信息安全等級保護測評中網絡安全現場測評方法探索

嚴浩 石西華

【摘要】? ?本文將詳細介紹信息安全等級保護測評需遵守的原則，通過專業的研究與調查，精準找出網絡安全現場測評的發展現狀，并提出優化網絡安全現場測評的有效方式，如確認測評對象、強化測評對象的配置、合理獲取測評數據、搭建安全風險評估系統及驗證網絡拓撲結構等，從而有效增強網絡安全現場測評效果。

【關鍵詞】? ? 現場測評? ? 網絡安全? ? 信息安全等級保護? ? 網絡拓撲結構

引言：

為促進網絡安全現場測評效果，國家已設置較完善的信息安全保護等級，現場實施網絡安全測評的過程中，相關人員遭受了較大挑戰，為更好地應對該類挑戰，需適時更換測評方式，借助該類方法的先進性來改善網絡測評狀態。

一、信息安全等級保護測評需遵守的原則

針對信息安全等級保護測評來說，在具體執行時其應遵守動態調整原則、重點保護原則與自主保護原則等。

具體來看，在遵從動態調整原則期間，開展信息安全等級保護測評的人員要依照其信息追蹤的變化來設置安全保護性措施，基于信息系統的運用范圍、運用類型的不同，其開展的安全保護等級也存有些許變化，相關人員應嚴格依照等級保護的技術標準與管控規范來確定對應的保護等級，再根據該調整情況來采取新的安全保護方案。對于重點保護原則來說，相關人員應依照信息系統的特務特征、重要程度來劃分對應的安全保護等級，并對其開展強度不同的安全保護，通過集中資源來優先保護信息系統內的關鍵信息資產與核心業務。針對自主保護原則而言，相關人員應根據不同使用單位、信息系統的營運情況自主確認信息安全等級標準，其采用的安全保護措施也需自行組織。

二、網絡安全現場測評的發展現狀

2.1缺乏變更管理

在實行網絡安全現場測評的過程中，被測評單位存有較完善的技術資料，其網絡拓撲圖的繪制也較完整，隨著時間的快速發展，再加上網絡拓撲結構內容的增加，網絡區域會出現較大變化，該變化也會引發網絡拓撲的改變，在缺乏變更管理的情況下，該類變化較難體現在技術文檔中。同時，在開展網絡安全現場測評期間，測評人員也出現了不同程度的變化，受技術能力限制，部分測評人員在實行技術交接時會出現極大漏洞，提升了現場測評管理的難度[1]。

2.2對網絡掌控程度弱

針對網絡安全現場測評工作來說，網絡技術在維護工作中發揮著較大作用，其能切實維護信息系統的運行。部分業主方中的管控人員對網絡系統的掌控能力較弱，部分信息技術的使用存有缺失，該類工作狀態會給其服務效果帶去較大影響，雖然業主方在發現測評問題后會及時更換技術人員，但仍會造成較難彌補的損失，該行為將嚴重影響網絡管理效果，降低網絡安全測評工作的有效性。

2.3測評信息遭到隱藏

在實行網絡安全仙機場測評期間，若業主方成員隱藏測評信息，或未能合理配合現場測評工作，將極大影響現場網絡安全。具體來看，針對部分業務系統而言，若技術人員未能精準理解該項測評工作，且擔憂測評工作影響當前開展的業務，會故意隱藏部分網絡信息，該類網絡信息在遭受隱藏后，其不會呈現在網絡安全現場測評系統內，相關測評人員將難以獲取該網絡運行的真正信息，極大降低其測試數據的真實性，也給測評人員的網絡測試工作帶去極大挑戰。

2.4檢測工具存有局限

對于網絡測評工作來說，在開展此項工作時相關人員采用的工具會自動生成，而自動檢測工具在使用時也會存有些許不足，其難以將真實的網絡運行狀況展現出來。為保障網絡運行的安全性，部分網絡系統會將其內部的設備協議適時關閉，該行為也使其內部的檢測工具難以生成網絡拓撲結構，其應用的安全設備也未帶有穿透功能。

三、優化網絡安全現場測評的有效方式

3.1確認測評對象

在改善網絡安全現場測評效果時，應保證其內部網絡拓撲圖的一致性，若該結構或圖形內部內容產生些許變化，會極大影響網絡安全現場測評的有效性。

具體來看，網絡安全現場測評在運行過程中，其會遭受多項要素影響，如業務系統的用戶服務、復雜的網絡系統等，也會給測評對象的選取帶去些許困難，工作人員需適時確認用戶訪問的具體途徑，再確認對應的網絡對象，并進行科學測評。

在確認網絡測評對象期間，相關人員需及時掌握用戶訪問途徑，將各個類型的用戶放置到相同區域內，其設計的起點為具體接入點，并主動設置業務系統內部的服務器位置，在訪問具體的傳輸路徑時，要根據此前制定的順序并將對應的網關設備也放置到該傳輸路徑內，使路徑內的網關設備可連接成網關設備路徑，繼而確定測評對象，即該路徑內的各項網關設備，再依照相關路徑適時合并各項公共節點。在研究網關設備的具體類型時，相關人員應及時找尋其運用模式，透過當前網絡安全現場測評的形式可看出，網關設備屬透明模式，其包含交換機與防火墻。

