◆张玉朋 兰丹妮 郝伟博

信息安全测评工具及安全测评工具评估平台的相关研究

◆张玉朋 兰丹妮 郝伟博

（中国网络安全审查技术与认证中心 北京 100020）

在大数据与互联网技术的支撑下，各种网络技术不断发展。大众在享受信息化带来的众多好处时，也面临着日益突出的信息安全和信息保密问题。公司内部商业秘密保全、网络银行存取款安全保障、电子商务交易等均需要完整的信息系统来保障其安全运行。为保障信息系统的安全运行，准确地对信息系统安全性进行测评，解决手动测评的局限性，信息安全测评工具应运而生。但由于信息技术的敏感性和特殊性，大众对信息安全测评工具存在一定的怀疑，因此安全可靠的信息安全测评工具的构建至关重要。

信息安全；测评；平台

1 信息安全测评工具与测评工具评估平台概述

为了准确地对信息系统进行测评，解决手动测评的局限性，信息安全测评工具应运而生。它既可以高质量、自动化处理检查过程，又可以节省时间及人力成本，并使检测报告的数据形态可被进一步挖掘分析。因此，信息安全测评工具受到信息系统运营者和测评从业者的青睐。但是在当下信息安全市场中，各类信息安全测评工具层出不穷，令大众对信息安全测评工具的选择产生严重分歧。为确保消费者的安全不受侵害，助力信息安全测评工具品控提升，如何提升网络安全，怎样提高信息安全测评工具的可信度，信息安全测评工具的评估平台如何搭建，都是现如今所面临的重要问题。

2 提升信息安全测评工具的可信度应关注以下五个方面

（1）信息安全测评工具的保密性

信息安全测评工具的保密性也是应关注的重要一环，在这个庞大的网络时代，信息的保密性是至关重要的。只有信息安全测评工具把保密性放在重要位置，保证信息为授权者享用而不泄露给未经授权者，这是信息安全测评工具的职责，也是我们评价信息安全测评工具可信度的标准，信息安全测评工具的使用必须保证授权者的信息不被透漏，不被别人使用。这是信息安全测评工具能够运转的基础，也是评价信息安全测评工具可信度的重要标准之一，所以信息安全测评工具的使用过程中，一定要着重测评此环节。

（2）信息安全测评工具的可用性

信息经过使用者的授权，当授权人需要使用时需要及时便捷的使用自己所授权的信息，而在信息安全测评工具的使用中信息的可用性也是重要的一步。在使用者把自己的信息授权给信息安全测评工具时，信用信息安全测评工具要保证信息和信息系统随时为授权者提供服务，保证合法用户对信息的使用不受到不合理的拒绝。保证使用者所授权的信息具有可使用性，所以测评人在使用测评工具的时候也要关注是否有这样的问题，要保证信息安全测评工具的使用过程中能够被合法用户正常使用。

（3）信息安全测评工具的结论不可否认性

在信息安全测评过程中，不可否认性是非常重要的，要求通信双方在信息交互过程中，参与者本身以及参与者所提供信息的真实一致性，即所有参与者都不可能否认或抵赖本人真实身份。在信息安全测评工具从录入信息的过程中，是否确认信息的真实性和授权者身份的真实性。这是我们评价信息安全测评工具可信度的一个关注点。我们在测评过程中要检测信息安全测评工具中信息的真实可靠性，授权者的身份不可否认性。

（4）信息安全测评工具保障数据的可恢复性

在信息网络时代，各种天灾人祸来临时，信息是否能重新恢复也是评价信息安全测评工具的一个重要指标。如手机电脑丢失，账号泄露等问题，一直困扰着我们，信息的可恢复性是信息安全测评工具所必须拥有的一个功能，因为信息安全测评工具不是一次性产品，是长时间使用的。可恢复性是测评过程的一个重要节点，在遇到突发事件时，是否可以快速便捷的恢复信息，是测评工作的重要一环。人们所存储的信息都是至关重要的，如金钱、身份信息等。这些信息因为测评工具导致丢失是信息拥有者的重大损失，也是信息安全平台的失误，所以能否恢复就成为关键。

（5）信息安全测评工具的售后系统

在现如今信息安全测评工具越来越多的阶段，授权者的使用感受也非常重要，在使用的过程中总会有许许多多的问题出现，使用操作问题，后期服务问题，总是人们所关注的，所有的产品都是，只有做得全面便捷，才能在市场中站稳，也是保护使用者的合法权益，授权者通过授权给信息安全测评工具，是为了可以高质量、自动化处理检查过程，所以信息安全测评工具的售后系统也是工具可信度关注的重要一环。

3 信息安全测评工具评估平台搭建的具体措施

（1）明确信息安全测评工具评估平台评估流程

当下对于信息系统的安全保护程度明确且有严格的规定，在《信息技术安全技术信息技术安全评估准则》（GB/T18336-2015）中明确表述，对信息安全测评工具进行评估时需要遵守严格的评估顺序。在信息安全测评工具的评估与考核中首先需要对TCP卸载引擎（TOE）中的保护轮廓（PP）是否符合安全性能等相关标准，之后对TCP卸载引擎是否符合信息安全目标（ST），最后可以进入信息安全测评工具的功能测试与保证评估的测试。在信息安全测评工具标准的大框架中还需要遵从小型框架，在对保护轮廓的相关测评时需要对其主要概念、创建的信息安全环境、达成防御的要求等方面，在信息系统安全目标的检测中需要包括TCP卸载引擎的基本状况等进行深入探索。因此在搭建信息安全测评工具评估平台时需要明确不同信息安全测评工具的评估流程与标准。

（2）构建多重安全性能的工具评估程序

在对传统信息安全测评工具的评估中，对于安全性能与防御性能的检测限于单一程序自动化检测或单一人工检测，这便会导致对信息安全测评工具的检测不够充分。因此为加强对信息安全测评工具评估的有效性与科学性，需要在平台构建多重安全性能评估程序，将自动程序安全性能评估、功能评估人员人工评估、抵抗渗透性能评估、信息安全平台的保密性评估四种评估相结合，确保每一次对信息安全测评工具的评估均属于有效、公平、科学的范畴。

（3）引入自动化评估系统，满足组建依赖评估关系

信息安全测评工具的评估平台既需要解决公平合理科学的检测又需要注重对信息安全测评工具检测的速度。在《信息技术安全评估准则》中强调从安全性能与安全保证两个层面对信息安全产品进行评估，需要在评估时形成由元素、组件、类的层级检测程序，同时在信息产品评估数据反馈时要与平台客户建立相互以来的关系，需要引入自动化评估系统与完善的评估反馈交流机制。

4 总结

在对信息安全测评工具的评价的过程中，为进行科学且权威的评估工作可以通过搭建可恢复性信息管理后台、明确平台评估流程、构建多重安全性能评估程序、引入自动化评估系统，满足组建依赖评估关系等措施来对信息安全测评工具的可恢复性、保密性、可用性、不可否认性等进行评价，在公平公正科学合理的评估程序下对每一种信息安全测评工具进行综合评估，为大众提供可靠的评估结果。

[1]陈广勇，祝国邦，范春玲.《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）标准解读[J].信息网络安全，2019（7）.

[2]齐云菲，李政，杨倩文，等. 工业互联网安全与等级保护测评研究[J]. 信息系统工程，2019（6）：60-63.

[3]吴晖，孙彦，王惠莅.基于邻域粗糙集的工控系统安全测评方法研究[J]. 信息技术与标准化，2019，（6）：31-34.

[4]李文兢，谢翠萍.大型信息系统网络安全测评的关键技术分析[J].信息通信，2016（2）：140-141.