概述信息安全等級保護測評中網絡安全現場測評方法

周松?周放

摘 要 對于國家的戰略國防建設以及可持續性發展而言，信息安全是重中之重，而在我國，保障信息安全的基本制度、策略以及方法是信息安全等級保護，而網絡安全現場測評是信息安全等級保護項目測評中的難點，基于用戶訪問路徑的網絡測評對象確定和原始數據的分析迭代恢復網絡拓撲圖結構方法，有效地解決了網絡現場測評中普遍存在的技術資料不全、被測評方技術人員能力有限、被測評方技術人員配合不足等問題，可以高效、準確、完整地獲取被測評網絡原始數據，確保測評項目能夠及時、高質量的實施，希望對相關人士有所幫助。

關鍵詞 信息安全;等級保護;網絡安全;現場測評

國家信息安全是國家發展中十分關鍵的部分，只有在保證信息安全的前提下，才能夠確保國家發展的重要信息不泄露，而為了進一步的確保國家信息安全，完善信息保護的相關制度、策略以及方法，信息系統安全等級保護逐漸受到重視。對于國家信息安全而言，任何問題都不容忽視，因此開展信息安全等級保護時關系到國民發展的重要內容以及政治任務。當前。國家關于信息安全等級保護的相關政策、制度以及措施標準等基本設定完畢，如《信息安全等級保護測評要求》對信息安全等級保護測評提出了具體的標準要求，如其中的技術獲得方法，測評人員獲取信息數據的途徑等都做出了明確的要求，這樣測評人員在進行信息系統測試評估時將更多地從信息安全等級保護的角度出發。但是當前信息安全等級保護測評中網絡安全現場測評還是存在著很多不合標準的現象，這就使得現場測評難以有效開展，同時測試結果也出現不確定性。因此本文將對網絡現場安全配置以及安全狀態原始數據的現場測評方法進行探討。

1當前網絡現場安全測評存在的問題

1.1 變更管理不到位

在進行網絡現場安全測評時，通常被測評單位需要出示較為完整的技術資料，包括繪制完整的網絡拓撲圖等，但是這些數據信息會隨著時間的推移發生改變，如網絡節點和網絡出口等都在逐漸增加，網絡區域也與原來不同，業務應用范圍進行了調整，上述這些改變都將使得網絡拓撲圖發生變化。如果在現場測評中沒有對這些變化進行及時的管理，建立相應的制度加以支持，技術文檔中就無法有效反映這些變更，更極端的情況下如果技術管理人員如果出現調整，沒有進行變更管理的技術標準交接就會出現各種問題以及漏洞，最終使得測評結果出現偏差[1]。

1.2 網絡管理員水平有限

很多業主方選擇將網絡技術維護工作外包以實現信息系統的有效維護，這種做法一定程度上使得信息安全維護工作的效率提升，但是由于業主方面的網絡管理人員水平欠缺，過分依賴外包方，就會導致業主方管理制度的缺失，無法對信息系統安全維護工作進行有效的管理，這就會為網絡安全埋下相當大的隱患。一旦合作方發生改變或者合作方的技術維護人員變更，在工作交接以及配合上就會出現各種各樣的問題，業主單位的網絡管理工作質量嚴重下降，這對于網絡安全測評也是不小的威脅[2]。

1.3 被測評方缺乏有效的配合

很多被測評的業主網絡技術管理人員本身專業素質不夠，屬于非專業的網絡管理員，很多是其他崗位的人員進行兼職，這就使得現場測評環節很多業主方沒有監督陪同，對于信息網絡安全測評工作缺乏重視，不夠關注測評流程以及測評結果，更是沒有積極主動的進行配合，這給網絡安全現場測評帶來了一定的困難[3]。

1.4 被測評方技術人員責任心不足

網絡安全現場測評的準確性以及有效性需要建立在信息完整的基礎上，因此被測評方的技術人員需要提供所需信息，但是很多信息系統的業主方技術人員為了逃避責任，存在隱藏安全隱患的現象，沒有向測評方提供必要的數據信息。同時，很對業主方技術人員為了避免因測評工作對設備正常運行工作造成的影響，選擇隱藏關鍵的網絡信息。更有甚者，很多業主方的網絡管理員會根據自己的不良習慣或者使用的方便選擇更改某些數據信息或者網絡配置，在現場測評環節為了逃避責任選擇隱藏這些安全隱患，這樣測評工作人員就不能夠有效的獲取完成的數據信息，導致現場測評的效率以及真實性不足，給現場測評帶來了不小的挑戰。

1.5 網絡拓撲自動化檢測工具的限制

很多網絡安全現場測評中采用自動化生成工具，但是部分自動化檢測工具并不能夠有效發揮作用，無法反映出信息網絡的真實狀況，這也是造成測評結果偏差的因素之一。而且針對某些重要的信息心痛如工業控制系統，自動化檢測工具反而會引入一些不必要的安全風險，這樣就不能夠直接使用自動化檢測工具[4]。

2網絡安全現場測評方法

在進行網絡安全現場測評工作時，首先需要確定測評對象，通常確定網絡測評對象時基于用戶訪問路徑加以確定;之后進行測評對象的配置以及狀態數據的有效獲取，如設備版本號、命令配置文件、路由表、接口狀態、日志狀態等都是需要獲取的數據類型;接下來需要進行網絡拓撲符合性驗證工作，包括每一條路徑上的網關節點接口鏈路的符合性;最后進行的是旁路安全設備及其數據獲取過程，確定旁路設備時主要根據鏈路路徑端點的計算類設備類型，當屬于非業務計算類設備時，確認為旁路設備，在獲取其相關安全策略配置以及狀態數據。最后，需要對現場測評的數據進行整理，基于網絡安全層面測試得到的測評控制點以及各要求項進行原始記錄數據的歸類整理，填寫相應的網絡單元測評結果表，對測評結果分析并提供相應的信息安全等級保護措施[5]。

3結束語

綜上所述，國家信息安全是其發展的關鍵因素，因此采用信息安全等級保護時必然的選擇，其中網絡安全現場測評工作時等級保護工作的重點難點問題，實現在網絡拓撲圖基礎上的網絡安全現場測評工作還是受到各種因素的限制，需要對測評方法進行優化，以使得測評效率提升，并保證測評質量。

參考文獻

[1] 宮平. 信息安全等級保護測評中網絡安全現場測評方法研究[J]. 網絡安全技術與應用，2019，（5）：17-18.

[2] 王世軼，吳江，張輝. 滲透測試在網絡安全等級保護測評中的應用[J]. 計算機應用與軟件，2018，35（11）：190-193.

[3] 陸昊. 在醫療機構中開展信息安全等級保護測評實踐和探討[J]. 信息網絡安全，2012，（z1）：44-46.

[4] 袁文浩，林家駿，王雨. 信息安全等級保護中等級測評的CAE建模[J]. 計算機應用與軟件，2012，（10）：230-233.

[5] 王智，王大萌，劉兆東. 等級保護測評中的風險質量定性分析研究[J]. 信息技術，2014，（10）：185-187.