網(wǎng)絡(luò)安全等級保護(hù)測評中的網(wǎng)絡(luò)及通信安全測評

摘 要： 2019年頒布的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求（GB/T 22239—2019）》（信安字〔2019〕12號）[1]在原有《網(wǎng)絡(luò)安全等級保護(hù)基本要求（GB/T 22239—2008）》（信安字〔2007〕12號）[2]基礎(chǔ)上進(jìn)行了修訂，使之更加切合當(dāng)今中國的網(wǎng)絡(luò)環(huán)境。針對新修版中的網(wǎng)絡(luò)和通信安全層面部分內(nèi)容，如：通信傳輸、邊界防護(hù)、訪問控制、入侵防范、惡意代碼和垃圾郵件防范等控制點(diǎn)安全測評進(jìn)行了綜述，分析了與舊版之間的區(qū)別和重要改變，并將今后網(wǎng)絡(luò)和通信安全測評的主要方法和思路進(jìn)行了總結(jié)。對等保2.0時(shí)代的網(wǎng)絡(luò)和通信安全測評工作有一定的借鑒意義。

關(guān)鍵詞： 網(wǎng)絡(luò)安全; 等級保護(hù)測評; 網(wǎng)絡(luò)及通信安全測評

中圖分類號： TP311 ? ? ?文獻(xiàn)標(biāo)志碼： A

Network and Communcaton Securty Assessment n Network

Securty Level Protecton Assessment

ZHANG Ke

（Network nformaton Center， Shanx Normal Unversty， X'an 710062）

Abstract： The newly promulgated Basc Requrements for Network Securty Grade Protecton of nformaton Securty Technology n 2019 has been revsed on the bass of the orgnal Basc Requrements for Network Securty Grade Protecton， so as to make t more sutable for the network envronment of Chna today. Ths paper revews some aspects of network and communcaton securty n the new edton， such as communcaton transmsson， border protecton， access control， ntruson preventon， malcous code and spam preventon， analyzes the dfferences and mportant changes between the old edton and the new edton， and summarzes the man methods and deas of network and communcaton securty evaluaton n the future. The work of network and communcaton securty evaluaton staff n the era of peer-to-peer nsurance 2.0 has certan reference sgnfcance.

Key words： Network securty; Herarchcal protecton evaluaton; Network and communcaton securty evaluaton

0 引言

隨著網(wǎng)絡(luò)技術(shù)與人類生產(chǎn)、生活的深度結(jié)合，網(wǎng)絡(luò)空間已成為世界各國自身發(fā)展的重要戰(zhàn)略資源之一，各大國已逐漸將網(wǎng)絡(luò)和網(wǎng)絡(luò)空間當(dāng)作謀求自身發(fā)展戰(zhàn)略優(yōu)勢的重要博弈戰(zhàn)場[3]。作為未來國家戰(zhàn)略能力發(fā)展的重要組成部分，美、英、日等國已相繼完成本國網(wǎng)絡(luò)空間安全戰(zhàn)略的制定，確保未來能夠優(yōu)先發(fā)展自身的網(wǎng)絡(luò)空間能力[4]。進(jìn)入21世紀(jì)以來，我國綜合國力穩(wěn)步增強(qiáng)，信息技術(shù)與社會生產(chǎn)的結(jié)合也越來越緊密，“互聯(lián)網(wǎng)+”戰(zhàn)略的提出和實(shí)施保證了信息技術(shù)與傳統(tǒng)行業(yè)、新興行業(yè)的深度結(jié)合，同時(shí)也將逐漸加深我國社會生產(chǎn)、生活對網(wǎng)絡(luò)的依賴程度。在此背景下，一旦國家關(guān)鍵信息基礎(chǔ)設(shè)施遭到不法份子攻擊，極易造成國家各種信息甚至敏感信息的丟失，導(dǎo)致社會秩序產(chǎn)生混亂、危及大眾利益，甚至破壞國家安定和社會和諧[5]。新修版《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》（以下簡稱《要求》）對于目前網(wǎng)絡(luò)空間領(lǐng)域中各類新技術(shù)、新環(huán)境進(jìn)行了部分修訂，本研究將對其中網(wǎng)絡(luò)和通信安全測評主要內(nèi)容進(jìn)行分析和闡述，供從業(yè)人員參考借鑒。

