李琨 丁庆行

（中国软件评测中心 北京市 100048）

2020年3月初，中共中央政治局常务委员会召开会议提出，加快5G 网络、人工智能、物联网、工业互联网为代表的新型基础设施建设进度，紧接着，3月6日，工信部积极响应，召开5G 发展专题会，“新基建”成了公众关注的热点。然而，这些新兴技术能够得到发展，现在乃至未来都离不开信息技术应用创新这一基石。近几年，我国一直大力发展人工智能、物联网、云计算、5G 网络技术等新兴技术。但是，信息技术的发展与新兴技术的超前步伐相比，显然相对滞后，特别中美贸易战发生以后，将这一问题更加彻底地显化了出来，这也成了推动我国信创行业发展的一个动因[1]。

近年来，在党和国家的大力支持下，我国CPU、操作系统、数据库等自主产品快速发展，云计算、大数据等新一代信息技术快速普及，对我国信创行业的发展提供了有力的支撑。自2014年2月27日成立中央网络安全和信息化领导小组以来，以习近平同志为核心的党中央、国务院,明确提出了“没有网络安全就没有国家安全，没有信息化就没有现代化”的建设口号，通过加大对国产信息化设备建设力度,大力扶持国产信息化产品、设备,在资金、政策等多个方面加快推进我国信息化设备的国产化[2]。

1 信创网络安全发展现状及存在的问题

《中华人民共和国网络安全法》和《网络安全审查办法》的出台，将网络安全提升至国家安全战略层面，对信息系统，尤其是关键信息基础设施的安全防护建设提出了更为系统和全面的要求。受技术发展水平、产业生态影响，国产化基础软硬件、网络设备和安全专用产品的性能、可靠性、成熟度与传统商用产品仍存在一定的差距，因此，仅通过部署相关安全产品来提升信创网络安全的防护能力有着较大的实施难度。

2 信创网络安全测评思路和内容

安全测评是信创网络工程必不可少的支撑，构建一个全面的安全测评，为信创行业的发展保驾护航，也是信创行业发展的重要组成部分。

面对新技术新应用发展带来的信息系统安全威胁，需要从多层级、多维度建设安全体系，从底层设施到上层应用，从外部防御到内部安全，形成完善的系统网络防护安全体系。因此，信创网络安全测评不仅要涉及系统的基础软硬件设施，还应对运行在上面的信息系统提出进一步的要求。通过深度检测系统存在的网络安全问题和漏洞隐患，检验信息系统安全措施的有效性，确认系统安全现状与国家相关要求的差距，为全面提升信创项目的安全防护水平提供参考和依据，有针对性的落实和加强信息系统安全措施，确保信息系统正常、安全的持续运行。

本文从等级保护测评、渗透测试、源代码审计、风险评估四个方面介绍信创网络安全测评。

2.1 信创网络安全测评思路

《中华人民共和国网络安全法》的颁布将网络安全等级保护制度作为网络运营者必须履行的义务以法律的形式进行了强制规定。等级保护测评涵盖了信息系统的基础设施、应用、数据等诸多方面[3,4]。作为最基础，最全面的安全防护措施，等级保护测评是提高信息系统的信息安全防护能力，降低系统被各种攻击的风险建立的第一道防护屏障。

如果说等级保护测评是信息系统最基础的第一道防护屏障，那么渗透测试就是更深层次的安全防护措施，通过模拟恶意黑客的攻击方法，对被测系统存在的漏洞进行现场或远程的渗透性测试与验证，对系统的任何弱点、技术缺陷或漏洞进行主动分析，找到系统中存在的脆弱点，并提出相应的加固建议，从而提升系统整体安全防护能力。

渗透测试是从外到内的发现问题，而源代码安全审计则是从内部发现源代码出现的安全漏洞，构建安全的代码，提高源代码的可靠性，提高应用系统自身安全防护能力。源代码安全审计是对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查，目的在于充分挖掘代码中存在的安全缺陷以及规范性缺陷，从而让开发人员了解其开发的应用系统可能会面临的威胁，指导开发人员正确修复程序缺陷。从而提高源代码的质量，从底层保障应用系统本身的安全，从早期降低应用系统的开发成本。

