谭 可

（中国铁路昆明局集团有限公司 信息化处，昆明 650011）

信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种方式[1]。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查5个阶段。近年来，国内众多从事网络安全的工作人员及学者对等级保护测评工作进行了广泛研究，对测评平台及测评指标量化方法进行了设计[2]，提出了一系列适用于不同行业的测评方法和工作模式建议[3-7]，但缺乏一套完整的测评全流程管理信息系统。本文结合中国铁路昆明局集团有限公司、某电网公司在等级保护测评工作中的经验及前人所做研究，旨在设计一套集成度高、涵盖面广、功能齐备、标准统一、评判精准、可自动运行的等级保护测评管理系统。该系统可对等级保护测评工作提供全方位的过程管理，实现测评过程中标准统一、快速检测、自动评判等功能，有望应用于各行业的信息安全等级保护工作中，提升等级保护测评的效率及质量。

1 等级保护测评管理系统的必要性

信息安全等级保护是我国规范信息安全管理工作的一项重要制度，而等级保护测评是整个等级保护工作中的重点和难点[8]。测评工作在开展过程中耗时、耗力，对测评人员专业技能要求较高，测评结果容易主观化。学者专家及专业测评机构研究设计了部分安全评估算法或测评工具箱，但测评结果及数据很大程度上难以共享及深度挖掘。研究设计等级保护测评管理系统可有效节约人力、规范测评流程、统一测评标准，对数量众多、规模庞大、结构复杂的多个信息系统同时开展测评，兼顾测评的高效和全面细致，可极大地提升测评质量。

2 等级保护测评管理系统设计

2.1 架构设计

移动等级保护测评管理系统主要包括安全信息收集平台和测评系统[9]，系统结构如图1所示。

图1 等级保护测评管理系统架构

2.2 安全信息收集平台

对信息系统进行安全测试，必须借助第三方软件，如漏洞扫描、基线扫描、等级保护工具箱、数据库安全评估、中间件安全评估等工具。由于各测试工具及使用方法千差万别、测试结果格式不统一、使得测试结果数据难以共享，降低了工作效率。安全信息收集平台通过按需、易扩展的方式集成统一的相关安全工具，构建一个可对安全配置、软件漏洞、主机病毒与木马检测、网站恶意代码检查、安全代码审计、安全日志分析等安全信息收集的平台[10-11]。

平台主要功能包括：测评工具管理、安全数据收集与存储、安全信息分析、报表管理等，系统功能如图2所示。

图2 安全信息收集平台系统功能

2.2.1 测评工具管理

对安全评估工具进行统一管理并实现工具的自动化调用，包含网站安全与恶意代码检查工具、数据库安全检查工具、网络设备配置检查工具、主机配置检查工具、系统漏洞扫描工具、弱口令检查工具、病毒与木马检查工具等。安全评估工具支持手动导入和自动采集安全配置信息两种方式，采用科学的方法，对测评结果、风险等提供定量的安全评价，并能自定义评价算法。每个测评工具可对检测出来的问题提供弱点或漏洞详细描述、并提出修补及整改建议。

（1）网站安全与恶意代码检查工具

实现对信息系统的Web安全检查，支持对SQL注入、XSS跨站脚本、伪造跨站点请求、网页木马、隐藏字段、表单绕过、AJAX注入、弱配置、敏感信息泄漏、HI-JACK 攻击、弱口令、Xpath注入、LDAP 注入、框架注入、操作系统命令注入、Flash源代码泄漏、Flash跨域攻击、Cookies注入、敏感文件、第三方软件、其他各类CGI等漏洞进行扫描。对网站代码的安全进行检查，支持.asp、.aspx、.php、.jsp、.css等文件格式检查，支持自定义文件后缀格式，异性、变异WebShell后门代码检查，支持关键恶意特征码定位等扫描策略。

（2）数据库安全检查工具

实现对 Oracle、Sybase、DB2、Informix、My-SQL、SQL Server等主流数据库系统进行安全检查，检查的内容主要包含了不安全配置、安全策略、补丁升级、权限分配、访问控制、弱口令等。

