張昊　賀江敏

摘? ?要：文章通過分析網(wǎng)絡(luò)安全測評過程中可能存在的風(fēng)險和問題，從質(zhì)量管理體系、人員管理、測評技術(shù)等方面，對安全測評能力建設(shè)進(jìn)行分析和探討，為測評機構(gòu)規(guī)范化管理提供借鑒。

關(guān)鍵詞：網(wǎng)絡(luò)安全;安全測評;等級保護(hù);能力建設(shè)

中圖分類號： TP309.2? ? ? ? ? 文獻(xiàn)標(biāo)識碼：B

Abstract： This paper analyzes the possible risks and problems in the process of Cyberspace security evaluation. From the aspects of quality management system， person management and evaluation technology to analyzes and discusses the construction of safety evaluation capability. Provide a reference for evaluation organization.

Key words： cyberspace security; security evaluation; classified protection; capacity building

1 引言

進(jìn)入21世紀(jì)，全球迎來了新一輪信息技術(shù)革命，以互聯(lián)網(wǎng)為核心的信息通信技術(shù)及其應(yīng)用和服務(wù)正在發(fā)生質(zhì)變。人類社會的信息化、網(wǎng)絡(luò)化達(dá)到前所未有的程度，信息網(wǎng)絡(luò)成為了整個國家和社會的“中樞神經(jīng)”。然而，網(wǎng)絡(luò)化趨勢卻帶來了兩對矛盾：一是攻擊技術(shù)永遠(yuǎn)領(lǐng)先于防御技術(shù);二是信息技術(shù)和應(yīng)用越復(fù)雜、功能越全面，其脆弱性、漏洞和安全隱患就越大。從技術(shù)發(fā)展趨勢看，這兩對矛盾會越來越突出，網(wǎng)絡(luò)與信息安全形勢不容樂觀。

隨著我國經(jīng)濟(jì)社會各領(lǐng)域加速信息化，重點單位對信息技術(shù)和網(wǎng)絡(luò)的依賴程度越來越高，辦公自動化、網(wǎng)絡(luò)化存儲傳輸已經(jīng)成為重要手段。做好網(wǎng)絡(luò)安全測評工作，對于健全國家網(wǎng)絡(luò)安全保障體系的重要性日益凸顯。

網(wǎng)絡(luò)安全測評是通過對信息網(wǎng)絡(luò)及其相關(guān)設(shè)施設(shè)備的安全風(fēng)險進(jìn)行檢測評估，及時發(fā)現(xiàn)安全隱患，提出防護(hù)措施，對確保信息網(wǎng)絡(luò)安全運行具有重要關(guān)口作用。安全測評是作為開展安全建設(shè)和整改的依據(jù)，是網(wǎng)絡(luò)安全保障工作的關(guān)鍵步驟之一，加強測評工作質(zhì)量保障、測評人員安全的管理，積極穩(wěn)妥的開展網(wǎng)絡(luò)安全測評體系建設(shè)，不斷提高測評的能力和水平，充分發(fā)揮測評機構(gòu)的網(wǎng)絡(luò)安全技術(shù)支撐作用，持續(xù)開展測評機構(gòu)能力建設(shè)研究和規(guī)范化管理，為網(wǎng)絡(luò)安全的保障工作提供一支可靠專業(yè)技術(shù)支撐力量，具有現(xiàn)實意義。

2 測評工作可能面臨的風(fēng)險和存在問題

2.1 測評工作面臨的風(fēng)險

網(wǎng)絡(luò)安全測評、網(wǎng)絡(luò)安全檢查實施過程中，被測系統(tǒng)可能面臨三方面的風(fēng)險。

（1）驗證測試影響系統(tǒng)正常運行。在現(xiàn)場測評時，需要根據(jù)測試用例和測試方案，對設(shè)備和系統(tǒng)進(jìn)行安全配置核查等驗證測試工作，部分測試內(nèi)容需要上機查看一些信息，這就可能對系統(tǒng)的運行造成一定的影響，甚至存在誤操作的可能。

