网络安全测评机构能力建设研究

来源:用户上传      作者:

　　摘   要：文章通过分析网络安全测评过程中可能存在的风险和问题，从质量管理体系、人员管理、测评技术等方面，对安全测评能力建设进行分析和探讨，为测评机构规范化管理提供借鉴。
　　关键词：网络安全;安全测评;等级保护;能力建设
　　中图分类号： TP309.2          文献标识码：B
　　Abstract： This paper analyzes the possible risks and problems in the process of Cyberspace security evaluation. From the aspects of quality management system， person management and evaluation technology to analyzes and discusses the construction of safety evaluation capability. Provide a reference for evaluation organization.
　　Key words： cyberspace security; security evaluation; classified protection; capacity building
　　1 引言
　　进入21世纪，全球迎来了新一轮信息技术革命，以互联网为核心的信息通信技术及其应用和服务正在发生质变。人类社会的信息化、网络化达到前所未有的程度，信息网络成为了整个国家和社会的“中枢神经”。然而，网络化趋势却带来了两对矛盾：一是攻击技术永远领先于防御技术;二是信息技术和应用越复杂、功能越全面，其脆弱性、漏洞和安全隐患就越大。从技术发展趋势看，这两对矛盾会越来越突出，网络与信息安全形势不容乐观。
　　随着我国经济社会各领域加速信息化，重点单位对信息技术和网络的依赖程度越来越高，办公自动化、网络化存储传输已经成为重要手段。做好网络安全测评工作，对于健全国家网络安全保障体系的重要性日益凸显。
　　网络安全测评是通过对信息网络及其相关设施设备的安全风险进行检测评估，及时发现安全隐患，提出防护措施，对确保信息网络安全运行具有重要关口作用。安全测评是作为开展安全建设和整改的依据，是网络安全保障工作的关键步骤之一，加强测评工作质量保障、测评人员安全的管理，积极稳妥的开展网络安全测评体系建设，不断提高测评的能力和水平，充分发挥测评机构的网络安全技术支撑作用，持续开展测评机构能力建设研究和规范化管理，为网络安全的保障工作提供一支可靠专业技术支撑力量，具有现实意义。
　　2 测评工作可能面临的风险和存在问题
　　2.1 测评工作面临的风险
　　网络安全测评、网络安全检查实施过程中，被测系统可能面临三方面的风险。
　　（1）验证测试影响系统正常运行。在现场测评时，需要根据测试用例和测试方案，对设备和系统进行安全配置核查等验证测试工作，部分测试内容需要上机查看一些信息，这就可能对系统的运行造成一定的影响，甚至存在误操作的可能。
　　（2）工具测试影响系统正常运行。在现场测评时，会使用一些技术测试工具进行漏洞测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响，漏洞测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。
　　（3）敏感信息泄漏。可能会泄漏被测系统状态信息，如网络拓扑、IP地址、业务流程、安全机制、安全隐患和安全设计方案、软件开发设计等有关文档信息。
　　2.2 当前安全测评工作存在的主要问题
　　当前网络安全测评存在的主要问题表现为：
　　（1）新技术、新模式的安全测评、检查技术能力还有待提高，如云计算、大数据、区块链、物联网等的安全测评手段和方法还需要进一步研究，安全风险综合评估能力和漏洞隐患挖掘分析手段还不强，尚未形成对信息化条件下安全保障工作的核心技术支撑能力;
　　（2）安全测评法规标准体系还不够健全，网络安全资源库没有建立，安全测评仿真验证环境基础设施还较为薄弱;