风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响[5]。通过风险评估项目的实施，对信息系统的重要资产、资产所面临的威胁、资产存在的脆弱性、已采取的防护措施等进行分析，对所采用的安全控制措施的有效性进行检测，综合分析、判断安全事件发生的概率以及可能造成的损失，判断信息系统面临的安全风险，提出风险管理建议，为系统安全保护措施的改进提供参考依据。

2.2 信创网络安全测评内容

2.2.1 等级保护测评

依据《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》、《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》以及信创测评要求等标准，对信创项目所涉及的所有备案系统开展等级保护测评。

等级保护测评内容包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理十个方面的安全通用要求和系统对应的安全扩展要求，技术层面以“一个中心，三重防护”为依据进行划分，管理层面以“三个要素，两项活动”为依据进行划分[2]。具体对应情况如图1所示。

图1：等级保护测评控制措施的分类结构图

图2：源代码审计流程

图3：风险值计算流程图

通过访谈、文档检查、实地察看、配置核查、工具测试等方法，针对标准的每项具体要求，从微观角度展开，深入分析信息系统与相应等级要求之间的差距，并从宏观角度对各方面单元检测的结果进行验证、分析和整体评价，确认信息系统的整体安全防护能力有无缺失，是否能够对抗相应等级的安全威胁，识别目前信息系统所采取的安全措施与所备案的信息安全保护等级标准要求之间的差距，并及时提出安全整改建议为安全整改提供依据，同时在项目整改过程中提供相应的咨询服务及支持，协助解决问题。

信创等级保护测评与传统等级测评相比，存在设备新、平台新、应用新的特点。首先，信创网络设备、安全设备现阶段使用范围较小，对信创设备的安全策略及功能还不熟悉，需要进行研究和验证；其次，信创云平台系统、大数据系统需要与项目内各个厂商的软件进行适配和兼容，安全性尤为重要，需要加强测评并进行多方面验证；最后，信创系统需要针对不同的主流浏览器进行适配开发，有些还采用了国产中间件，所以要加强渗透测试和源代码审计，及时发现可能存在的漏洞。

针对云平台系统、大数据系统等，除依据《网络安全等级保护测评要求》中的安全通用要求指标和安全扩展要求指标进行测评外，还应结合系统的自身特点开展测评。

（1）需要对云平台系统中的镜像进行测评，确保提供加固的操作系统镜像。传统模式下若服务器未进行妥善的安全加固，影响往往只是少数几台服务器，但在云计算环境，一个镜像会被大量复制，将会造成大量服务器都存在相同的安全漏洞。

（2）云平台测评要全面。部分云计算环境存在OpenStack 平台和kubernetes 平台，分别提供云计算管理和容器管理服务，也需要作为测评对象进行测评。

（3）关注云平台租户、用户权限是否合理。有些部委信创项目涉及的司局及其应用系统众多，要合理划分云租户、各系统用户权限，能体现各应用系统主管单位对相应应用的网络安全责任。

（4）在大数据系统中，要根据选取的重要业务数据和重要个人信息，对数据采集、数据传输、数据存储、数据使用、数据销毁、数据安全管理等环节的安全防护措施进行测评。

2.2.2 渗透测试

通过模拟黑客对指定的应用系统进行渗透测试，发现分析并验证其存在的安全漏洞、敏感信息泄露、SQL 注入漏洞、XSS 跨站脚本漏洞和弱口令等安全隐患，评估系统抗攻击能力，提出安全加固建议。

测试内容包括但不限于以下8 个子类：配置管理测试、业务逻辑测试、认证测试、授权测试、会话管理测试、数据验证测试、拒绝服务测试、Web 服务测试。

测试方法包括：端口扫描、漏洞扫描、拓扑发现、口令破解、本地或远程溢出等。

针对应用系统的渗透测试采取两种类型：

第一种类型：互联网渗透测试，通过互联网发起远程攻击，比其他类型的渗透测试更能说明漏洞的严重性；

第二种类型：内网渗透测试，通过接入内部网络发起内部攻击，主要针对信息系统的后台管理系统进行测试。

2.2.3 源代码安全审计

源代码审计由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。如图2所示，为源代码审计流程。

源代码审计的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷，搜索违背安全编码规则和指导原则的情况，从而让开发人员了解其开发的应用系统可能会面临的威胁，并指导开发人员正确修复程序缺陷。

