杨本毅

摘要：一直以来，国家都将信息系统的安全放在第一位置。现场对网络安全展开测评一直都是难点内容。该文主要针对网络现场安全测评中存在的难点进行剖析，立足于这些难点问题之上，提出一些必要的测评方法，确保能够获取准确的测评网络原始数据，对测评项目有效地进行支持。

关键词：信息安全;等级保护;网络安全;现场测评

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2019）29-0013-02

目前，国家针对信息安全等级保护已经提出一些必要的制度，让网络安全现场测评能够顺利开展。但是，实际情况反映出来的是对网络现场实施安全测评的时候存在很多的困难，网络管理人员对网络的熟悉程度不够，所谓的变更管理也存在很大的缺失，这就需要针对这些实际问题加大调整，并采取合理的测评方法进行分析。

1网络现场安全测评存在的困难

1.1变更管理存在缺失

被测评单位展开建设的时候会拥有完整的技术资料，从而绘制出比较完整的网络拓扑图。但是在时间的不断推移之下，不管是将网络节点进行增加，还是让网络区域得以改变，都会引起网络拓扑的变化。如果信息系统得不到相应的变更管理支持，技术文档上就体现不出具体的变化。另外，技术管理人员也在不断发生变更，技术交接的时候存在的漏洞十分大，这就让变更管理的缺失问题更加严重。

1.2网络管理员对网络不够掌握

网络技术维护发挥的作用极大，可以对信息系统进行良好的维护。业主方的技术管理人员由于技术能力有限，大多都是依赖外包单位的技术人员。业主方对于维护方在管理制度上存在一定的管理缺失，这很容易让外包单位的服务终止。如果外包单位的技术人员再次进行更换，就会让业主单位对网络的管理造成严重的影响，给网络的安全测评造成极大的影响。

1.3被测评方技术人员故意将信息隐藏

信息系统中业主一方的人员存在逃避责任的现象，对于安全方面的隐患也会隐藏，具体的配合也不够。对于重要的业务系统来说，技术人员对测评工作理解不到位的情况下，因为担心在正常测评的时候会对业务的正常运行造成影响，所以故意将一些网络信息隐藏。一些网络管理人员为了让网络的管理更加方便导致网络的配置和具体的网络安全规定不符合，还会担心因为安全测评担心上级领导发现的具体安全隐患从而对自身不利嘲。这种情况下，技术人员通常只是将网络的基本状况进行介绍，不会告诉测评人员详细的信息，这就导致测评人员获取的数据不够真实，测评人员在挖掘网络中存在的基本数据时存在巨大的挑战。

1.4网络拓扑自动化检测工具的局限性

展开网络测评的时候通常都会使用到自动化生成工具，但是自动化检测工具也存在一定的不足，将网络运行真实的情况根本反映不出来。多数网络为了确保运行安全性，将网络设备协议关闭，这就导致检测工具无法形成具体的网络拓扑，对于一些安全设备也不具备穿透功能。

2信息安全等级保护测评中网络安全现场测评方法

2.1对测评对象进行确定

网络拓扑图如果不够一致，用户业务系统十分繁多的时候，网络系统会十分复杂，对对象的测评也会存在一定的困难。因此，可以对用户的访问途径进行确定，然后对网络对象展开测评。

确定网络测评对象的时候需要建立在用户访问途径的基础上，将不同类型的用户接入同一个区域中，将其具体的接人点作为起点，对业务系统中存在的应用服务器位置进行设置，在访问路径中遵循相应的顺序将网关设备加人其中，让所有路径上面的网关设备能够有效组成网关设备路径，将访问路径中所有的网关设备作为具体的测评对象，根据不同的路径將所有的公共节点合并在一起。

网关类设备具有多种类型，防火墙、交换机等都属于网关类设备，部分网关类设备属于一个透明的模式，也就是说所有串联在一起的设备都属于网关类设备。

2.2配置测评对象、获取状态数据

（1）获取命令型管理设备的数据

通过执行命令形式可以获取不同的数据类型，主要的形式是文本文件。具体展开操作的时候需要编制测评操作指导书，通过相应的列表形式对各个设备所用到的命令进行表示，这样测评工作人员就会根据列表具体的顺序执行相关命令。开启终端，对屏幕上显示出来的数据进行记录，将输出的文件存为文本文件，这样就可以让现场的测评效率得到相应的保证。

（2）获取WEB界面管理方式的设备数

WEB界面管理方式的设备的厂商是十分多的，设置方式也具有多样化，测评人员需要合理地进行选取。获取的主要数据会有多种，配置良好的接口，然后再重新进行开启，采用不同的工作方式、访问控制策略。为了让设备数获取的效率能够充分提高，对这些数据在获取的时候可以采用截图的方式，让其以图片的形式展现出来，一些设备文件具有一定的导出功能，可以将文件以相应的格式进行存储。

（3）旁路安全设备和数据获取

在迭代过程中需要对网络拓扑结构流程进行遵循，当链路路径的端点不属于业务计算类设备的时候，就可以对旁路设备进行确定嘲。旁路类安全设备包括的种类十分繁多，有病毒服务器、日志服务器等。

配置旁路类的设备，获得安全状态数据就可以获取不同设备的版本号，并对不同版本的信息进行防护和启用，相应的还可以对日志信息进行配置。旁路设备中很多设备都是采用WEB来管理的，这种类型的设备对数据进行收集的时候会以截图的形式来传输。

2.3信息安全风险评估

评估信息安全风险的时候需要从风险管理的角度出发，采用科学的手段对系统中存在的潜在问题和威胁进行分析，对于安全事件发生的时候出现的危害进行评估，有针对性的威胁采取相应的防护措施，将信息安全方面存在的风险进行化解，将风险控制在合理的范围中，让信息安全得到一定的保障。

风险分析中涉及三大要素，分别是资产、脆弱性、威胁，每个要素所具有的属性不同，资产主要需要资产价值。威胁属性不仅可以是威胁主体，还会是动机等。脆弱性属性主要是资产弱点的严重程度。对风险进行分析的时候主要涉及的内容有多种。做好资产的识别工作，对资产价值进行赋值。对威胁同样展开识别，并对威胁的属性进行描述，掌握威胁引发的赋值。对脆弱性同样需要做好识别，并对可能引发的资产的严重程度做好赋值。利用威胁引发的脆弱性需要对安全事件的可能性科学地进行判断。依据脆弱性具体的严重程度对安全事件所用到的资产价值进行计算，并对安全事件产生的损失进行计算。对安全事件所发生的可能性对安全事件的损失进行计算，并对安全事件产生的影响进行计算，也就是计算风险值。

3结束语

综上所述，保护测评需要依据信息安全等级来开展，并对网络展开安全测评，这项测评中存在诸多难点。对网络进行安全测评的时候网络拓扑图是必须具备的条件，这就需要对测评对象展开正确的选择，这样测评出来的结果才会具有一定的安全性和可靠性。