　　（3）安全测评管理不规范，没有完整详细的安全测评方案或作业指导书，检查结果的记录和汇总非常繁琐，检查结果的存档和调阅困难。
　　3 测评技术能力的主要内容
　　3.1 质量管理
　　按照中国合格评定国家认可委员会（CNAS）要求，当前开展信息系统安全风险评估、等级保护测评、网络安全检查等业务，需要按照《CNAS-CI01检查机构认可准则》（ISO/IEC 17020）的有关要求，建立质量管理体系并通过CNAS组织的相应认可。
　　作为网络安全等级保护测评机构，还要依据《网络安全等级保护测评机构能力要求和评估规范》加强质量管理，并通過公安部信息安全等级保护评估中心组织的能力评估，建立包括制度文档、配套表单、记录，系统调查表、测评方案、测评指导书、现场记录、测评报告等一套完整的管理文档。
　　3.2 人员管理
　　测评人员安全管理是测评机构自身安全保障的重要组成部分，人员安全管理包括可信人员策略、可信人员评估、测评人员技术能力管理等。
　　（1）可信人员策略。安全测评机构应制定可信人员策略，该策略包括的内容为：
　　1）可信人员的定义与标准，可信人员应该是没有伪造学历、没有伪造工作经历、无犯罪记录、工作中无严重的不诚实行为的人员;
　　2）可信人员的评估要求，需提交的证明材料及第三方验证;
　　3）可信人员的复查，对于确定为可信的人员在经过一定的时期后应对其可信状态再次确认。可信人员策略应该确定复查的时间、程序和要求。 　　（2）可信人员背景调查与评估。依据可信人员策略，安全测评机构需制定可信人员评估方法，评估方法应该包括对人员背景的调查和确认，调查内容应包括教育、工作经历的真实性、个人诚信情况等，调查要有第三方人员确认。
　　（3）人员异动管理。人员异动情况是指安全测评机构工作人员离职、岗位变动、或因其他的不可估计的原因而不能正常到岗，或能到岗但因其他原因（如被确认为不可信雇员）不能履行职责的情况。安全测评机构应制定一套人员异动情况时的处理方案。该方案应包括的内容：
　　1）处理人员异动情况的有关部门和负责人员;
　　2）人员异动情况的处理流程;
　　3）人员异动处理的安全要求和措施。
　　（4）测评人员技术能力管理。对测评人员职称、学历、培训教育、持证上岗等技术能力进行综合管理。
　　3.3 保密管理
　　作为可信第三方的安全测评机构需要获得被测评信息系统的各种信息，应制定严格的客户信息保密政策和制度。
　　安全测评机构须根据安全策略制定具体的信息保密制度，以保护测评机构和客户的保密信息和知识产权。信息保密制度应包括的内容：
　　（1）信息的分類，明确信息的不同保密级别;
　　（2）对信息保密分类的标识要求;
　　（3）对保密信息的安全管理、防护措施;
　　（4）保密信息安全浏览、修改的控制，流程和记录要求;
　　（5）对违反保密信息要求的行为的处理。
　　按照GB/T 22080《信息技术 安全技术 信息安全管理体系 要求》、GB/T 22081《信息技术 安全技术 信息安全管理实用规则》等标准，建立安全保密管理组织机构、制定安全保密管理制度、实施人员安全保密管理培训与教育，落实安全防护和保障技术手段，控制信息安全方针、组织的信息安全、资产分类与控制、人事安全、设备与环境安全、通信和运作管理、访问控制、系统开发与维护、业务连续性管理、符合性要求等安全目标，开展网络安全管理体系建设，是做好自身网络安全保密管理重要工作。
　　3.4 安全测评技术管理
　　（1）网络安全等级保护测评、网络安全风险评估、网络安全检查等保障工作中的主要测试技术。
　　1）物理安全测试：建筑防雷测试（含接地电阻测试）、机房火灾消防验收测试、综合布线系统验收测试、机房安全防范系统测试、办公环境的安全测试。
　　2）网络安全测试：网络性能监控和测试、网络与信息安全产品选型测试、加密传输协议分析测试、安全区域边界测试。
　　3）应用安全测试：应用系统软件验收测试、应用系统软件安全符合性测试、软件性能压力测试。
　　4）系统安全功能测试：根据安全要求，分别对系统的网络层、操作系统层、数据库层、公共应用平台层、应用系统层进行标识鉴别、审计、通信、用户数据保护、安全管理、安全功能保护、资源利用、评估对象访问、可信路径/信道、脆弱性管理和恶意代码防范等安全功能方面的检测。
