楊本毅

摘要：一直以來，國家都將信息系統(tǒng)的安全放在第一位置?，F(xiàn)場對網(wǎng)絡安全展開測評一直都是難點內(nèi)容。該文主要針對網(wǎng)絡現(xiàn)場安全測評中存在的難點進行剖析，立足于這些難點問題之上，提出一些必要的測評方法，確保能夠獲取準確的測評網(wǎng)絡原始數(shù)據(jù)，對測評項目有效地進行支持。

關鍵詞：信息安全;等級保護;網(wǎng)絡安全;現(xiàn)場測評

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）29-0013-02

目前，國家針對信息安全等級保護已經(jīng)提出一些必要的制度，讓網(wǎng)絡安全現(xiàn)場測評能夠順利開展。但是，實際情況反映出來的是對網(wǎng)絡現(xiàn)場實施安全測評的時候存在很多的困難，網(wǎng)絡管理人員對網(wǎng)絡的熟悉程度不夠，所謂的變更管理也存在很大的缺失，這就需要針對這些實際問題加大調(diào)整，并采取合理的測評方法進行分析。

1網(wǎng)絡現(xiàn)場安全測評存在的困難

1.1變更管理存在缺失

被測評單位展開建設的時候會擁有完整的技術資料，從而繪制出比較完整的網(wǎng)絡拓撲圖。但是在時間的不斷推移之下，不管是將網(wǎng)絡節(jié)點進行增加，還是讓網(wǎng)絡區(qū)域得以改變，都會引起網(wǎng)絡拓撲的變化。如果信息系統(tǒng)得不到相應的變更管理支持，技術文檔上就體現(xiàn)不出具體的變化。另外，技術管理人員也在不斷發(fā)生變更，技術交接的時候存在的漏洞十分大，這就讓變更管理的缺失問題更加嚴重。

1.2網(wǎng)絡管理員對網(wǎng)絡不夠掌握

網(wǎng)絡技術維護發(fā)揮的作用極大，可以對信息系統(tǒng)進行良好的維護。業(yè)主方的技術管理人員由于技術能力有限，大多都是依賴外包單位的技術人員。業(yè)主方對于維護方在管理制度上存在一定的管理缺失，這很容易讓外包單位的服務終止。如果外包單位的技術人員再次進行更換，就會讓業(yè)主單位對網(wǎng)絡的管理造成嚴重的影響，給網(wǎng)絡的安全測評造成極大的影響。

1.3被測評方技術人員故意將信息隱藏

信息系統(tǒng)中業(yè)主一方的人員存在逃避責任的現(xiàn)象，對于安全方面的隱患也會隱藏，具體的配合也不夠。對于重要的業(yè)務系統(tǒng)來說，技術人員對測評工作理解不到位的情況下，因為擔心在正常測評的時候會對業(yè)務的正常運行造成影響，所以故意將一些網(wǎng)絡信息隱藏。一些網(wǎng)絡管理人員為了讓網(wǎng)絡的管理更加方便導致網(wǎng)絡的配置和具體的網(wǎng)絡安全規(guī)定不符合，還會擔心因為安全測評擔心上級領導發(fā)現(xiàn)的具體安全隱患從而對自身不利嘲。這種情況下，技術人員通常只是將網(wǎng)絡的基本狀況進行介紹，不會告訴測評人員詳細的信息，這就導致測評人員獲取的數(shù)據(jù)不夠真實，測評人員在挖掘網(wǎng)絡中存在的基本數(shù)據(jù)時存在巨大的挑戰(zhàn)。

1.4網(wǎng)絡拓撲自動化檢測工具的局限性

展開網(wǎng)絡測評的時候通常都會使用到自動化生成工具，但是自動化檢測工具也存在一定的不足，將網(wǎng)絡運行真實的情況根本反映不出來。多數(shù)網(wǎng)絡為了確保運行安全性，將網(wǎng)絡設備協(xié)議關閉，這就導致檢測工具無法形成具體的網(wǎng)絡拓撲，對于一些安全設備也不具備穿透功能。

2信息安全等級保護測評中網(wǎng)絡安全現(xiàn)場測評方法

2.1對測評對象進行確定

網(wǎng)絡拓撲圖如果不夠一致，用戶業(yè)務系統(tǒng)十分繁多的時候，網(wǎng)絡系統(tǒng)會十分復雜，對對象的測評也會存在一定的困難。因此，可以對用戶的訪問途徑進行確定，然后對網(wǎng)絡對象展開測評。

