信息安全測(cè)評(píng)工具及安全測(cè)評(píng)工具評(píng)估平臺(tái)的相關(guān)研究

◆張玉朋 蘭丹妮 郝偉博

信息安全測(cè)評(píng)工具及安全測(cè)評(píng)工具評(píng)估平臺(tái)的相關(guān)研究

◆張玉朋 蘭丹妮 郝偉博

（中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心 北京 100020）

在大數(shù)據(jù)與互聯(lián)網(wǎng)技術(shù)的支撐下，各種網(wǎng)絡(luò)技術(shù)不斷發(fā)展。大眾在享受信息化帶來的眾多好處時(shí)，也面臨著日益突出的信息安全和信息保密問題。公司內(nèi)部商業(yè)秘密保全、網(wǎng)絡(luò)銀行存取款安全保障、電子商務(wù)交易等均需要完整的信息系統(tǒng)來保障其安全運(yùn)行。為保障信息系統(tǒng)的安全運(yùn)行，準(zhǔn)確地對(duì)信息系統(tǒng)安全性進(jìn)行測(cè)評(píng)，解決手動(dòng)測(cè)評(píng)的局限性，信息安全測(cè)評(píng)工具應(yīng)運(yùn)而生。但由于信息技術(shù)的敏感性和特殊性，大眾對(duì)信息安全測(cè)評(píng)工具存在一定的懷疑，因此安全可靠的信息安全測(cè)評(píng)工具的構(gòu)建至關(guān)重要。

信息安全；測(cè)評(píng)；平臺(tái)

1 信息安全測(cè)評(píng)工具與測(cè)評(píng)工具評(píng)估平臺(tái)概述

為了準(zhǔn)確地對(duì)信息系統(tǒng)進(jìn)行測(cè)評(píng)，解決手動(dòng)測(cè)評(píng)的局限性，信息安全測(cè)評(píng)工具應(yīng)運(yùn)而生。它既可以高質(zhì)量、自動(dòng)化處理檢查過程，又可以節(jié)省時(shí)間及人力成本，并使檢測(cè)報(bào)告的數(shù)據(jù)形態(tài)可被進(jìn)一步挖掘分析。因此，信息安全測(cè)評(píng)工具受到信息系統(tǒng)運(yùn)營(yíng)者和測(cè)評(píng)從業(yè)者的青睞。但是在當(dāng)下信息安全市場(chǎng)中，各類信息安全測(cè)評(píng)工具層出不窮，令大眾對(duì)信息安全測(cè)評(píng)工具的選擇產(chǎn)生嚴(yán)重分歧。為確保消費(fèi)者的安全不受侵害，助力信息安全測(cè)評(píng)工具品控提升，如何提升網(wǎng)絡(luò)安全，怎樣提高信息安全測(cè)評(píng)工具的可信度，信息安全測(cè)評(píng)工具的評(píng)估平臺(tái)如何搭建，都是現(xiàn)如今所面臨的重要問題。

2 提升信息安全測(cè)評(píng)工具的可信度應(yīng)關(guān)注以下五個(gè)方面

（1）信息安全測(cè)評(píng)工具的保密性

信息安全測(cè)評(píng)工具的保密性也是應(yīng)關(guān)注的重要一環(huán)，在這個(gè)龐大的網(wǎng)絡(luò)時(shí)代，信息的保密性是至關(guān)重要的。只有信息安全測(cè)評(píng)工具把保密性放在重要位置，保證信息為授權(quán)者享用而不泄露給未經(jīng)授權(quán)者，這是信息安全測(cè)評(píng)工具的職責(zé)，也是我們?cè)u(píng)價(jià)信息安全測(cè)評(píng)工具可信度的標(biāo)準(zhǔn)，信息安全測(cè)評(píng)工具的使用必須保證授權(quán)者的信息不被透漏，不被別人使用。這是信息安全測(cè)評(píng)工具能夠運(yùn)轉(zhuǎn)的基礎(chǔ)，也是評(píng)價(jià)信息安全測(cè)評(píng)工具可信度的重要標(biāo)準(zhǔn)之一，所以信息安全測(cè)評(píng)工具的使用過程中，一定要著重測(cè)評(píng)此環(huán)節(jié)。

