网络信息安全等级保护测评方法分析

网络信息安全等级保护测评方法分析

王海涛

辽宁北方实验室有限公司 辽宁省沈阳市 110180

摘要：近年来，随着时代的快速发展，国家都将信息系统的安全放在第一位置。现场对网络安全展开测评一直都是难点内容。该文主要针对网络现场安全测评中存在的难点进行剖析，立足于这些难点问题之上，提出一些必要的测评方法，确保能够获取准确的测评网络原始数据，对测评项目有效地进行支持。

关键词：网络信息安全；等级保护；测评方法

引言

近年来，信息系统安全已经成为人们关注的焦点问题之一，专家、学者就这个问题进行了一系列的研究，其中提出的等级保护制度为信息系统安全如何进行指明了方向，这个制度的核心思想包括合理利用资源、保护重点，将信息系统分为不同的等级，依据相关的标准建设系统，落实管理和监督工作。在整个信息系统的生命周期中，等级保护是持续循环的重复性过程，但是不同等级系统也会对等级保护提出不同的要求，信息系统的建设者或运作者对这个问题都显示出特别的关注度。

1信息安全等保测评实施过程分析

评级评估基于国家信息安全级别保护系统，受相关管理标准和技术标准约束。对特定应用的信息系统，采用安全技术评估和安全管理评估方法，检测和评估保护状态，确定被测系统的技术和管理级别与所需安全级别要求之间的符合程度。根据符合程度，判断是否符合规定安全等级，提出不合格的安全整改方案。网络信息系统的整个生命周期中，信息系统分级和归档是信息安全级别保护的主要环节。信息系统分级工作应按照“自动评级，专家评审，主管部门审批，公安机关审查”的原则进行。安全设计和实施阶段的目标是根据整个信息系统安全计划的要求，结合信息系统安全建设项目计划，分阶段实施安全措施，安全操作和维护是确保实施级别保护期间信息系统正常运行的必要步骤。其涉及的内容很多，包括建立安全运行维护机构和安全运行维护机制，管理环境、资产、设备、媒体、网络、系统、密码、密钥、安全状态监控、安全事件、安全审计和安全检查等内容。信息系统终止阶段是实施级别保护的最后一个环节。当信息系统被转移、终止或丢弃时，在系统内正确处理敏感信息对确保组织信息资产的安全性而言至关重要。信息系统生命周期中，有些系统没有被真正抛弃，而是改进了技术，将业务转变为新的信息系统。对于这些信息系统，应确保信息传输、设备迁移和媒体销毁的安全性。

2网络信息安全等级保护测评方法分析

2.1对测评对象进行确定

网络拓扑图如果不够一致，用户业务系统十分繁多的时候，网络系统会十分复杂，对对象的测评也会存在一定的困难。因此，可以对用户的访问途径进行确定，然后对网络对象展开测评。确定网络测评对象的时候需要建立在用户访问途径的基础上，将不同类型的用户接入同一个区域中，将其具体的接入点作为起点，对业务系统中存在的应用服务器位置进行设置，在访问路径中遵循相应的顺序将网关设备加入其中，让所有路径上面的网关设备能够有效组成网关设备路径，将访问路径中所有的网关设备作为具体的测评对象，根据不同的路径将所有的公共节点合并在一起。网关类设备具有多种类型，防火墙、交换机等都属于网关类设备，部分网关类设备属于一个透明的模式，也就是说所有串联在一起的设备都属于网关类设备。

