信息安全等级保护测评中网络安全现场测评分析

◆林燕

（山东新潮信息技术有限公司 山东 250100）

就目前而言，国家对安全信息等级方面的保护工作制定了部分相关规定、标准和方针，同时在标准建设方面构建起了比较完整的体系。针对目前网络运营呈现出的状态，具有一定的特殊性和复杂性，在通常情况下不能根据相关标准严格地实施工作，这样的情况就给现场测评工作带来了许多不确定性和困难。本文通过信息安全测评等级在实际工作中的实施情况作出了对应的分析和总结，争取找到更加便捷、高效、快速、完整的方式来代替网络现场配置安全和原始数据状态安全的现场测评方式。在对网络数据信息进行安全评测的过程中，需要注意多方面的安全性和可靠性，用以保证测评工作的正常启动以合理性。

1 信息安全等级保护测评中应关注的问题

（1）严格备案，科学定级

注重信息系统方面的运营，对应使用单位还需要根据实际的等级情况作出对应的技术标准要求和相关的规范管理标准，进一步明确细化信息系统方面的安全等级。针对重要的信息数据系统，在其使用和运营方面更需要通过委员会的评审。在此基础上，才能够更好地做好数据信息安全等级的具体评定工作，由此能够确定更加完善的定级科学性，保证备案工作的实施和发展能够更加科学，处于正常状态。

（2）整改建设，落实措施

针对已有的数据信息系统而言，在其使用和运营方面也需要保证产品信息安全，切实完善技术安全措施的技术和规范标准。在采购和使用的过程中，选取对应的产品信息安全标准。对于整改工作而言，需要保证各项相关措施能够处于完善状态，使各项整改工作和建设工作能够处于正常状态，以此来保证各项举措的科学性和可靠性。

（3）落实要求，自查自纠

数据信息系统化方面的使用和运营工作需要根据其主管部门做出的技术标准和相应的管理规范，完成等级保护建设工作的系统做出定期的状况评估监测，用以更加及时地消除漏洞和安全隐患，尽早发现问题并做出整改，持续不断地提高数据信息安全保护水平。在此基础上，积极开展自查和自纠活动，保证工作能够落实到位，从基础上保证安全信息等级的处理能够更加到位[1]。

2 信息安全等级保护测评中网络安全现场测评方法

2.1 确定测评对象

通常情况下，当用户数量较多时，如果采用的网络拓扑图不同，在复杂的网络系统下难以对目标对象进行有效的测评工作。因此，本文将具体分析用户网络访问路径方面的测评方法和测评对象。

针对用户现阶段的测评方法和路径而言，主要是确定测评工作的基本思路，把不同类型的网络用户接入到区域性质的用户接入点，重新把业务系统内部的服务器应用位置设定成起点，根据一定的顺序做出对应的服务器应用终点，将网关设备更好地投入到各种网络访问路径中，将不同路径的公共节点予以合并。其中，网关的主要类型有：路由器、防火墙、上网行为管理、交换机、数据安全隔离网闸、入侵防御系统等[2]。

2.2 测评对象配置和状态数据的获取

（1）设备管理方式的命令获取

主要获取的数据类型包括：命令配置文件、设备版本号、接口状态、路由表、MAC地址表、日志状态等相关执行命令均是由此获取的，使用地使用形式为文本文件。在实际的操作过程中，列表形式能够对指导书中的全部设备可能使用到的命令做出对应的编制工作，这样才能够更好地保证终端处于正常工作状态。在这样的工作过程中，需要保证各项指标和命令能够准确、及时地传递下去，保证各个层级的工作人员和服务器都能够处于正常工作状态下，从而更好地保证其工作合理性，保证各项数据指标的科学性和准确性[3]。以上述内容为前提，为数据信息的测评工作提供一定的基础，保证测评工作能够具有更加科学的安全保障。

（2）使用WEB界面管理来获取相关数据

因为本身的厂商采用WEB管理方式的会比较多，并且设置方式还会具有多样性，这就需要相关的测评人员做出正确的选取工作。这里需要获取的主要数据包括：授权情况、版本号、运行状态等；启用和接口配制情况，即路由表、工作方式、资源定义、MAC地址表、攻击防护以及访问控制策略等方面[4]。为了进一步保证工作效率，需要在此基础上开展数据信息的截图方式，以多种形式的图片存在，一部分能够支持日志文件抑或规则策略的导出功能，就能够将对应格式的文件予以储存。在此基础上，需要提高对于各项数据信息的获取工作，对各个层级的数据传输系统进行必要的考核，保证其传输工作能够满足测评工作的要求，将此作为后续测评工作的主要参考依据，因此要保证其具有更高的可靠性和安全性。

（3）数据获取以及旁路安全

针对网络拓扑图的迭代过程和验证流程而言，在其链路的路径端点时非业务计算类型的工作设备时，能够确定其旁路设备，在一班情况下，旁路安全设备包含：数据库审计系统、入侵防御系统、病毒服务器、安全管理中心以及日志服务器等。

旁路类型的设备安全配制和保证数据安全状态主要是为了保障设备自身的版本号以及各个特征版本库具有的版本信息启用配制和对应的日志配置信息。其中，旁路设备大部分均是使用WEB这样的方式或者通过专门的软件进行管理，保证设备数据能够在信息的采集过程中以截图的形式传递。

在通常情况下，数据信息系统中的安全等级保护工作已经渐渐成为信息系统分级和安全标准分级建设的重要依据，将信息建设、信息管理和信息监督有机结合，进一步突出工作重点，将责任分级制、指导分类制、实施分步制，具体工作责任落实到个人，保证各项数据指标能够严格落实，同时保证等级保护措施和等级保护责任能够有效地贯彻落实[5]。

2.3 信息安全风险评估框架及流程

分析风险原理：在一般情况下，风险分析主要包含：威胁、资产、脆弱性三个方面的基本要素。任一要素都具有其自身的属性，资产属性即为资产价值；脆弱性即为资产弱点表现出的严重程度；威胁即为影响对象、威胁主体、冬季、出现频率等。在此情况下，需要对如下信息进行分析：

（1）将资产做出识别，同时还需要对资产价值进行赋值；

（2）将威胁做出识别，将威胁属性进行描述，同时还要对威胁出现的频率进行赋值；

（3）将资产的脆弱性做出识别，同时对资产脆弱性具有的严重程度进行赋值；

（4）需要更具威胁性的表现对威胁性作出难易程度方面的判断，保证安全事件发生的可能性在允许范围内；

（5）将脆弱性表现出的程度和安全事件能够产生的作用进行的资产价值计算，明确在安全事件方面会遭受的损失；

（6）保证安全事件真实发生的概率并且估算安全事件在正式发生之后的损失，预计安全事件发生可能会造成的影响即风险值。

3 结论

综上所述，在当今社会背景下，数据信息具有的安全等级保护工作在对项目进行正式评测的过程中，网络安全方面的评测工作属于一大难点，同时网络拓扑图又属于开展网络安全评测工作的基础前提，因此要对评测对象做出更加正确的选择，在这样的情况下能够更好地保证最终测评结果的安全性和可靠性。