（2）信息安全測(cè)評(píng)工具的可用性

信息經(jīng)過使用者的授權(quán)，當(dāng)授權(quán)人需要使用時(shí)需要及時(shí)便捷的使用自己所授權(quán)的信息，而在信息安全測(cè)評(píng)工具的使用中信息的可用性也是重要的一步。在使用者把自己的信息授權(quán)給信息安全測(cè)評(píng)工具時(shí)，信用信息安全測(cè)評(píng)工具要保證信息和信息系統(tǒng)隨時(shí)為授權(quán)者提供服務(wù)，保證合法用戶對(duì)信息的使用不受到不合理的拒絕。保證使用者所授權(quán)的信息具有可使用性，所以測(cè)評(píng)人在使用測(cè)評(píng)工具的時(shí)候也要關(guān)注是否有這樣的問題，要保證信息安全測(cè)評(píng)工具的使用過程中能夠被合法用戶正常使用。

（3）信息安全測(cè)評(píng)工具的結(jié)論不可否認(rèn)性

在信息安全測(cè)評(píng)過程中，不可否認(rèn)性是非常重要的，要求通信雙方在信息交互過程中，參與者本身以及參與者所提供信息的真實(shí)一致性，即所有參與者都不可能否認(rèn)或抵賴本人真實(shí)身份。在信息安全測(cè)評(píng)工具從錄入信息的過程中，是否確認(rèn)信息的真實(shí)性和授權(quán)者身份的真實(shí)性。這是我們?cè)u(píng)價(jià)信息安全測(cè)評(píng)工具可信度的一個(gè)關(guān)注點(diǎn)。我們?cè)跍y(cè)評(píng)過程中要檢測(cè)信息安全測(cè)評(píng)工具中信息的真實(shí)可靠性，授權(quán)者的身份不可否認(rèn)性。

（4）信息安全測(cè)評(píng)工具保障數(shù)據(jù)的可恢復(fù)性

在信息網(wǎng)絡(luò)時(shí)代，各種天災(zāi)人禍來臨時(shí)，信息是否能重新恢復(fù)也是評(píng)價(jià)信息安全測(cè)評(píng)工具的一個(gè)重要指標(biāo)。如手機(jī)電腦丟失，賬號(hào)泄露等問題，一直困擾著我們，信息的可恢復(fù)性是信息安全測(cè)評(píng)工具所必須擁有的一個(gè)功能，因?yàn)樾畔踩珳y(cè)評(píng)工具不是一次性產(chǎn)品，是長(zhǎng)時(shí)間使用的。可恢復(fù)性是測(cè)評(píng)過程的一個(gè)重要節(jié)點(diǎn)，在遇到突發(fā)事件時(shí)，是否可以快速便捷的恢復(fù)信息，是測(cè)評(píng)工作的重要一環(huán)。人們所存儲(chǔ)的信息都是至關(guān)重要的，如金錢、身份信息等。這些信息因?yàn)闇y(cè)評(píng)工具導(dǎo)致丟失是信息擁有者的重大損失，也是信息安全平臺(tái)的失誤，所以能否恢復(fù)就成為關(guān)鍵。

（5）信息安全測(cè)評(píng)工具的售后系統(tǒng)

在現(xiàn)如今信息安全測(cè)評(píng)工具越來越多的階段，授權(quán)者的使用感受也非常重要，在使用的過程中總會(huì)有許許多多的問題出現(xiàn)，使用操作問題，后期服務(wù)問題，總是人們所關(guān)注的，所有的產(chǎn)品都是，只有做得全面便捷，才能在市場(chǎng)中站穩(wěn)，也是保護(hù)使用者的合法權(quán)益，授權(quán)者通過授權(quán)給信息安全測(cè)評(píng)工具，是為了可以高質(zhì)量、自動(dòng)化處理檢查過程，所以信息安全測(cè)評(píng)工具的售后系統(tǒng)也是工具可信度關(guān)注的重要一環(huán)。

