信息系统等级测评中网络安全测评初探.pdf

2010．10

■doi：103969／jissn1671-1122201010028

信息系统等级测评中

黎水林

_I瓣着瑟严裹瑟簧瓣麓萎≤篙

I--毒霉

2网络安全测评

网络安全测评是指安全技术测评中网络安全层面上的安全控制测评，它是等级测评实施中的一个重要组成部分。测评机构

依据等级保护的相关标准对信息系统网络安全状况进行测评，查找信息系统存在的安全漏洞和隐患并分析其风险，从而判定信

息系统网络安全层面上是否具备相应等级安全保护能力。

2．1测评内容及方法

网络安全测评是紧紧围绕《信息系统安全等级保护基本要求》国家标准展开的，它是一种标准符合性判定，依据信息系统

安全保护等级和该级别信息系统网络安全基本保护要求，对信息系统网络安全层面上的等级保护落实情况进行测试判定。不同

安全保护等级的信息系统，其网络安全测评的强度也不相同，随着安全保护等级的增高，网络安全测评强度逐渐增强。

网络安全测评方法主要采用访谈、配置检查和工具测试i种方法。访谈是指测评人员通过与信息系统网络管理员、安全管

理员进行交流、讨论等活动，获取证据以证明信息系统网络安全等级保护措施是否有效的一种方法；配置检查是指测评人员根据作

业指导书内容，利用上机验证的方式检查网络设备的配置是否正确、网络连接规则是否合理有效的一种方法；工具测试是指测评人

员根据工具接入测试方案，利用技术工具对网络设备进行漏洞扫描、对信息系统进行渗透测试的一种方法。

2．2测评工作流程

网络安全测评工作流程分为四个阶段：测评准备阶段、作业指导书开发阶段、现场测评阶段、测评结果汇总分析阶段。而测

评双方之间的沟通与洽谈应贯穿整个网络安全测评过程。

1)测评准备阶段。本阶段的主要工作是准备网络安全测评所需的相关资料，为编写网络安全测评方案和开展现场测评]二作奠

定基础。首先，收集信息系统已有相关资料，包括信息系统总体描述文件、安全保护等级定级报告、安全需求分析报告、安全总体

方案、安全现状评价报告、安全详细设计方案、网络拓扑图等。其次，向测评委托单位提交信息系统网络情况调查表，包括网络设

备调查表、安全设备调查表、网络出口调查表等，并根据填写好的调查表格，分析调查结果，了解和熟悉信息系统的实际情况。

2)作业指导书开发阶段。本阶段的主要工作是整理已经获取的信息系统相关资料，为开展现场测评T作提供相关的文档和指

导方案。首先，根据填写好的调查表格，识别出信息系统的网络拓扑结构和网络边界，并结合信息系统的定级情况，选择相应的测

作者简介：黎水林(1981一)，男，硕士研究生，主要研究方向：信息安全

评对象。其次，根据信息系统信息安全保护等级和系统服务安象。通常应该选取那些重要的、可能存在安全隐患的网络设备，

全保护等级，从《信息系统安全等级保护基本要求》中选择相如杨交换机、边界防火墙和网络入侵防御系统等，在保证测

应的测评指标。最后，将已选择的测评指标结合到具体的测评评强度的情况下要避免过多选择，使得作量增大。同时，根

对象上，并描述具体的测评方法，从而构成一份份可以实施测据信息系统定级结果，包括业务信息安全保护等级和系统服务

评的作业指导书。安全保护等级，得出信息系统应采取的安全保护措施组合情况，

3)现场测评阶段。主要工作是了解信息系统的真实保护情并从《信息系统安全等级保护基本要求》中选择相应的测评指标。

况，获取编制测评报告所需的、足够的证据和资料。首先，根据4)正确开发测评作业指导书。存开发测评作业指导书时，

已编制好的作业指导书，上机验证网络设备的配置是否正确，是应结合网络设备的物理和逻辑位置，正确识别网络设备承担的

否与文档和相关设备保持一致，并如实记录测评结果由测评委托具体功能，合理地将测评指标结合到具体的网络设备上。以

方陪同测评人员签字确认。其次，现场测评完成后，及时归还测级信息系统为例，在针对接人交换机开发测评作业指导书时，

评过程中借阅的所有文档资料，并由文档资料提供者签字确认。