信息安全等級保護測評中網絡安全現場測評方法探究

錢平 肖黎彬 李陽冬

摘 ?要：信息安全等級保護是我國保障信息安全的基本制度、策略以及方法，而其中最大的難點就是網絡安全現場測評。網絡安全現場測評現在還存在很多問題，主要是被測評方技術人員能力不足以及被測評方技術人員不配合等等，而針對這些現象制定了迭代恢復網絡拓撲圖結構方法，可以確保獲取被測評網絡原始數據的高效性和完整性，保障測評項目能夠高效率的實施。本文主要探究了信息安全等級保護測評中網絡安全現場測評的方法。

關鍵詞：信息安全 ?等級保護 ?網絡安全 ?現場測評

中圖分類號：TP393.08 ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A ? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1674-098X（2019）07（b）-0151-02

現階段，我國針對信息安全等級保護制定了一系列方針制度，國家也針對信息安全等級保護測評頒布了相應的標準。標準的提出為信息安全等級保護測評技術制定了相應的標準，測評人員也可以根據標準獲取相應的證據。由于網絡狀態不穩定以及現場的不確定性，所以一般情況下，測評人員無法嚴格按照標準實施，這就造成了測評的差異性和不確定性。本文主要基于用戶訪問路徑的網絡測評對象確定和原始數據的分析迭代恢復網絡拓撲圖機構方法，有效的解決網絡現場測評中普遍存在的技術漏洞。

1 ?網絡現場安全測評存在的困難

網絡安全測評工作大致分為四個階段，分別是測評準備階段、指導開發階段、現場測評階段以及測評結果匯總分析階段。測評過程的效率和質量受信息安全等級測評中信息系統相關的技術影響[1]。

1.1 變更管理的缺失，網絡拓撲圖與現場網絡拓撲不一致

被測評單位的網絡拓撲圖一般繪制的都是比較完整的，因為其在建設時技術資料就比較完整，但是隨著時間的變化，網絡節點和網絡出口都會隨之而增加，而且隨著業務的不斷拓展，其業務量也會不斷增加，這就導致網絡拓撲發生變化。但是如果信息系統沒有嚴格的變更管理制度規范，那么這些變化就不會在文檔上體現變化，另外管理人員也會不斷變更，這就容易造成技術交接出現各種漏洞，最終導致網絡拓撲圖與現場網路拓撲不一致[2]。

1.2 網絡管理員對網絡掌握不夠，配合能力和水平有限

網絡技術維護工作現在普遍依賴外包單位，主要是因為很多業主方技術管理人員都不是專職的技術人員其技術能力也是有限的，多數采用網絡技術維護工作外包形式。但是由于外包維護方在管理制度和執行制度上存在一定缺失，所以一旦出現問題，就會影響業主單位對網絡的管理，常見的就是與外包單位終止服務或者維護技術人員頻繁更換，以上情況都會對網絡安全測評造成相應的影響。

1.3 被測評方配合不主動

由于大多數業主方技術管理人員都是兼職網絡管理員，往往出現一人多職的現象。在測評過程中不能隨時陪同，而且配合的比較被動，對于網絡安全測評的流程和重要性關注度不高。

1.4 被測評方技術人員故意隱藏信息

信息系統業主方技術人員隱藏網絡詳細信息也是配合不夠的重要因素之一，由于業主方技術人員對測評工作流程理解不夠透徹，害怕測評過程中出現風險，就會故意隱藏一部分網絡信息。還經常出現的就是網絡管理員為了省事，對網絡的管理以及自己工作不認真而違反相關網絡安全規定，害怕安全測評或者出現的安全隱患對自己不利而故意隱藏一些信息。一般發生這種情況，技術管理人員就會主要介紹主要網絡情況，很多詳細信息會一帶而過，這就影響了測評人員對信息獲取的真實性和準確性，而測評人員如何發現問題并快速獲取相關數據是一項有困難的工作[3]。