3.2強化測評對象的基礎配置

在配置網絡安全現場測評中的測評對象時，可利用多種命令執行來獲取適宜的測評數據，文本文件為執行命令的主要形式，在開展具體操作時要適時編制與操作測評相關的指導書，并利用對應的列表形式來展現出各設備接收到的命令，也就是說測評人員應依照列表順序來執行各項命令。在開啟終端后，要及時記錄屏幕內部呈現出的各項數據，并獲取對應的文本文件，有效保證現場測評的整體效率[2]。

此外，利用Web界面管控也可及時完成測評對象的各種基礎性配置，測評人員需根據不同設置形式合理選取該界面管理內部數據。若想獲取質量更佳的Web界面數據，相關人員需對界面接口進行合理配置，通過重新啟動來完成高效的訪問控制。為增強數據獲取的效率，在找尋數據期間可使用截圖形式使其展現形式由數據變為圖片，借助部分文件設備中的導出功能，可以文件形態來完成對應性儲存。

3.3合理獲取測評數據

為較好地獲取測評數據，測評人員可精準管控測評設備，具體來看，在實行迭代期間要科學遵循網絡拓撲結構的內部流程，若鏈路路徑中的端點非業務或計算類型的設備時，需適時確認旁路設備。一般來講，旁路安全設備的種類較多，其含有日志服務與病毒服務器等。

在設置旁路安全設備的過程中，若想獲取安全狀態數據需科學管控、記錄該類設備的運行過程，及時觀察不同數據的實時變化，在得到安全狀態數據后，其對應設備內部的版本號也需適時儲存。在面對各類版本的信息時，應對其實行對應性的啟用與防護，利用針對性地防控手段來防護亟待保護的數據信息，再完成日志信息的科學配置即可完善旁路安全設備設計。在管理多種類型的旁路設備時，其管理模式多采用Web界面形態，其原因在于其為設備內部的數據收集提供便利，其在數據傳輸與數據收集等方面可借助圖片形式，增強了數據信息收集、傳輸與儲存的精準度。

3.4搭建安全風險評估系統

為較好地評估信息數據背后的安全風險，廣大數據測評人員在開展此項工作時應站在風險管理角度，利用科學手段來全面分析其內部存有的威脅與問題，適時評估安全事件產生后的各項危害，對部分重點威脅實行針對性地防護與補救，高效化解信息安全中的各項風險，將可能出現的風險管控在標準范圍內，從而適時保障網絡安全現場測評的信息安全[3]。

通常來講，在分析風險要素時，測評人員可將該類要素分置成威脅性、脆弱性與資產性，由于不同要素帶有的基礎屬性不同，其分析方式也應帶有針對性，即威脅性主要有威脅主體、威脅動機等;脆弱性則為資產缺陷程度;而資產性則代表著不同資產的對應性價值。對于風險要素的分析來說，相關人員需科學找出多項網絡安全現場測評風險內容，再精準地實行資產識別，賦值到各項資產中;在識別威脅性要素的過程中，要全面描述該威脅性的具體屬性，適時掌控因威脅性而引發的賦值;在精準識別脆弱性要素的同時，仔細研究該要素對資產造成的影響，針對其對應的嚴重程度為其賦予合適的價值。網絡安全現場測評人員要科學分析與判斷因脆弱性、威脅性、資產性而引發相關風險的概率，根據其對網絡安全造成的嚴重度來科學計算其當前的資產價值，適時計算出該安全事件生成的損失，再測算出該安全事件對網絡安全現場測評結果的影響，繼而找出對應的風險值，通過對風險值的合理管理來測算出網絡安全現場測評工作的可靠性。

3.5驗證網絡拓撲結構

在完成網絡安全現場測評工作后，相關人員需適時驗證網絡拓撲結構，確保其運行數據的準確性，并對該類數據實行科學整理。

一般來講，網絡安全現場測評人員在日常工作中需獲取該網絡內部的原始數據與測評控制點，對該類數據進行及時的記錄與分類，將網絡測評結果輸入到對應的數據庫系統內。若該網絡安全現場測評的等級為三級，其包含的測評控制點有網絡設備防護、入侵防護、邊界完整度測試、訪問控制、結構安全、安全審計與惡意代碼防護等，在每項控制點內還含有多項要求。廣大測評人員應依照控制點內的評分標準與測試記錄來為對應數據填充賦值，其計算公式為：控制點得分=（測評項權重*測評項對象的平均分）/測評項權重。比如，在開展“結構安全”控制點的測試時，相關人員應明確“結構安全”的具體要求，在掌握網絡安全現場測評數據結果后，適時了解其內部是否帶有冗余空間，而在進行測評時還需及時探索內部網絡設備的運行情況，并掌握其內部機組下的CPU占用率，繼而保障測試結果的精準度。在完成網絡拓撲結構的驗證后，網絡安全測評人員應及時推出單元測評結果，全面分析網絡安全測評系統中防火墻與網絡拓撲結構的運用效果，高效解決其內部存有的多種問題。

四、結束語

綜上所述，在實行網絡安全現場測評的過程中，相關人員應嚴格遵照信息安全等級，優化網絡安全測評的關鍵在于網絡拓撲結構的設置，相關人員需合理挑選測評對象，適時增加測評結果的可靠性、安全性。

參? 考? 文? 獻

[1]林燕.信息安全等級保護測評中網絡安全現場測評分析[J].網絡安全技術與應用，2020（08）：36-37.

[2]錢平，肖黎彬，李陽冬.信息安全等級保護測評中網絡安全現場測評方法探究[J].科技創新導報，2019，16（20）：151+153.

[3]胡赟鵬.網絡信息安全等級保護測評方法分析[J].信息與電腦（理論版），2019（04）：219-220.