網絡安全等級保護測評中的網絡及通信安全測評

蘭長亮

長春市博鴻科技服務有限責任公司 吉林長春 130000

1 課題研究背景

隨著網絡技術與人類生產、生活的深度結合，網絡空間已成為世界各國自身發展的重要戰略資源之一，各大國已逐漸將網絡和網絡空間當作謀求自身發展戰略優勢的重要博弈戰場。作為未來國家戰略能力發展的重要組成部分，美、英、日等國已相繼完成本國網絡空間安全戰略的制定，確保未來能夠優先發展自身的網絡空間能力。進入21世紀以來，我國綜合國力穩步增強，信息技術與社會生產的結合也越來越緊密，“互聯網+”戰略的提出和實施保證了信息技術與傳統行業、新興行業的深度結合，同時也將逐漸加深我國社會生產、生活對網絡的依賴程度。在此背景下，一旦國家關鍵信息基礎設施遭到不法份子攻擊，極易造成國家各種信息甚至敏感信息的丟失，導致社會秩序產生混亂、危及大眾利益，甚至破壞國家安定和社會和諧[1]。

《中華人民共和國網絡安全法》的正式實施，標志著國家網絡安全等級保護制度進入2.0時代，而《網絡安全等級保護基本要求》（GB/T22239-2019）和《網絡安全等級保護測評要求》（GB/T28448-2019）等國家標準于2019年12月1日正式實施。網絡安全等級保護工作涉及定級備案、建設整改、等級測評和監督檢查等環節，其中等級測評是一個重要環節，等級測評是依據網絡安全等級保護的國家標準或行業標準，采用定性或定量的方法判斷等級保護對象所實現的安全控制措施的有效性，綜合評判等級保護對象是否具備國家要求的安全保護能力。網絡安全等級保護2.0時代，國家網絡安全等級保護標準結構和內容的變化，尤其和等級測評環節有關的變化，帶來了等級測評產生結論的變化，而如何通過定量計算方法合理準確地反映等級保護對象的安全保護狀況和具有的安全保護能力，一直是安全等級測評探索的方向。

2 等級保護基本要求結構

基本要求結構特點：

GB/T22239-2019采用了新的結構和分類。安全要求分為安全通用要求和安全擴展要求，無論是安全通用要求還是安全擴展要求，之下都細分安全技術要求和安全管理要求。其中，技術要求包括“安全物理環境氣“安全通信網絡”、“安全區域邊界”、“安全計算環境”和“安全管理中心”；管理要求包括“安全管理制度”、“安全管理機構”、“安全管理人員”、“安全建設管理”和“安全運維管理”。

每個大類下進一步細分為控制點，每個控制點之下是具體的要求項。例如，“安全物理環境”大類下細分為“物理位置的選擇”、“物理訪問控制”、“防盜竊和防破壞”、“瞞擊”、“防火”、“防水和躺”、“防靜電溫濕度控制”、“電力供應”和“電磁防護”控制點。

GB/T22239-2019安全通用要求部分10大分類下的控制點和要求項統計如表1和表2所示。

不同級別的等級保護對象，安全大分類均相同,但是每一大類下有不同數量的控制點，每一控制點下有不同數量的要求項。

級等級保護對象的測評指標細分如表3所示。

等級測評過程中需要將測評指標映射到測評對象上，由于測評指標采用的是分類形式，不同類別的測評指標將會對應不同的測評對象。例如，“安全物理環境”類測評指標映射的測評對象是“機房”；“安全通信網絡”、“安全區域邊界”類測評指標映射的測評對象是“整體網絡”；“安全計算環境”類測評指標映射的測評核是“網絡設備”、“安全設備服務器設備氣“終端設備”、“業務應用系統”和“數據對象”等；“安全管理中心”類測評指標映射的測評對象是“整體管控”；“安全管理制度”、“安全管理機構”、“安全管理人員”、“安全建設管理”和“安全運維管理”類測評指標刪的測評對象是“管理體系”[2]。