源代码审计采用源代码分析工具对系统源代码的安全性进行测试，识别、定位代码存在的安全漏洞，如代码对标准的遵循、可读性，代码的逻辑表达的正确性，代码结构的合理性等方面。通过分析，可以发现各种违背程序编写标准的问题，主要包括源代码设计、错误处理不当、直接对象引用、API 滥用、资源滥用等。

虽然源代码安全审计中，工具的作用很重要，但更重要的是测试实施人员的能力，不管使用何种源代码审计工具，都必须充分了解测试原理，灵活掌握和使用工具，并能进行分析。

2.2.4 风险评估

风险评估将按照《GB/T20984-2007 信息安全技术 信息安全风险评估规范》分析项目可能面临的安全威胁、弱点、风险，并提出安全风险的整改措施，尽可能的将发现的安全风险进行有效处理。

根据对被评估系统进行调研和定性分析的结果，对系统资产进行保密性、完整性和可用性赋值。根据调研结果对系统威胁源的动机、出现频率进行分析，并对威胁进行分类和赋值。按照等级保护测评要求分析重要资产的技术脆弱性，并通过渗透测试、漏洞扫描等评估被测系统的安全性，综合三者对被评估系统的技术脆弱性进行评估并赋值。以系统技术脆弱性赋值原则为参考，综合考虑系统管理制度和管理人员安排，定性分析系统重要资产的管理脆弱性并赋值。分别对系统的资产、威胁和脆弱性三要素的属性进行关联分析，按照《GB/T20984-2007 信息安全技术 信息安全风险评估规范》标准中定义的相乘法推导出系统风险值，如图3所示。

根据推导出的风险值进行等级化处理，并进行综合统计和评价，形成项目的总体安全评估结果，依据《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》提出安全风险的整改措施。

2.3 信创网络安全测评建议

2.3.1 硬件兼容与基线配置统一

信创项目会涉及到多个不同厂商的网络设备、安全设备、服务器等基础软硬件设施，尤其是在云平台的建设过程中，异构硬件管理已经是一种常态，不同厂商的设备和不同版本的主机存在一定的兼容性问题，在异构的过程中，应进行适配，通过统一的接口进行数据交换和资源调度，适配后应记录所有设备的安全配置基线，并在设备调整或变更时保持一致，对于不同区域的同种类型设备间也必须保持相同的安全基线配置。

2.3.2 预先做好应用系统源代码的安全审计

在保证基础软硬件环境的稳定性与安全性的同时，要建立系统开发源代码的漏洞问题处理机制，本着“早发现，早纠正”的原则，在系统上线运行前，应进行源代码安全审计，尽早发现代码中存在的安全隐患，并及时整改。针对多系统的信创项目，若所有系统都开发完成时再进行源代码的审计，工作量无疑是庞大的，届时发现问题再进行整改，很有可能会“牵一发而动全身”。因此，在工程实施中，应该本着开发一个、验证一个、成熟一个、上线一个的原则，稳步实施。

2.3.3 重视问题的发现与管理

在信创项目的实施过程中，会出现许多亟待解决的问题，由于工程实施人员结构的复杂，问题处理流程可能会出现较大差异，问题的发现、定位与解决的效率，决定着工程实施进度的快慢，如何形成一个快速的问题响应机制，构建一个问题集中定位与处理的统一管控平台，至关重要。

3 结束语

信创产品自身的适配性、兼容性、安全性、稳定性对云平台、大数据、微服务、中台等新模式新技术的支撑能力缺乏成熟案例，同时，等保2.0 对信息系统的安全防护要求提出了全新要求，更增加了安全防护的技术复杂性和测评复杂性，为全面提升新创网络安全管理和技术防护能力，加快推动国产信息化技术、设备、产品、系统等方面的完善与创新，迫切需要安全测评必须贯穿项目建设始终，通过事前培训引导、事中方案评审、事后测评确保系统安全达标，可靠运行。信创产业的发展不是简单的产品替换，而是与国家信息化行业生态链信息相关；不仅带动了产业的发展升级与经济转型，更提升了综合国力，掌握信息化主动权。