网络安全等级保护测评中的网络及通信安全测评

2020-07-27兰长亮

商品与质量 2020年21期

兰长亮

长春市博鸿科技服务有限责任公司吉林长春 130000

1 课题研究背景

随着网络技术与人类生产、生活的深度结合，网络空间已成为世界各国自身发展的重要战略资源之一，各大国已逐渐将网络和网络空间当作谋求自身发展战略优势的重要博弈战场。作为未来国家战略能力发展的重要组成部分，美、英、日等国已相继完成本国网络空间安全战略的制定，确保未来能够优先发展自身的网络空间能力。进入21世纪以来，我国综合国力稳步增强，信息技术与社会生产的结合也越来越紧密，“互联网+”战略的提出和实施保证了信息技术与传统行业、新兴行业的深度结合，同时也将逐渐加深我国社会生产、生活对网络的依赖程度。在此背景下，一旦国家关键信息基础设施遭到不法份子攻击，极易造成国家各种信息甚至敏感信息的丢失，导致社会秩序产生混乱、危及大众利益，甚至破坏国家安定和社会和谐[1]。

《中华人民共和国网络安全法》的正式实施，标志着国家网络安全等级保护制度进入2.0时代，而《网络安全等级保护基本要求》（GB/T22239-2019）和《网络安全等级保护测评要求》（GB/T28448-2019）等国家标准于2019年12月1日正式实施。网络安全等级保护工作涉及定级备案、建设整改、等级测评和监督检查等环节，其中等级测评是一个重要环节，等级测评是依据网络安全等级保护的国家标准或行业标准，采用定性或定量的方法判断等级保护对象所实现的安全控制措施的有效性，综合评判等级保护对象是否具备国家要求的安全保护能力。网络安全等级保护2.0时代，国家网络安全等级保护标准结构和内容的变化，尤其和等级测评环节有关的变化，带来了等级测评产生结论的变化，而如何通过定量计算方法合理准确地反映等级保护对象的安全保护状况和具有的安全保护能力，一直是安全等级测评探索的方向。

2 等级保护基本要求结构

基本要求结构特点：

GB/T22239-2019采用了新的结构和分类。安全要求分为安全通用要求和安全扩展要求，无论是安全通用要求还是安全扩展要求，之下都细分安全技术要求和安全管理要求。其中，技术要求包括“安全物理环境气“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”；管理要求包括“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。

每个大类下进一步细分为控制点，每个控制点之下是具体的要求项。例如，“安全物理环境”大类下细分为“物理位置的选择”、“物理访问控制”、“防盗窃和防破坏”、“瞒击”、“防火”、“防水和躺”、“防静电温湿度控制”、“电力供应”和“电磁防护”控制点。

GB/T22239-2019安全通用要求部分10大分类下的控制点和要求项统计如表1和表2所示。

不同级别的等级保护对象，安全大分类均相同,但是每一大类下有不同数量的控制点，每一控制点下有不同数量的要求项。

级等级保护对象的测评指标细分如表3所示。

等级测评过程中需要将测评指标映射到测评对象上，由于测评指标采用的是分类形式，不同类别的测评指标将会对应不同的测评对象。例如，“安全物理环境”类测评指标映射的测评对象是“机房”；“安全通信网络”、“安全区域边界”类测评指标映射的测评对象是“整体网络”；“安全计算环境”类测评指标映射的测评核是“网络设备”、“安全设备服务器设备气“终端设备”、“业务应用系统”和“数据对象”等；“安全管理中心”类测评指标映射的测评对象是“整体管控”；“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”类测评指标删的测评对象是“管理体系”[2]。

