■上海 朱圣才

《信息安全等級保護(hù)管理辦法》第十八條明確指出，受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對信息系統(tǒng)的運(yùn)營和使用單位的信息安全等級保護(hù)工作情況進(jìn)行檢查。《公安機(jī)關(guān)信息安全等級保護(hù)檢查工作規(guī)范（試行）》提出，對轄區(qū)內(nèi)獨(dú)自運(yùn)行的信息系統(tǒng)，由受理備案的公安機(jī)關(guān)獨(dú)自進(jìn)行檢查。2017年6月1日，網(wǎng)絡(luò)安全法正式實(shí)施，為網(wǎng)絡(luò)安全等級保護(hù)制度提供了法律依據(jù)，實(shí)現(xiàn)了網(wǎng)絡(luò)空間安全的法治化。2019年5月13日，網(wǎng)絡(luò)安全等級保護(hù)制度2.0標(biāo)準(zhǔn)正式發(fā)布，并于2019年12月1日起正式實(shí)施。

網(wǎng)絡(luò)安全等級保護(hù)自查工具背景

網(wǎng)絡(luò)安全等級保護(hù)工作是長期的、合規(guī)性操作，是各行業(yè)、各單位必須落實(shí)的一項(xiàng)基本要求，并始終貫穿于信息化日常安全維護(hù)工作之中。根據(jù)“誰主管誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原則，網(wǎng)絡(luò)安全等級保護(hù)責(zé)任單位必須落實(shí)網(wǎng)絡(luò)安全等級保護(hù)自查，配合公安機(jī)關(guān)監(jiān)督與檢查。如何更好地落地網(wǎng)絡(luò)安全自查工作，是各企事業(yè)單位存在的一個難題。

1.應(yīng)對網(wǎng)絡(luò)安全執(zhí)法檢查存在的問題

網(wǎng)絡(luò)安全等級保護(hù)安全檢查工作是等級測評、用戶自查、安全檢查三位一體安全保障長效機(jī)制的重要一環(huán)；是公安機(jī)關(guān)對備案信息系統(tǒng)進(jìn)行信息安全監(jiān)督管理的重要途徑；是建立在等級測評和用戶自查的基礎(chǔ)上，對已發(fā)現(xiàn)安全問題進(jìn)行跟蹤、督促、整改和落實(shí)的有效手段。

目前，公安機(jī)關(guān)網(wǎng)絡(luò)安全等級保護(hù)執(zhí)法檢查工作的開展主要是依據(jù)各公安部門網(wǎng)絡(luò)信息安全中心的現(xiàn)場檢查人員進(jìn)行現(xiàn)場檢查，同時，公安機(jī)關(guān)會邀請網(wǎng)絡(luò)安全專業(yè)技術(shù)單位協(xié)同參與執(zhí)法檢查，為執(zhí)法檢查提供技術(shù)支撐。

由于網(wǎng)絡(luò)安全執(zhí)法檢查對專業(yè)性要求較高，如何在網(wǎng)絡(luò)安全執(zhí)法檢查之前對網(wǎng)絡(luò)安全檢查進(jìn)行自查，減少網(wǎng)絡(luò)安全執(zhí)法檢查工作對各單位工作人員的壓力，更好地應(yīng)對和維護(hù)網(wǎng)絡(luò)空間安全，基于上述思考，成為網(wǎng)絡(luò)安全等級保護(hù)自查工具的設(shè)計起因。

2.網(wǎng)絡(luò)安全等級保護(hù)自查工具目標(biāo)

網(wǎng)絡(luò)安全等級保護(hù)自查工具在管理和技術(shù)都是以國家標(biāo)準(zhǔn)為指導(dǎo)，報告內(nèi)容豐富而簡練，以發(fā)現(xiàn)問題，督促整改為目的，符合“有限時間，快速發(fā)現(xiàn)”的工作特點(diǎn)。具體如下：

（1）能夠提供覆蓋網(wǎng)絡(luò)、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等層面的專業(yè)技術(shù)檢測。