1 網(wǎng)絡(luò)安全等級保護(hù)測評

等保測評工作，指的是測評機(jī)構(gòu)按照國家標(biāo)準(zhǔn)和規(guī)范化流程對與網(wǎng)絡(luò)安全相關(guān)的各環(huán)節(jié)進(jìn)行測評和分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)中信息系統(tǒng)以及數(shù)據(jù)資源是否存在功能缺陷或配置不安全等方面的問題[6]。等保測評工作與一般的安全測評和風(fēng)險(xiǎn)評估不同，除進(jìn)行“風(fēng)險(xiǎn)評估”外，還包括了“標(biāo)準(zhǔn)符合性評判工作”。

等保測評2.0工作具體包括兩方面：①單項(xiàng)測評，針對相關(guān)標(biāo)準(zhǔn)每一項(xiàng)安全要求進(jìn)行可重復(fù)及可再現(xiàn)性測評;②整體測評，在單項(xiàng)測評基礎(chǔ)上進(jìn)行安全控制點(diǎn)、安全控制點(diǎn)間以及層面間進(jìn)行整體安全保護(hù)能力測評。其中單項(xiàng)測評工作又包括兩方面：①技術(shù)測評，從技術(shù)角度對“物理和環(huán)境安全”“網(wǎng)絡(luò)和通信安全”“設(shè)備和計(jì)算安全”及“應(yīng)用和數(shù)據(jù)安全”等四方面進(jìn)行測評;②管理測評，從管理角度對“安全策略和管理制度”“安全管理機(jī)構(gòu)和人員”“安全建設(shè)管理”及“安全運(yùn)維管理”等四方面進(jìn)行測評[7]。網(wǎng)絡(luò)安全等級保護(hù)測評框架如圖1所示。

2 網(wǎng)絡(luò)和通信安全測評

2.1 控制點(diǎn)的變化

網(wǎng)絡(luò)和通信安全測評屬等保測評技術(shù)層面的安全檢測，是等保測評實(shí)際工作中的重要環(huán)節(jié)[8]。根據(jù)新修版《要求》中的標(biāo)準(zhǔn)，網(wǎng)絡(luò)和通信安全測評在安全通用要求部分對控制點(diǎn)訂，進(jìn)一步加強(qiáng)了對網(wǎng)絡(luò)整體安全保護(hù)的要求，確定了新的控制點(diǎn)（如圖2所示）。

相比于舊版標(biāo)準(zhǔn)，新修版《要求》在網(wǎng)絡(luò)和通信安全層面的主要變化有：①對舊版“入侵防范”“訪問控制”以及“惡意代碼和垃圾郵件防范”3個(gè)控制點(diǎn)的要求進(jìn)行了重新修訂;②新增了“通信傳輸”“邊界防護(hù)”和“集中管控”3個(gè)控制點(diǎn)，并將舊版標(biāo)準(zhǔn)中的“邊界完整性檢查”與新版標(biāo)準(zhǔn)的“邊界防護(hù)”控制點(diǎn)進(jìn)行了融合;③提出了更高的設(shè)備冗余要求，并將舊版中的“結(jié)構(gòu)安全”控制點(diǎn)改名為“網(wǎng)絡(luò)架構(gòu)”;④采用新版標(biāo)準(zhǔn)“設(shè)備和計(jì)算安全”控制點(diǎn)要求，對舊版標(biāo)準(zhǔn)中的“網(wǎng)絡(luò)設(shè)備防護(hù)”控制點(diǎn)要求進(jìn)行替換[9]。

2.2 重要控制點(diǎn)測評

2.2.1 通信傳輸

在“通信傳輸”控制點(diǎn)方面新版《要求》提出了兩點(diǎn)標(biāo)準(zhǔn)：①確保通信過程中的各類數(shù)據(jù)信息完整性，引入校驗(yàn)技術(shù)和密碼技術(shù);②確保通信過程中的各類數(shù)據(jù)信息保密性，引入密碼技術(shù)。

本研究認(rèn)為：①對一般網(wǎng)絡(luò)設(shè)備如路由器、交換機(jī)等而言，具有傳輸層網(wǎng)絡(luò)連接加密功能的SSH協(xié)議比TELNET協(xié)議等明文傳輸方式進(jìn)行遠(yuǎn)程管理的安全性更高[10];②對防火墻等安全設(shè)備而言，加入了SSL協(xié)議的HTTPS協(xié)議比HTTP協(xié)議等明文傳輸方式進(jìn)行遠(yuǎn)程管理的安全性更高[11]。實(shí)際的網(wǎng)絡(luò)和通信安全測評工作中，可按照通信傳輸控制點(diǎn)測評，如圖3所示。

