网络安全测评机构能力建设研究

2020-06-23张昊贺江敏

网络空间安全 2020年3期

张昊　贺江敏

摘要：文章通过分析网络安全测评过程中可能存在的风险和问题，从质量管理体系、人员管理、测评技术等方面，对安全测评能力建设进行分析和探讨，为测评机构规范化管理提供借鉴。

关键词：网络安全;安全测评;等级保护;能力建设

中图分类号： TP309.2 文献标识码：B

Abstract： This paper analyzes the possible risks and problems in the process of Cyberspace security evaluation. From the aspects of quality management system， person management and evaluation technology to analyzes and discusses the construction of safety evaluation capability. Provide a reference for evaluation organization.

Key words： cyberspace security; security evaluation; classified protection; capacity building

1 引言

进入21世纪，全球迎来了新一轮信息技术革命，以互联网为核心的信息通信技术及其应用和服务正在发生质变。人类社会的信息化、网络化达到前所未有的程度，信息网络成为了整个国家和社会的“中枢神经”。然而，网络化趋势却带来了两对矛盾：一是攻击技术永远领先于防御技术;二是信息技术和应用越复杂、功能越全面，其脆弱性、漏洞和安全隐患就越大。从技术发展趋势看，这两对矛盾会越来越突出，网络与信息安全形势不容乐观。

随着我国经济社会各领域加速信息化，重点单位对信息技术和网络的依赖程度越来越高，办公自动化、网络化存储传输已经成为重要手段。做好网络安全测评工作，对于健全国家网络安全保障体系的重要性日益凸显。

网络安全测评是通过对信息网络及其相关设施设备的安全风险进行检测评估，及时发现安全隐患，提出防护措施，对确保信息网络安全运行具有重要关口作用。安全测评是作为开展安全建设和整改的依据，是网络安全保障工作的关键步骤之一，加强测评工作质量保障、测评人员安全的管理，积极稳妥的开展网络安全测评体系建设，不断提高测评的能力和水平，充分发挥测评机构的网络安全技术支撑作用，持续开展测评机构能力建设研究和规范化管理，为网络安全的保障工作提供一支可靠专业技术支撑力量，具有现实意义。

2 测评工作可能面临的风险和存在问题

2.1 测评工作面临的风险

网络安全测评、网络安全检查实施过程中，被测系统可能面临三方面的风险。

（1）验证测试影响系统正常运行。在现场测评时，需要根据测试用例和测试方案，对设备和系统进行安全配置核查等验证测试工作，部分测试内容需要上机查看一些信息，这就可能对系统的运行造成一定的影响，甚至存在误操作的可能。

（2）工具测试影响系统正常运行。在现场测评时，会使用一些技术测试工具进行漏洞测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响，漏洞测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。

（3）敏感信息泄漏。可能会泄漏被测系统状态信息，如网络拓扑、IP地址、业务流程、安全机制、安全隐患和安全设计方案、软件开发设计等有关文档信息。

2.2 当前安全测评工作存在的主要问题

当前网络安全测评存在的主要问题表现为：

（1）新技术、新模式的安全测评、检查技术能力还有待提高，如云计算、大数据、区块链、物联网等的安全测评手段和方法还需要进一步研究，安全风险综合评估能力和漏洞隐患挖掘分析手段还不强，尚未形成对信息化条件下安全保障工作的核心技术支撑能力;

（2）安全测评法规标准体系还不够健全，网络安全资源库没有建立，安全测评仿真验证环境基础设施还较为薄弱;

（3）安全测评管理不规范，没有完整详细的安全测评方案或作业指导书，检查结果的记录和汇总非常繁琐，检查结果的存档和调阅困难。

3 测评技术能力的主要内容

3.1 质量管理

按照中国合格评定国家认可委员会（CNAS）要求，当前开展信息系统安全风险评估、等级保护测评、网络安全检查等业务，需要按照《CNAS-CI01检查机构认可准则》（ISO/IEC 17020）的有关要求，建立质量管理体系并通过CNAS组织的相应认可。

作为网络安全等级保护测评机构，还要依据《网络安全等级保护测评机构能力要求和评估规范》加强质量管理，并通過公安部信息安全等级保护评估中心组织的能力评估，建立包括制度文档、配套表单、记录，系统调查表、测评方案、测评指导书、现场记录、测评报告等一套完整的管理文档。

3.2 人员管理

测评人员安全管理是测评机构自身安全保障的重要组成部分，人员安全管理包括可信人员策略、可信人员评估、测评人员技术能力管理等。

（1）可信人员策略。安全测评机构应制定可信人员策略，该策略包括的内容为：

1）可信人员的定义与标准，可信人员应该是没有伪造学历、没有伪造工作经历、无犯罪记录、工作中无严重的不诚实行为的人员;

