落实网络安全等保自查工具

■上海 朱圣才

《信息安全等级保护管理办法》第十八条明确指出，受理备案的公安机关应当对信息系统的运营和使用单位的信息安全等级保护工作情况进行检查。《公安机关信息安全等级保护检查工作规范（试行）》提出，对辖区内独自运行的信息系统，由受理备案的公安机关独自进行检查。2017年6月1日，网络安全法正式实施，为网络安全等级保护制度提供了法律依据，实现了网络空间安全的法治化。2019年5月13日，网络安全等级保护制度2.0标准正式发布，并于2019年12月1日起正式实施。

网络安全等级保护自查工具背景

网络安全等级保护工作是长期的、合规性操作，是各行业、各单位必须落实的一项基本要求，并始终贯穿于信息化日常安全维护工作之中。根据“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，网络安全等级保护责任单位必须落实网络安全等级保护自查，配合公安机关监督与检查。如何更好地落地网络安全自查工作，是各企事业单位存在的一个难题。

1.应对网络安全执法检查存在的问题

网络安全等级保护安全检查工作是等级测评、用户自查、安全检查三位一体安全保障长效机制的重要一环；是公安机关对备案信息系统进行信息安全监督管理的重要途径；是建立在等级测评和用户自查的基础上，对已发现安全问题进行跟踪、督促、整改和落实的有效手段。

目前，公安机关网络安全等级保护执法检查工作的开展主要是依据各公安部门网络信息安全中心的现场检查人员进行现场检查，同时，公安机关会邀请网络安全专业技术单位协同参与执法检查，为执法检查提供技术支撑。

由于网络安全执法检查对专业性要求较高，如何在网络安全执法检查之前对网络安全检查进行自查，减少网络安全执法检查工作对各单位工作人员的压力，更好地应对和维护网络空间安全，基于上述思考，成为网络安全等级保护自查工具的设计起因。

2.网络安全等级保护自查工具目标

网络安全等级保护自查工具在管理和技术都是以国家标准为指导，报告内容丰富而简练，以发现问题，督促整改为目的，符合“有限时间，快速发现”的工作特点。具体如下：

（1）能够提供覆盖网络、主机、操作系统、数据库、应用系统等层面的专业技术检测。

（2）能够通过自动化的检测技术，全面、快速的发现信息系统存在的各类安全漏洞，适应“有限时间、快速发现”的使用需求。

（3）能够根据漏洞风险程度进行分类汇总，形成安全自查报告。

（4）形成合理规范化的书面报告，在用户体验上保障得到使用者的青睐。

网络安全等级保护自查功能

网络安全等级保护自查工具包含快速检查功能模块、完整检查功能模块，以及具体的扫描引擎功能（主机扫描引擎、数据库扫描引擎和应用扫描引擎）。

1.快速检查

快速检查功能是在综合了主机扫描技术、数据库扫描技术和应用系统扫描技术的基础上，对紧急漏洞、高风险漏洞和常见漏洞进行快速扫描的过程。

该功能是对传统等级保护检查工作的完善和提炼。在快速安全检查的整个过程中，用户无需对扫描对象的类型进行区分，只需用户输入扫描对象的IP或者URL，快速检查功能会自动匹配扫描对象的类型。

例如，当输入URL 时，快速检查功能会自动给该扫描对象匹配为应用系统类型，检查工具会使用应用扫描引擎进行技术检查；当输入IP地址时，快速安全检查会通过探测功能，分别去匹配数据库的类型，同时会匹配主机扫描引擎，从而确定快速检查使用什么类型的数据库引擎和主机引擎。

