服務器的位置。將網關設備按照一定的順序納入訪問路徑中，所有路徑上面的網關設備構成了網絡網關設備路徑，其上面的所有網關設備都會被列為測評對象，還應該合并不同路徑上面的公共節(jié)點。

2.2 測評對象配置和狀態(tài)數(shù)據(jù)的獲取

2.2.1 命令行管理方式設備的數(shù)據(jù)獲取

一般設備版本號、路由表、日志狀態(tài)都是通過執(zhí)行命令行命令的方式而獲取的，通常采用的形式都是文本文件。在實際操作過程中，要先編制測評操作指導書，然后將每一種設備需要用到的命令通過列表形式對其進行表示，這樣方便了測評工作人員的日常工作，只需要按照列表上的順序執(zhí)行命令就可以，然后開啟終端，并將屏幕顯示的數(shù)據(jù)進行記錄，將輸出的存到文本文件，這樣可以大大提高現(xiàn)場的測評效率。

2.2.2 WEB界面管理方式設備數(shù)獲取

WEB管理方式的設備廠商比較多，供選擇的范圍比較廣，其設置方式也是多種多樣，給測評人員的選擇提供了很大的方便。通常采用截圖的方式來獲取數(shù)據(jù)以便提高效率，因為大部分數(shù)據(jù)都是以圖片的形式存在，一部分設備都是支持日志文件或者策略規(guī)則的導出功能，就是我們常說的以這種格式進行儲存文件。

2.2.3 旁路安全設備及數(shù)據(jù)獲取

網絡拓撲圖的驗證過程就是當鏈路路徑端點不是業(yè)務計算類設備時，可確定出旁路設備。常見的旁路設備就是入侵防御系統(tǒng)、網絡審計系統(tǒng)、安全管理中心等等。而獲取旁路類設備安全策略配置和安全狀態(tài)數(shù)據(jù)主要是為了獲取設備的版本號和各種類型的庫版本信息防護啟用配置等等。WEB方式是我們經常廣泛應用的旁路設備，或者經常使用管理軟件的方式進行管理，這種類型設備的數(shù)據(jù)一般也是通過截圖方式進行傳輸。

2.3 信息安全風險評估框架及流程

從風險管理的角度來看，信息安全風險是利用科學的方法將信息系統(tǒng)所面臨的危險和存在的問題進行分析，以及評估安全事件發(fā)生所造成的危害嚴重程度，一旦評估安全事件可能發(fā)生危害程度，就會提出有針對的抵御策略和解決措施，為了將信息安全風險將風險降到最低水平，最大限度的保障信息安全提供最有效的科學依據(jù)。

3 ?結語

網絡安全測評是信息安全等級保護測評項目實施的重中之重，也是極有難度的。網絡安全測評的基礎就是網絡拓撲圖。選取正確的網絡安全測評對象可提高網絡安全測評記過的準確性和可靠性。本文介紹的基于用戶訪問路徑的方法可以提高網絡安全測評工程師的速度和更準確的確定測評對象。在我國，保障信息安全的制度、策略以及方法都是信息安全等級保護，而其中的網絡安全現(xiàn)場測評就是信息安全等級保護項目測評中的難點。

參考文獻

[1] 陳雪鴻，葉世超，石聰聰.淺談工業(yè)控制系統(tǒng)信息安全 等級保護定級工作[J].自動化博覽，2015（5）：66-70.

[2] 李文兢，謝翠萍.大型信息系統(tǒng)網絡安全測評的關鍵技 術分析[J].信息通信，2016（2）：140-141.

[3] 靳英伯.信息安全等級保護模型評測平臺的設計與實現(xiàn) [D].山東大學，2017.