表1 安全通用要求安全控制點數量統計

表2 安全通用要求安全要求項數量統計

3 等級測評結論產生方法

3.1 等級測評的基本原理

《網絡安全等級保護測評過程指南》（GB/T28449-2018）明確開展等級測評的工作流程，等級測評分為測評準備、方案編制、現場測評及報告編制4個活動階段，其中在報告編制階段，涉及等級測評結論的產生。GB/T28449-2018描述了等級測評結論的產生需要經過單項測評、單元測評、整體測評、安全問題風險分析和等級測評結論形成等過程，其中不乏定量計算的相關要求，GB/T28449-2018并沒有給出具體的定量計算方法。在測評結論的產生過程中，測評指標和測評對象是影響最終測評結論的重要因素。測評指標是等級測評中使用的具體檢查項，GB/T28448-2019標準規定了不同級別的測評指標（要求項），測評對象是等級測評中具體的被檢查對象，而不同技術特點和規模大小的等級保護對象的測評對象有所差異。依據新的網絡安全等級保護標準，在等級測評時需要針對等級保護對象的安全保護等級和技術應用特點形成針對性的測評指標，包括安全通用要求和安全擴展要求指標。由于大量的等級保護對象會基于安全通用要求指標進行測評，本文主要探討安全通用要求指標下的定量計算方法。

表3 第二級等級保護對象安全通用要求測評指標

3.2 測評結論的產生方法

根據GB/T28449-2018，等級測評結論的產生包括單項測評結論和最終等級測評結論的產生，二者之間存在強烈的依賴關系。單項測評結論和等級測評結論產生規則如下。

（1）單項測評結論。針對每個測評指標，如果該測評指標所對抗的威脅不存在，則該測評指標為不適用項；否則獲取該測評指標的測評證據。如果測評證據表明與預期測評結果一致，則判定該測評指標單項測評結果為符合。如果測評證據表明與預期測評結果不一致，判定該測評指標的單項測評結果為不符合；否則判定該測評指標的單項測評結果為部分符合。

（2）等級測評結論。根據單項測評結果和風險評估結果，計算等級保護對象綜合得分，并得出等級測評結論。等級測評結論分為3種情況為符合、基本符合和不符合。如果綜合得分為100分，則為符合；如果綜合得分不低于閾值且沒有高等級安全風險問題，則為基本符合；如果存在高等級安全風險問題或者綜合得分低于閾值，則為不符合。

3.3 結論產生的定量計算原理

網根據等級保護對象的級別確定測評指標，同時根據級別選擇合適種類和數量的測評對象，將測評指標映射到具體的測評對象上，是等級測評產生正確結論的前提。根據GB/T28449-2018和GB/T28448-2019，不同級別的等級保護對象測評指標不同，抽查的測評對象的種類和數量也不同，而具體的定量計算方法根據不同的應用場景也有所不同。等級保護對象的最終測評結論取決于測評指標、測評對象和計算方式。假設V是等級保護對象的最終綜合得分，則：

其中，x是測評指標，y是測評對象，z是計算方法。x={一級測評指標集合|二級測評指標集合|三級測評指標集合|四級測評指標集合|……}，y={測評對象集合1|測評對象集合2|測評對象集合3|測評對象集合4|……}，z={計算方法1|計算方2|計算方法3|計算方法4|……}x隨等級保護對象的級別變化，不同級別有不同數量的測評指標。例如，安全保護等級為第二級（S2A2）的對象，對應的安全通用要求測評指標為135個；安全保護等級為第三級（S3A3）的對象，對應的安全通用要求測評指標為212個。y隨抽查的具體測評對象數量變化。例如，安全保護等級為第二級的對象，需要抽查的測評對象包括物理機房、網絡整體、網絡設備、安全設備、服務器設備和終端設備等共15個；安全保護等級為第三級的對象，需要抽查的測評對象包括物理機房、網絡整體、網絡設備、安全設備、服務器設備、終端設備、安全管理平臺和安全管理體系等30個。z隨使用的計算方法變化，根據場景和需要可以采用不同的計算方法，如算術平均法、加權平均法、修正加權平均法、特定計算方法等。

