◆林燕

（山東新潮信息技術(shù)有限公司 山東 250100）

就目前而言，國家對安全信息等級方面的保護(hù)工作制定了部分相關(guān)規(guī)定、標(biāo)準(zhǔn)和方針，同時(shí)在標(biāo)準(zhǔn)建設(shè)方面構(gòu)建起了比較完整的體系。針對目前網(wǎng)絡(luò)運(yùn)營呈現(xiàn)出的狀態(tài)，具有一定的特殊性和復(fù)雜性，在通常情況下不能根據(jù)相關(guān)標(biāo)準(zhǔn)嚴(yán)格地實(shí)施工作，這樣的情況就給現(xiàn)場測評工作帶來了許多不確定性和困難。本文通過信息安全測評等級在實(shí)際工作中的實(shí)施情況作出了對應(yīng)的分析和總結(jié)，爭取找到更加便捷、高效、快速、完整的方式來代替網(wǎng)絡(luò)現(xiàn)場配置安全和原始數(shù)據(jù)狀態(tài)安全的現(xiàn)場測評方式。在對網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行安全評測的過程中，需要注意多方面的安全性和可靠性，用以保證測評工作的正常啟動(dòng)以合理性。

1 信息安全等級保護(hù)測評中應(yīng)關(guān)注的問題

（1）嚴(yán)格備案，科學(xué)定級

注重信息系統(tǒng)方面的運(yùn)營，對應(yīng)使用單位還需要根據(jù)實(shí)際的等級情況作出對應(yīng)的技術(shù)標(biāo)準(zhǔn)要求和相關(guān)的規(guī)范管理標(biāo)準(zhǔn)，進(jìn)一步明確細(xì)化信息系統(tǒng)方面的安全等級。針對重要的信息數(shù)據(jù)系統(tǒng)，在其使用和運(yùn)營方面更需要通過委員會(huì)的評審。在此基礎(chǔ)上，才能夠更好地做好數(shù)據(jù)信息安全等級的具體評定工作，由此能夠確定更加完善的定級科學(xué)性，保證備案工作的實(shí)施和發(fā)展能夠更加科學(xué)，處于正常狀態(tài)。

（2）整改建設(shè)，落實(shí)措施

針對已有的數(shù)據(jù)信息系統(tǒng)而言，在其使用和運(yùn)營方面也需要保證產(chǎn)品信息安全，切實(shí)完善技術(shù)安全措施的技術(shù)和規(guī)范標(biāo)準(zhǔn)。在采購和使用的過程中，選取對應(yīng)的產(chǎn)品信息安全標(biāo)準(zhǔn)。對于整改工作而言，需要保證各項(xiàng)相關(guān)措施能夠處于完善狀態(tài)，使各項(xiàng)整改工作和建設(shè)工作能夠處于正常狀態(tài)，以此來保證各項(xiàng)舉措的科學(xué)性和可靠性。

（3）落實(shí)要求，自查自糾

數(shù)據(jù)信息系統(tǒng)化方面的使用和運(yùn)營工作需要根據(jù)其主管部門做出的技術(shù)標(biāo)準(zhǔn)和相應(yīng)的管理規(guī)范，完成等級保護(hù)建設(shè)工作的系統(tǒng)做出定期的狀況評估監(jiān)測，用以更加及時(shí)地消除漏洞和安全隱患，盡早發(fā)現(xiàn)問題并做出整改，持續(xù)不斷地提高數(shù)據(jù)信息安全保護(hù)水平。在此基礎(chǔ)上，積極開展自查和自糾活動(dòng)，保證工作能夠落實(shí)到位，從基礎(chǔ)上保證安全信息等級的處理能夠更加到位[1]。

2 信息安全等級保護(hù)測評中網(wǎng)絡(luò)安全現(xiàn)場測評方法

2.1 確定測評對象

通常情況下，當(dāng)用戶數(shù)量較多時(shí)，如果采用的網(wǎng)絡(luò)拓?fù)鋱D不同，在復(fù)雜的網(wǎng)絡(luò)系統(tǒng)下難以對目標(biāo)對象進(jìn)行有效的測評工作。因此，本文將具體分析用戶網(wǎng)絡(luò)訪問路徑方面的測評方法和測評對象。

