摘要:为了有效的保障网络信息的安全,科学有效的网络安全现场测评方法是实现网络安全的重要措施。而网络安全现场测评的效果与测评人员的能力和技术高低以及被测评方人员的配合等相关因素有显著的关系,为了有效的获得高效准确完整的被测评网络原始数据,使测评项目能够高效的完成,本研究将结合信息安全等级保护测评中网络安全现场测评方法进行分析与研究,从而为高质量的网络现场测评提供理论指导与经验借鉴。
关键词:信息,网络安全等级保护,现场测评,策略
引言:《GB/T 28488-2019 信息安全技术 网络安全的等级保护测评要求》针对网络安全等级保护测评提出了详细的要求,基于该要求针对测评人员在现场网络安全测评过程中获取证据的途径与方法进行了详细的规定和指导,从而使测评人员在进行网络安全等级保护的过程中能够实时准确快速的针对信息系统进行测试评估。然而在实践操作的过程中,一方面基于网络信息技术数据信息的复杂性,导致现场测评过程中的困难较大,另一方面收到被测评人现场测评环境以及测评人员技术高低等多方面因素的影响,使得网络安全现场测评质量不高。因此基于网络安全现场测评过程中的问题与方法进行分析,对于全面提升网络安全等级保护效果和质量有非常重要的现实意义。
一、网络安全现场测评的困难分析
(一)变更信息缺失导致测评困难
在进行网络安全现场测评的过程中,测评研究一般都会结合被测评单位的网络拓扑图开展工作,然而被测评单位的网络图是在网络信息设备建设之初绘制的,因此网络拓扑图相对完整,简洁。然而与实际情况进行比照会发现,随着多年以来被测评单位对网络信息技术的不断更新与使用,增加的网络节点和网络出口导致现实的网络踏步图与设计之初的网络图存在着显著的差异,这一差异就会对网络安全现场测评带来严重的困难。而且很多变更的信息系统没有严格遵照相应的管理制度进行规范化的记录,因此在文档上就不会显示出实际应用过程中出现的变化,而且即使有相应的文档记录,但是随着多年以来管理人员的不断变更,也造成相应的工作交接缺失或不完整,出现的技术交接漏洞使得所出设计之初的网络拓扑图与现场的网络拓扑图存在着显著的差异。
(二)现场测评时被测评方的配合程度不高
由于网络信息技术及专业性较强,而且随着时代的不断变化及技术不断更新,因此在应用网络信息技术的过程中针对网络信息技术进行维护与管理多采用外包单位,借助于专业化的力量进行网络信息技术的管理,从而维持网络信息技术的有效运营与使用。然而在实现网络信息技术维护管理工作外包的过程中相应的外包制度和承包方在相应网络信息技术管理过程中的规章制度不科学执行力度不严,导致网络信息安全管理没有严格遵照相应的规定执行。因此当承包环节出现问题时就会严重影响业主单位的网络信息安全管理工作及服务质量。例如常见的外包单位与业主频繁中止服务,频繁更换维护与管理人员,而在进行网络安全现场测评的过程中相应的维护与管理人员对所管理的网络信息安全业务不熟,在测评的过程中不能进行有效的配合,严重影响了网络安全现场测评的效果和质量。
二、网络安全等级保护测评中网络安全现场测评方法
(一)定位测评对象
进行网络安全现场测评的过程中,由于最初设计的网络图与实际应用的网络拓扑图存在着显著的差异,尤其是当业主所使用的业务较多,网络信息系统较为复杂时,必须要首先定位准确的测评对象才能逐步开展网络测评工作。在实际测评时基于用户访问的路径进行网络测评对象的确定是常用方法,是不同类型的用户接入区域和用户接入点作为起点,按这一顺序在网络访问路径中分别纳入网关设备,同时做好不同路径上面公共节点的合并,以此进行网络测评。而常见的网关设备包括路由器、交换机、防火墙、上网行为、入侵防御系统等等。
.png)
图1 网络访问路径
(二)获取测评对象配置和状态数据
为了有效的保障现场测评效率首先应进行数据类型的获取例如设备版本号命令配置文件路由表等等,这些数据在应用的过程中主要是通过执行命令行命令的方式进行获取,在具体实施的过程中先进行指导书编制,然后采用列表的形式按照指导书逐项进行命令编制,最后按照表格进行执行即可完成数据获取。其次应做好Web界面的管理设备数据获取,由于现阶段网络信息技术在使用过程中所应用的外部管理方式来源非常丰富,这就导致相应的属性和设置方法多种多样,因此在进行测评之前需要先获取版本号授权情况运行状态等等,在实际操作的过程中可采用截图的方式通过图片形式进行保存,对于部分日志文件则可以采用导出功能进行存储。
(三)按评估框架及流程进行评估
首先进行风险分析,在风险分析的过程中针对资产、威胁、脆弱性三个基本要素进行分析,不同的要素具有不同的属性,在应用时也各有特点和方法。在进行风险分析时其主要内容包括对资产、威胁、脆弱等相关内容的识别,然后对资产进行赋值、对危险进行频率赋值、对脆弱性进行严重程度负值、最后结合资产威胁脆弱性等相关基础参数判断安全事件的发生率,并评估安全事件可能造成的损失,计算安全发生时产生的影响即为风险值,具体的实施流程如下图2所示:
图2 实施流程
.png)
参考文献:
[1]袁静,任卫红. 《网络安全等级保护测评过程指南》修订要点解析[A]. 公安部网络安全保卫局.2019互联网安全与治理论坛论文集[C].公安部网络安全保卫局:,2019:4.
[2]林森,刘菖,季静,冯响林. 网络安全等级保护测评质量现状及分析[A]. 公安部第三研究所、江苏省公安厅、无锡市公安局.2019中国网络安全等级保护和关键信息基础设施保护大会论文集[C].公安部第三研究所、江苏省公安厅、无锡市公安局:,2019:4.
[3]万京平. 基于等级保护的物理安全测评辅助方法研究[A]. 公安部第三研究所.第二届全国信息安全等级保护测评体系建设会议论文集[C].公安部第三研究所:,2012:3.