2）可信人员的评估要求，需提交的证明材料及第三方验证;

3）可信人员的复查，对于确定为可信的人员在经过一定的时期后应对其可信状态再次确认。可信人员策略应该确定复查的时间、程序和要求。

（2）可信人员背景调查与评估。依据可信人员策略，安全测评机构需制定可信人员评估方法，评估方法应该包括对人员背景的调查和确认，调查内容应包括教育、工作经历的真实性、个人诚信情况等，调查要有第三方人员确认。

（3）人员异动管理。人员异动情况是指安全测评机构工作人员离职、岗位变动、或因其他的不可估计的原因而不能正常到岗，或能到岗但因其他原因（如被确认为不可信雇员）不能履行职责的情况。安全测评机构应制定一套人员异动情况时的处理方案。该方案应包括的内容：

1）处理人员异动情况的有关部门和负责人员;

2）人员异动情况的处理流程;

3）人员异动处理的安全要求和措施。

（4）测评人员技术能力管理。对测评人员职称、学历、培训教育、持证上岗等技术能力进行综合管理。

3.3 保密管理

作为可信第三方的安全测评机构需要获得被测评信息系统的各种信息，应制定严格的客户信息保密政策和制度。

安全测评机构须根据安全策略制定具体的信息保密制度，以保护测评机构和客户的保密信息和知识产权。信息保密制度应包括的内容：

（1）信息的分類，明确信息的不同保密级别;

（2）对信息保密分类的标识要求;

（3）对保密信息的安全管理、防护措施;

（4）保密信息安全浏览、修改的控制，流程和记录要求;

（5）对违反保密信息要求的行为的处理。

按照GB/T 22080《信息技术安全技术信息安全管理体系要求》、GB/T 22081《信息技术安全技术信息安全管理实用规则》等标准，建立安全保密管理组织机构、制定安全保密管理制度、实施人员安全保密管理培训与教育，落实安全防护和保障技术手段，控制信息安全方针、组织的信息安全、资产分类与控制、人事安全、设备与环境安全、通信和运作管理、访问控制、系统开发与维护、业务连续性管理、符合性要求等安全目标，开展网络安全管理体系建设，是做好自身网络安全保密管理重要工作。

3.4 安全测评技术管理

（1）网络安全等级保护测评、网络安全风险评估、网络安全检查等保障工作中的主要测试技术。

1）物理安全测试：建筑防雷测试（含接地电阻测试）、机房火灾消防验收测试、综合布线系统验收测试、机房安全防范系统测试、办公环境的安全测试。

2）网络安全测试：网络性能监控和测试、网络与信息安全产品选型测试、加密传输协议分析测试、安全区域边界测试。

3）应用安全测试：应用系统软件验收测试、应用系统软件安全符合性测试、软件性能压力测试。

4）系统安全功能测试：根据安全要求，分别对系统的网络层、操作系统层、数据库层、公共应用平台层、应用系统层进行标识鉴别、审计、通信、用户数据保护、安全管理、安全功能保护、资源利用、评估对象访问、可信路径/信道、脆弱性管理和恶意代码防范等安全功能方面的检测。

5）安全配置核查测试：对信息系统涉及到的所有网络设备、操作系统、数据库系统和应用软件的安全性配置进行测试和检查。

6）系统脆弱性测试：分别通过系统层和应用的脆弱性扫描检测和渗透测试，发现信息系统的网络、操作系统、数据库、应用系统存在的脆弱性和安全隐患。

（2）商用密码和电子签名检查测试。商用密码技术作为网络安全的基础性核心技术，是信息保护和网络信任体系建设的重要基础，是实行网络安全保障不可或缺的关键技术。

电子认证以《电子签名法》为依据，建立以身份认证、授权管理、责任认定为主要内容的网络信任体系，是网络和信息安全保障体系的重要组成部分。

商用密码测评以《中华人民共和国密码法》为依据，在《信息安全等级保护商用密码管理办法》《信息安全等级保护商用密码技术实施要求》《商用密码应用安全性评估》等文件中明确使用商用密码技术和产品，按照GM/T 0054-2018 信息系统密码应用基本要求，开展商用密码应用安全性评估。

国家标准GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》规定了对不同安全保护等级信息系统的基本安全要求，对于涉及到身份的真实性、行为的抗抵赖性、内容的机密性和完整性的要求项，都需要密码技术作为支持手段。