針對用戶現(xiàn)階段的測評方法和路徑而言，主要是確定測評工作的基本思路，把不同類型的網(wǎng)絡(luò)用戶接入到區(qū)域性質(zhì)的用戶接入點(diǎn)，重新把業(yè)務(wù)系統(tǒng)內(nèi)部的服務(wù)器應(yīng)用位置設(shè)定成起點(diǎn)，根據(jù)一定的順序做出對應(yīng)的服務(wù)器應(yīng)用終點(diǎn)，將網(wǎng)關(guān)設(shè)備更好地投入到各種網(wǎng)絡(luò)訪問路徑中，將不同路徑的公共節(jié)點(diǎn)予以合并。其中，網(wǎng)關(guān)的主要類型有：路由器、防火墻、上網(wǎng)行為管理、交換機(jī)、數(shù)據(jù)安全隔離網(wǎng)閘、入侵防御系統(tǒng)等[2]。

2.2 測評對象配置和狀態(tài)數(shù)據(jù)的獲取

（1）設(shè)備管理方式的命令獲取

主要獲取的數(shù)據(jù)類型包括：命令配置文件、設(shè)備版本號、接口狀態(tài)、路由表、MAC地址表、日志狀態(tài)等相關(guān)執(zhí)行命令均是由此獲取的，使用地使用形式為文本文件。在實(shí)際的操作過程中，列表形式能夠?qū)χ笇?dǎo)書中的全部設(shè)備可能使用到的命令做出對應(yīng)的編制工作，這樣才能夠更好地保證終端處于正常工作狀態(tài)。在這樣的工作過程中，需要保證各項(xiàng)指標(biāo)和命令能夠準(zhǔn)確、及時(shí)地傳遞下去，保證各個(gè)層級的工作人員和服務(wù)器都能夠處于正常工作狀態(tài)下，從而更好地保證其工作合理性，保證各項(xiàng)數(shù)據(jù)指標(biāo)的科學(xué)性和準(zhǔn)確性[3]。以上述內(nèi)容為前提，為數(shù)據(jù)信息的測評工作提供一定的基礎(chǔ)，保證測評工作能夠具有更加科學(xué)的安全保障。

（2）使用WEB界面管理來獲取相關(guān)數(shù)據(jù)

因?yàn)楸旧淼膹S商采用WEB管理方式的會(huì)比較多，并且設(shè)置方式還會(huì)具有多樣性，這就需要相關(guān)的測評人員做出正確的選取工作。這里需要獲取的主要數(shù)據(jù)包括：授權(quán)情況、版本號、運(yùn)行狀態(tài)等；啟用和接口配制情況，即路由表、工作方式、資源定義、MAC地址表、攻擊防護(hù)以及訪問控制策略等方面[4]。為了進(jìn)一步保證工作效率，需要在此基礎(chǔ)上開展數(shù)據(jù)信息的截圖方式，以多種形式的圖片存在，一部分能夠支持日志文件抑或規(guī)則策略的導(dǎo)出功能，就能夠?qū)?yīng)格式的文件予以儲存。在此基礎(chǔ)上，需要提高對于各項(xiàng)數(shù)據(jù)信息的獲取工作，對各個(gè)層級的數(shù)據(jù)傳輸系統(tǒng)進(jìn)行必要的考核，保證其傳輸工作能夠滿足測評工作的要求，將此作為后續(xù)測評工作的主要參考依據(jù)，因此要保證其具有更高的可靠性和安全性。

