信息安全等級保護測評中網絡安全現場測評方法研究

趙洪剛

（廣西壯族自治區信息安全測評中心，廣西 南寧 530031）

0 引言

近年來，網絡安全是越來越熱的話題。網絡安全問題，諸如漏洞、黑客攻擊、信息泄露等，更是頻頻發生，造成的損失不計其數。網絡安全風險不降反增。據IDC估算，在2021 年全球網絡安全支出將達1435 億美元。Gartner 預測，到2022 年，全球網絡安全支出將達到1704 億美元。從過去的網絡安全形勢分析，出現了很多令人震驚的網絡安全事件，事件造成的經濟損失重大，同時也引起了人們對網絡安全的重視，如何強化網絡安全管理成為研究重點。

1 信息安全等級保護測評的等級

從當前的網絡安全分析，面臨嚴峻的形勢。一般來說，常見的攻擊類型和威脅類型如下：①勒索軟件與惡意軟件。根據統計的數據信息，2020 年勒索軟件的平均贖金額比2019 年增長了33%，達到111605 美元。②網絡釣魚。③物聯網和DDos 以及其他攻擊。賽門鐵克發布的數據稱物聯網設備平均每月遭受5200 次攻擊；思科稱到2023 年，全球DDoS 攻擊總數將達到1540 萬。目前，國際上各個國家都高度重視網絡安全，積極構建完善的安全保護體系。其中，信息安全等級保護測評是重要的手段。通過對網絡安全進行測評分析，劃分為不同的等級，實施相應的保護措施，進而保障網絡信息安全。一般來說，評測等級劃分為五級，從第一級到第五級逐級增高。按照網絡安全管理要求，定期開展等級測評。等級的具體分析：①第一級為用戶自主保護級。通常來說，鄉鎮所屬信息系統和縣級某些單位中一般的信息系統等，屬于第一級保護系統。這些系統被破壞后，會對公民和法人以及其他組織的合法權益造成損害，不會損害國家安全和社會秩序以及公共利益。②第二級為安全審計保護級。一般來說，縣級某些單位中的重要信息系統或者地市級以上國家機關、企業以及事業單位內部一般的信息系統，都屬于此等級。③第三級為安全標識保護級。地市級以上國家機關、重要企事業單位內部重要的信息系統，比如辦公系統與管理系統等，屬于此等級。④第四級結構化保護級。國家重要領域、重要部門中的特別重要系統和核心系統，比如鐵路和民航等的調度系統，都屬于第四級保護級。⑤第五級為訪問驗證保護級。國家重要領域和重要部門中的極端重要系統，都屬于第五保護級。日常的網絡安全測評中，根據測評對象的所屬保護級，根據相應的保護方法，開展安全測評，包括信息安全和安全審計等具體內容，涉及的種類很多，具有較高的要求。通過信息安全等級保護測評認證，意味著系統的安全保護能力很強，可抵御外部威脅源發起的惡意攻擊或者自然災難。

2 信息安全等級保護測評中網絡安全現場測評方法的運用

2.1 變更管理不足

從信息安全等級保護測評實際分析，常見變更管理缺失的問題，出現網絡拓撲圖和現場網絡拓撲不一致的情況。一般來說，被測大內開展網絡建設時會留下相應的資料，根據資料能夠繪制得到網絡拓撲圖，不過隨著時間的增加以及業務的調整，很容易促使網絡拓撲出現變化。若未能及時做好變更調整，部分資料未能及時體現在技術文檔上，則會影響到網絡安全現場測評工作的開展現場。究其原因，缺少完善的變更管理制度、受到技術管理人員變更的影響或者技術交接出現問題，都會影響各項工作的開展。

2.2 網絡管理員的配合度不高

一般來說，各個單位和企業的網絡技術維護業務，主要是外包給信息系統服務企業，負責對網絡信息系統進行維護。由于自身的網絡技術人員非專職或者業務能力有限，很多工作都是依靠外包單位，在日常的網絡信息安全方面不注重，缺少完善的管理制度和維護資源，當出現服務中斷或者停止的情況，則會影響到自身的網絡安全，影響信息安全等級保護測評工作的開展。