网络安全等级保护工具的这种自动完成类型匹配的功能，从技术上提供了检查工作的全面性，从管理上方便了工作人员，操作非常简单，结果精确而简短。

快速检查功能的特点包括：

（1）精确而稳健的自动类型匹配功能。

（2）智能、快速的重点漏洞扫描。

（3）灵活、简单的漏洞扫描方式。

（4）直观、丰富的安全评估结果。

（5）稳定的性能和主要风险的把握。

2.完整检查

完整检查功能是指网络安全等级保护自查工具提供的全策略扫描方式。该功能是对主机扫描技术、数据库扫描技术和应用系统扫描技术三种方式进行全策略的综合性安全自查过程，该扫描方式在扫描对象类型上没有任何限制，用户可以根据自己的要求设置自己的任何扫描对象。

特别是在数据库扫描策略设置方面，此时用户可以进行详细的参数设置，以保证扫描结果的完整性和全面性。

3.扫描引擎

无论是快速检查还是完整检查，自查工具的核心都离不开扫描引擎的支撑。

（1）主机扫描引擎。

借助Nessus 扫描内核，具备检测漏洞多、准确、速度快的特点。另外，主机扫描技术还在支持的系统类型上进行了扩展，具体包括Windows、Debian、Ubuntu、SuSE、CentOS、Red、Fedora、FreeBSD、HP-UX、MacOS 十种类型。

（2）数据库扫描引擎。

在支持的数据库类型和策略方面更加全面，包括：Oracle、MSSQL 2000、MSSQL2005/2008、DB2 v8、DB2 v9、MySQL、Informix 七种大类；并且支持授权与非授权两种扫描方式以及现场自动取证功能。

数据库扫描引擎的特点还包括：

全方位的安全剖析。多层次SQL 注入剖析。

高性能的数据库连接及扫描引擎。提供了一个高效、轻量级的数据库访问引擎，采用API 方式连接数据库，使得数据库的访问效率大大提升。

全面的扫描漏洞描述和建议。提供多达八大类的数据库安全弱点，如缓冲区溢出、拒绝服务、提权、SQL 注入、执行权限过大、访问权限绕过、弱口令、安全信息查看等各种漏洞类别。

直观、丰富的扫描结果展现。每个扫描的数据库都有独立的进度条，显示扫描进度。在界面左边的工作区里可以看到扫描出的各类弱点的个数。可以在右边的弱点显示里看到弱点的详细信息，可以在图表中看到具体的漏洞统计信息。

强大的策略管理功能。提供自定义策略的功能。

（3）Web扫描引擎。

采用经典的Web扫描内核，集成了全部Web扫描策略和Web漏洞库信息，并且能够及时更新漏洞数据库。目前支持OWASP TOP 10 和各类Web漏洞信息检测，可以帮助用户充分了解Web应用存在的安全隐患，建立安全可靠的Web应用服务，改善并提升应用系统抗各类Web应用攻击的能力。

例如：SQL注入攻击漏洞、XSS 跨站脚本攻击漏洞、钓鱼攻击漏洞、信息泄漏、恶意编码、表单绕过、缓冲区溢出等等，协助用户满足等级保护、PCI、内控审计等规范要求。

4.网络安全等级保护自查工具创新

网络安全等级保护自查工具在传统的等级保护工作中给予了一定程度创新：

（1）提出了快速检查功能模块。从市场调研角度分析该模块的可行性，从技术支持角度探索该模块实现可用性，从稳定性和基本性能上保障快速检查功能的有效性。

（2）切实有效的将主机扫描引擎、数据库扫描引擎和应用系统扫描引擎结合在网络安全自查工具之中，保障了整个扫描引擎的全面性。同时系统报告提供了不同版本类型的支撑，例如Word、PDF、HTML 等。

（3）快速检查加入自动匹配类型的功能，从技术上提升了安全检查工作的技术指标，从管理上方便了用户的使用，完整检查对检测的全面性提供了保障。

结语

网络安全等级保护自查工具使用规范化的安全检查标准，简单友好的人机交互界面，全方面覆盖的扫描接口，解决了信息系统安全等级保护自查工作中的技术困难，为专业技术人员进行网络安全等级保护评估提供了技术支撑。

同时，对特殊内容的定制预留接口，特别是在对用户界面的友好性以及关键技术的研发上都进行了非常深入的研究和调查。