（3）數(shù)據(jù)獲取以及旁路安全

針對網(wǎng)絡(luò)拓?fù)鋱D的迭代過程和驗(yàn)證流程而言，在其鏈路的路徑端點(diǎn)時(shí)非業(yè)務(wù)計(jì)算類型的工作設(shè)備時(shí)，能夠確定其旁路設(shè)備，在一班情況下，旁路安全設(shè)備包含：數(shù)據(jù)庫審計(jì)系統(tǒng)、入侵防御系統(tǒng)、病毒服務(wù)器、安全管理中心以及日志服務(wù)器等。

旁路類型的設(shè)備安全配制和保證數(shù)據(jù)安全狀態(tài)主要是為了保障設(shè)備自身的版本號以及各個(gè)特征版本庫具有的版本信息啟用配制和對應(yīng)的日志配置信息。其中，旁路設(shè)備大部分均是使用WEB這樣的方式或者通過專門的軟件進(jìn)行管理，保證設(shè)備數(shù)據(jù)能夠在信息的采集過程中以截圖的形式傳遞。

在通常情況下，數(shù)據(jù)信息系統(tǒng)中的安全等級保護(hù)工作已經(jīng)漸漸成為信息系統(tǒng)分級和安全標(biāo)準(zhǔn)分級建設(shè)的重要依據(jù)，將信息建設(shè)、信息管理和信息監(jiān)督有機(jī)結(jié)合，進(jìn)一步突出工作重點(diǎn)，將責(zé)任分級制、指導(dǎo)分類制、實(shí)施分步制，具體工作責(zé)任落實(shí)到個(gè)人，保證各項(xiàng)數(shù)據(jù)指標(biāo)能夠嚴(yán)格落實(shí)，同時(shí)保證等級保護(hù)措施和等級保護(hù)責(zé)任能夠有效地貫徹落實(shí)[5]。

2.3 信息安全風(fēng)險(xiǎn)評估框架及流程

分析風(fēng)險(xiǎn)原理：在一般情況下，風(fēng)險(xiǎn)分析主要包含：威脅、資產(chǎn)、脆弱性三個(gè)方面的基本要素。任一要素都具有其自身的屬性，資產(chǎn)屬性即為資產(chǎn)價(jià)值；脆弱性即為資產(chǎn)弱點(diǎn)表現(xiàn)出的嚴(yán)重程度；威脅即為影響對象、威脅主體、冬季、出現(xiàn)頻率等。在此情況下，需要對如下信息進(jìn)行分析：

（1）將資產(chǎn)做出識別，同時(shí)還需要對資產(chǎn)價(jià)值進(jìn)行賦值；

（2）將威脅做出識別，將威脅屬性進(jìn)行描述，同時(shí)還要對威脅出現(xiàn)的頻率進(jìn)行賦值；

（3）將資產(chǎn)的脆弱性做出識別，同時(shí)對資產(chǎn)脆弱性具有的嚴(yán)重程度進(jìn)行賦值；

（4）需要更具威脅性的表現(xiàn)對威脅性作出難易程度方面的判斷，保證安全事件發(fā)生的可能性在允許范圍內(nèi)；

（5）將脆弱性表現(xiàn)出的程度和安全事件能夠產(chǎn)生的作用進(jìn)行的資產(chǎn)價(jià)值計(jì)算，明確在安全事件方面會(huì)遭受的損失；

（6）保證安全事件真實(shí)發(fā)生的概率并且估算安全事件在正式發(fā)生之后的損失，預(yù)計(jì)安全事件發(fā)生可能會(huì)造成的影響即風(fēng)險(xiǎn)值。

3 結(jié)論

綜上所述，在當(dāng)今社會(huì)背景下，數(shù)據(jù)信息具有的安全等級保護(hù)工作在對項(xiàng)目進(jìn)行正式評測的過程中，網(wǎng)絡(luò)安全方面的評測工作屬于一大難點(diǎn)，同時(shí)網(wǎng)絡(luò)拓?fù)鋱D又屬于開展網(wǎng)絡(luò)安全評測工作的基礎(chǔ)前提，因此要對評測對象做出更加正確的選擇，在這樣的情況下能夠更好地保證最終測評結(jié)果的安全性和可靠性。