信息安全等級保護測評中網絡安全現場測評分析

◆林燕

（山東新潮信息技術有限公司 山東 250100）

就目前而言，國家對安全信息等級方面的保護工作制定了部分相關規定、標準和方針，同時在標準建設方面構建起了比較完整的體系。針對目前網絡運營呈現出的狀態，具有一定的特殊性和復雜性，在通常情況下不能根據相關標準嚴格地實施工作，這樣的情況就給現場測評工作帶來了許多不確定性和困難。本文通過信息安全測評等級在實際工作中的實施情況作出了對應的分析和總結，爭取找到更加便捷、高效、快速、完整的方式來代替網絡現場配置安全和原始數據狀態安全的現場測評方式。在對網絡數據信息進行安全評測的過程中，需要注意多方面的安全性和可靠性，用以保證測評工作的正常啟動以合理性。

1 信息安全等級保護測評中應關注的問題

（1）嚴格備案，科學定級

注重信息系統方面的運營，對應使用單位還需要根據實際的等級情況作出對應的技術標準要求和相關的規范管理標準，進一步明確細化信息系統方面的安全等級。針對重要的信息數據系統，在其使用和運營方面更需要通過委員會的評審。在此基礎上，才能夠更好地做好數據信息安全等級的具體評定工作，由此能夠確定更加完善的定級科學性，保證備案工作的實施和發展能夠更加科學，處于正常狀態。

（2）整改建設，落實措施

針對已有的數據信息系統而言，在其使用和運營方面也需要保證產品信息安全，切實完善技術安全措施的技術和規范標準。在采購和使用的過程中，選取對應的產品信息安全標準。對于整改工作而言，需要保證各項相關措施能夠處于完善狀態，使各項整改工作和建設工作能夠處于正常狀態，以此來保證各項舉措的科學性和可靠性。

（3）落實要求，自查自糾

數據信息系統化方面的使用和運營工作需要根據其主管部門做出的技術標準和相應的管理規范，完成等級保護建設工作的系統做出定期的狀況評估監測，用以更加及時地消除漏洞和安全隱患，盡早發現問題并做出整改，持續不斷地提高數據信息安全保護水平。在此基礎上，積極開展自查和自糾活動，保證工作能夠落實到位，從基礎上保證安全信息等級的處理能夠更加到位[1]。

2 信息安全等級保護測評中網絡安全現場測評方法

2.1 確定測評對象

通常情況下，當用戶數量較多時，如果采用的網絡拓撲圖不同，在復雜的網絡系統下難以對目標對象進行有效的測評工作。因此，本文將具體分析用戶網絡訪問路徑方面的測評方法和測評對象。

針對用戶現階段的測評方法和路徑而言，主要是確定測評工作的基本思路，把不同類型的網絡用戶接入到區域性質的用戶接入點，重新把業務系統內部的服務器應用位置設定成起點，根據一定的順序做出對應的服務器應用終點，將網關設備更好地投入到各種網絡訪問路徑中，將不同路徑的公共節點予以合并。其中，網關的主要類型有：路由器、防火墻、上網行為管理、交換機、數據安全隔離網閘、入侵防御系統等[2]。

2.2 測評對象配置和狀態數據的獲取

（1）設備管理方式的命令獲取

主要獲取的數據類型包括：命令配置文件、設備版本號、接口狀態、路由表、MAC地址表、日志狀態等相關執行命令均是由此獲取的，使用地使用形式為文本文件。在實際的操作過程中，列表形式能夠對指導書中的全部設備可能使用到的命令做出對應的編制工作，這樣才能夠更好地保證終端處于正常工作狀態。在這樣的工作過程中，需要保證各項指標和命令能夠準確、及時地傳遞下去，保證各個層級的工作人員和服務器都能夠處于正常工作狀態下，從而更好地保證其工作合理性，保證各項數據指標的科學性和準確性[3]。以上述內容為前提，為數據信息的測評工作提供一定的基礎，保證測評工作能夠具有更加科學的安全保障。

（2）使用WEB界面管理來獲取相關數據

因為本身的廠商采用WEB管理方式的會比較多，并且設置方式還會具有多樣性，這就需要相關的測評人員做出正確的選取工作。這里需要獲取的主要數據包括：授權情況、版本號、運行狀態等；啟用和接口配制情況，即路由表、工作方式、資源定義、MAC地址表、攻擊防護以及訪問控制策略等方面[4]。為了進一步保證工作效率，需要在此基礎上開展數據信息的截圖方式，以多種形式的圖片存在，一部分能夠支持日志文件抑或規則策略的導出功能，就能夠將對應格式的文件予以儲存。在此基礎上，需要提高對于各項數據信息的獲取工作，對各個層級的數據傳輸系統進行必要的考核，保證其傳輸工作能夠滿足測評工作的要求，將此作為后續測評工作的主要參考依據，因此要保證其具有更高的可靠性和安全性。

（3）數據獲取以及旁路安全

針對網絡拓撲圖的迭代過程和驗證流程而言，在其鏈路的路徑端點時非業務計算類型的工作設備時，能夠確定其旁路設備，在一班情況下，旁路安全設備包含：數據庫審計系統、入侵防御系統、病毒服務器、安全管理中心以及日志服務器等。

旁路類型的設備安全配制和保證數據安全狀態主要是為了保障設備自身的版本號以及各個特征版本庫具有的版本信息啟用配制和對應的日志配置信息。其中，旁路設備大部分均是使用WEB這樣的方式或者通過專門的軟件進行管理，保證設備數據能夠在信息的采集過程中以截圖的形式傳遞。

在通常情況下，數據信息系統中的安全等級保護工作已經漸漸成為信息系統分級和安全標準分級建設的重要依據，將信息建設、信息管理和信息監督有機結合，進一步突出工作重點，將責任分級制、指導分類制、實施分步制，具體工作責任落實到個人，保證各項數據指標能夠嚴格落實，同時保證等級保護措施和等級保護責任能夠有效地貫徹落實[5]。

2.3 信息安全風險評估框架及流程

分析風險原理：在一般情況下，風險分析主要包含：威脅、資產、脆弱性三個方面的基本要素。任一要素都具有其自身的屬性，資產屬性即為資產價值；脆弱性即為資產弱點表現出的嚴重程度；威脅即為影響對象、威脅主體、冬季、出現頻率等。在此情況下，需要對如下信息進行分析：

（1）將資產做出識別，同時還需要對資產價值進行賦值；

（2）將威脅做出識別，將威脅屬性進行描述，同時還要對威脅出現的頻率進行賦值；

（3）將資產的脆弱性做出識別，同時對資產脆弱性具有的嚴重程度進行賦值；

（4）需要更具威脅性的表現對威脅性作出難易程度方面的判斷，保證安全事件發生的可能性在允許范圍內；

（5）將脆弱性表現出的程度和安全事件能夠產生的作用進行的資產價值計算，明確在安全事件方面會遭受的損失；

（6）保證安全事件真實發生的概率并且估算安全事件在正式發生之后的損失，預計安全事件發生可能會造成的影響即風險值。

3 結論

綜上所述，在當今社會背景下，數據信息具有的安全等級保護工作在對項目進行正式評測的過程中，網絡安全方面的評測工作屬于一大難點，同時網絡拓撲圖又屬于開展網絡安全評測工作的基礎前提，因此要對評測對象做出更加正確的選擇，在這樣的情況下能夠更好地保證最終測評結果的安全性和可靠性。