等保测评中的问题与建议

国家将信息安全的等级保护视为一项关键的信息安全管理体系。其中，等级保护的评估则是这项任务的核心与挑战。这项评估活动需要投入大量的时间与精力，并且需要相应的专业知识，同时，其得出的结论也可能存在一定的主观性。尽管学术界与专门的评价机构已经针对某些安全性的评价方案或评价工具进行了探索，然而，在实际应用中，这些评价的成果与数据往往无法被公开与深入地解析。因此，通过等级保护评价管理系统，能够在节省人力、规定评价过程、统一评价标准的基础上，对大批、大型、复杂的信息系统进行同步评价，既能实现评价的高效性，又能做到全方位的精确性，从而显著地提高评价的质量。

根据国家的信息安全等级保障体系进行的等级评价，是由相关的管理规范和科学规范制约的。针对某一特殊的应用场景的信息系统，使用安全科学的评价以及安全管理的评价手段，监控并评价其防护状况，以此判断待测系统的科学性和管理等级是否满足预期的安全等级需求。依据满足性，评估其是否达到了预设的安全标准，并给出未达标的安全修正计划。在网络信息系统的完整使用过程中，对其进行层次划分与存储是确保信息安全的关键步骤。对于信息系统的层次划分，需遵循“自动评估、专家审核、管理部门批准、公安部门审查”的准则。在安全设计与执行的过程中，依照整体的信息系统安全规划，并且与信息系统的安全建设项目规划相配套，逐一执行各种安全策略。在执行等级保护的过程中，安全的操作与维护是保证信息系统能够稳定运行的关键。

1.对测评对象进行确定

当网络结构图的一致性不足、用户的业务系统过于庞大时，网络系统将变得极其复杂，对目标的评估也将面临一些挑战。因此，要明确用户的访问路线，并依据这些信息对互联网实物进行评估。当选择网络评估实物的时候，必须依据用户的访问路线，把各种类别的用户纳入到同一地带，并选择他们的特定连接地点作为初始地，调整业务系统内的应用服务器的位置，按照预先规划的步骤把网关设备纳入，使得所有的网关设备都能有效地构成网关设备的路线。以每个网络连接设施的访问路径为特定的评估目标，按照各自的路线把全部的公用节点整合到一起。网络连接器的种类繁多，包括防火墙、交流电源等，其中一些被归为网络连接器，这些连接器通常呈现出一种透明的状态，即所有相互连接的设备均被归为此种类别。

2.测评对象配置和状态数据的获取

使用命令行管理模式，能够从设备的版本号、路由表和日志状况等多种信息中获得所需的信息，这些信息大多以文字格式呈现。在具体的操作步骤里，首先创建一份测试操作手册，接着把所有必须使用的命令列出来，并且根据列表的排序来展示。这种做法极大地简化了测试工作者的日常任务，只需依照列表的顺序执行相应的命令，最后才能打开终端。需要把屏幕上的信息做好记录，然后把它们保存在文档中，这极大地增强了实地考察的效能。对于Web界面的管理，有许多不同的设备制造商，可供选择的类型非常丰富，并且它们的配置方法各不相同，给评估工作人员的选择带来了极大的便利。他们通常会使用截图的方式收集信息，目的是提升工作效率。因为绝大多数的信息都是以图像的形态呈现，有些设备甚至可以支持日志文档或策略指南的输出，即所谓的按照此类格式保存信息。在进行网络拓扑图的旁路安全设备和数据获取的验证流程中，只有在链接路径的末端，并非由商用计算机设备构成的情况下，才能识别出旁路设备。

3.信息安全风险评估

在评估信息安全的潜在风险时，应该依照风险管理的原则，运用科学的方法深入研究系统中的潜在问题和风险。针对可能出现的安全事件，需要做出评估，并依据这些危险制定合适的防护方案。通过实施这个方法，可以有效地应对信息安全的隐患，并将其控制在合适的范围内，从而确保信息安全的有效防御。当对风险进行评估时，三个关键因素是财富、可能的威胁以及容易受损的部分，每个因素都有其独特性。财富的优先级则由其价值决定。威胁的因素可能是对威胁执行者的威胁，也可能是推动力。对于容易遭受破坏的区域，主要揭示了财富的脆弱性和其严重性。在探讨风险的过程中，需要思考许多因素。

首先，必须精确地识别出资产，接着对其价值进行评估。同时，也需要识别出可能的威胁，并详尽地描述其特性，以便更深刻地理解威胁如何影响其价值。另外，需要精确掌握和评价其脆弱性，并根据其可能导致的经济损害的严重程度定义其等级。为了辨认出潜在风险所带来的脆弱性，必须运用科学的方法测定其可能导致的安全事故的风险。根据这种脆弱性的实际严重程度，需要明确应对该种安全事故的财务回报，同时也要预估由此带来的财务伤害。对于可能的安全事故的破坏以及其带来的后果，需要进行评估，即需要计算的风险指标。