3 信息安全測(cè)評(píng)工具評(píng)估平臺(tái)搭建的具體措施

（1）明確信息安全測(cè)評(píng)工具評(píng)估平臺(tái)評(píng)估流程

當(dāng)下對(duì)于信息系統(tǒng)的安全保護(hù)程度明確且有嚴(yán)格的規(guī)定，在《信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則》（GB/T18336-2015）中明確表述，對(duì)信息安全測(cè)評(píng)工具進(jìn)行評(píng)估時(shí)需要遵守嚴(yán)格的評(píng)估順序。在信息安全測(cè)評(píng)工具的評(píng)估與考核中首先需要對(duì)TCP卸載引擎（TOE）中的保護(hù)輪廓（PP）是否符合安全性能等相關(guān)標(biāo)準(zhǔn)，之后對(duì)TCP卸載引擎是否符合信息安全目標(biāo)（ST），最后可以進(jìn)入信息安全測(cè)評(píng)工具的功能測(cè)試與保證評(píng)估的測(cè)試。在信息安全測(cè)評(píng)工具標(biāo)準(zhǔn)的大框架中還需要遵從小型框架，在對(duì)保護(hù)輪廓的相關(guān)測(cè)評(píng)時(shí)需要對(duì)其主要概念、創(chuàng)建的信息安全環(huán)境、達(dá)成防御的要求等方面，在信息系統(tǒng)安全目標(biāo)的檢測(cè)中需要包括TCP卸載引擎的基本狀況等進(jìn)行深入探索。因此在搭建信息安全測(cè)評(píng)工具評(píng)估平臺(tái)時(shí)需要明確不同信息安全測(cè)評(píng)工具的評(píng)估流程與標(biāo)準(zhǔn)。

（2）構(gòu)建多重安全性能的工具評(píng)估程序

在對(duì)傳統(tǒng)信息安全測(cè)評(píng)工具的評(píng)估中，對(duì)于安全性能與防御性能的檢測(cè)限于單一程序自動(dòng)化檢測(cè)或單一人工檢測(cè)，這便會(huì)導(dǎo)致對(duì)信息安全測(cè)評(píng)工具的檢測(cè)不夠充分。因此為加強(qiáng)對(duì)信息安全測(cè)評(píng)工具評(píng)估的有效性與科學(xué)性，需要在平臺(tái)構(gòu)建多重安全性能評(píng)估程序，將自動(dòng)程序安全性能評(píng)估、功能評(píng)估人員人工評(píng)估、抵抗?jié)B透性能評(píng)估、信息安全平臺(tái)的保密性評(píng)估四種評(píng)估相結(jié)合，確保每一次對(duì)信息安全測(cè)評(píng)工具的評(píng)估均屬于有效、公平、科學(xué)的范疇。

（3）引入自動(dòng)化評(píng)估系統(tǒng)，滿足組建依賴評(píng)估關(guān)系

信息安全測(cè)評(píng)工具的評(píng)估平臺(tái)既需要解決公平合理科學(xué)的檢測(cè)又需要注重對(duì)信息安全測(cè)評(píng)工具檢測(cè)的速度。在《信息技術(shù)安全評(píng)估準(zhǔn)則》中強(qiáng)調(diào)從安全性能與安全保證兩個(gè)層面對(duì)信息安全產(chǎn)品進(jìn)行評(píng)估，需要在評(píng)估時(shí)形成由元素、組件、類的層級(jí)檢測(cè)程序，同時(shí)在信息產(chǎn)品評(píng)估數(shù)據(jù)反饋時(shí)要與平臺(tái)客戶建立相互以來的關(guān)系，需要引入自動(dòng)化評(píng)估系統(tǒng)與完善的評(píng)估反饋交流機(jī)制。

4 總結(jié)

在對(duì)信息安全測(cè)評(píng)工具的評(píng)價(jià)的過程中，為進(jìn)行科學(xué)且權(quán)威的評(píng)估工作可以通過搭建可恢復(fù)性信息管理后臺(tái)、明確平臺(tái)評(píng)估流程、構(gòu)建多重安全性能評(píng)估程序、引入自動(dòng)化評(píng)估系統(tǒng)，滿足組建依賴評(píng)估關(guān)系等措施來對(duì)信息安全測(cè)評(píng)工具的可恢復(fù)性、保密性、可用性、不可否認(rèn)性等進(jìn)行評(píng)價(jià)，在公平公正科學(xué)合理的評(píng)估程序下對(duì)每一種信息安全測(cè)評(píng)工具進(jìn)行綜合評(píng)估，為大眾提供可靠的評(píng)估結(jié)果。

[1]陳廣勇，祝國(guó)邦，范春玲.《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T 28448-2019）標(biāo)準(zhǔn)解讀[J].信息網(wǎng)絡(luò)安全，2019（7）.

[2]齊云菲，李政，楊倩文，等. 工業(yè)互聯(lián)網(wǎng)安全與等級(jí)保護(hù)測(cè)評(píng)研究[J]. 信息系統(tǒng)工程，2019（6）：60-63.

[3]吳暉，孫彥，王惠蒞.基于鄰域粗糙集的工控系統(tǒng)安全測(cè)評(píng)方法研究[J]. 信息技術(shù)與標(biāo)準(zhǔn)化，2019，（6）：31-34.

[4]李文兢，謝翠萍.大型信息系統(tǒng)網(wǎng)絡(luò)安全測(cè)評(píng)的關(guān)鍵技術(shù)分析[J].信息通信，2016（2）：140-141.