4 等級測評定量計算方法

4.1 測評指標和測評對象的關系

測評指標是GB/T22239-2019中提出的要求項。基本要求中安全通用要求部分在結構上分為類、控制點和要求項。其中，類表示大分類，控制點表示每個大類下的關鍵控制要素，要求項表示每個控制要素下的具體控制要求。例如，安全物理環境大類中的“物理訪問控制”是一個控制點，而“機房出入口應配置電子門禁系統，控制、鑒別和記錄進入的人員”是此控制點下的具體要求項。要求項構成了等級測評中的測評指標。

測評對象是GB/T22239-2019中提出的要求項的實現對象。等級保護對象可以由網絡設備、安全設備、服務器設備、終端設備、系統軟件、應用軟件、各類數據、管理體系、組織架構、各類人員等組件組成，各類安全機制或措施需要在這些組件上落實。這些組成部件構成了等級測評中的測評對象。測評指標和測評對象之間存在較為復雜的映射關系。某些測評指標映射的測評對象可能只有一個，而某些測評指標映射的測評對象可能為多個。例如，“網絡架構”中的測評指標“c)應劃分不同的網絡區域，并按照方便管理和控制的原則為各網絡區域分配地址”，對應的測評對象是整體網絡結構；“身份鑒別”中的測評指標“a)應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換”，對應的測評對象可能是多臺設備。某個測評指標可能需要檢查多個測評對象，而某個測評對象可能需要被檢查多個測評指標。

4.2 不同角度的測評結論計算考慮

每個測評指標需要在構成系統的測評對象上落地并實現，判斷等級保護對象是否符合標準要求，即等級測評的結論產生可以從兩個角度分析。其一是判斷每個測評指標是否在特定的測評對象上實現，即驗證測評指標在每個測評對象上是否符合；其二是每個測評對象是否都實現了需要的安全要求項，即驗證測評對象針對每個測評指標是否符合。兩種分析方法，計算和匯總最終得分的思路如下所示。基于測評指標的匯總：最后得分（測評指標匯總）V=∑測評指標得分{∑測評對象得分}。基于測評對象的匯總：最后得分（測評對象匯總）V=∑測評對象得分{∑測評指標得分}。需要了解每個測評指標的得分情況時，可以使用基于測評指標的匯總方式，先計算每個測評指標在所有測評對象上的實現情況，得到每個測評指標的得分，然后匯總計算所有測評指標得分，獲得最終得分；需要了解每個測評對象的得分情況時，可以使用基于測評對象的匯總方式，計算每個測評對象對所有測評指標的落實情況，然后匯總計算所有測評對象的得分，獲得最終得分[3]。

4.3 基于測評對象的計算方法

測評對象的結果為：

等級測評的最終結果為：

組合公式為：

4.4 定量計算方法使用案例

（1）案例一。假設等級測評某個二級系統，測評指標共有10個，測評對象共有5個，測評指標權重相同，測評對象權重也相同，測評數據如表4所示。

Oi(aj)表示測評對象oi在測評指標aj上的得分賦值，利用公式（4）計算結果為：

（2）案例二。假設等級測評某個二級系統，測評指標共有10個，測評對象共有5個，測評對象權重分別為p1,p2,p3,p4,p5，測評指標的權重分別為w1,w2,…,w10，測評數據如表5所示。

Oi(aj)表示測評對象oi在測評指標aj上的得分賦值：

測評指標和測評對象的權重賦值為：

利用公式（5）計算結果為：

通過以上案例分析可知：①當測評指標不分權重，測評對象也不分權重時，基于測評對象的定量計算和基于測評指標的定量計算，計算結果完全相同。②當測評指標和測評對象均有權重時，基于測評對象的定量計算和基于測評指標的定量計算，計算結果會有差異。

