信息系统等级测评中网络安全测评初探.pdfVIP

／加10．1 ■doi：10．3969，j．issn．1671-1122．2010．10．028 信息系统等级测评中 黎水林 (公安部信息安全等级保护评估中心，北京100142) 篡 篡一 息全息施护皋l 技问系中；：；；} 郇朋帽瓤皴文醚瞄摊腿舱奢|戡缎柏翩色蜘瓣黼滋 淹魁燮糌洲0 ～一一槲慨一 一一一一一一 1等级测评 等级测评是开展信息安全等级保护工作的莺要环节，它不同于一般的安全测评和风险评估，是测评机构依据信息安全等级 保护的管理规范和技术标准。检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程。 等级测评内容包括两个方面的内容：一是安拿控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的 实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。 安全控制测评分为安全技术测评和安全管理测评两大类。安令技术测评包括物理安全、网络安全、主机安全、应用安全和 数据安全五个层面上的安全控制测评；安全管理测评包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统 运维管理等五个方面的安全控制测评。 2网络安全测评 网络安全测评是指安全技术测评中网络安全层面上的安全控制测评，它是等级测评实施中的一个重要组成部分。测评机构 依据等级保护的相关标准对信息系统网络安全状况进行测评，查找信息系统存在的安全漏洞和隐患并分析其风险，从而判定信 息系统网络安全层面上是否具备相应等级安全保护能力。 2．1测评内容及方法 网络安全测评是紧紧围绕《信息系统安全等级保护基本要求》国家标准展开的，它是一种标准符合性判定，依据信息系统 安全保护等级和该级别信息系统网络安全基本保护要求，对信息系统网络安全层面上的等级保护落实情况进行测试判定。不同 安全保护等级的信息系统，其网络安全测评的强度也不相同，随着安全保护等级的增高，网络安全测评强度逐渐增强。 网络安全测评方法主要采用访谈、配置检查和丁具测试三种方法。访谈是指测评人员通过与信息系统网络管理员、安全管 理员进行交流、讨论等活动，获取证据以证明信息系统网络安全等级保护措施是否有效的一种方法；配置检查是指测评人员根据作 业指导书内容，利用上机验证的方式检查网络设备的配置是否正确、网络连接规则是否合理有效的一种方法；工具测试是指测评人 员根据工具接入测试方案，利用技术工具对网络设备进行漏洞扫描、对信息系统进行渗透测试的—种方法。 2．2测评工作流程 网络安伞测评工作流程分为四个阶段：测评准备阶段、作业指导书开发阶段、现场测评阶段、测评结果汇总分析阶段。而测 评双方之间的沟通与洽谈应贯穿整个网络安令测评过程。 1)测评准备阶段。本阶段的主要T作是准备网络安全测评所需的相关资料，为编写网络安全测评方案和开展现场测评t作奠 定基础。首先，收集信息系统已有相关资料，包括信息系统总体描述文件、安全保护等级定级报告、安全需求分析报告、安全总体 方案、安全现状评价报告、安全详细设计方案、网络拓扑图等。其次，向测评委托单位提交信息系统网络情况调查表，包括网络设 备调查表、安全设备调查表、网络出口调查表等，并根据填写好的调查表格，分析调查结果，了解和熟悉信息系统的实际情况。 2)作业指导书开发阶段。本阶段的主要工作是整理已经获取的信息系统相关资料，为开展现场测评工作提供相关的文档和指 导方案。首先，根据填写好的调查表格。识别出信息系统的网络拓扑结构和网络边界，并结合信息系统的定级情况。选择相应的测 ● 作者简介：黎水林(1981一)，男，硕士研究生，主要研究方向：信息安全。 万方数据 f 2010．10、 评对象。其次，根据信息系统信息安全保护等级和系统服务安 象。通常应该选取那些重要的、可能存在安全隐患的网络设备， 全保护等级，从《信息系