2.3 網絡拓撲自動化檢測工具的局限性

從當前的信息安全等級保護測評工作實際分析，積極推廣使用自動化工具，不過部分自動化檢測工具不足，難以全面反映實際情況，影響到安全管理的效果。一般來說，多使用ICMP 和SNMP 以及RIP 協議等。在實際應用中為保障網絡安全性，通常會關閉網絡設備協議的響應，那么進行網絡安全現場測評時使用的自動化檢測儀器無法生成網絡拓撲，同時也無法檢測，使得很多工作透明化。此外，部分自動化設備無法穿透某段安全設備，例如防火墻等。組織開展網絡安全現場測評工作，如果測評的是較為重要的信息系統或工業控制系統，部分用戶或者測評機構為防范自動化檢測工具使用造成安全風險，在不具備生產系統離線或者構建模擬系統的情況下，無法接入自動化檢測工具[1]。

3 信息安全等級保護測評中網絡安全現場測評的策略

《中華人民共和國網絡安全法》第二十一條規定，國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。除此之外，部分行業和企業系統安全管理都需要進行網絡安全測評，評估網絡安全情況，分析是否存在隱患和問題，采取保護措施，保障網絡信息安全。

3.1 明確網絡安全現場測評要求

從網絡安全現場測評工作的開展角度分析，必須要嚴格按照現行的技術規范和要求，做好全面嚴格的控制。目前，執行的是《信息安全技術 網絡安全等級保護測評要求》（GB/T 28448—2019），在具體執行方面，需要根據等級水平，執行相應的標準。以第一級測評等級為例，安全通信網絡的測評主要圍繞以下內容開展。

（1）通信系統。L1-CNS1-01 測評單元的要求中，測評指標子為應該采用校驗技術保證通信過程中數據的完整性。在進行測評時，以提供校驗技術功能的設備或者組件為主，做好全面嚴格的測評；重點核查是否在數據傳輸環節中使用校驗技術保護數據信息的完整性；若以上測評實施內容為肯定，那么可達到測評單元指標要求，如果為否定則不符合測評單元指標要求；在L1-CNS1-02 測評單元中，按照測評的技術要求，可基于可信根對通信設備的系統引導程序和系統程序等展開可信驗證，當檢測到其可信性受到破壞后及時報警。一般來說，測評的對象為提供可信驗證的設備或者組件。實施測評時，重點核查是否基于可信根對通信設備的系統引導程序和系統程序等開展可信驗證。重點檢測當檢測到通信設備可信性被破壞時能否及時報警。如果可以報警，則通過測評；若不符合要求則不通過測評[2]。

（2）安全區域邊界。L1-ABS1-01 測評單元中，主要是測評各類設備和組件是否具備保證跨越邊界的訪問和數據流通通過邊界設備的受控接口進行通信，測評的對象包括網閘和防火墻以及路由器等，即提供訪問控制功能的設備或者組件。測評時重點檢查在網絡邊界位置是否部署訪問控制設備或者相關組件，同時檢查設備配置的信息是否指定端口進行跨越邊界的網絡通信，指定端口是否配置并且啟用了安全策略。采用其他技術手段核查是否不存在其他未受控端口進行跨越邊界的網絡通信，例如非法無線網絡設備定位技術或者核查設備配置信息技術等。訪問控制測評單元L1-ABS1-02 的測評中，對網閘和防火墻等展開測評。按照訪問控制要求，這些設備或者組件需要在網絡邊界根據訪問控制策略部署安全訪問控制規則，m 默認情況下除了允許通信外受控接口拒絕所有通信。在測評檢查中，需要認真核查在網絡邊界是否部署訪問控制設備并且啟用訪問控制策略；同時檢查設備的最后一條訪問控制策略是否為禁止所有網絡通信。在測評單元L1-ABS1-03，對路由器和防火墻等進行測評。按照要求這些設備和組件應該刪除多余或者無效的訪問控制規則，優化訪問控制列表，同時保證訪問控制規則數據最小化。在進行測評時進行全面核查，判斷是否達到要求[3]。