2.2.2 邊界防護(hù)

為保證網(wǎng)絡(luò)的邊界安全，避免網(wǎng)絡(luò)中出現(xiàn)非法接入或外聯(lián)現(xiàn)象，同時(shí)實(shí)現(xiàn)對無線網(wǎng)絡(luò)的接入控制，在“邊界防護(hù)”控制點(diǎn)方面新修版《要求》提出了四點(diǎn)標(biāo)準(zhǔn)：①跨越邊界的訪問和數(shù)據(jù)流在進(jìn)行通信時(shí)，要確保通過了邊界設(shè)備提供的受控接口;②要能夠限制或檢查某些非授權(quán)設(shè)備私自連接內(nèi)部網(wǎng)絡(luò);③要能夠限制或檢查某些內(nèi)部用戶采用非授權(quán)的方式連接外部網(wǎng)絡(luò);④對無線網(wǎng)絡(luò)進(jìn)行一定限制，確保在接入內(nèi)部網(wǎng)絡(luò)時(shí)通過了受控的邊界設(shè)備。

研究認(rèn)為，通信網(wǎng)絡(luò)中可引入類似無線嗅探器等設(shè)備對網(wǎng)絡(luò)中的無線熱點(diǎn)進(jìn)行檢測，可及時(shí)甄別出網(wǎng)絡(luò)中的無線熱點(diǎn)是否非法，從而防止未授權(quán)設(shè)備利用該類熱點(diǎn)進(jìn)入內(nèi)部網(wǎng)絡(luò)[12-13]。實(shí)際測評工作中可按照如下步驟對邊界防護(hù)控制點(diǎn)進(jìn)行測評。

對于非法接入行為：

第一，核實(shí)通信網(wǎng)絡(luò)是否采用了網(wǎng)絡(luò)準(zhǔn)入控制技術(shù);

第二，通過網(wǎng)絡(luò)管理員驗(yàn)證網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)有效性;

第三，核實(shí)是否將未使用端口斷開或關(guān)閉;

第四，核實(shí)通信網(wǎng)絡(luò)中的設(shè)備是否進(jìn)行了P/MAC地址綁定。

對于非法外聯(lián)行為：

第一，核實(shí)系統(tǒng)是否部署了非授權(quán)用戶外聯(lián)網(wǎng)絡(luò)控制技術(shù);

第二，核實(shí)系統(tǒng)是否禁止雙網(wǎng)卡、Modem等端口使用。

無線網(wǎng)絡(luò)測評步驟如圖4所示。

2.2.3 訪問控制

為實(shí)現(xiàn)對系統(tǒng)網(wǎng)絡(luò)訪問的細(xì)粒度控制，保證內(nèi)部網(wǎng)絡(luò)不受攻擊，在“訪問控制”控制點(diǎn)方面新版《要求》提出了五點(diǎn)標(biāo)準(zhǔn)：①設(shè)置訪問控制規(guī)則，網(wǎng)絡(luò)邊界或區(qū)域之間的受控接口無法進(jìn)行任何通信;②優(yōu)化訪問控制列表，篩除系統(tǒng)中的無效或多余訪問控制規(guī)則至數(shù)量最低;③系統(tǒng)各環(huán)節(jié)進(jìn)行檢查，按照允許/拒絕形式的數(shù)據(jù)包進(jìn)出;④有明確的允許/拒絕訪問能力，能夠根據(jù)系統(tǒng)會話信息對數(shù)據(jù)流進(jìn)行控制，控制粒度為端口級;⑤能夠根據(jù)應(yīng)用協(xié)議和內(nèi)容對數(shù)據(jù)流進(jìn)行控制，控制粒度為端口級。實(shí)際測評工作中可按照如下步驟對“訪問控制”控制點(diǎn)進(jìn)行測評。

對于網(wǎng)閘、防火墻、路由器以及三層路由交換機(jī)等訪問控制設(shè)備：

第一，核實(shí)網(wǎng)絡(luò)中是否配置訪問控制設(shè)備;

第二，核實(shí)系統(tǒng)中是否配置了適合自身業(yè)務(wù)需求的訪問控制規(guī)則;

第三，核實(shí)系統(tǒng)中是否確保訪問控制規(guī)則最優(yōu)化;