（2）工具測試影響系統(tǒng)正常運行。在現(xiàn)場測評時，會使用一些技術(shù)測試工具進(jìn)行漏洞測試、性能測試甚至抗?jié)B透能力測試。測試可能會對系統(tǒng)的負(fù)載造成一定的影響，漏洞測試和滲透測試可能對服務(wù)器和網(wǎng)絡(luò)通訊造成一定影響甚至傷害。

（3）敏感信息泄漏?？赡軙孤┍粶y系統(tǒng)狀態(tài)信息，如網(wǎng)絡(luò)拓?fù)?、IP地址、業(yè)務(wù)流程、安全機制、安全隱患和安全設(shè)計方案、軟件開發(fā)設(shè)計等有關(guān)文檔信息。

2.2 當(dāng)前安全測評工作存在的主要問題

當(dāng)前網(wǎng)絡(luò)安全測評存在的主要問題表現(xiàn)為：

（1）新技術(shù)、新模式的安全測評、檢查技術(shù)能力還有待提高，如云計算、大數(shù)據(jù)、區(qū)塊鏈、物聯(lián)網(wǎng)等的安全測評手段和方法還需要進(jìn)一步研究，安全風(fēng)險綜合評估能力和漏洞隱患挖掘分析手段還不強，尚未形成對信息化條件下安全保障工作的核心技術(shù)支撐能力;

（2）安全測評法規(guī)標(biāo)準(zhǔn)體系還不夠健全，網(wǎng)絡(luò)安全資源庫沒有建立，安全測評仿真驗證環(huán)境基礎(chǔ)設(shè)施還較為薄弱;

（3）安全測評管理不規(guī)范，沒有完整詳細(xì)的安全測評方案或作業(yè)指導(dǎo)書，檢查結(jié)果的記錄和匯總非常繁瑣，檢查結(jié)果的存檔和調(diào)閱困難。

3 測評技術(shù)能力的主要內(nèi)容

3.1 質(zhì)量管理

按照中國合格評定國家認(rèn)可委員會（CNAS）要求，當(dāng)前開展信息系統(tǒng)安全風(fēng)險評估、等級保護(hù)測評、網(wǎng)絡(luò)安全檢查等業(yè)務(wù)，需要按照《CNAS-CI01檢查機構(gòu)認(rèn)可準(zhǔn)則》（ISO/IEC 17020）的有關(guān)要求，建立質(zhì)量管理體系并通過CNAS組織的相應(yīng)認(rèn)可。

作為網(wǎng)絡(luò)安全等級保護(hù)測評機構(gòu)，還要依據(jù)《網(wǎng)絡(luò)安全等級保護(hù)測評機構(gòu)能力要求和評估規(guī)范》加強質(zhì)量管理，并通過公安部信息安全等級保護(hù)評估中心組織的能力評估，建立包括制度文檔、配套表單、記錄，系統(tǒng)調(diào)查表、測評方案、測評指導(dǎo)書、現(xiàn)場記錄、測評報告等一套完整的管理文檔。

3.2 人員管理

測評人員安全管理是測評機構(gòu)自身安全保障的重要組成部分，人員安全管理包括可信人員策略、可信人員評估、測評人員技術(shù)能力管理等。

（1）可信人員策略。安全測評機構(gòu)應(yīng)制定可信人員策略，該策略包括的內(nèi)容為：

1）可信人員的定義與標(biāo)準(zhǔn)，可信人員應(yīng)該是沒有偽造學(xué)歷、沒有偽造工作經(jīng)歷、無犯罪記錄、工作中無嚴(yán)重的不誠實行為的人員;

2）可信人員的評估要求，需提交的證明材料及第三方驗證;

3）可信人員的復(fù)查，對于確定為可信的人員在經(jīng)過一定的時期后應(yīng)對其可信狀態(tài)再次確認(rèn)?？尚湃藛T策略應(yīng)該確定復(fù)查的時間、程序和要求。

