網(wǎng)絡(luò)安全測(cè)評(píng)機(jī)構(gòu)能力建設(shè)研究

張昊　賀江敏

摘? ?要：文章通過分析網(wǎng)絡(luò)安全測(cè)評(píng)過程中可能存在的風(fēng)險(xiǎn)和問題，從質(zhì)量管理體系、人員管理、測(cè)評(píng)技術(shù)等方面，對(duì)安全測(cè)評(píng)能力建設(shè)進(jìn)行分析和探討，為測(cè)評(píng)機(jī)構(gòu)規(guī)范化管理提供借鑒。

關(guān)鍵詞：網(wǎng)絡(luò)安全;安全測(cè)評(píng);等級(jí)保護(hù);能力建設(shè)

中圖分類號(hào)： TP309.2? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：B

Abstract： This paper analyzes the possible risks and problems in the process of Cyberspace security evaluation. From the aspects of quality management system， person management and evaluation technology to analyzes and discusses the construction of safety evaluation capability. Provide a reference for evaluation organization.

Key words： cyberspace security; security evaluation; classified protection; capacity building

1 引言

進(jìn)入21世紀(jì)，全球迎來了新一輪信息技術(shù)革命，以互聯(lián)網(wǎng)為核心的信息通信技術(shù)及其應(yīng)用和服務(wù)正在發(fā)生質(zhì)變。人類社會(huì)的信息化、網(wǎng)絡(luò)化達(dá)到前所未有的程度，信息網(wǎng)絡(luò)成為了整個(gè)國(guó)家和社會(huì)的“中樞神經(jīng)”。然而，網(wǎng)絡(luò)化趨勢(shì)卻帶來了兩對(duì)矛盾：一是攻擊技術(shù)永遠(yuǎn)領(lǐng)先于防御技術(shù);二是信息技術(shù)和應(yīng)用越復(fù)雜、功能越全面，其脆弱性、漏洞和安全隱患就越大。從技術(shù)發(fā)展趨勢(shì)看，這兩對(duì)矛盾會(huì)越來越突出，網(wǎng)絡(luò)與信息安全形勢(shì)不容樂觀。

隨著我國(guó)經(jīng)濟(jì)社會(huì)各領(lǐng)域加速信息化，重點(diǎn)單位對(duì)信息技術(shù)和網(wǎng)絡(luò)的依賴程度越來越高，辦公自動(dòng)化、網(wǎng)絡(luò)化存儲(chǔ)傳輸已經(jīng)成為重要手段。做好網(wǎng)絡(luò)安全測(cè)評(píng)工作，對(duì)于健全國(guó)家網(wǎng)絡(luò)安全保障體系的重要性日益凸顯。

網(wǎng)絡(luò)安全測(cè)評(píng)是通過對(duì)信息網(wǎng)絡(luò)及其相關(guān)設(shè)施設(shè)備的安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)評(píng)估，及時(shí)發(fā)現(xiàn)安全隱患，提出防護(hù)措施，對(duì)確保信息網(wǎng)絡(luò)安全運(yùn)行具有重要關(guān)口作用。安全測(cè)評(píng)是作為開展安全建設(shè)和整改的依據(jù)，是網(wǎng)絡(luò)安全保障工作的關(guān)鍵步驟之一，加強(qiáng)測(cè)評(píng)工作質(zhì)量保障、測(cè)評(píng)人員安全的管理，積極穩(wěn)妥的開展網(wǎng)絡(luò)安全測(cè)評(píng)體系建設(shè)，不斷提高測(cè)評(píng)的能力和水平，充分發(fā)揮測(cè)評(píng)機(jī)構(gòu)的網(wǎng)絡(luò)安全技術(shù)支撐作用，持續(xù)開展測(cè)評(píng)機(jī)構(gòu)能力建設(shè)研究和規(guī)范化管理，為網(wǎng)絡(luò)安全的保障工作提供一支可靠專業(yè)技術(shù)支撐力量，具有現(xiàn)實(shí)意義。

2 測(cè)評(píng)工作可能面臨的風(fēng)險(xiǎn)和存在問題

2.1 測(cè)評(píng)工作面臨的風(fēng)險(xiǎn)

網(wǎng)絡(luò)安全測(cè)評(píng)、網(wǎng)絡(luò)安全檢查實(shí)施過程中，被測(cè)系統(tǒng)可能面臨三方面的風(fēng)險(xiǎn)。

（1）驗(yàn)證測(cè)試影響系統(tǒng)正常運(yùn)行。在現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，需要根據(jù)測(cè)試用例和測(cè)試方案，對(duì)設(shè)備和系統(tǒng)進(jìn)行安全配置核查等驗(yàn)證測(cè)試工作，部分測(cè)試內(nèi)容需要上機(jī)查看一些信息，這就可能對(duì)系統(tǒng)的運(yùn)行造成一定的影響，甚至存在誤操作的可能。

