信息安全等级保护测评中网络安全现场测评方法研究

赵洪刚

（广西壮族自治区信息安全测评中心，广西 南宁 530031）

0 引言

近年来，网络安全是越来越热的话题。网络安全问题，诸如漏洞、黑客攻击、信息泄露等，更是频频发生，造成的损失不计其数。网络安全风险不降反增。据IDC估算，在2021 年全球网络安全支出将达1435 亿美元。Gartner 预测，到2022 年，全球网络安全支出将达到1704 亿美元。从过去的网络安全形势分析，出现了很多令人震惊的网络安全事件，事件造成的经济损失重大，同时也引起了人们对网络安全的重视，如何强化网络安全管理成为研究重点。

1 信息安全等级保护测评的等级

从当前的网络安全分析，面临严峻的形势。一般来说，常见的攻击类型和威胁类型如下：①勒索软件与恶意软件。根据统计的数据信息，2020 年勒索软件的平均赎金额比2019 年增长了33%，达到111605 美元。②网络钓鱼。③物联网和DDos 以及其他攻击。赛门铁克发布的数据称物联网设备平均每月遭受5200 次攻击；思科称到2023 年，全球DDoS 攻击总数将达到1540 万。目前，国际上各个国家都高度重视网络安全，积极构建完善的安全保护体系。其中，信息安全等级保护测评是重要的手段。通过对网络安全进行测评分析，划分为不同的等级，实施相应的保护措施，进而保障网络信息安全。一般来说，评测等级划分为五级，从第一级到第五级逐级增高。按照网络安全管理要求，定期开展等级测评。等级的具体分析：①第一级为用户自主保护级。通常来说，乡镇所属信息系统和县级某些单位中一般的信息系统等，属于第一级保护系统。这些系统被破坏后，会对公民和法人以及其他组织的合法权益造成损害，不会损害国家安全和社会秩序以及公共利益。②第二级为安全审计保护级。一般来说，县级某些单位中的重要信息系统或者地市级以上国家机关、企业以及事业单位内部一般的信息系统，都属于此等级。③第三级为安全标识保护级。地市级以上国家机关、重要企事业单位内部重要的信息系统，比如办公系统与管理系统等，属于此等级。④第四级结构化保护级。国家重要领域、重要部门中的特别重要系统和核心系统，比如铁路和民航等的调度系统，都属于第四级保护级。⑤第五级为访问验证保护级。国家重要领域和重要部门中的极端重要系统，都属于第五保护级。日常的网络安全测评中，根据测评对象的所属保护级，根据相应的保护方法，开展安全测评，包括信息安全和安全审计等具体内容，涉及的种类很多，具有较高的要求。通过信息安全等级保护测评认证，意味着系统的安全保护能力很强，可抵御外部威胁源发起的恶意攻击或者自然灾难。

2 信息安全等级保护测评中网络安全现场测评方法的运用

2.1 变更管理不足

从信息安全等级保护测评实际分析，常见变更管理缺失的问题，出现网络拓扑图和现场网络拓扑不一致的情况。一般来说，被测大内开展网络建设时会留下相应的资料，根据资料能够绘制得到网络拓扑图，不过随着时间的增加以及业务的调整，很容易促使网络拓扑出现变化。若未能及时做好变更调整，部分资料未能及时体现在技术文档上，则会影响到网络安全现场测评工作的开展现场。究其原因，缺少完善的变更管理制度、受到技术管理人员变更的影响或者技术交接出现问题，都会影响各项工作的开展。

2.2 网络管理员的配合度不高

一般来说，各个单位和企业的网络技术维护业务，主要是外包给信息系统服务企业，负责对网络信息系统进行维护。由于自身的网络技术人员非专职或者业务能力有限，很多工作都是依靠外包单位，在日常的网络信息安全方面不注重，缺少完善的管理制度和维护资源，当出现服务中断或者停止的情况，则会影响到自身的网络安全，影响信息安全等级保护测评工作的开展。

2.3 网络拓扑自动化检测工具的局限性

从当前的信息安全等级保护测评工作实际分析，积极推广使用自动化工具，不过部分自动化检测工具不足，难以全面反映实际情况，影响到安全管理的效果。一般来说，多使用ICMP 和SNMP 以及RIP 协议等。在实际应用中为保障网络安全性，通常会关闭网络设备协议的响应，那么进行网络安全现场测评时使用的自动化检测仪器无法生成网络拓扑，同时也无法检测，使得很多工作透明化。此外，部分自动化设备无法穿透某段安全设备，例如防火墙等。组织开展网络安全现场测评工作，如果测评的是较为重要的信息系统或工业控制系统，部分用户或者测评机构为防范自动化检测工具使用造成安全风险，在不具备生产系统离线或者构建模拟系统的情况下，无法接入自动化检测工具[1]。

3 信息安全等级保护测评中网络安全现场测评的策略

《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。除此之外，部分行业和企业系统安全管理都需要进行网络安全测评，评估网络安全情况，分析是否存在隐患和问题，采取保护措施，保障网络信息安全。

3.1 明确网络安全现场测评要求

从网络安全现场测评工作的开展角度分析，必须要严格按照现行的技术规范和要求，做好全面严格的控制。目前，执行的是《信息安全技术 网络安全等级保护测评要求》（GB/T 28448—2019），在具体执行方面，需要根据等级水平，执行相应的标准。以第一级测评等级为例，安全通信网络的测评主要围绕以下内容开展。