（2）可信人員背景調(diào)查與評估。依據(jù)可信人員策略，安全測評機構(gòu)需制定可信人員評估方法，評估方法應(yīng)該包括對人員背景的調(diào)查和確認(rèn)，調(diào)查內(nèi)容應(yīng)包括教育、工作經(jīng)歷的真實性、個人誠信情況等，調(diào)查要有第三方人員確認(rèn)。

（3）人員異動管理。人員異動情況是指安全測評機構(gòu)工作人員離職、崗位變動、或因其他的不可估計的原因而不能正常到崗，或能到崗但因其他原因（如被確認(rèn)為不可信雇員）不能履行職責(zé)的情況。安全測評機構(gòu)應(yīng)制定一套人員異動情況時的處理方案。該方案應(yīng)包括的內(nèi)容：

1）處理人員異動情況的有關(guān)部門和負(fù)責(zé)人員;

2）人員異動情況的處理流程;

3）人員異動處理的安全要求和措施。

（4）測評人員技術(shù)能力管理。對測評人員職稱、學(xué)歷、培訓(xùn)教育、持證上崗等技術(shù)能力進(jìn)行綜合管理。

3.3 保密管理

作為可信第三方的安全測評機構(gòu)需要獲得被測評信息系統(tǒng)的各種信息，應(yīng)制定嚴(yán)格的客戶信息保密政策和制度。

安全測評機構(gòu)須根據(jù)安全策略制定具體的信息保密制度，以保護(hù)測評機構(gòu)和客戶的保密信息和知識產(chǎn)權(quán)。信息保密制度應(yīng)包括的內(nèi)容：

（1）信息的分類，明確信息的不同保密級別;

（2）對信息保密分類的標(biāo)識要求;

（3）對保密信息的安全管理、防護(hù)措施;

（4）保密信息安全瀏覽、修改的控制，流程和記錄要求;

（5）對違反保密信息要求的行為的處理。

按照GB/T 22080《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》、GB/T 22081《信息技術(shù) 安全技術(shù) 信息安全管理實用規(guī)則》等標(biāo)準(zhǔn)，建立安全保密管理組織機構(gòu)、制定安全保密管理制度、實施人員安全保密管理培訓(xùn)與教育，落實安全防護(hù)和保障技術(shù)手段，控制信息安全方針、組織的信息安全、資產(chǎn)分類與控制、人事安全、設(shè)備與環(huán)境安全、通信和運作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性管理、符合性要求等安全目標(biāo)，開展網(wǎng)絡(luò)安全管理體系建設(shè)，是做好自身網(wǎng)絡(luò)安全保密管理重要工作。

3.4 安全測評技術(shù)管理

（1）網(wǎng)絡(luò)安全等級保護(hù)測評、網(wǎng)絡(luò)安全風(fēng)險評估、網(wǎng)絡(luò)安全檢查等保障工作中的主要測試技術(shù)。

1）物理安全測試：建筑防雷測試（含接地電阻測試）、機房火災(zāi)消防驗收測試、綜合布線系統(tǒng)驗收測試、機房安全防范系統(tǒng)測試、辦公環(huán)境的安全測試。

2）網(wǎng)絡(luò)安全測試：網(wǎng)絡(luò)性能監(jiān)控和測試、網(wǎng)絡(luò)與信息安全產(chǎn)品選型測試、加密傳輸協(xié)議分析測試、安全區(qū)域邊界測試。

3）應(yīng)用安全測試：應(yīng)用系統(tǒng)軟件驗收測試、應(yīng)用系統(tǒng)軟件安全符合性測試、軟件性能壓力測試。

4）系統(tǒng)安全功能測試：根據(jù)安全要求，分別對系統(tǒng)的網(wǎng)絡(luò)層、操作系統(tǒng)層、數(shù)據(jù)庫層、公共應(yīng)用平臺層、應(yīng)用系統(tǒng)層進(jìn)行標(biāo)識鑒別、審計、通信、用戶數(shù)據(jù)保護(hù)、安全管理、安全功能保護(hù)、資源利用、評估對象訪問、可信路徑/信道、脆弱性管理和惡意代碼防范等安全功能方面的檢測。