（2）工具測(cè)試影響系統(tǒng)正常運(yùn)行。在現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，會(huì)使用一些技術(shù)測(cè)試工具進(jìn)行漏洞測(cè)試、性能測(cè)試甚至抗?jié)B透能力測(cè)試。測(cè)試可能會(huì)對(duì)系統(tǒng)的負(fù)載造成一定的影響，漏洞測(cè)試和滲透測(cè)試可能對(duì)服務(wù)器和網(wǎng)絡(luò)通訊造成一定影響甚至傷害。

（3）敏感信息泄漏?？赡軙?huì)泄漏被測(cè)系統(tǒng)狀態(tài)信息，如網(wǎng)絡(luò)拓?fù)?、IP地址、業(yè)務(wù)流程、安全機(jī)制、安全隱患和安全設(shè)計(jì)方案、軟件開發(fā)設(shè)計(jì)等有關(guān)文檔信息。

2.2 當(dāng)前安全測(cè)評(píng)工作存在的主要問題

當(dāng)前網(wǎng)絡(luò)安全測(cè)評(píng)存在的主要問題表現(xiàn)為：

（1）新技術(shù)、新模式的安全測(cè)評(píng)、檢查技術(shù)能力還有待提高，如云計(jì)算、大數(shù)據(jù)、區(qū)塊鏈、物聯(lián)網(wǎng)等的安全測(cè)評(píng)手段和方法還需要進(jìn)一步研究，安全風(fēng)險(xiǎn)綜合評(píng)估能力和漏洞隱患挖掘分析手段還不強(qiáng)，尚未形成對(duì)信息化條件下安全保障工作的核心技術(shù)支撐能力;

（2）安全測(cè)評(píng)法規(guī)標(biāo)準(zhǔn)體系還不夠健全，網(wǎng)絡(luò)安全資源庫沒有建立，安全測(cè)評(píng)仿真驗(yàn)證環(huán)境基礎(chǔ)設(shè)施還較為薄弱;

（3）安全測(cè)評(píng)管理不規(guī)范，沒有完整詳細(xì)的安全測(cè)評(píng)方案或作業(yè)指導(dǎo)書，檢查結(jié)果的記錄和匯總非常繁瑣，檢查結(jié)果的存檔和調(diào)閱困難。

3 測(cè)評(píng)技術(shù)能力的主要內(nèi)容

3.1 質(zhì)量管理

按照中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)（CNAS）要求，當(dāng)前開展信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)測(cè)評(píng)、網(wǎng)絡(luò)安全檢查等業(yè)務(wù)，需要按照《CNAS-CI01檢查機(jī)構(gòu)認(rèn)可準(zhǔn)則》（ISO/IEC 17020）的有關(guān)要求，建立質(zhì)量管理體系并通過CNAS組織的相應(yīng)認(rèn)可。

作為網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)，還要依據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力要求和評(píng)估規(guī)范》加強(qiáng)質(zhì)量管理，并通過公安部信息安全等級(jí)保護(hù)評(píng)估中心組織的能力評(píng)估，建立包括制度文檔、配套表單、記錄，系統(tǒng)調(diào)查表、測(cè)評(píng)方案、測(cè)評(píng)指導(dǎo)書、現(xiàn)場(chǎng)記錄、測(cè)評(píng)報(bào)告等一套完整的管理文檔。

3.2 人員管理

測(cè)評(píng)人員安全管理是測(cè)評(píng)機(jī)構(gòu)自身安全保障的重要組成部分，人員安全管理包括可信人員策略、可信人員評(píng)估、測(cè)評(píng)人員技術(shù)能力管理等。

（1）可信人員策略。安全測(cè)評(píng)機(jī)構(gòu)應(yīng)制定可信人員策略，該策略包括的內(nèi)容為：

1）可信人員的定義與標(biāo)準(zhǔn)，可信人員應(yīng)該是沒有偽造學(xué)歷、沒有偽造工作經(jīng)歷、無犯罪記錄、工作中無嚴(yán)重的不誠實(shí)行為的人員;

2）可信人員的評(píng)估要求，需提交的證明材料及第三方驗(yàn)證;

3）可信人員的復(fù)查，對(duì)于確定為可信的人員在經(jīng)過一定的時(shí)期后應(yīng)對(duì)其可信狀態(tài)再次確認(rèn)。可信人員策略應(yīng)該確定復(fù)查的時(shí)間、程序和要求。