　　5）安全配置核查测试：对信息系统涉及到的所有网络设备、操作系统、数据库系统和应用软件的安全性配置进行测试和检查。
　　6）系统脆弱性测试：分别通过系统层和应用的脆弱性扫描检测和渗透测试，发现信息系统的网络、操作系统、数据库、应用系统存在的脆弱性和安全隐患。
　　（2）商用密码和电子签名检查测试。商用密码技术作为网络安全的基础性核心技术，是信息保护和网络信任体系建设的重要基础，是实行网络安全保障不可或缺的关键技术。
　　电子认证以《电子签名法》为依据，建立以身份认证、授权管理、责任认定为主要内容的网络信任体系，是网络和信息安全保障体系的重要组成部分。
　　商用密码测评以《中华人民共和国密码法》为依据，在《信息安全等级保护商用密码管理办法》《信息安全等级保护商用密码技术实施要求》《商用密码应用安全性评估》等文件中明确使用商用密码技术和产品，按照GM/T 0054-2018 信息系统密码应用基本要求，开展商用密码应用安全性评估。
　　国家标准GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》规定了对不同安全保护等级信息系统的基本安全要求，对于涉及到身份的真实性、行为的抗抵赖性、内容的机密性和完整性的要求项，都需要密码技术作为支持手段。
　　（3）漏洞数据库与网络安全攻防模拟能力。漏洞分析、安全攻击防护和演练平台等作为网络安全基础设施之一，在网络安全技术保障工作中占有核心位置。
　　通过网络安全数据库，包括漏洞库、补丁库、恶意代码库等完成安全漏洞信息的收集、汇总、分析和验证;开展网络安全人员培训，搭建网络安全攻击和防护演练平台，为测评人员提供网络安全技术培训。
　　3.5 测评作业指导书开发管理
　　网络安全测评、网络安全检查等作业指导书，体现测评机构实力，能够规范测评和检查的流程与方法，保证测评结果的准确性，是具体指导测评人员如何进行测评活动的文件，是现场测评的工具、方法和操作步骤等的详细描述，是保证测评活动可以重现的根本，因此测评作业指导书应当尽可能详尽、充分。
　　网络安全测评中的作业指导书主要包括十四个方面内容。
　　（1）操作系统测评类：Windows XP/2003/2008/2010、AIX、HP Unix、Linux、Solaris等。
　　（2）数据库测评类：DB2、Infomix、SQL Server、Oracle、Sybase等。
　　（3）交换机测评类：华为、Cisco、锐捷、Juniper等。
　　（4）路由器测评类：华为、锐捷、Cisco等。
　　（5）防火墙测评类：天融信、网御等。
　　（6）入侵检测系统测评类;绿盟、启明星辰等。 　　（7）中间件测评类：WebLogic、Tomcat、Jboss等。
　　（8）应用系统：FTP服务器、邮件服务器、DNS服务器、Web服务器等。
　　（9）OA、财务等应用软件测评类。
　　（10）主机审计产品测评类：北信源、广州国迈。
　　（11）运维审计产品测评类：广州科友、奇智等。
　　（12）商用密码设备与CA认证中心测评类。
　　（13）物理机房、办公环境测评类。
　　（14）管理制度测评类：政策方针、组织架构、人员管理、安全运维管理等。
　　3.6 安全测评过程管理
　　网络安全测评机构应通过规范化的制度，对测评过程进行管理，保证测评的质量和时间进度，一般来说包括七个过程。
　　（1）安全测试需求分析：和用户沟通网络安全测评的目的、范围、内容等。
　　（2）安全测试调研：通过调研表的方式，对系统架构、涉及的各种软硬件设施、需要访谈的人员、需要查看的管理制度等进行调研。
　　（3）安全测试方案的编制：根据调研的结果编制网络安全测试方案。
　　（4）签署测评授权书：和被测单位签署测评授权书，一般来说，网络安全测评需要签订通过测评授权书明确测试的时间和范围，这说明了本次测试的合法性。
　　（5）测评实施：开展现场网络安全测试活动，这里可能涉及到系统相关的各个层面，如机房物理环境、网络环境、操作系统、数据库、应用系统、中间件、管理制度等。
　　（6）结果确认和资料归还：将测试结果和发现的问题和用户方确认，并将测试过程中借阅的各项资料归还。
