基于等级保护的网络测评实施.pdfVIP

信息安全等级保护专栏 团 基于等级保护的网络测评实施 公安部信息安全等级保护评估中心陈广勇张洁昕 北京圣博润高新技术股份有限公司郭冠男 信息安全等级保护制度是国家信息安全保障工作的基本 其连接的其他网络安全区域以及边界设备等等。在外联链路调 制度、基本策略和基本方法，是促进信息化健康发展，维护 查中，重点核实和确认所属网络Ⅸ域、连接对象名称、链路接 国家安全、社会秩序和公共利益的根本保障。信息安全等级 入设备和承载主要业务应用等等。在网络设备和安全设备调查 保护测评是等级保护工作的重要环节，信息系统备案单位通 中，重点核实和确认所属网络区域、设备型号、IP地址／掩码 过开展等级测评，可以查找自身系统安全隐患和薄弱环节， ／网关、主要用途、是否双机主备部署以及重要程度等等。 明确系统与相应等级标准要求的差距和不足，有针对性地进 网络测评准备 行安全建设整改。 网络系统属于信息系统基础设施范围，基础设施的安全 在网络调查、核实、汇总和分析之后。进行网络测评先 与否对信息系统至关重要。网络层面的测评工作鼍大，容易 期准备T作．其中最主要的工作是现场测评指导书的开发， 发现信息系统重大隐患，对等级测评活动非常重要。这里以 而开发现场测评指导书需要做的准备工作是要对《基本要求》 三级系统(S3A3G3)测评为例，对网络调研、测评准备和现场中第三级系统的控制点进行分析归类和测评对象选定。 测评等需要特别关注的几个重要方面进行阐述。 等级测评工作过程主要依据《信息安全技术信息系统安 全等级保护基本要求》(GB／T22239—2008)和《信息安全技术 网络调查核实 信息系统安全等级保护测评要求》(报批稿)来进行。在《基 信息系统调查是等级测评工作过程中最重要的活动。所 有其他等级测评活动都以信息系统调查结果为基础开展工作。 个要求项，包括结构安全、安全审计、边界完整性检查、入 信息系统调查就是在现场详细调研目标系统，包括网络、主机、 侵防范、恶意代码防范、访问控制与网络设备防护。通过对7 应用、数据、管理和安全防护措施等各个方面。网络调查活 个控制点33个要求项进行分析对比之后，结构安全、边界完 动主要是对网络结构、外联链路、安全区域划分、网络设备 整性、入侵方案和恶意代码防范属于网络层面全局问题，跟 类型和部署、安全设备类型和部署以及服务器部署等方面进 单个测评对象f设备)测评无关。可以将这4个控制点归为网 行收集、整理、确认和分析。 络层面的整体问题，作为一个单独的网络测评现场测评指导 首先应确认目标系统的网络拓扑图。明确网络边界。网 书进行开发。网络设备防护、访问控制、安全审计以及备份 络测评小组与网络运维人员进行面对面的交流。以对方提供 恢复部分要求项与设备本身的安全属性有关，可以将这4个 网络拓扑图为依据，对目标系统网络结构的每个细节部分进 控制点归为网络层面的设备安全要求项。针对每个测评对象 行核实和确认。先就网络结构情况进行充分交流，确定目标 从这4个控制点进行现场测评指导书的开发。 系统的网络安全区域划分情况，明确边界划分和边界网络(安 在被测信息系统的网络绝大部分是异构网络，存在不同 全)设备，并与对方统一安全区域的名称．如互联网接入区、 厂商、不同层次、不同型号、不同用途、不同硬件体系架构 DMZ区、核心通信区、内部服务器区、办公网接入区和外联及不同软件体系架构等网络设备和安全设备，在制定现场测 单位接入区等等。然后对每个安全区域进行逐一核实和确认， 评方案和开发现场测评指导书之前，要先确定目标系统的测 包括网络链路情况、网络互联技术、网络设备类型和部署、 评对象，即在网络层面要对那螳网络设备和安全设备进行安 安全设备类型和部署以及安全区域边界设备等等。最后形成