信息安全等级保护测评中网络安全现场测评方法探究

来源:用户上传      作者:钱平 肖黎彬 李阳冬

　　摘  要：信息安全等级保护是我国保障信息安全的基本制度、策略以及方法，而其中最大的难点就是网络安全现场测评。网络安全现场测评现在还存在很多问题，主要是被测评方技术人员能力不足以及被测评方技术人员不配合等等，而针对这些现象制定了迭代恢复网络拓扑图结构方法，可以确保获取被测评网络原始数据的高效性和完整性，保障测评项目能够高效率的实施。本文主要探究了信息安全等级保护测评中网络安全现场测评的方法。
　　关键词：信息安全  等级保护  网络安全  现场测评
　　中图分类号：TP393.08                            文献标识码：A                         文章编号：1674-098X（2019）07（b）-0151-02
　　现阶段，我国针对信息安全等级保护制定了一系列方针制度，国家也针对信息安全等级保护测评颁布了相应的标准。标准的提出为信息安全等级保护测评技术制定了相应的标准，测评人员也可以根据标准获取相应的证据。由于网络状态不稳定以及现场的不确定性，所以一般情况下，测评人员无法严格按照标准实施，这就造成了测评的差异性和不确定性。本文主要基于用户访问路径的网络测评对象确定和原始数据的分析迭代恢复网络拓扑图机构方法，有效的解决网络现场测评中普遍存在的技术漏洞。
　　1  网络现场安全测评存在的困难
　　网络安全测评工作大致分为四个阶段，分别是测评准备阶段、指导开发阶段、现场测评阶段以及测评结果汇总分析阶段。测评过程的效率和质量受信息安全等级测评中信息系统相关的技术影响[1]。
　　1.1 变更管理的缺失，网络拓扑图与现场网络拓扑不一致
　　被测评单位的网络拓扑图一般绘制的都是比较完整的，因为其在建设时技术资料就比较完整，但是随着时间的变化，网络节点和网络出口都会随之而增加，而且随着业务的不断拓展，其业务量也会不断增加，这就导致网络拓扑发生变化。但是如果信息系统没有严格的变更管理制度规范，那么这些变化就不会在文档上体现变化，另外管理人员也会不断变更，这就容易造成技术交接出现各种漏洞，最终导致网络拓扑图与现场网路拓扑不一致[2]。
　　1.2 网络管理员对网络掌握不够，配合能力和水平有限
　　网络技术维护工作现在普遍依赖外包单位，主要是因为很多业主方技术管理人员都不是专职的技术人员其技术能力也是有限的，多数采用网络技术维护工作外包形式。但是由于外包维护方在管理制度和执行制度上存在一定缺失，所以一旦出现问题，就会影响业主单位对网络的管理，常见的就是与外包单位终止服务或者维护技术人员频繁更换，以上情况都会对网络安全测评造成相应的影响。
　　1.3 被测评方配合不主动
　　由于大多數业主方技术管理人员都是兼职网络管理员，往往出现一人多职的现象。在测评过程中不能随时陪同，而且配合的比较被动，对于网络安全测评的流程和重要性关注度不高。
　　1.4 被测评方技术人员故意隐藏信息
　　信息系统业主方技术人员隐藏网络详细信息也是配合不够的重要因素之一，由于业主方技术人员对测评工作流程理解不够透彻，害怕测评过程中出现风险，就会故意隐藏一部分网络信息。还经常出现的就是网络管理员为了省事，对网络的管理以及自己工作不认真而违反相关网络安全规定，害怕安全测评或者出现的安全隐患对自己不利而故意隐藏一些信息。一般发生这种情况，技术管理人员就会主要介绍主要网络情况，很多详细信息会一带而过，这就影响了测评人员对信息获取的真实性和准确性，而测评人员如何发现问题并快速获取相关数据是一项有困难的工作[3]。
　　2  信息安全等级保护测评中网络安全现场测评方法