表1 安全通用要求安全控制点数量统计

表2 安全通用要求安全要求项数量统计

3 等级测评结论产生方法

3.1 等级测评的基本原理

《网络安全等级保护测评过程指南》（GB/T28449-2018）明确开展等级测评的工作流程，等级测评分为测评准备、方案编制、现场测评及报告编制4个活动阶段，其中在报告编制阶段，涉及等级测评结论的产生。GB/T28449-2018描述了等级测评结论的产生需要经过单项测评、单元测评、整体测评、安全问题风险分析和等级测评结论形成等过程，其中不乏定量计算的相关要求，GB/T28449-2018并没有给出具体的定量计算方法。在测评结论的产生过程中，测评指标和测评对象是影响最终测评结论的重要因素。测评指标是等级测评中使用的具体检查项，GB/T28448-2019标准规定了不同级别的测评指标（要求项），测评对象是等级测评中具体的被检查对象，而不同技术特点和规模大小的等级保护对象的测评对象有所差异。依据新的网络安全等级保护标准，在等级测评时需要针对等级保护对象的安全保护等级和技术应用特点形成针对性的测评指标，包括安全通用要求和安全扩展要求指标。由于大量的等级保护对象会基于安全通用要求指标进行测评，本文主要探讨安全通用要求指标下的定量计算方法。

表3 第二级等级保护对象安全通用要求测评指标

3.2 测评结论的产生方法

根据GB/T28449-2018，等级测评结论的产生包括单项测评结论和最终等级测评结论的产生，二者之间存在强烈的依赖关系。单项测评结论和等级测评结论产生规则如下。

（1）单项测评结论。针对每个测评指标，如果该测评指标所对抗的威胁不存在，则该测评指标为不适用项；否则获取该测评指标的测评证据。如果测评证据表明与预期测评结果一致，则判定该测评指标单项测评结果为符合。如果测评证据表明与预期测评结果不一致，判定该测评指标的单项测评结果为不符合；否则判定该测评指标的单项测评结果为部分符合。

（2）等级测评结论。根据单项测评结果和风险评估结果，计算等级保护对象综合得分，并得出等级测评结论。等级测评结论分为3种情况为符合、基本符合和不符合。如果综合得分为100分，则为符合；如果综合得分不低于阈值且没有高等级安全风险问题，则为基本符合；如果存在高等级安全风险问题或者综合得分低于阈值，则为不符合。

3.3 结论产生的定量计算原理

网根据等级保护对象的级别确定测评指标，同时根据级别选择合适种类和数量的测评对象，将测评指标映射到具体的测评对象上，是等级测评产生正确结论的前提。根据GB/T28449-2018和GB/T28448-2019，不同级别的等级保护对象测评指标不同，抽查的测评对象的种类和数量也不同，而具体的定量计算方法根据不同的应用场景也有所不同。等级保护对象的最终测评结论取决于测评指标、测评对象和计算方式。假设V是等级保护对象的最终综合得分，则：

其中，x是测评指标，y是测评对象，z是计算方法。x={一级测评指标集合|二级测评指标集合|三级测评指标集合|四级测评指标集合|……}，y={测评对象集合1|测评对象集合2|测评对象集合3|测评对象集合4|……}，z={计算方法1|计算方2|计算方法3|计算方法4|……}x随等级保护对象的级别变化，不同级别有不同数量的测评指标。例如，安全保护等级为第二级（S2A2）的对象，对应的安全通用要求测评指标为135个；安全保护等级为第三级（S3A3）的对象，对应的安全通用要求测评指标为212个。y随抽查的具体测评对象数量变化。例如，安全保护等级为第二级的对象，需要抽查的测评对象包括物理机房、网络整体、网络设备、安全设备、服务器设备和终端设备等共15个；安全保护等级为第三级的对象，需要抽查的测评对象包括物理机房、网络整体、网络设备、安全设备、服务器设备、终端设备、安全管理平台和安全管理体系等30个。z随使用的计算方法变化，根据场景和需要可以采用不同的计算方法，如算术平均法、加权平均法、修正加权平均法、特定计算方法等。