確定網(wǎng)絡測評對象的時候需要建立在用戶訪問途徑的基礎上，將不同類型的用戶接入同一個區(qū)域中，將其具體的接人點作為起點，對業(yè)務系統(tǒng)中存在的應用服務器位置進行設置，在訪問路徑中遵循相應的順序?qū)⒕W(wǎng)關設備加人其中，讓所有路徑上面的網(wǎng)關設備能夠有效組成網(wǎng)關設備路徑，將訪問路徑中所有的網(wǎng)關設備作為具體的測評對象，根據(jù)不同的路徑將所有的公共節(jié)點合并在一起。

網(wǎng)關類設備具有多種類型，防火墻、交換機等都屬于網(wǎng)關類設備，部分網(wǎng)關類設備屬于一個透明的模式，也就是說所有串聯(lián)在一起的設備都屬于網(wǎng)關類設備。

2.2配置測評對象、獲取狀態(tài)數(shù)據(jù)

（1）獲取命令型管理設備的數(shù)據(jù)

通過執(zhí)行命令形式可以獲取不同的數(shù)據(jù)類型，主要的形式是文本文件。具體展開操作的時候需要編制測評操作指導書，通過相應的列表形式對各個設備所用到的命令進行表示，這樣測評工作人員就會根據(jù)列表具體的順序執(zhí)行相關命令。開啟終端，對屏幕上顯示出來的數(shù)據(jù)進行記錄，將輸出的文件存為文本文件，這樣就可以讓現(xiàn)場的測評效率得到相應的保證。

（2）獲取WEB界面管理方式的設備數(shù)

WEB界面管理方式的設備的廠商是十分多的，設置方式也具有多樣化，測評人員需要合理地進行選取。獲取的主要數(shù)據(jù)會有多種，配置良好的接口，然后再重新進行開啟，采用不同的工作方式、訪問控制策略。為了讓設備數(shù)獲取的效率能夠充分提高，對這些數(shù)據(jù)在獲取的時候可以采用截圖的方式，讓其以圖片的形式展現(xiàn)出來，一些設備文件具有一定的導出功能，可以將文件以相應的格式進行存儲。

（3）旁路安全設備和數(shù)據(jù)獲取

在迭代過程中需要對網(wǎng)絡拓撲結(jié)構流程進行遵循，當鏈路路徑的端點不屬于業(yè)務計算類設備的時候，就可以對旁路設備進行確定嘲。旁路類安全設備包括的種類十分繁多，有病毒服務器、日志服務器等。

配置旁路類的設備，獲得安全狀態(tài)數(shù)據(jù)就可以獲取不同設備的版本號，并對不同版本的信息進行防護和啟用，相應的還可以對日志信息進行配置。旁路設備中很多設備都是采用WEB來管理的，這種類型的設備對數(shù)據(jù)進行收集的時候會以截圖的形式來傳輸。

2.3信息安全風險評估

評估信息安全風險的時候需要從風險管理的角度出發(fā)，采用科學的手段對系統(tǒng)中存在的潛在問題和威脅進行分析，對于安全事件發(fā)生的時候出現(xiàn)的危害進行評估，有針對性的威脅采取相應的防護措施，將信息安全方面存在的風險進行化解，將風險控制在合理的范圍中，讓信息安全得到一定的保障。

風險分析中涉及三大要素，分別是資產(chǎn)、脆弱性、威脅，每個要素所具有的屬性不同，資產(chǎn)主要需要資產(chǎn)價值。威脅屬性不僅可以是威脅主體，還會是動機等。脆弱性屬性主要是資產(chǎn)弱點的嚴重程度。對風險進行分析的時候主要涉及的內(nèi)容有多種。做好資產(chǎn)的識別工作，對資產(chǎn)價值進行賦值。對威脅同樣展開識別，并對威脅的屬性進行描述，掌握威脅引發(fā)的賦值。對脆弱性同樣需要做好識別，并對可能引發(fā)的資產(chǎn)的嚴重程度做好賦值。利用威脅引發(fā)的脆弱性需要對安全事件的可能性科學地進行判斷。依據(jù)脆弱性具體的嚴重程度對安全事件所用到的資產(chǎn)價值進行計算，并對安全事件產(chǎn)生的損失進行計算。對安全事件所發(fā)生的可能性對安全事件的損失進行計算，并對安全事件產(chǎn)生的影響進行計算，也就是計算風險值。

3結(jié)束語

綜上所述，保護測評需要依據(jù)信息安全等級來開展，并對網(wǎng)絡展開安全測評，這項測評中存在諸多難點。對網(wǎng)絡進行安全測評的時候網(wǎng)絡拓撲圖是必須具備的條件，這就需要對測評對象展開正確的選擇，這樣測評出來的結(jié)果才會具有一定的安全性和可靠性。