（2）能夠通過自動化的檢測技術(shù)，全面、快速的發(fā)現(xiàn)信息系統(tǒng)存在的各類安全漏洞，適應(yīng)“有限時間、快速發(fā)現(xiàn)”的使用需求。

（3）能夠根據(jù)漏洞風(fēng)險程度進(jìn)行分類匯總，形成安全自查報告。

（4）形成合理規(guī)范化的書面報告，在用戶體驗(yàn)上保障得到使用者的青睞。

網(wǎng)絡(luò)安全等級保護(hù)自查功能

網(wǎng)絡(luò)安全等級保護(hù)自查工具包含快速檢查功能模塊、完整檢查功能模塊，以及具體的掃描引擎功能（主機(jī)掃描引擎、數(shù)據(jù)庫掃描引擎和應(yīng)用掃描引擎）。

1.快速檢查

快速檢查功能是在綜合了主機(jī)掃描技術(shù)、數(shù)據(jù)庫掃描技術(shù)和應(yīng)用系統(tǒng)掃描技術(shù)的基礎(chǔ)上，對緊急漏洞、高風(fēng)險漏洞和常見漏洞進(jìn)行快速掃描的過程。

該功能是對傳統(tǒng)等級保護(hù)檢查工作的完善和提煉。在快速安全檢查的整個過程中，用戶無需對掃描對象的類型進(jìn)行區(qū)分，只需用戶輸入掃描對象的IP或者URL，快速檢查功能會自動匹配掃描對象的類型。

例如，當(dāng)輸入URL 時，快速檢查功能會自動給該掃描對象匹配為應(yīng)用系統(tǒng)類型，檢查工具會使用應(yīng)用掃描引擎進(jìn)行技術(shù)檢查；當(dāng)輸入IP地址時，快速安全檢查會通過探測功能，分別去匹配數(shù)據(jù)庫的類型，同時會匹配主機(jī)掃描引擎，從而確定快速檢查使用什么類型的數(shù)據(jù)庫引擎和主機(jī)引擎。

網(wǎng)絡(luò)安全等級保護(hù)工具的這種自動完成類型匹配的功能，從技術(shù)上提供了檢查工作的全面性，從管理上方便了工作人員，操作非常簡單，結(jié)果精確而簡短。

快速檢查功能的特點(diǎn)包括：

（1）精確而穩(wěn)健的自動類型匹配功能。

（2）智能、快速的重點(diǎn)漏洞掃描。

（3）靈活、簡單的漏洞掃描方式。

（4）直觀、豐富的安全評估結(jié)果。

（5）穩(wěn)定的性能和主要風(fēng)險的把握。

2.完整檢查

完整檢查功能是指網(wǎng)絡(luò)安全等級保護(hù)自查工具提供的全策略掃描方式。該功能是對主機(jī)掃描技術(shù)、數(shù)據(jù)庫掃描技術(shù)和應(yīng)用系統(tǒng)掃描技術(shù)三種方式進(jìn)行全策略的綜合性安全自查過程，該掃描方式在掃描對象類型上沒有任何限制，用戶可以根據(jù)自己的要求設(shè)置自己的任何掃描對象。

特別是在數(shù)據(jù)庫掃描策略設(shè)置方面，此時用戶可以進(jìn)行詳細(xì)的參數(shù)設(shè)置，以保證掃描結(jié)果的完整性和全面性。

3.掃描引擎

無論是快速檢查還是完整檢查，自查工具的核心都離不開掃描引擎的支撐。

（1）主機(jī)掃描引擎。

借助Nessus 掃描內(nèi)核，具備檢測漏洞多、準(zhǔn)確、速度快的特點(diǎn)。另外，主機(jī)掃描技術(shù)還在支持的系統(tǒng)類型上進(jìn)行了擴(kuò)展，具體包括Windows、Debian、Ubuntu、SuSE、CentOS、Red、Fedora、FreeBSD、HP-UX、MacOS 十種類型。

（2）數(shù)據(jù)庫掃描引擎。

在支持的數(shù)據(jù)庫類型和策略方面更加全面，包括：Oracle、MSSQL 2000、MSSQL2005/2008、DB2 v8、DB2 v9、MySQL、Informix 七種大類；并且支持授權(quán)與非授權(quán)兩種掃描方式以及現(xiàn)場自動取證功能。