4 等级测评定量计算方法

4.1 测评指标和测评对象的关系

测评指标是GB/T22239-2019中提出的要求项。基本要求中安全通用要求部分在结构上分为类、控制点和要求项。其中，类表示大分类，控制点表示每个大类下的关键控制要素，要求项表示每个控制要素下的具体控制要求。例如，安全物理环境大类中的“物理访问控制”是一个控制点，而“机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员”是此控制点下的具体要求项。要求项构成了等级测评中的测评指标。

测评对象是GB/T22239-2019中提出的要求项的实现对象。等级保护对象可以由网络设备、安全设备、服务器设备、终端设备、系统软件、应用软件、各类数据、管理体系、组织架构、各类人员等组件组成，各类安全机制或措施需要在这些组件上落实。这些组成部件构成了等级测评中的测评对象。测评指标和测评对象之间存在较为复杂的映射关系。某些测评指标映射的测评对象可能只有一个，而某些测评指标映射的测评对象可能为多个。例如，“网络架构”中的测评指标“c)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址”，对应的测评对象是整体网络结构；“身份鉴别”中的测评指标“a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换”，对应的测评对象可能是多台设备。某个测评指标可能需要检查多个测评对象，而某个测评对象可能需要被检查多个测评指标。

4.2 不同角度的测评结论计算考虑

每个测评指标需要在构成系统的测评对象上落地并实现，判断等级保护对象是否符合标准要求，即等级测评的结论产生可以从两个角度分析。其一是判断每个测评指标是否在特定的测评对象上实现，即验证测评指标在每个测评对象上是否符合；其二是每个测评对象是否都实现了需要的安全要求项，即验证测评对象针对每个测评指标是否符合。两种分析方法，计算和汇总最终得分的思路如下所示。基于测评指标的汇总：最后得分（测评指标汇总）V=∑测评指标得分{∑测评对象得分}。基于测评对象的汇总：最后得分（测评对象汇总）V=∑测评对象得分{∑测评指标得分}。需要了解每个测评指标的得分情况时，可以使用基于测评指标的汇总方式，先计算每个测评指标在所有测评对象上的实现情况，得到每个测评指标的得分，然后汇总计算所有测评指标得分，获得最终得分；需要了解每个测评对象的得分情况时，可以使用基于测评对象的汇总方式，计算每个测评对象对所有测评指标的落实情况，然后汇总计算所有测评对象的得分，获得最终得分[3]。

4.3 基于测评对象的计算方法

测评对象的结果为：

等级测评的最终结果为：

组合公式为：

4.4 定量计算方法使用案例

（1）案例一。假设等级测评某个二级系统，测评指标共有10个，测评对象共有5个，测评指标权重相同，测评对象权重也相同，测评数据如表4所示。

Oi(aj)表示测评对象oi在测评指标aj上的得分赋值，利用公式（4）计算结果为：

（2）案例二。假设等级测评某个二级系统，测评指标共有10个，测评对象共有5个，测评对象权重分别为p1,p2,p3,p4,p5，测评指标的权重分别为w1,w2,…,w10，测评数据如表5所示。

Oi(aj)表示测评对象oi在测评指标aj上的得分赋值：

测评指标和测评对象的权重赋值为：

利用公式（5）计算结果为：

通过以上案例分析可知：①当测评指标不分权重，测评对象也不分权重时，基于测评对象的定量计算和基于测评指标的定量计算，计算结果完全相同。②当测评指标和测评对象均有权重时，基于测评对象的定量计算和基于测评指标的定量计算，计算结果会有差异。