4.保护能力构成框架

此框架为信息系统的等级防御和防御能力的建立提供了理论支持。一方面，该框架明确展示了信息系统的安全等级防御所需的防御能力结构；另一方面，它给予操作者执行系统安全等级防御强大的支持，以此保障安全目标的顺畅执行，达到预设的防御效果，让信息系统拥有对抗安全风险的能力。这需要在两个层次上实施。

第一个层次是技术层次，也就是对业务信息与系统服务的安全性进行有效的保障。这个层次主要体现在三个方面：防护、检测、恢复响应。这三个部分各自代表了业务信息与系统服务的安全性，包括防护、检测和恢复响应的能力。第二个层次是管理，通过科学且高效的管理，可以强化信息系统的安全性。如果从安全管理的视角分析，这种方法涵盖了四个主要的部分：规章制度、团队成员、安全建设和安全操作。这种方法有助于更好地理解信息系统的安全管理元素，并且可以清楚地知道信息系统在运作期间所执行的所有安全管理任务。因此，安全管理的核心功效在于展示了信息系统的标准化、团队协作、安全项目的确认性及其稳定性。

5.持续开展网络安全等级保护测评

为了最大限度地保障信息系统的网络安全、完善、平稳且高效的操作，并且能够实现即时、符合标准且安全的获取、存储、分享和利用信息，业务主管需要遵循公司所有职员均可参加的普遍准则，持续进行与信息系统的网络安全、保密等级以及防护等级的评价任务。而这些网络安全的评价和防护等级必须严格按照公司管理层的大部分核心职员的标准执行。主要目标是增强企业员工对于互联网及安全技术的了解，让他们深刻领会到自己的重大安全职责，并且让他们熟练运用所需的技能，熟知并应用网络及安全防护的各种策略和科学原则。因此，企业要经常进行培训，评价和研究其网络与安全技术的稳定性及其严重程度，同时也要收集员工所需的多样化的专业技术援助，从而实现企业的长期稳定发展。

关于评估的风险性，需要在平时的任务执行、评估流程的预备、计划设计、实地考察等环节进行管理。这些风险性主要被划分为三个类别：

1.敏感信息泄露防范

为了避免敏感信息的泄露，必须从人员管理和设备管理两个层面入手。在人员管理方面，通过执行安全管理措施加强对信息安全的教育，提高大众的信息安全认知，以降低主观上泄露被测单位信息的可能性；此外，应当采取保密协议，以保证在评估人员泄露了被测单位的信息后，对其进行追责，必要时通过法律手段解决。因此，所有的评价组织都必须建立适当的条例，定期对员工进行教育，同时为员工的雇佣、解雇等相关流程设定清晰的标准，可以防止从个人角度泄漏检验组织的敏感数据。在设备管理方面，必须注重保障存储媒介的安全，同时也要注意对工作电脑的恶意代码的防范。针对那些专门用来记录待检单位数据的设备，必须做好全面的维护，设立完善的条例和审核步骤，以防止这些设备出现混乱。

2.系统功能验证风险防范

在执行等级保护的评估流程时，主要采用了面谈、审核以及测试三种手段。当观察设备的配置时，错误的操作很可能导致待测系统出现问题。同时，在实施测试的阶段，比如输入数据的审核，也可能因为这个步骤的审核而给信息系统带来损害。为了防止系统功能的验证出现问题，需要在预备阶段对待测的信息系统进行全面了解，不仅需要搜集必需的数据，也需要审阅相关的开发文档以及配置指南，尽量减少可能存在的功能验证风险。例如，通过阅读信息系统的源代码或者说明文档确认待测的信息系统是否满足相同的功能需求。为了避免错误操作导致的危害，需要在评估前的准备过程中设计适当的紧急计划。在测试前，应急预案必须经过被测单位的审查，以确认其有效性。同时，重要的信息系统也需要进行备份。

3.工具测试风险防范

工具的审查有可能干扰网络的流量和设备的操作情况，同时，渗透性的审查也有可能损害系统的效率。因此，在进行评估之前，需要全方位地了解扫描系统的操作方式，并对待测部门的设备操作情况、网络流量等多个方面进行深入研究。在构建扫描方案的过程中，需要尽量避开网络拥塞或设备过度忙碌的时段，同时也需要为待审查的信息系统设计一个安全的扫描方案。

综上所述，风险时刻存在，唯有对整体的信息系统做出深入的审查，同时考虑到系统的具体情况，才能尽量减少测试方式的潜在危害，以便确保每一个项目的测试分析都能够高效地执行。

来源：《网络安全和信息化》杂志

作者：李梦煜

（本文不涉密）