5 網絡和通信安全測評

5.1 網絡安全等級保護測評

網絡安全等級保測評工作，是測評機構按照國家標準和規范化流程對與網絡安全相關的各環節進行測評和分析，從而發現網絡中信息系統以及數據資源是否存在功能缺陷或配置不安全等方面的問題。等保測評工作與一般的安全測評和風險評估不同，除進行“風險評估”外，還包括了“標準符合性評判工作”。等保測評2.0工作具體包括兩方面：①單項測評，針對相關標準每一項安全要求進行可重復及可再現性測評；②整體測評，在單項測評基礎上進行安全控制點、安全控制點間以及層面間進行整體安全保護能力測評。其中單項測評工作又包括兩方面：①技術測評，從技術角度對“物理和環境安全”“網絡和通信安全”“設備和計算安全”及“應用和數據安全”等四方面進行測評；②管理測評，從管理角度對“安全策略和管理制度”“安全管理機構和人員”“安全建設管理”及“安全運維管理”等四方面進行測評。網絡安全等級保護測評框架如圖1所示。

表4 案例一測評數據

表5 案例二測評數據

5.2 網絡和通信安全測評

（1）控制點的變化。網絡和通信安全測評屬等保測評技術層面的安全檢測，是等保測評實際工作中的重要環節。根據新修版《要求》中的標準，網絡和通信安全測評在安全通用要求部分對控制點訂，進一步加強了對網絡整體安全保護的要求，確定了新的控制點。

相比于舊版標準，新修版《要求》在網絡和通信安全層面的主要變化有：①對舊版“入侵防范”“訪問控制”以及“惡意代碼和垃圾郵件防范”3個控制點的要求進行了重新修訂；②新增了“通信傳輸”“邊界防護”和“集中管控”3個控制點，并將舊版標準中的“邊界完整性檢查”與新版標準的“邊界防護”控制點進行了融合；③提出了更高的設備冗余要求，并將舊版中的“結構安全”控制點改名為“網絡架構”；④采用新版標準“設備和計算安全”控制點要求，對舊版標準中的“網絡設備防護”控制點要求進行替換[4]。

（2）重要控制點測評。

①通信傳輸。在“通信傳輸”控制點方面新版《要求》提出了兩點標準：a.確保通信過程中的各類數據信息完整性，引入校驗技術和密碼技術；b.確保通信過程中的各類數據信息保密性，引入密碼技術。本研究認為：a.對一般網絡設備如路由器、交換機等而言，具有傳輸層網絡連接加密功能的SSH協議比TELNET協議等明文傳輸方式進行遠程管理的安全性更高；b.對防火墻等安全設備而言，加入了SSL協議的HTTPS協議比HTTP協議等明文傳輸方式進行遠程管理的安全性更高。實際的網絡和通信安全測評工作中，可按照通信傳輸控制點測評。

②邊界防護。為保證網絡的邊界安全，避免網絡中出現非法接入或外聯現象，同時實現對無線網絡的接入控制，在“邊界防護”控制點方面新修版《要求》提出了四點標準：①跨越邊界的訪問和數據流在進行通信時，要確保通過了邊界設備提供的受控接口；②要能夠限制或檢查某些非授權設備私自連接內部網絡；③要能夠限制或檢查某些內部用戶采用非授權的方式連接外部網絡；④對無線網絡進行一定限制，確保在接入內部網絡時通過了受控的邊界設備。

研究認為，通信網絡中可引入類似無線嗅探器等設備對網絡中的無線熱點進行檢測，可及時甄別出網絡中的無線熱點是否非法，從而防止未授權設備利用該類熱點進入內部網絡。實際測評工作中可按照如下步驟對邊界防護控制點進行測評。

對于非法接入行為：

第一，核實通信網絡是否采用了網絡準入控制技術；第二，通過網絡管理員驗證網絡準入控制技術有效性；第三，核實是否將未使用端口斷開或關閉；第四，核實通信網絡中的設備是否進行了IP/MAC地址綁定。

對于非法外聯行為：

核實系統是否部署了非授權用戶外聯網絡控制技術；第二，核實系統是否禁止雙網卡、Modem等端口使用。無線網絡測評步驟如圖2所示。

③訪問控制。為實現對系統網絡訪問的細粒度控制，保證內部網絡不受攻擊，在“訪問控制”控制點方面新版《要求》提出了五點標準：a.設置訪問控制規則，網絡邊界或區域之間的受控接口無法進行任何通信；b.優化訪問控制列表，篩除系統中的無效或多余訪問控制規則至數量最低；c.系統各環節進行檢查，按照允許／拒絕形式的數據包進出；d.有明確的允許／拒絕訪問能力，能夠根據系統會話信息對數據流進行控制，控制粒度為端口級；e.能夠根據應用協議和內容對數據流進行控制，控制粒度為端口級。實際測評工作中可按照如下步驟對“訪問控制”控制點進行測評。