第四，核實(shí)訪問控制設(shè)備中的最后一條安全策略是否為“拒絕所有網(wǎng)絡(luò)通信”。

此外，隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，海量應(yīng)用公用幾個(gè)端口或協(xié)議的情況已越來越普遍，原有的P地址/端口號的傳統(tǒng)防火墻已無法針對不同的應(yīng)用采取相應(yīng)的訪問控制策略[14-15]，必須引入應(yīng)用協(xié)議和內(nèi)容更加先進(jìn)的防火墻。為應(yīng)對該類問題，滿足新版標(biāo)準(zhǔn)中的相關(guān)要求，今后的“訪問控制”控制點(diǎn)實(shí)際測評中，應(yīng)采取相應(yīng)措施對企業(yè)網(wǎng)絡(luò)系統(tǒng)中是否在關(guān)鍵節(jié)點(diǎn)處部署了新式防火墻以及防火墻中是否部署了相應(yīng)的訪問控制策略進(jìn)行核實(shí)。

2.2.4 入侵防范

為防止系統(tǒng)受到攻擊，并主動分析網(wǎng)絡(luò)中出現(xiàn)的新型攻擊行為，在“入侵防范”控制點(diǎn)方面新版《要求》提出了3點(diǎn)標(biāo)準(zhǔn)：①部署關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)檢測設(shè)備，防止出現(xiàn)從外部或內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊;②部署網(wǎng)絡(luò)攻擊行為分析設(shè)備，及時(shí)掌握新型網(wǎng)絡(luò)攻擊行為規(guī)律;③當(dāng)網(wǎng)絡(luò)受到攻擊時(shí)，應(yīng)及時(shí)對攻擊源P、攻擊類型、攻擊目的、攻擊時(shí)間進(jìn)行記錄，并提供自行報(bào)警功能。實(shí)際測評工作可對“入侵防范”控制點(diǎn)進(jìn)行測評，如圖5所示。

此外，在實(shí)際測評工作中，應(yīng)首先核實(shí)網(wǎng)絡(luò)中部署的組件是否正常工作，其次要核實(shí)部署的相關(guān)組件規(guī)則庫是否為最新。

2.2.5 惡意代碼和垃圾郵件防范

為保證內(nèi)部網(wǎng)絡(luò)安全，阻止惡意代碼及垃圾郵件進(jìn)入，在“惡意代碼和垃圾郵件防范”控制點(diǎn)方面新版《要求》提出了兩點(diǎn)標(biāo)準(zhǔn)：①在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署惡意代碼防護(hù)機(jī)制，及時(shí)檢測并清除惡意代碼;②在關(guān)鍵節(jié)點(diǎn)處部署垃圾郵件防護(hù)機(jī)制，及時(shí)檢測并清除垃圾郵件。實(shí)際測評工作中可按照如下步驟對“惡意代碼和垃圾郵件防范”控制點(diǎn)進(jìn)行測評。

對于惡意代碼：

第一，核實(shí)系統(tǒng)是否于關(guān)鍵節(jié)點(diǎn)處部署了惡意代碼防護(hù)機(jī)制;

第二，核實(shí)惡意代碼防護(hù)機(jī)制是否正常運(yùn)行;

第三，核實(shí)核實(shí)惡意代碼防護(hù)機(jī)制特征庫數(shù)據(jù)是否最新;

第四，網(wǎng)絡(luò)和通信層面的惡意代碼防范是否與設(shè)備和計(jì)算層面的惡意代碼防范協(xié)同工作;

第四，若系統(tǒng)要求較高的實(shí)時(shí)性，則應(yīng)采取其他方式進(jìn)行惡意代碼防護(hù)。

對于垃圾郵件：

第一，確認(rèn)郵件系統(tǒng)為單位自建或購買第三方服務(wù);

第二，若單位郵件系統(tǒng)為自建系統(tǒng)，則核實(shí)系統(tǒng)是否于關(guān)鍵節(jié)點(diǎn)處部署了垃圾郵件防護(hù)機(jī)制;

第三，核實(shí)系統(tǒng)中垃圾郵件防護(hù)機(jī)制是否正常運(yùn)行;

第四，核實(shí)系統(tǒng)中垃圾郵件防護(hù)機(jī)制特征庫數(shù)據(jù)是否最新。

若單位郵件系統(tǒng)為購買的第三方服務(wù)，則應(yīng)協(xié)調(diào)服務(wù)提供方配合進(jìn)行安全測評工作，其他內(nèi)容不變。