5 网络和通信安全测评

5.1 网络安全等级保护测评

网络安全等级保测评工作，是测评机构按照国家标准和规范化流程对与网络安全相关的各环节进行测评和分析，从而发现网络中信息系统以及数据资源是否存在功能缺陷或配置不安全等方面的问题。等保测评工作与一般的安全测评和风险评估不同，除进行“风险评估”外，还包括了“标准符合性评判工作”。等保测评2.0工作具体包括两方面：①单项测评，针对相关标准每一项安全要求进行可重复及可再现性测评；②整体测评，在单项测评基础上进行安全控制点、安全控制点间以及层面间进行整体安全保护能力测评。其中单项测评工作又包括两方面：①技术测评，从技术角度对“物理和环境安全”“网络和通信安全”“设备和计算安全”及“应用和数据安全”等四方面进行测评；②管理测评，从管理角度对“安全策略和管理制度”“安全管理机构和人员”“安全建设管理”及“安全运维管理”等四方面进行测评。网络安全等级保护测评框架如图1所示。

表4 案例一测评数据

表5 案例二测评数据

5.2 网络和通信安全测评

（1）控制点的变化。网络和通信安全测评属等保测评技术层面的安全检测，是等保测评实际工作中的重要环节。根据新修版《要求》中的标准，网络和通信安全测评在安全通用要求部分对控制点订，进一步加强了对网络整体安全保护的要求，确定了新的控制点。

相比于旧版标准，新修版《要求》在网络和通信安全层面的主要变化有：①对旧版“入侵防范”“访问控制”以及“恶意代码和垃圾邮件防范”3个控制点的要求进行了重新修订；②新增了“通信传输”“边界防护”和“集中管控”3个控制点，并将旧版标准中的“边界完整性检查”与新版标准的“边界防护”控制点进行了融合；③提出了更高的设备冗余要求，并将旧版中的“结构安全”控制点改名为“网络架构”；④采用新版标准“设备和计算安全”控制点要求，对旧版标准中的“网络设备防护”控制点要求进行替换[4]。

（2）重要控制点测评。

①通信传输。在“通信传输”控制点方面新版《要求》提出了两点标准：a.确保通信过程中的各类数据信息完整性，引入校验技术和密码技术；b.确保通信过程中的各类数据信息保密性，引入密码技术。本研究认为：a.对一般网络设备如路由器、交换机等而言，具有传输层网络连接加密功能的SSH协议比TELNET协议等明文传输方式进行远程管理的安全性更高；b.对防火墙等安全设备而言，加入了SSL协议的HTTPS协议比HTTP协议等明文传输方式进行远程管理的安全性更高。实际的网络和通信安全测评工作中，可按照通信传输控制点测评。

②边界防护。为保证网络的边界安全，避免网络中出现非法接入或外联现象，同时实现对无线网络的接入控制，在“边界防护”控制点方面新修版《要求》提出了四点标准：①跨越边界的访问和数据流在进行通信时，要确保通过了边界设备提供的受控接口；②要能够限制或检查某些非授权设备私自连接内部网络；③要能够限制或检查某些内部用户采用非授权的方式连接外部网络；④对无线网络进行一定限制，确保在接入内部网络时通过了受控的边界设备。

研究认为，通信网络中可引入类似无线嗅探器等设备对网络中的无线热点进行检测，可及时甄别出网络中的无线热点是否非法，从而防止未授权设备利用该类热点进入内部网络。实际测评工作中可按照如下步骤对边界防护控制点进行测评。

对于非法接入行为：

第一，核实通信网络是否采用了网络准入控制技术；第二，通过网络管理员验证网络准入控制技术有效性；第三，核实是否将未使用端口断开或关闭；第四，核实通信网络中的设备是否进行了IP/MAC地址绑定。

对于非法外联行为：

核实系统是否部署了非授权用户外联网络控制技术；第二，核实系统是否禁止双网卡、Modem等端口使用。无线网络测评步骤如图2所示。

③访问控制。为实现对系统网络访问的细粒度控制，保证内部网络不受攻击，在“访问控制”控制点方面新版《要求》提出了五点标准：a.设置访问控制规则，网络边界或区域之间的受控接口无法进行任何通信；b.优化访问控制列表，筛除系统中的无效或多余访问控制规则至数量最低；c.系统各环节进行检查，按照允许／拒绝形式的数据包进出；d.有明确的允许／拒绝访问能力，能够根据系统会话信息对数据流进行控制，控制粒度为端口级；e.能够根据应用协议和内容对数据流进行控制，控制粒度为端口级。实际测评工作中可按照如下步骤对“访问控制”控制点进行测评。

