信息安全等級保護測評中網絡安全現(xiàn)場測評方法分析

楊本毅

摘要：一直以來，國家都將信息系統(tǒng)的安全放在第一位置?，F(xiàn)場對網絡安全展開測評一直都是難點內容。該文主要針對網絡現(xiàn)場安全測評中存在的難點進行剖析，立足于這些難點問題之上，提出一些必要的測評方法，確保能夠獲取準確的測評網絡原始數(shù)據，對測評項目有效地進行支持。

關鍵詞：信息安全;等級保護;網絡安全;現(xiàn)場測評

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）29-0013-02

目前，國家針對信息安全等級保護已經提出一些必要的制度，讓網絡安全現(xiàn)場測評能夠順利開展。但是，實際情況反映出來的是對網絡現(xiàn)場實施安全測評的時候存在很多的困難，網絡管理人員對網絡的熟悉程度不夠，所謂的變更管理也存在很大的缺失，這就需要針對這些實際問題加大調整，并采取合理的測評方法進行分析。

1網絡現(xiàn)場安全測評存在的困難

1.1變更管理存在缺失

被測評單位展開建設的時候會擁有完整的技術資料，從而繪制出比較完整的網絡拓撲圖。但是在時間的不斷推移之下，不管是將網絡節(jié)點進行增加，還是讓網絡區(qū)域得以改變，都會引起網絡拓撲的變化。如果信息系統(tǒng)得不到相應的變更管理支持，技術文檔上就體現(xiàn)不出具體的變化。另外，技術管理人員也在不斷發(fā)生變更，技術交接的時候存在的漏洞十分大，這就讓變更管理的缺失問題更加嚴重。

1.2網絡管理員對網絡不夠掌握

網絡技術維護發(fā)揮的作用極大，可以對信息系統(tǒng)進行良好的維護。業(yè)主方的技術管理人員由于技術能力有限，大多都是依賴外包單位的技術人員。業(yè)主方對于維護方在管理制度上存在一定的管理缺失，這很容易讓外包單位的服務終止。如果外包單位的技術人員再次進行更換，就會讓業(yè)主單位對網絡的管理造成嚴重的影響，給網絡的安全測評造成極大的影響。

1.3被測評方技術人員故意將信息隱藏

信息系統(tǒng)中業(yè)主一方的人員存在逃避責任的現(xiàn)象，對于安全方面的隱患也會隱藏，具體的配合也不夠。對于重要的業(yè)務系統(tǒng)來說，技術人員對測評工作理解不到位的情況下，因為擔心在正常測評的時候會對業(yè)務的正常運行造成影響，所以故意將一些網絡信息隱藏。一些網絡管理人員為了讓網絡的管理更加方便導致網絡的配置和具體的網絡安全規(guī)定不符合，還會擔心因為安全測評擔心上級領導發(fā)現(xiàn)的具體安全隱患從而對自身不利嘲。這種情況下，技術人員通常只是將網絡的基本狀況進行介紹，不會告訴測評人員詳細的信息，這就導致測評人員獲取的數(shù)據不夠真實，測評人員在挖掘網絡中存在的基本數(shù)據時存在巨大的挑戰(zhàn)。

1.4網絡拓撲自動化檢測工具的局限性

展開網絡測評的時候通常都會使用到自動化生成工具，但是自動化檢測工具也存在一定的不足，將網絡運行真實的情況根本反映不出來。多數(shù)網絡為了確保運行安全性，將網絡設備協(xié)議關閉，這就導致檢測工具無法形成具體的網絡拓撲，對于一些安全設備也不具備穿透功能。

2信息安全等級保護測評中網絡安全現(xiàn)場測評方法

2.1對測評對象進行確定

網絡拓撲圖如果不夠一致，用戶業(yè)務系統(tǒng)十分繁多的時候，網絡系統(tǒng)會十分復雜，對對象的測評也會存在一定的困難。因此，可以對用戶的訪問途徑進行確定，然后對網絡對象展開測評。

