概述信息安全等级保护测评中网络安全现场测评方法

周松?周放

摘 要 对于国家的战略国防建设以及可持续性发展而言，信息安全是重中之重，而在我国，保障信息安全的基本制度、策略以及方法是信息安全等级保护，而网络安全现场测评是信息安全等级保护项目测评中的难点，基于用户访问路径的网络测评对象确定和原始数据的分析迭代恢复网络拓扑图结构方法，有效地解决了网络现场测评中普遍存在的技术资料不全、被测评方技术人员能力有限、被测评方技术人员配合不足等问题，可以高效、准确、完整地获取被测评网络原始数据，确保测评项目能够及时、高质量的实施，希望对相关人士有所帮助。

关键词 信息安全;等级保护;网络安全;现场测评

国家信息安全是国家发展中十分关键的部分，只有在保证信息安全的前提下，才能够确保国家发展的重要信息不泄露，而为了进一步的确保国家信息安全，完善信息保护的相关制度、策略以及方法，信息系统安全等级保护逐渐受到重视。对于国家信息安全而言，任何问题都不容忽视，因此开展信息安全等级保护时关系到国民发展的重要内容以及政治任务。当前。国家关于信息安全等级保护的相关政策、制度以及措施标准等基本设定完毕，如《信息安全等级保护测评要求》对信息安全等级保护测评提出了具体的标准要求，如其中的技术获得方法，测评人员获取信息数据的途径等都做出了明确的要求，这样测评人员在进行信息系统测试评估时将更多地从信息安全等级保护的角度出发。但是当前信息安全等级保护测评中网络安全现场测评还是存在着很多不合标准的现象，这就使得现场测评难以有效开展，同时测试结果也出现不确定性。因此本文将对网络现场安全配置以及安全状态原始数据的现场测评方法进行探讨。

1当前网络现场安全测评存在的问题

1.1 变更管理不到位

在进行网络现场安全测评时，通常被测评单位需要出示较为完整的技术资料，包括绘制完整的网络拓扑图等，但是这些数据信息会随着时间的推移发生改变，如网络节点和网络出口等都在逐渐增加，网络区域也与原来不同，业务应用范围进行了调整，上述这些改变都将使得网络拓扑图发生变化。如果在现场测评中没有对这些变化进行及时的管理，建立相应的制度加以支持，技术文档中就无法有效反映这些变更，更极端的情况下如果技术管理人员如果出现调整，没有进行变更管理的技术标准交接就会出现各种问题以及漏洞，最终使得测评结果出现偏差[1]。

1.2 网络管理员水平有限

很多业主方选择将网络技术维护工作外包以实现信息系统的有效维护，这种做法一定程度上使得信息安全维护工作的效率提升，但是由于业主方面的网络管理人员水平欠缺，过分依赖外包方，就会导致业主方管理制度的缺失，无法对信息系统安全维护工作进行有效的管理，这就会为网络安全埋下相当大的隐患。一旦合作方发生改变或者合作方的技术维护人员变更，在工作交接以及配合上就会出现各种各样的问题，业主单位的网络管理工作质量严重下降，这对于网络安全测评也是不小的威胁[2]。

1.3 被测评方缺乏有效的配合

很多被测评的业主网络技术管理人员本身专业素质不够，属于非专业的网络管理员，很多是其他岗位的人员进行兼职，这就使得现场测评环节很多业主方没有监督陪同，对于信息网络安全测评工作缺乏重视，不够关注测评流程以及测评结果，更是没有积极主动的进行配合，这给网络安全现场测评带来了一定的困难[3]。

1.4 被测评方技术人员责任心不足

网络安全现场测评的准确性以及有效性需要建立在信息完整的基础上，因此被测评方的技术人员需要提供所需信息，但是很多信息系统的业主方技术人员为了逃避责任，存在隐藏安全隐患的现象，没有向测评方提供必要的数据信息。同时，很对业主方技术人员为了避免因测评工作对设备正常运行工作造成的影响，选择隐藏关键的网络信息。更有甚者，很多业主方的网络管理员会根据自己的不良习惯或者使用的方便选择更改某些数据信息或者网络配置，在现场测评环节为了逃避责任选择隐藏这些安全隐患，这样测评工作人员就不能够有效的获取完成的数据信息，导致现场测评的效率以及真实性不足，给现场测评带来了不小的挑战。

1.5 网络拓扑自动化检测工具的限制

很多网络安全现场测评中采用自动化生成工具，但是部分自动化检测工具并不能够有效发挥作用，无法反映出信息网络的真实状况，这也是造成测评结果偏差的因素之一。而且针对某些重要的信息心痛如工业控制系统，自动化检测工具反而会引入一些不必要的安全风险，这样就不能够直接使用自动化检测工具[4]。

2网络安全现场测评方法

在进行网络安全现场测评工作时，首先需要确定测评对象，通常确定网络测评对象时基于用户访问路径加以确定;之后进行测评对象的配置以及状态数据的有效获取，如设备版本号、命令配置文件、路由表、接口状态、日志状态等都是需要获取的数据类型;接下来需要进行网络拓扑符合性验证工作，包括每一条路径上的网关节点接口链路的符合性;最后进行的是旁路安全设备及其数据获取过程，确定旁路设备时主要根据链路路径端点的计算类设备类型，当属于非业务计算类设备时，确认为旁路设备，在获取其相关安全策略配置以及状态数据。最后，需要对现场测评的数据进行整理，基于网络安全层面测试得到的测评控制点以及各要求项进行原始记录数据的归类整理，填写相应的网络单元测评结果表，对测评结果分析并提供相应的信息安全等级保护措施[5]。

3结束语

綜上所述，国家信息安全是其发展的关键因素，因此采用信息安全等级保护时必然的选择，其中网络安全现场测评工作时等级保护工作的重点难点问题，实现在网络拓扑图基础上的网络安全现场测评工作还是受到各种因素的限制，需要对测评方法进行优化，以使得测评效率提升，并保证测评质量。

参考文献

[1] 宫平. 信息安全等级保护测评中网络安全现场测评方法研究[J]. 网络安全技术与应用，2019，（5）：17-18.

[2] 王世轶，吴江，张辉. 渗透测试在网络安全等级保护测评中的应用[J]. 计算机应用与软件，2018，35（11）：190-193.

[3] 陆昊. 在医疗机构中开展信息安全等级保护测评实践和探讨[J]. 信息网络安全，2012，（z1）：44-46.

[4] 袁文浩，林家骏，王雨. 信息安全等级保护中等级测评的CAE建模[J]. 计算机应用与软件，2012，（10）：230-233.

[5] 王智，王大萌，刘兆东. 等级保护测评中的风险质量定性分析研究[J]. 信息技术，2014，（10）：185-187.