对于网闸、防火墙、路由器以及三层路由交换机等访问控制设备：第一，核实网络中是否配置访问控制设备；第二，核实系统中是否配置了适合自身业务需求的访问控制规则；第三，核实系统中是否确保访问控制规则最优化；第四，核实访问控制设备中的最后一条安全策略是否为“拒绝所有网络通信”。此外，随着互联网技术的飞速发展，海量应用公用几个端口或协议的情况已越来越普遍，原有的IP地址／端口号的传统防火墙已无法针对不同的应用采取相应的访问控制策略，必须引入应用协议和内容更加先进的防火墙。为应对该类问题，满足新版标准中的相关要求，今后的“访问控制”控制点实际测评中，应采取相应措施对企业网络系统中是否在关键节点处部署了新式防火墙以及防火墙中是否部署了相应的访问控制策略进行核实。

④入侵防范。为防止系统受到攻击，并主动分析网络中出现的新型攻击行为，在“入侵防范”控制点方面新版《要求》提出了3点标准：a.部署关键网络节点检测设备，防止出现从外部或内部发起的网络攻击；b.部署网络攻击行为分析设备，及时掌握新型网络攻击行为规律；c.当网络受到攻击时，应及时对攻击源IP、攻击类型、攻击目的、攻击时间进行记录，并提供自行报警功能。实际测评工作可对“入侵防范”控制点进行测评。此外，在实际测评工作中，应首先核实网络中部署的组件是否正常工作，其次要核实部署的相关组件规则库是否为最新[5]。

⑤恶意代码和垃圾邮件防范。为保证内部网络安全，阻止恶意代码及垃圾邮件进入，在“恶意代码和垃圾邮件防范”控制点方面新版《要求》提出了两点标准：a.在关键网络节点处部署恶意代码防护机制，及时检测并清除恶意代码；b.在关键节点处部署垃圾邮件防护机制，及时检测并清除垃圾邮件。实际测评工作中可按照如下步骤对“恶意代码和垃圾邮件防范”控制点进行测评。

对于恶意代码：第一，核实系统是否于关键节点处部署了恶意代码防护机制；第二，核实恶意代码防护机制是否正常运行；第三，核实恶意代码防护机制特征库数据是否最新；第四，网络和通信层面的恶意代码防范是否与设备和计算层面的恶意代码防范协同工作；第五，若系统要求较高的实时性，则应采取其他方式进行恶意代码防护。对于垃圾邮件：第一，确认邮件系统为单位自建或购买第三方服务；第二，若单位邮件系统为自建系统，则核实系统是否于关键节点处部署了垃圾邮件防护机制；第三，核实系统中垃圾邮件防护机制是否正常运行；第四，核实系统中垃圾邮件防护机制特征库数据是否最新。若单位邮件系统为购买的第三方服务，则应协调服务提供方配合进行安全测评工作，其他内容不变。

6 结语

研究主要对最新版等保测评标准中的网络和通信安全测评进行了研究。通过对通信传输、边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范等控制点的变化情况及具体测评方法进行分析，总结出了最适合测评工作人员使用的测评流程，为等保2.0时代的网络安全等级保护测评工作提供了借鉴。但是，由于新版评测标准刚公布不久，文章尚未对“物理和环境”“设备和计算安全”及“应用和数据安全”等方面进行分析，也还未从管理角度对测评工作进行研究。等保2.0时代，《信息安全技术网络安全等级保护基本要求》具有更强的时效性、易用性，也具有更强的可操作性，对其进行深入分析将会大大提高等保测评工作的工作质量和工作效率[6]。