對于網閘、防火墻、路由器以及三層路由交換機等訪問控制設備：第一，核實網絡中是否配置訪問控制設備；第二，核實系統中是否配置了適合自身業務需求的訪問控制規則；第三，核實系統中是否確保訪問控制規則最優化；第四，核實訪問控制設備中的最后一條安全策略是否為“拒絕所有網絡通信”。此外，隨著互聯網技術的飛速發展，海量應用公用幾個端口或協議的情況已越來越普遍，原有的IP地址／端口號的傳統防火墻已無法針對不同的應用采取相應的訪問控制策略，必須引入應用協議和內容更加先進的防火墻。為應對該類問題，滿足新版標準中的相關要求，今后的“訪問控制”控制點實際測評中，應采取相應措施對企業網絡系統中是否在關鍵節點處部署了新式防火墻以及防火墻中是否部署了相應的訪問控制策略進行核實。

④入侵防范。為防止系統受到攻擊，并主動分析網絡中出現的新型攻擊行為，在“入侵防范”控制點方面新版《要求》提出了3點標準：a.部署關鍵網絡節點檢測設備，防止出現從外部或內部發起的網絡攻擊；b.部署網絡攻擊行為分析設備，及時掌握新型網絡攻擊行為規律；c.當網絡受到攻擊時，應及時對攻擊源IP、攻擊類型、攻擊目的、攻擊時間進行記錄，并提供自行報警功能。實際測評工作可對“入侵防范”控制點進行測評。此外，在實際測評工作中，應首先核實網絡中部署的組件是否正常工作，其次要核實部署的相關組件規則庫是否為最新[5]。

⑤惡意代碼和垃圾郵件防范。為保證內部網絡安全，阻止惡意代碼及垃圾郵件進入，在“惡意代碼和垃圾郵件防范”控制點方面新版《要求》提出了兩點標準：a.在關鍵網絡節點處部署惡意代碼防護機制，及時檢測并清除惡意代碼；b.在關鍵節點處部署垃圾郵件防護機制，及時檢測并清除垃圾郵件。實際測評工作中可按照如下步驟對“惡意代碼和垃圾郵件防范”控制點進行測評。

對于惡意代碼：第一，核實系統是否于關鍵節點處部署了惡意代碼防護機制；第二，核實惡意代碼防護機制是否正常運行；第三，核實惡意代碼防護機制特征庫數據是否最新；第四，網絡和通信層面的惡意代碼防范是否與設備和計算層面的惡意代碼防范協同工作；第五，若系統要求較高的實時性，則應采取其他方式進行惡意代碼防護。對于垃圾郵件：第一，確認郵件系統為單位自建或購買第三方服務；第二，若單位郵件系統為自建系統，則核實系統是否于關鍵節點處部署了垃圾郵件防護機制；第三，核實系統中垃圾郵件防護機制是否正常運行；第四，核實系統中垃圾郵件防護機制特征庫數據是否最新。若單位郵件系統為購買的第三方服務，則應協調服務提供方配合進行安全測評工作，其他內容不變。

6 結語

研究主要對最新版等保測評標準中的網絡和通信安全測評進行了研究。通過對通信傳輸、邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范等控制點的變化情況及具體測評方法進行分析，總結出了最適合測評工作人員使用的測評流程，為等保2.0時代的網絡安全等級保護測評工作提供了借鑒。但是，由于新版評測標準剛公布不久，文章尚未對“物理和環境”“設備和計算安全”及“應用和數據安全”等方面進行分析，也還未從管理角度對測評工作進行研究。等保2.0時代，《信息安全技術網絡安全等級保護基本要求》具有更強的時效性、易用性，也具有更強的可操作性，對其進行深入分析將會大大提高等保測評工作的工作質量和工作效率[6]。