（1）通信系统。L1-CNS1-01 测评单元的要求中，测评指标子为应该采用校验技术保证通信过程中数据的完整性。在进行测评时，以提供校验技术功能的设备或者组件为主，做好全面严格的测评；重点核查是否在数据传输环节中使用校验技术保护数据信息的完整性；若以上测评实施内容为肯定，那么可达到测评单元指标要求，如果为否定则不符合测评单元指标要求；在L1-CNS1-02 测评单元中，按照测评的技术要求，可基于可信根对通信设备的系统引导程序和系统程序等展开可信验证，当检测到其可信性受到破坏后及时报警。一般来说，测评的对象为提供可信验证的设备或者组件。实施测评时，重点核查是否基于可信根对通信设备的系统引导程序和系统程序等开展可信验证。重点检测当检测到通信设备可信性被破坏时能否及时报警。如果可以报警，则通过测评；若不符合要求则不通过测评[2]。

（2）安全区域边界。L1-ABS1-01 测评单元中，主要是测评各类设备和组件是否具备保证跨越边界的访问和数据流通通过边界设备的受控接口进行通信，测评的对象包括网闸和防火墙以及路由器等，即提供访问控制功能的设备或者组件。测评时重点检查在网络边界位置是否部署访问控制设备或者相关组件，同时检查设备配置的信息是否指定端口进行跨越边界的网络通信，指定端口是否配置并且启用了安全策略。采用其他技术手段核查是否不存在其他未受控端口进行跨越边界的网络通信，例如非法无线网络设备定位技术或者核查设备配置信息技术等。访问控制测评单元L1-ABS1-02 的测评中，对网闸和防火墙等展开测评。按照访问控制要求，这些设备或者组件需要在网络边界根据访问控制策略部署安全访问控制规则，m 默认情况下除了允许通信外受控接口拒绝所有通信。在测评检查中，需要认真核查在网络边界是否部署访问控制设备并且启用访问控制策略；同时检查设备的最后一条访问控制策略是否为禁止所有网络通信。在测评单元L1-ABS1-03，对路由器和防火墙等进行测评。按照要求这些设备和组件应该删除多余或者无效的访问控制规则，优化访问控制列表，同时保证访问控制规则数据最小化。在进行测评时进行全面核查，判断是否达到要求[3]。

由于信息安全等级保护测评的等级不同，测评的单元差异，在具体测评时执行的具体技术要求存在差别，需做好严格的控制，切实保障网络信息安全。从具体实施的角度分析，要求测评人员明确测评技术要求和具体规范，严格按照测评的要求开展具体核查工作，评估信息安全等级保护能力，即使发现存在的问题，提出优化和改进的措施，保障网络信息的安全。针对测评发现的问题进行全面处理，保障信息安全达到要求[4]。

3.2 制定完善的测评方案

按照信息系统安全等级保护基本要求，企业或者单位等网络使用主体在信息系统建成运行后，需根据管理办法选择专业的测评单位，依据相关技术标准，例如信息系统安全等级保护测评要求等，对网络信息安全进行定期的测评，掌握信息系统安全等级情况，做好安全隐患和风险的处理。为保障信息安全等级保护测评高质量开展，需要制定完善的测评工作方案，指导各项工作高效化开展。编制的测评方案，需要涉及以下内容：①确定测评对象。通常来说，若网路拓扑图不同，尤其是用户业务系统类型很多，受到网络系统复杂度高的影响，若想精准确定测评对象面临很多挑战。在具体实施方面，可以基于用户访问路径确定网络测评对象，高效化开展测评活动。②测评对象配置与状态数据的获取。一般来说，需要获取的数据，主要包括设备的版本号和命令配置文件以及路由表等，可采取执行命令的方式得到。在测评工作中需要编制测评操作指导书，采用列表的形式对指导书的每类设备所需要的命令加以标识，使得测评人员可快速获得信息开展测评。按照命令指标，开启终端并且记录屏幕显示数据，将输出存为文本文件，进而保障现场的测评效果[5]。③获得Web界面管理方式设备数。在信息安全等级保护测评中，需要获得版本号和MAC 地址表以及资源定义等信息。一般来说，可采取截图的方法，获得相应的数据信息，部分设备也支持日志文件或者策略规则导出。④旁路安全设备和数据获取。测评工作中基于迭代过程的网络拓扑图验证流程，如果链路路径端点是非业务计算类设备，那么能够确定旁路设备，例如入侵防御系统和数据库审计系统以及网络审计系统等。在信息获得方面，可采取截图形式传输信息。⑤风险评估方案。信息安全等级保护测评的开展目的就是确定系统风险，了解存在的隐患和问题。实践中需要围绕资产和威胁以及脆弱性，开展风险分析和评估，确定网络系统存在的问题，掌握具体的情况，做好全面严格的控制。根据获得的测评报告，为被测单位优化网络安全管理提供支持，全面提高管理的水平。

3.3 做好测评方法的优化工作

信息安全等级保护测评需要根据测评的技术要求和方案进行全面严格控制。在具体测评中，测评方法的选择和应用是重点，发挥着重要的作用，需注重测评方法的优化。实践中应当科学运用自动化测评技术，对测评对象进行安全测评，保障测评结果的真实性。由于测评技术运用时可能遇到很多问题，需要结合测评技术要求和具体情况进行分析，在不影响信息安全的前提下进行测评，保护好网络安全。对使用的信息安全等级保护测评技术，进行全面的评估和分析，形成完善的技术方案，交代给测评人员，使其可以规范开展测评工作[6]。

4 结语

综上所述，信息安全等级保护测评对保护网络安全，起到重要的作用。在网络安全现场测评中严格按照测评的项目和要求，进行全面的测评，评估网络信息安全水平，及时发现安全保护漏洞和问题，强化信息安全保护能力，增强网络安全威胁抵御能力，发挥保护的作用。