3 總結(jié)

研究主要對最新版等保測評標(biāo)準(zhǔn)中的網(wǎng)絡(luò)和通信安全測評進(jìn)行了研究。通過對通信傳輸、邊界防護(hù)、訪問控制、入侵防范、惡意代碼和垃圾郵件防范等控制點(diǎn)的變化情況及具體測評方法進(jìn)行分析，總結(jié)出了最適合測評工作人員使用的測評流程，為等保2.0時(shí)代的網(wǎng)絡(luò)安全等級保護(hù)測評工作提供了借鑒。但是，由于新版評測標(biāo)準(zhǔn)剛公布不久，文章尚未對“物理和環(huán)境”“設(shè)備和計(jì)算安全”及“應(yīng)用和數(shù)據(jù)安全”等方面進(jìn)行分析，也還未從管理角度對測評工作進(jìn)行研究。等保2.0時(shí)代，《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》具有更強(qiáng)的時(shí)效性、易用性，也具有更強(qiáng)的可操作性，對其進(jìn)行深入分析將會大大提高等保測評工作的工作質(zhì)量和工作效率。

參考文獻(xiàn)

[1] 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會.GB/T 22239—2019信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求[S].北京：中國標(biāo)準(zhǔn)出版社：2019.

[2] 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會.GB/T 22239—2008網(wǎng)絡(luò)安全等級保護(hù)基本要求[S]. 北京：中國標(biāo)準(zhǔn)出版社：2008.

[3] 夏冰.網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級保護(hù)2.0[M].北京：電子工業(yè)出版社，2017.

[4] 黎水林，陳廣勇，陶源.網(wǎng)絡(luò)安全等級保護(hù)測評中網(wǎng)絡(luò)和通信安全[J].信息網(wǎng)絡(luò)安全，2018，18（9）：19-24.

[5] 李云亞，陳大文，李盛民.基于網(wǎng)絡(luò)安全法的等級保護(hù)工作開展研究[J].無線互聯(lián)科技，2018，19：23-24.

[6] 高員，黃曉昆，李秀偉.等. 保2.0時(shí)代云計(jì)算安全要求及測評實(shí)踐[J].信息安全研究，2018，4（11）：987-992.

[7] 陳芳.等級保護(hù)體系下云計(jì)算安全芻議[J].廣播電視信息，2017，24（3）：35-38.

[8] 張文勇，李維華，唐作其.信息安全等級保護(hù)測評中網(wǎng)絡(luò)安全現(xiàn)場測評方法研究[J].電子科學(xué)技術(shù)，2016，5（5）：272-276.

[9] 王曙光，王慶升，劉美麗，等.無線傳感器網(wǎng)絡(luò)安全測評關(guān)鍵技術(shù)研究[J].電子測量技術(shù)，2015，38（5）：93-96.

[10] 馬蘇安，駱文，張金鑫.應(yīng)對高級網(wǎng)絡(luò)威脅建立新型網(wǎng)絡(luò)防御系統(tǒng)[J].信息安全研究，2016，2（4）：377-382.

[11] 焦改英.分布式移動管理技術(shù)在無線網(wǎng)絡(luò)管理中的應(yīng)用研究[J].微型電腦應(yīng)用，2018，34（8）：82-84.

[12] 李毅，顧健，顧鐵軍.復(fù)雜網(wǎng)絡(luò)安全產(chǎn)品質(zhì)量評價(jià)體系的知識建模及其應(yīng)用[J].信息網(wǎng)絡(luò)安全，2018，18（9）：55-59.

[13] 劉偉，李泉林，芮力.一種入侵防御系統(tǒng)性能分析方法[J].信息網(wǎng)絡(luò)安全，2015，15（9）：46-49.

[14] 王世軼，吳江，張輝.滲透測試在網(wǎng)絡(luò)安全等級保護(hù)測評中的應(yīng)用[J].計(jì)算機(jī)應(yīng)用與軟件，2018，35（11）：190-193.

[15] 張家偉，張冬梅，黃偲琪.一種抗APT攻擊的可信軟件基設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2017，17（6）：49-55.

（收稿日期： 2019.06.26）

作者簡介：張珂（1982-），男，潼關(guān)人，學(xué)士，工程師，研究方向：網(wǎng)絡(luò)工程、網(wǎng)絡(luò)安全。文章編號：1007-757X（2020）01-0130-04