由于信息安全等級保護測評的等級不同，測評的單元差異，在具體測評時執行的具體技術要求存在差別，需做好嚴格的控制，切實保障網絡信息安全。從具體實施的角度分析，要求測評人員明確測評技術要求和具體規范，嚴格按照測評的要求開展具體核查工作，評估信息安全等級保護能力，即使發現存在的問題，提出優化和改進的措施，保障網絡信息的安全。針對測評發現的問題進行全面處理，保障信息安全達到要求[4]。

3.2 制定完善的測評方案

按照信息系統安全等級保護基本要求，企業或者單位等網絡使用主體在信息系統建成運行后，需根據管理辦法選擇專業的測評單位，依據相關技術標準，例如信息系統安全等級保護測評要求等，對網絡信息安全進行定期的測評，掌握信息系統安全等級情況，做好安全隱患和風險的處理。為保障信息安全等級保護測評高質量開展，需要制定完善的測評工作方案，指導各項工作高效化開展。編制的測評方案，需要涉及以下內容：①確定測評對象。通常來說，若網路拓撲圖不同，尤其是用戶業務系統類型很多，受到網絡系統復雜度高的影響，若想精準確定測評對象面臨很多挑戰。在具體實施方面，可以基于用戶訪問路徑確定網絡測評對象，高效化開展測評活動。②測評對象配置與狀態數據的獲取。一般來說，需要獲取的數據，主要包括設備的版本號和命令配置文件以及路由表等，可采取執行命令的方式得到。在測評工作中需要編制測評操作指導書，采用列表的形式對指導書的每類設備所需要的命令加以標識，使得測評人員可快速獲得信息開展測評。按照命令指標，開啟終端并且記錄屏幕顯示數據，將輸出存為文本文件，進而保障現場的測評效果[5]。③獲得Web界面管理方式設備數。在信息安全等級保護測評中，需要獲得版本號和MAC 地址表以及資源定義等信息。一般來說，可采取截圖的方法，獲得相應的數據信息，部分設備也支持日志文件或者策略規則導出。④旁路安全設備和數據獲取。測評工作中基于迭代過程的網絡拓撲圖驗證流程，如果鏈路路徑端點是非業務計算類設備，那么能夠確定旁路設備，例如入侵防御系統和數據庫審計系統以及網絡審計系統等。在信息獲得方面，可采取截圖形式傳輸信息。⑤風險評估方案。信息安全等級保護測評的開展目的就是確定系統風險，了解存在的隱患和問題。實踐中需要圍繞資產和威脅以及脆弱性，開展風險分析和評估，確定網絡系統存在的問題，掌握具體的情況，做好全面嚴格的控制。根據獲得的測評報告，為被測單位優化網絡安全管理提供支持，全面提高管理的水平。

3.3 做好測評方法的優化工作

信息安全等級保護測評需要根據測評的技術要求和方案進行全面嚴格控制。在具體測評中，測評方法的選擇和應用是重點，發揮著重要的作用，需注重測評方法的優化。實踐中應當科學運用自動化測評技術，對測評對象進行安全測評，保障測評結果的真實性。由于測評技術運用時可能遇到很多問題，需要結合測評技術要求和具體情況進行分析，在不影響信息安全的前提下進行測評，保護好網絡安全。對使用的信息安全等級保護測評技術，進行全面的評估和分析，形成完善的技術方案，交代給測評人員，使其可以規范開展測評工作[6]。

4 結語

綜上所述，信息安全等級保護測評對保護網絡安全，起到重要的作用。在網絡安全現場測評中嚴格按照測評的項目和要求，進行全面的測評，評估網絡信息安全水平，及時發現安全保護漏洞和問題，強化信息安全保護能力，增強網絡安全威脅抵御能力，發揮保護的作用。