（2）可信人員背景調(diào)查與評(píng)估。依據(jù)可信人員策略，安全測(cè)評(píng)機(jī)構(gòu)需制定可信人員評(píng)估方法，評(píng)估方法應(yīng)該包括對(duì)人員背景的調(diào)查和確認(rèn)，調(diào)查內(nèi)容應(yīng)包括教育、工作經(jīng)歷的真實(shí)性、個(gè)人誠信情況等，調(diào)查要有第三方人員確認(rèn)。

（3）人員異動(dòng)管理。人員異動(dòng)情況是指安全測(cè)評(píng)機(jī)構(gòu)工作人員離職、崗位變動(dòng)、或因其他的不可估計(jì)的原因而不能正常到崗，或能到崗但因其他原因（如被確認(rèn)為不可信雇員）不能履行職責(zé)的情況。安全測(cè)評(píng)機(jī)構(gòu)應(yīng)制定一套人員異動(dòng)情況時(shí)的處理方案。該方案應(yīng)包括的內(nèi)容：

1）處理人員異動(dòng)情況的有關(guān)部門和負(fù)責(zé)人員;

2）人員異動(dòng)情況的處理流程;

3）人員異動(dòng)處理的安全要求和措施。

（4）測(cè)評(píng)人員技術(shù)能力管理。對(duì)測(cè)評(píng)人員職稱、學(xué)歷、培訓(xùn)教育、持證上崗等技術(shù)能力進(jìn)行綜合管理。

3.3 保密管理

作為可信第三方的安全測(cè)評(píng)機(jī)構(gòu)需要獲得被測(cè)評(píng)信息系統(tǒng)的各種信息，應(yīng)制定嚴(yán)格的客戶信息保密政策和制度。

安全測(cè)評(píng)機(jī)構(gòu)須根據(jù)安全策略制定具體的信息保密制度，以保護(hù)測(cè)評(píng)機(jī)構(gòu)和客戶的保密信息和知識(shí)產(chǎn)權(quán)。信息保密制度應(yīng)包括的內(nèi)容：

（1）信息的分類，明確信息的不同保密級(jí)別;

（2）對(duì)信息保密分類的標(biāo)識(shí)要求;

（3）對(duì)保密信息的安全管理、防護(hù)措施;

（4）保密信息安全瀏覽、修改的控制，流程和記錄要求;

（5）對(duì)違反保密信息要求的行為的處理。

按照GB/T 22080《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》、GB/T 22081《信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則》等標(biāo)準(zhǔn)，建立安全保密管理組織機(jī)構(gòu)、制定安全保密管理制度、實(shí)施人員安全保密管理培訓(xùn)與教育，落實(shí)安全防護(hù)和保障技術(shù)手段，控制信息安全方針、組織的信息安全、資產(chǎn)分類與控制、人事安全、設(shè)備與環(huán)境安全、通信和運(yùn)作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性管理、符合性要求等安全目標(biāo)，開展網(wǎng)絡(luò)安全管理體系建設(shè)，是做好自身網(wǎng)絡(luò)安全保密管理重要工作。

3.4 安全測(cè)評(píng)技術(shù)管理

（1）網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)安全檢查等保障工作中的主要測(cè)試技術(shù)。

1）物理安全測(cè)試：建筑防雷測(cè)試（含接地電阻測(cè)試）、機(jī)房火災(zāi)消防驗(yàn)收測(cè)試、綜合布線系統(tǒng)驗(yàn)收測(cè)試、機(jī)房安全防范系統(tǒng)測(cè)試、辦公環(huán)境的安全測(cè)試。

2）網(wǎng)絡(luò)安全測(cè)試：網(wǎng)絡(luò)性能監(jiān)控和測(cè)試、網(wǎng)絡(luò)與信息安全產(chǎn)品選型測(cè)試、加密傳輸協(xié)議分析測(cè)試、安全區(qū)域邊界測(cè)試。

3）應(yīng)用安全測(cè)試：應(yīng)用系統(tǒng)軟件驗(yàn)收測(cè)試、應(yīng)用系統(tǒng)軟件安全符合性測(cè)試、軟件性能壓力測(cè)試。

4）系統(tǒng)安全功能測(cè)試：根據(jù)安全要求，分別對(duì)系統(tǒng)的網(wǎng)絡(luò)層、操作系統(tǒng)層、數(shù)據(jù)庫層、公共應(yīng)用平臺(tái)層、應(yīng)用系統(tǒng)層進(jìn)行標(biāo)識(shí)鑒別、審計(jì)、通信、用戶數(shù)據(jù)保護(hù)、安全管理、安全功能保護(hù)、資源利用、評(píng)估對(duì)象訪問、可信路徑/信道、脆弱性管理和惡意代碼防范等安全功能方面的檢測(cè)。