確定網絡測評對象的時候需要建立在用戶訪問途徑的基礎上，將不同類型的用戶接入同一個區(qū)域中，將其具體的接人點作為起點，對業(yè)務系統(tǒng)中存在的應用服務器位置進行設置，在訪問路徑中遵循相應的順序將網關設備加人其中，讓所有路徑上面的網關設備能夠有效組成網關設備路徑，將訪問路徑中所有的網關設備作為具體的測評對象，根據不同的路徑將所有的公共節(jié)點合并在一起。

網關類設備具有多種類型，防火墻、交換機等都屬于網關類設備，部分網關類設備屬于一個透明的模式，也就是說所有串聯(lián)在一起的設備都屬于網關類設備。

2.2配置測評對象、獲取狀態(tài)數(shù)據

（1）獲取命令型管理設備的數(shù)據

通過執(zhí)行命令形式可以獲取不同的數(shù)據類型，主要的形式是文本文件。具體展開操作的時候需要編制測評操作指導書，通過相應的列表形式對各個設備所用到的命令進行表示，這樣測評工作人員就會根據列表具體的順序執(zhí)行相關命令。開啟終端，對屏幕上顯示出來的數(shù)據進行記錄，將輸出的文件存為文本文件，這樣就可以讓現(xiàn)場的測評效率得到相應的保證。

（2）獲取WEB界面管理方式的設備數(shù)

WEB界面管理方式的設備的廠商是十分多的，設置方式也具有多樣化，測評人員需要合理地進行選取。獲取的主要數(shù)據會有多種，配置良好的接口，然后再重新進行開啟，采用不同的工作方式、訪問控制策略。為了讓設備數(shù)獲取的效率能夠充分提高，對這些數(shù)據在獲取的時候可以采用截圖的方式，讓其以圖片的形式展現(xiàn)出來，一些設備文件具有一定的導出功能，可以將文件以相應的格式進行存儲。

（3）旁路安全設備和數(shù)據獲取

在迭代過程中需要對網絡拓撲結構流程進行遵循，當鏈路路徑的端點不屬于業(yè)務計算類設備的時候，就可以對旁路設備進行確定嘲。旁路類安全設備包括的種類十分繁多，有病毒服務器、日志服務器等。

配置旁路類的設備，獲得安全狀態(tài)數(shù)據就可以獲取不同設備的版本號，并對不同版本的信息進行防護和啟用，相應的還可以對日志信息進行配置。旁路設備中很多設備都是采用WEB來管理的，這種類型的設備對數(shù)據進行收集的時候會以截圖的形式來傳輸。

2.3信息安全風險評估

評估信息安全風險的時候需要從風險管理的角度出發(fā)，采用科學的手段對系統(tǒng)中存在的潛在問題和威脅進行分析，對于安全事件發(fā)生的時候出現(xiàn)的危害進行評估，有針對性的威脅采取相應的防護措施，將信息安全方面存在的風險進行化解，將風險控制在合理的范圍中，讓信息安全得到一定的保障。

風險分析中涉及三大要素，分別是資產、脆弱性、威脅，每個要素所具有的屬性不同，資產主要需要資產價值。威脅屬性不僅可以是威脅主體，還會是動機等。脆弱性屬性主要是資產弱點的嚴重程度。對風險進行分析的時候主要涉及的內容有多種。做好資產的識別工作，對資產價值進行賦值。對威脅同樣展開識別，并對威脅的屬性進行描述，掌握威脅引發(fā)的賦值。對脆弱性同樣需要做好識別，并對可能引發(fā)的資產的嚴重程度做好賦值。利用威脅引發(fā)的脆弱性需要對安全事件的可能性科學地進行判斷。依據脆弱性具體的嚴重程度對安全事件所用到的資產價值進行計算，并對安全事件產生的損失進行計算。對安全事件所發(fā)生的可能性對安全事件的損失進行計算，并對安全事件產生的影響進行計算，也就是計算風險值。

3結束語

綜上所述，保護測評需要依據信息安全等級來開展，并對網絡展開安全測評，這項測評中存在諸多難點。對網絡進行安全測評的時候網絡拓撲圖是必須具備的條件，這就需要對測評對象展開正確的選擇，這樣測評出來的結果才會具有一定的安全性和可靠性。