2 ?信息安全等級保護測評中網絡安全現場測評方法

在信息系統安全等級保護測評指南中具體規定了一些測評的評估方法，比如說檢查、測試以及訪談等等，一般檢查是通過文檔審查、配置核查以及對實際現場地形進行查看等等。現階段，主要為了進一步完善和改革測評方法關于網絡安全現場測評這一塊，是網絡安全現場測評更加高效和可操作性。綜上所述，網絡現場安全測評是有一定難度的，配置核查是獲取數據和網絡基本安全配置的重要手段之一。

2.1 確定測評對象

實際操作過程中，如果實際與網絡拓撲圖不符，尤其是網絡系統復雜或者是用戶業務系統繁多的狀態下確定測評對象就比較有難度。一般是根據用戶訪問路徑來確定網絡測評對象方法。基于用戶訪問路徑的網絡測評對象確定方法的主要思路是將不同類型用戶的接入區域用戶的接入點作為起點，然后終點設置在業務系統中的應用服務器的位置。將網關設備按照一定的順序納入訪問路徑中，所有路徑上面的網關設備構成了網絡網關設備路徑，其上面的所有網關設備都會被列為測評對象，還應該合并不同路徑上面的公共節點。

2.2 測評對象配置和狀態數據的獲取

2.2.1 命令行管理方式設備的數據獲取

一般設備版本號、路由表、日志狀態都是通過執行命令行命令的方式而獲取的，通常采用的形式都是文本文件。在實際操作過程中，要先編制測評操作指導書，然后將每一種設備需要用到的命令通過列表形式對其進行表示，這樣方便了測評工作人員的日常工作，只需要按照列表上的順序執行命令就可以，然后開啟終端，并將屏幕顯示的數據進行記錄，將輸出的存到文本文件，這樣可以大大提高現場的測評效率。

2.2.2 WEB界面管理方式設備數獲取

WEB管理方式的設備廠商比較多，供選擇的范圍比較廣，其設置方式也是多種多樣，給測評人員的選擇提供了很大的方便。通常采用截圖的方式來獲取數據以便提高效率，因為大部分數據都是以圖片的形式存在，一部分設備都是支持日志文件或者策略規則的導出功能，就是我們常說的以這種格式進行儲存文件。

2.2.3 旁路安全設備及數據獲取

網絡拓撲圖的驗證過程就是當鏈路路徑端點不是業務計算類設備時，可確定出旁路設備。常見的旁路設備就是入侵防御系統、網絡審計系統、安全管理中心等等。而獲取旁路類設備安全策略配置和安全狀態數據主要是為了獲取設備的版本號和各種類型的庫版本信息防護啟用配置等等。WEB方式是我們經常廣泛應用的旁路設備，或者經常使用管理軟件的方式進行管理，這種類型設備的數據一般也是通過截圖方式進行傳輸。

2.3 信息安全風險評估框架及流程

從風險管理的角度來看，信息安全風險是利用科學的方法將信息系統所面臨的危險和存在的問題進行分析，以及評估安全事件發生所造成的危害嚴重程度，一旦評估安全事件可能發生危害程度，就會提出有針對的抵御策略和解決措施，為了將信息安全風險將風險降到最低水平，最大限度的保障信息安全提供最有效的科學依據。

3 ?結語

網絡安全測評是信息安全等級保護測評項目實施的重中之重，也是極有難度的。網絡安全測評的基礎就是網絡拓撲圖。選取正確的網絡安全測評對象可提高網絡安全測評記過的準確性和可靠性。本文介紹的基于用戶訪問路徑的方法可以提高網絡安全測評工程師的速度和更準確的確定測評對象。在我國，保障信息安全的制度、策略以及方法都是信息安全等級保護，而其中的網絡安全現場測評就是信息安全等級保護項目測評中的難點。

參考文獻

[1] 陳雪鴻，葉世超，石聰聰.淺談工業控制系統信息安全 等級保護定級工作[J].自動化博覽，2015（5）：66-70.

[2] 李文兢，謝翠萍.大型信息系統網絡安全測評的關鍵技 術分析[J].信息通信，2016（2）：140-141.

[3] 靳英伯.信息安全等級保護模型評測平臺的設計與實現 [D].山東大學，2017.