5）安全配置核查測(cè)試：對(duì)信息系統(tǒng)涉及到的所有網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用軟件的安全性配置進(jìn)行測(cè)試和檢查。

6）系統(tǒng)脆弱性測(cè)試：分別通過系統(tǒng)層和應(yīng)用的脆弱性掃描檢測(cè)和滲透測(cè)試，發(fā)現(xiàn)信息系統(tǒng)的網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)存在的脆弱性和安全隱患。

（2）商用密碼和電子簽名檢查測(cè)試。商用密碼技術(shù)作為網(wǎng)絡(luò)安全的基礎(chǔ)性核心技術(shù)，是信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)的重要基礎(chǔ)，是實(shí)行網(wǎng)絡(luò)安全保障不可或缺的關(guān)鍵技術(shù)。

電子認(rèn)證以《電子簽名法》為依據(jù)，建立以身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定為主要內(nèi)容的網(wǎng)絡(luò)信任體系，是網(wǎng)絡(luò)和信息安全保障體系的重要組成部分。

商用密碼測(cè)評(píng)以《中華人民共和國(guó)密碼法》為依據(jù)，在《信息安全等級(jí)保護(hù)商用密碼管理辦法》《信息安全等級(jí)保護(hù)商用密碼技術(shù)實(shí)施要求》《商用密碼應(yīng)用安全性評(píng)估》等文件中明確使用商用密碼技術(shù)和產(chǎn)品，按照GM/T 0054-2018 信息系統(tǒng)密碼應(yīng)用基本要求，開展商用密碼應(yīng)用安全性評(píng)估。

國(guó)家標(biāo)準(zhǔn)GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》規(guī)定了對(duì)不同安全保護(hù)等級(jí)信息系統(tǒng)的基本安全要求，對(duì)于涉及到身份的真實(shí)性、行為的抗抵賴性、內(nèi)容的機(jī)密性和完整性的要求項(xiàng)，都需要密碼技術(shù)作為支持手段。

（3）漏洞數(shù)據(jù)庫與網(wǎng)絡(luò)安全攻防模擬能力。漏洞分析、安全攻擊防護(hù)和演練平臺(tái)等作為網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施之一，在網(wǎng)絡(luò)安全技術(shù)保障工作中占有核心位置。

通過網(wǎng)絡(luò)安全數(shù)據(jù)庫，包括漏洞庫、補(bǔ)丁庫、惡意代碼庫等完成安全漏洞信息的收集、匯總、分析和驗(yàn)證;開展網(wǎng)絡(luò)安全人員培訓(xùn)，搭建網(wǎng)絡(luò)安全攻擊和防護(hù)演練平臺(tái)，為測(cè)評(píng)人員提供網(wǎng)絡(luò)安全技術(shù)培訓(xùn)。

3.5 測(cè)評(píng)作業(yè)指導(dǎo)書開發(fā)管理

網(wǎng)絡(luò)安全測(cè)評(píng)、網(wǎng)絡(luò)安全檢查等作業(yè)指導(dǎo)書，體現(xiàn)測(cè)評(píng)機(jī)構(gòu)實(shí)力，能夠規(guī)范測(cè)評(píng)和檢查的流程與方法，保證測(cè)評(píng)結(jié)果的準(zhǔn)確性，是具體指導(dǎo)測(cè)評(píng)人員如何進(jìn)行測(cè)評(píng)活動(dòng)的文件，是現(xiàn)場(chǎng)測(cè)評(píng)的工具、方法和操作步驟等的詳細(xì)描述，是保證測(cè)評(píng)活動(dòng)可以重現(xiàn)的根本，因此測(cè)評(píng)作業(yè)指導(dǎo)書應(yīng)當(dāng)盡可能詳盡、充分。

網(wǎng)絡(luò)安全測(cè)評(píng)中的作業(yè)指導(dǎo)書主要包括十四個(gè)方面內(nèi)容。

（1）操作系統(tǒng)測(cè)評(píng)類：Windows XP/2003/2008/2010、AIX、HP Unix、Linux、Solaris等。

（2）數(shù)據(jù)庫測(cè)評(píng)類：DB2、Infomix、SQL Server、Oracle、Sybase等。

（3）交換機(jī)測(cè)評(píng)類：華為、Cisco、銳捷、Juniper等。

（4）路由器測(cè)評(píng)類：華為、銳捷、Cisco等。

（5）防火墻測(cè)評(píng)類：天融信、網(wǎng)御等。

（6）入侵檢測(cè)系統(tǒng)測(cè)評(píng)類;綠盟、啟明星辰等。