數(shù)據(jù)庫掃描引擎的特點(diǎn)還包括：

全方位的安全剖析。多層次SQL 注入剖析。

高性能的數(shù)據(jù)庫連接及掃描引擎。提供了一個高效、輕量級的數(shù)據(jù)庫訪問引擎，采用API 方式連接數(shù)據(jù)庫，使得數(shù)據(jù)庫的訪問效率大大提升。

全面的掃描漏洞描述和建議。提供多達(dá)八大類的數(shù)據(jù)庫安全弱點(diǎn)，如緩沖區(qū)溢出、拒絕服務(wù)、提權(quán)、SQL 注入、執(zhí)行權(quán)限過大、訪問權(quán)限繞過、弱口令、安全信息查看等各種漏洞類別。

直觀、豐富的掃描結(jié)果展現(xiàn)。每個掃描的數(shù)據(jù)庫都有獨(dú)立的進(jìn)度條，顯示掃描進(jìn)度。在界面左邊的工作區(qū)里可以看到掃描出的各類弱點(diǎn)的個數(shù)?？梢栽谟疫叺娜觞c(diǎn)顯示里看到弱點(diǎn)的詳細(xì)信息，可以在圖表中看到具體的漏洞統(tǒng)計信息。

強(qiáng)大的策略管理功能。提供自定義策略的功能。

（3）Web掃描引擎。

采用經(jīng)典的Web掃描內(nèi)核，集成了全部Web掃描策略和Web漏洞庫信息，并且能夠及時更新漏洞數(shù)據(jù)庫。目前支持OWASP TOP 10 和各類Web漏洞信息檢測，可以幫助用戶充分了解Web應(yīng)用存在的安全隱患，建立安全可靠的Web應(yīng)用服務(wù)，改善并提升應(yīng)用系統(tǒng)抗各類Web應(yīng)用攻擊的能力。

例如：SQL注入攻擊漏洞、XSS 跨站腳本攻擊漏洞、釣魚攻擊漏洞、信息泄漏、惡意編碼、表單繞過、緩沖區(qū)溢出等等，協(xié)助用戶滿足等級保護(hù)、PCI、內(nèi)控審計等規(guī)范要求。

4.網(wǎng)絡(luò)安全等級保護(hù)自查工具創(chuàng)新

網(wǎng)絡(luò)安全等級保護(hù)自查工具在傳統(tǒng)的等級保護(hù)工作中給予了一定程度創(chuàng)新：

（1）提出了快速檢查功能模塊。從市場調(diào)研角度分析該模塊的可行性，從技術(shù)支持角度探索該模塊實(shí)現(xiàn)可用性，從穩(wěn)定性和基本性能上保障快速檢查功能的有效性。

（2）切實(shí)有效的將主機(jī)掃描引擎、數(shù)據(jù)庫掃描引擎和應(yīng)用系統(tǒng)掃描引擎結(jié)合在網(wǎng)絡(luò)安全自查工具之中，保障了整個掃描引擎的全面性。同時系統(tǒng)報告提供了不同版本類型的支撐，例如Word、PDF、HTML 等。

（3）快速檢查加入自動匹配類型的功能，從技術(shù)上提升了安全檢查工作的技術(shù)指標(biāo)，從管理上方便了用戶的使用，完整檢查對檢測的全面性提供了保障。

結(jié)語

網(wǎng)絡(luò)安全等級保護(hù)自查工具使用規(guī)范化的安全檢查標(biāo)準(zhǔn)，簡單友好的人機(jī)交互界面，全方面覆蓋的掃描接口，解決了信息系統(tǒng)安全等級保護(hù)自查工作中的技術(shù)困難，為專業(yè)技術(shù)人員進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)評估提供了技術(shù)支撐。

同時，對特殊內(nèi)容的定制預(yù)留接口，特別是在對用戶界面的友好性以及關(guān)鍵技術(shù)的研發(fā)上都進(jìn)行了非常深入的研究和調(diào)查。