　　（7）测评报告编制：对测试工作进行总结，形成测评报告。
　　如图1所示为规范登记保护测评过程开发的一个信息安全等级保护测评辅助软件界面，该软件以Excel插件形式开发。
　　信息安全等级保护测评辅助软件基础框架如图2所示，包括Microsoft Excel平台、采用VSTO（Visual Studio Tools for Office ）技术实现应用层，使用Access实现数据库层，应用层由不同功能模块组成。
　　该软件可实现信息安全等级保护测评过程的辅助和过程管理工作，具有根据被测系统级别自动生成测评记录表、根据测评结果自动生成整改建议、生成Word版执行记录集和回归执行记录集、执行记录错误检查、回归执行记录错误检查、生成不同版本报告表格等功能。目前，该软件已经在等级保护测评项目中成功应用，实践证明，该软件明显地节约了等级保护项目的测试时间，提高了工作效率，节约了成本。
　　4 常用网络安全测评工具推荐
　　网络安全测评需要的工具，建议配置有十二种。
　　（1）漏洞扫描探测工具：1）网络安全漏洞扫描系统;2）数据库安全扫描系统;3）应用安全漏洞扫描工具。
　　（2）木马检查工具：1）专用木马检查工具;2）进程查看与分析工具。
　　（3）软件代码安全分析类：软件代码安全分析工具。
　　（4）安全攻击仿真工具。
　　（5）网络协议分析工具。
　　（6）系统性能压力测试工具：1）网络性能压力测试工具;2）应用软件性能压力测试工具。
　　（7）网络拓扑生成工具。
　　（8）物理安全测试工具：1）接地电阻测试仪;2）电磁屏蔽性能测试仪。
　　（9）网络安全保密检查工具。
　　（10）渗透测试工具集。
　　（11）安全配置检查工具集。
　　（12）安全测评管理工具。
　　5 结束语
　　网络安全测评机构应大力开发网络安全测评作业指导书，同时开展测评能力比对工作，通过能力比对，提高检测机构对于网络安全相关标准的理解，提高测评能力，找出差距，增进各检测机构之间的技术交流。
　　各级网络安全主管机构应坚持测评工作优先发展战略，网络安全测评在信息化安全保障工作中的基础性、导向性作用将越发显现出来。只有把测评工作放在优先发展的战略地位，才能快速推进网络安全管理精准化、专业化水平，大幅提高信息保障效能和水平。加大科研经费投入，加快机构队伍建设，使测评工作更加适应国家经济社会发展对网络安全的需要。
　　加强对测评机构的培训和监督，提高测评机构和测评人员的能力，避免存在恶意竞争的行为，树立测评机构的良好形象和保障性的工作。在此基础上，充分发挥测评机构政策、标准和专业技术知识方面的专业优势，尽快让测评机构步入正轨，为网络安全保障工作提供强有力的支撑。
　　参考文献
　　[1] 屈曄，张昊.BugScam自动化静态漏洞检测的分析[J].信息安全与通信保密，2007（03）：105-107.
　　[2] 张昊，屈晔，杨春晖.Web应用系统软件信息安全技术研究[J].电子产品可靠性与环境试验，2008（01）：45-47.
　　[3] 张昊.信息安全等级保护测评工作实践与探讨[C].公安部第三研究所/第二届全国信息安全等级保护测评体系建设会议论文集/公安部第三研究所：《信息网络安全》北京编辑部， 2012：38-39.
　　[4] GB/T 22239-2019.信息安全技术 网络安全等级保护基本要求[S]. 北京：国家市场监督管理总局/中国国家标准化管理委员会，2019.
　　[5] GB/T 28449-2018.信息安全技术 网络安全等级保护测评过程指南[S].北京：国家市场监督管理总局/中国国家标准化管理委员会，2018.
　　[6] 贺江敏，相里朋.代码安全性审查方法研究[J].信息安全研究， 2018，4（11）：977-986.
　　作者简介：
　　张昊（1972-），男，汉族，山东济宁人，华南理工大学，硕士，工业和信息化部电子第五研究所，高级工程师;主要研究方向和关注领域：网络安全、网络可靠性。
　　贺江敏（1981-）男，汉族，湖南永州人，中山大学，硕士，工业和信息化部电子第五研究所，高级工程师;主要研究方向和关注领域：网络安全。
转载注明来源:https://www.xzbu.com/1/view-15250802.htm