（3）网络设备配置检查工具

支持检查网络设备账户的安全策略信息，包含口令长度、复杂度、定期更换、登录失败、锁定次数等，支持检查安全审计策略，包含事件类型、SYSLOG服务器，支持检查不必要的服务和端口（如TELNET、FTP、SNMP、HTTP），支持SNMP、SSH 服务、版本信息等检查。

（4）主机配置检查工具

实现对Linux系统信息、硬件信息、异常服务、安全策略、帐户信息、服务信息、系统补丁、活动端口、用户权限、审计策略、SNMP信息、SSH信息、资源控制等配置项进行安全检查；对Windows系统信息、硬件信息、系统开机启动项、异常服务、安全策略、帐户信息、审计策略、系统补丁、进程扫描、软件安装、活动端口、用户权限、安全选项、组策略、运行保护、浏览器上网记录、USB使用记录等众多配置项进行安全检查。

（5）系统漏洞扫描工具

实现对Microsoft Windows XP/2003/Vista/2008/7、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等操作系统进行漏洞扫描，以及Web、FTP、电子邮件等应用系统，Office、Apache等常用软件漏洞扫描。同时也可以对网络设备进行漏洞扫描。可以自动统计总体漏洞数量、统计不同操作系统类型的主机数量、统计所有开发端口、可用帐户等信息。

（6）弱口令检查工具

实现应用程序协议的弱口令检查，如SMB、RDP、TELNET、SSH、Pop3、FTP 、SQL Server、Oracle、My SQL等应用程序协议。

（7）病毒与木马检查工具

实现对操作系统的关键机制，如系统服务、内存、注册表、启动进程；检测操作系统的安全模型，包括访问控制、特权和审计；反馈系统安全配置、文件访问，驱动、引导等系统深度进行流氓软件、蠕虫病毒、其它恶意程序的检查工作。实现系统中的木马程序、Rootkit、间谍程序等木马检查，提取操作系统的关键机制，如系统服务、内存、注册表、启动进程；检测操作系统的安全模型，包括访问控制、特权和审计；反馈系统安全配置、文件访问，驱动、引导等系统深度信息进行检查。

2.2.2 安全数据收集与存储

通过对测评工具的控制，对每个自动化安全测评工具扫描的结果进行解析，按类型存储到数据库。也可以手动导入安全信息数据，并对数据进行解析、分类存储。

2.2.3 安全信息分析

安全信息收集平台可将部分已收集的格式化安全信息数据进行量化及综合分析，得出更直观准确的测评结论，提供数据接口给测评系统使用。以安全风险量化分析为例：

风险值 = R（A，T，V）= R（L（Ta，Vb），F（Ia，Va））。

其中，R表示安全风险计算函数，A表示资产，T表示威胁，V表示脆弱性，Ta表示威胁出现的频率，Ia表示安全事件所作用的资产价值，Va表示脆弱性严重程度，Vb表示存在的脆弱性，L表示威胁利用资产存在的脆弱性导致安全事件发生的可能性，F表示安全事件发生后产生的损失。风险值计算包含以下3个关键环节。

（1）安全事件发生的可能性 = L（威胁出现频率，脆弱性）= L（Ta，Vb）；在具体评估中，应综合攻击者技术能力（专业技术程度、攻击设备等）、脆弱性被利用的难易程度（可访问时间、设计和操作知识公开程度等）、资产吸引力等因素来判断安全事件发生的可能性。

（2）安全事件的损失 = F（资产价值，脆弱性严重程度）= F（Ia，Va）；部分安全事件发生造成的损失不仅仅是针对该资产本身，还可能影响其提供业务的连续性。不同安全事件对整体造成的影响也是不一样的，在计算某个安全事件的损失时，应将对整体的影响也考虑在内。

（3）计算风险值：风险值 = R（安全事件发生的可能性，安全事件的损失）= R（L（Ta，Vb），F（Ia，Va））。

2.3 测评系统

系统主要包括项目管理、资产管理、测评指标管理、移动测评、等级保护测评管理、安全态势分析、外部接口等模块。

2.3.1 项目管理模块

将等级保护测评工作流程固化，提供测评任务配置、测评跟踪、测评结果统计、风险量化分析、报告编制等功能，实现测评任务从创建、实施到关闭的整个生命周期管理，将以往的人工审计工作转变成自动化的测试,并自动生成各类报告。系统可按时间、机构、类型等类别查看、跟踪各测评项目的编号、名称、负责人、状态等相关属性[9]。