2.2测评对象配置和状态数据的获取

①命令行管理方式设备的数据获取一般设备版本号、路由表、日志状态都是通过执行命令行命令的方式而获取的，通常采用的形式都是文本文件。在实际操作过程中，要先编制测评操作指导书，然后将每一种设备需要用到的命令通过列表形式对其进行表示，这样方便了测评工作人员的日常工作，只需要按照列表上的顺序执行命令就可以，然后开启终端，并将屏幕显示的数据进行记录，将输出的存到文本文件，这样可以大大提高现场的测评效率。②WEB界面管理方式设备数获取WEB管理方式的设备厂商比较多，供选择的范围比较广，其设置方式也是多种多样，给测评人员的选择提供了很大的方便。通常采用截图的方式来获取数据以便提高效率，因为大部分数据都是以图片的形式存在，一部分设备都是支持日志文件或者策略规则的导出功能，就是我们常说的以这种格式进行储存文件。③旁路安全设备及数据获取网络拓扑图的验证过程就是当链路路径端点不是业务计算类设备时，可确定出旁路设备。常见的旁路设备就是入侵防御系统、网络审计系统、安全管理中心等等。而获取旁路类设备安全策略配置和安全状态数据主要是为了获取设备的版本号和各种类型的库版本信息防护启用配置等等。WEB方式是我们经常广泛应用的旁路设备，或者经常使用管理软件的方式进行管理，这种类型设备的数据一般也是通过截图方式进行传输。

2.3信息安全风险评估

评估信息安全风险的时候需要从风险管理的角度出发，采用科学的手段对系统中存在的潜在问题和威胁进行分析，对于安全事件发生的时候出现的危害进行评估，有针对性的威胁采取相应的防护措施，将信息安全方面存在的风险进行化解，将风险控制在合理的范围中，让信息安全得到一定的保障。风险分析中涉及三大要素，分别是资产、脆弱性、威胁，每个要素所具有的属性不同，资产主要需要资产价值。威胁属性不仅可以是威胁主体，还会是动机等。脆弱性属性主要是资产弱点的严重程度。对风险进行分析的时候主要涉及的内容有多种。做好资产的识别工作，对资产价值进行赋值。对威胁同样展开识别，并对威胁的属性进行描述，掌握威胁引发的赋值。对脆弱性同样需要做好识别，并对可能引发的资产的严重程度做好赋值。利用威胁引发的脆弱性需要对安全事件的可能性科学地进行判断。依据脆弱性具体的严重程度对安全事件所用到的资产价值进行计算，并对安全事件产生的损失进行计算。对安全事件所发生的可能性对安全事件的损失进行计算，并对安全事件产生的影响进行计算，也就是计算风险值。

2.4保护能力构成框架

这一框架为信息系统具备等级保护安全保护能力的构成提供了概念框架。首先，这一框架直接呈现出信息系统安全等级保护基本要求的保护能力构成；其次，它为工作人员进行系统安全等级保护提供了有力的依据，从而确保安全目的的顺利达成，实现安全保护的预期效果，使信息系统具备抵抗安全隐患的能力。要确保业务信息和系统服务具备足够的安全保护能力，可以从两个分方面着手：其一为技术方面，它的表现形式是技术保护过程的分类，以动态保护过程为依据分为三类，即防护、检测、恢复响应，分别对应业务信息安全以及系统服务安全的防护能力、检测能力以及恢复响应能力。其二为管理，科学、有效的管理能够为信息系统的安全提供有力的保障，从安全管理策略的角度来看，它包括了制度类、组织人员类、安全工程类和安全运行类四种类型，它能够让人们了解信息系统的安全管理要素，以及信息系统在运行过程中进行的各项安全管理活动。所以，安全管理主要能够反映出信息系统的制度规范化保证能力、组织人员保证能力、安全工程保证能力和安全运行保证能力。

结语

在总结评价结果的基础上，找出系统保护现状与水平保护基本要求之间的差距，形成评价结论，并根据等级测评结论编制测评报告。本文主要分析了网络信息安全等级保护评估的实施过程、评估方法以及评估的工作流程，对提高信息系统的安全性具有一定价值。

参考文献

[1]石桂花,徐超,刘君,等.基于云安全服务平台的等级保护测评方法[J].移动通信,2017(21):10-15.

[2]杨志刚,王强.信息安全等级保护初始建设和应用研究[J].新技术新工艺,2017(4):62-64.

[3]夏侯振宇.信息安全等级保护测评中信息技术服务外包常见问题分析及对策探讨[J].信息网络安全,2016(s1):45-47.