　　在信息系统安全等级保护测评指南中具体规定了一些测评的评估方法，比如说检查、测试以及访谈等等，一般检查是通过文档审查、配置核查以及对实际现场地形进行查看等等。现阶段，主要为了进一步完善和改革测评方法关于网络安全现场测评这一块，是网络安全现场测评更加高效和可操作性。综上所述，网络现场安全测评是有一定难度的，配置核查是获取数据和网络基本安全配置的重要手段之一。
　　2.1 确定测评对象
　　实际操作过程中，如果实际与网络拓扑图不符，尤其是网络系统复杂或者是用户业务系统繁多的状态下确定测评对象就比较有难度。一般是根据用户访问路径来确定网络测评对象方法。基于用户访问路径的网络测评对象确定方法的主要思路是将不同类型用户的接入区域用户的接入点作为起点，然后终点设置在业务系统中的应用服务器的位置。将网关设备按照一定的顺序纳入访问路径中，所有路径上面的网关设备构成了网络网关设备路径，其上面的所有网关设备都会被列为测评对象，还应该合并不同路径上面的公共节点。
　　2.2 测评对象配置和状态数据的获取
　　2.2.1 命令行管理方式设备的数据获取
　　一般设备版本号、路由表、日志状态都是通过执行命令行命令的方式而获取的，通常采用的形式都是文本文件。在实际操作过程中，要先编制测评操作指导书，然后将每一种设备需要用到的命令通过列表形式对其进行表示，这样方便了测评工作人员的日常工作，只需要按照列表上的顺序执行命令就可以，然后开启终端，并将屏幕显示的数据进行记录，将输出的存到文本文件，这样可以大大提高现场的测评效率。
　　2.2.2 WEB界面管理方式设备数获取
　　WEB管理方式的设备厂商比较多，供选择的范围比较广，其设置方式也是多种多样，给测评人员的选择提供了很大的方便。通常采用截图的方式来获取数据以便提高效率，因为大部分数据都是以图片的形式存在，一部分设备都是支持日志文件或者策略规则的导出功能，就是我们常说的以这种格式进行储存文件。
　　2.2.3 旁路安全设备及数据获取
　　网络拓扑图的验证过程就是当链路路径端点不是业务计算类设备时，可确定出旁路设备。常见的旁路设备就是入侵防御系统、网络审计系统、安全管理中心等等。而获取旁路类设备安全策略配置和安全状态数据主要是为了获取设备的版本号和各种类型的库版本信息防护启用配置等等。WEB方式是我们经常广泛应用的旁路设备，或者经常使用管理软件的方式进行管理，这种类型设备的数据一般也是通过截图方式进行传输。
　　2.3 信息安全风险评估框架及流程
　　从风险管理的角度来看，信息安全风险是利用科学的方法将信息系统所面临的危险和存在的问题进行分析，以及评估安全事件发生所造成的危害严重程度，一旦评估安全事件可能发生危害程度，就会提出有针对的抵御策略和解决措施，为了将信息安全风险将风险降到最低水平，最大限度的保障信息安全提供最有效的科学依据。
　　3  结语
　　网络安全测评是信息安全等级保护测评项目实施的重中之重，也是极有难度的。网络安全测评的基础就是网络拓扑图。选取正确的网络安全测评对象可提高网络安全测评记过的准确性和可靠性。本文介绍的基于用户访问路径的方法可以提高网络安全测评工程师的速度和更准确的确定测评对象。在我国，保障信息安全的制度、策略以及方法都是信息安全等级保护，而其中的网络安全现场测评就是信息安全等级保护项目测评中的难点。
　　参考文献
　　[1] 陈雪鸿，叶世超，石聪聪.浅谈工业控制系统信息安全 等级保护定级工作[J].自动化博览，2015（5）：66-70.
　　[2] 李文兢，谢翠萍.大型信息系统网络安全测评的关键技 术分析[J].信息通信，2016（2）：140-141.
　　[3] 靳英伯.信息安全等级保护模型评测平台的设计与实现 [D].山东大学，2017.
转载注明来源:https://www.xzbu.com/1/view-15064664.htm