2.3.2 资产管理模块

对被测单位的信息系统资产进行统一的类别划分、登记等综合管理；实现资产的登记和分类，支持手工录入或自动探测，或与第三方系统运维机构获取资产管理的基础信息。

2.3.3 测评指标管理模块

测评指标随着标准级别（国标、行标、企标、测评单位内部）变化所带来的差异，可分为国家原创、行业增强、行业原创、企业增强、企业原创、测评机构增强、测评机构原创等7大类。测评指标库架构如图3所示。

图3 测评指标库架构

测评指标内容应尽可能细化、详尽，以身份鉴别指标为例，测评内容应至少包括：标识、鉴别、密码复杂度、密码长度、密码更换周期、弱口令、非法登录次数及失败处理、账户锁定时间、加密传输、操作系统用户唯一等多个测评指标项。

测评指标管理模块可以对指标进行添加、删除、导入导出、筛选查询等,可对指标属性进行横向扩展，对指标层次进行纵向扩展。对不同行业、不同系统开展测评时，可以选取最匹配该行业标准的指标进行精准测评。

2.3.4 移动测评子系统

随着便携式移动设备越来越广泛的应用，在等级保护测评管理系统中使用移动客户端协助测评，可极大地提高测评效率、规范现评流程。测评人员通过移动客户端在等级保护测评管理系统中领取相应任务，并对测评工作和进度进行实时或离线同步，完成测评工作的全流程控制。移动客户端通过现场录音、拍照取证等功能与人工测评紧密结合，完成现场测评；同时可控制安全信息收集平台，发送指令进行安全配置信息、安全漏洞收集，安全日志分析等操作。移动测评完成后，移动客户端连接到等级保护测评管理系统网络，把数据同步到系统中。测评过程中，移动客户端通过加密等多种手段，对终端安全及数据安全进行严格的控制。移动测评子系统业务流程如图4所示。

2.3.5 等级保护测评管理

图4 移动测评子系统业务流程

等级保护测评管理，可按照测评的标准流程，协助测评人员完成以下测评工作。

（1）信息收集与分析。包括：上传收集资料，测评对象选取，测评方案编制，上传测评方案，填写分工信息等。

（2）现场测评实施。测评人员按安全域进行现场测评，并将现场测评结果导入系统。

（3）测评报告编写。建立信息系统安全测试历史数据库,提供全方位的数据分析，按需求生成多样化的报表，主要包括：总体技术指标，管理水平，测评结果汇总表，汇总图，问题汇总表，风险评价，测评结论，安全整改建议等。整个测评工作流程如图5所示。

图5 等级保护测评工作流程

2.3.6 安全态势分析模块

信息系统经过多次安全测评、复测后，会产生大量信息安全数据，通过对这些数据进行深入的挖掘和分析，研究安全态势模型，可直观展现信息系统运行、单位安全管理等重要环节的安全态势[12]。安全态势分析模块主要包含以下功能：对等级保护测评结果进行数据清洗、规范和汇总，使其具备统一分析的基础；对安全制度、人员管理、建设管理、运维制度、网络安全态势、物理环境安全态势、数据安全态势、主机安全态势、应用系统安全态势等重要安全指标进行综合分析研判，通过图表等形式直观展示。

2.3.7 外部接口模块

提供包括应用安全扫描、主机系统漏洞扫描、数据库安全扫描等工具的接口模块,实现对外部工具的直接调用和对工具生成的报告的直接导入。通过外部扫描数据导入分析功能，提供一个漏洞驱动的事件分析引擎,对等级保护的测评项与扫描结果作对比分析,有效地实现测评结果数据共享,极大地减少测评人员的工作量。

3 结束语

本文提出的等级保护测评管理系统利用安全信息自动化采集技术，集成各类安全评估工具，可实现测评过程的有效管理、测评工作的有序开展、测试标准的高度统一、测评指标的自动判断、测评结果的客观分析、测评报告的自动生成等。研究成果在某公安网络与信息安全实验室、某电网信息安全实验室进行应用，达到了缩短项目管理、技术检测、结果统计、报告生成等环节用时的目的，明显地提高了测评质量。