5）安全配置核查測試：對信息系統(tǒng)涉及到的所有網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用軟件的安全性配置進(jìn)行測試和檢查。

6）系統(tǒng)脆弱性測試：分別通過系統(tǒng)層和應(yīng)用的脆弱性掃描檢測和滲透測試，發(fā)現(xiàn)信息系統(tǒng)的網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)存在的脆弱性和安全隱患。

（2）商用密碼和電子簽名檢查測試。商用密碼技術(shù)作為網(wǎng)絡(luò)安全的基礎(chǔ)性核心技術(shù)，是信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)的重要基礎(chǔ)，是實行網(wǎng)絡(luò)安全保障不可或缺的關(guān)鍵技術(shù)。

電子認(rèn)證以《電子簽名法》為依據(jù)，建立以身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定為主要內(nèi)容的網(wǎng)絡(luò)信任體系，是網(wǎng)絡(luò)和信息安全保障體系的重要組成部分。

商用密碼測評以《中華人民共和國密碼法》為依據(jù)，在《信息安全等級保護(hù)商用密碼管理辦法》《信息安全等級保護(hù)商用密碼技術(shù)實施要求》《商用密碼應(yīng)用安全性評估》等文件中明確使用商用密碼技術(shù)和產(chǎn)品，按照GM/T 0054-2018 信息系統(tǒng)密碼應(yīng)用基本要求，開展商用密碼應(yīng)用安全性評估。

國家標(biāo)準(zhǔn)GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》規(guī)定了對不同安全保護(hù)等級信息系統(tǒng)的基本安全要求，對于涉及到身份的真實性、行為的抗抵賴性、內(nèi)容的機密性和完整性的要求項，都需要密碼技術(shù)作為支持手段。

（3）漏洞數(shù)據(jù)庫與網(wǎng)絡(luò)安全攻防模擬能力。漏洞分析、安全攻擊防護(hù)和演練平臺等作為網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施之一，在網(wǎng)絡(luò)安全技術(shù)保障工作中占有核心位置。

通過網(wǎng)絡(luò)安全數(shù)據(jù)庫，包括漏洞庫、補丁庫、惡意代碼庫等完成安全漏洞信息的收集、匯總、分析和驗證;開展網(wǎng)絡(luò)安全人員培訓(xùn)，搭建網(wǎng)絡(luò)安全攻擊和防護(hù)演練平臺，為測評人員提供網(wǎng)絡(luò)安全技術(shù)培訓(xùn)。

3.5 測評作業(yè)指導(dǎo)書開發(fā)管理

網(wǎng)絡(luò)安全測評、網(wǎng)絡(luò)安全檢查等作業(yè)指導(dǎo)書，體現(xiàn)測評機構(gòu)實力，能夠規(guī)范測評和檢查的流程與方法，保證測評結(jié)果的準(zhǔn)確性，是具體指導(dǎo)測評人員如何進(jìn)行測評活動的文件，是現(xiàn)場測評的工具、方法和操作步驟等的詳細(xì)描述，是保證測評活動可以重現(xiàn)的根本，因此測評作業(yè)指導(dǎo)書應(yīng)當(dāng)盡可能詳盡、充分。

網(wǎng)絡(luò)安全測評中的作業(yè)指導(dǎo)書主要包括十四個方面內(nèi)容。

（1）操作系統(tǒng)測評類：Windows XP/2003/2008/2010、AIX、HP Unix、Linux、Solaris等。

（2）數(shù)據(jù)庫測評類：DB2、Infomix、SQL Server、Oracle、Sybase等。

（3）交換機測評類：華為、Cisco、銳捷、Juniper等。

（4）路由器測評類：華為、銳捷、Cisco等。

（5）防火墻測評類：天融信、網(wǎng)御等。

（6）入侵檢測系統(tǒng)測評類;綠盟、啟明星辰等。