麦卓群

摘要：由于国内外对信息系统安全性问题的高度重视与关心，各行各业的等级防护评估工作也正在快速的发展。等级保护的评估工作，要求评估人员以交流沟通和审计的方法获取和分析数据，监控整个等级保护评估工作过程的风险的方法，定性风险的延伸性、关联性和相似程度，也成了人们研究的重心所在。正是基于此原因，本文对等级保护评估工作流程中的风险管理问题开展了一定程度的研讨，为形成快速的可行的风险响应计划总结方法，以及风险分析方法提供了基础。

关键词：等级保护;测评;风险控制

引言

由于计算机技术的应用与快速发展，网络安全已然变成了危害经济社会发展的重大话题。信息安全领域涉及到我国的政治、经贸、军事、人文、教育等多个领域，而信息的保存、传递与管理主要是由政府部门进行宏观调控和决策、商业经营信息、银行资金转账、股票证券、能源资料数据、科研数据等重要信息的有力依据。信息作为一种特殊的资源，面临非法篡改、伪造、窃取以及截取等安全隐患，并导致信息的丢失、泄密，甚至造成恶意代码的传播，给国家的信息化建设带来不利影响。进入二十一世纪以来，我国信息安全问题涉及的领域不断扩大，这已经引起了我国政府的高度重视。信息安全等级保护制度是我国应对信息安全风险，及时发现信息系统漏洞的一项重要举措。实行信息安全等级保护制度有利于提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展。

一、等级保护测评过程中风险控制的测评流程

安全分级保障，是指对国家机密信息、法人或者其他组织和公民的专用信息，以及公共信息资源和储存、传送、管理上述信息资源的网络系统分等级进行安全保障，对网络系统中所采用的安全产品进行按级别管理，对网络系统中出现的重大安全事故分等级应对、处理。等级评估流程包括四项基础评估活动【安全技术信息系统级别保护评估流程指南】：评估准备活动、方法制定活动、现场检查活动、数据分析和报表撰写活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。测评准备活动本活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。本活动的主要任务是掌握被测系统的详细情况，准备测试工具，为编制测评方案做好准备。本活动的主要任务是通过现场测量结果，采用项目测量结论判断、单体测量结论判断、总体评估和危险性分析等方式，查明整个体系的安全防护现状和相关等级的防护要求间的差异，并分析这种差异造成被测系统面临的危险性，从而给出等级测评结论，形成测评报告文本。

二、传统测评方法的弊端

按照国家标准GB/T 2239 2008《信息安全技术信息系统安全等级保护基本要求》，信息安全等级保护测评要遵从被测系统的安全保护等级所涵盖的控制点，“基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出。”我们应该从各个层面测评系统的每个组件是否满足安全要求，除了保证系统的每个组件满足要求外，还要考虑信息系统的整体安全保护能力。虽然近几年来人工審计技术、扫描工具都有了很大的进步，但是信息安全测评项目的延时、范围不够准确现象十分普遍，尤其是当今网络系统规模不断扩大，各类操作系统的复杂性不断提高，设备种类的不断变化，使得整体网络防护体系变得越来越复杂。项目测评过程中的不确定性，也就是项目中的风险不断的影响项目的开展进度和结果。风险测评的不完全会给国家和人民带来巨大的损失，在传统测评方法的当中，由于工具设备的不够完善，风险测评人员专业素养不足等原因，往往会使得有很多的安全隐患没有被检测出来，小小的漏洞会造成巨大的损失，数以万计的财产以及国家机密会被泄露出去，从而造成难以估计的巨大损失。但是随着科技的发展与社会的进步，越来越多的先进工具开始被广泛应用到风险测评当中，还有很多人才在学校与社会的培养之下积极投身于风险测评工作，他们与老一代的人相比，具有更加专业的基础知识，更加专业的素养以及更为坚韧的品格。除此之外，还有很多新型的风险测评的方法逐渐引入，帮助人们更好地解决问题。例如，在测评项目中，引进风险分析的方法和思路，能够规范发生风险的类型、降低风险发生的概率，让风险的影响降到最小，在风险发生后能够及时对其进行处理，将损失降低到最低，从而保证测评项目的顺利实施。

三、风险控制

针对测评的风险，应在日常工作中和测评过程的准备阶段、方案编制阶段、现场测评阶段予以控制。主要分为以下三类：

1、敏感信息泄露防范

敏感信息泄露防范要从人员管理和设备管理两方面入手。人员管理一方面采用安全管理的方式加强信息安全教育，提高信息安全意识，避免主观泄露被测单位信息的可能;另一方面采用保密合同，确保测评人员泄露被测单位信息后，可追究责任，必要时可采取法律手段。所以，各测评单位应建立相关制度，定期进行人员教育，并对人员录用、离岗等相关过程做出规定，防范主观上泄露被测单位的敏感信息。设备管理要注意测评存储介质保管、工作计算机的恶意代码防范。对存储被测单位信息的介质，要妥善保管，制定相应制度和审批程序，防止存储介质的混用和丢失。工作计算机要做好恶意代码的防范工作，对存有敏感信息的工作计算机要做到专机专用，并防止其接入互联网，造成被测单位信息泄露。总之，要防范敏感信息泄露要制定严格的管理制度和相应流程，规范测评设备的使用，制约测评人员行为，减少敏感信息泄露的可能性。

2、系统功能验证风险防范

在等级保护测评过程中，主要有访谈、检查和测试三种测评方式。在设备配置查看过程中，误操作容易引起被测系统的异常，而测试过程中，例如输入数据检查验证，则有可能进行验证而对信息系统造成破坏。要规避系统功能验证风险必须在准备阶段充分了解被测信息系统的情况，除了必要的信息收集外，还应查看相关开发文件和配置说明等。应避免有风险的功能验证，如查看信息系统的源代码或说明文件检查被测信息系统是否达到等保要求的功能。为防范误操作引起的风险，应在测评准备阶段制定相应的应急预案。应急预案应通过被测单位的审查，检验其有效性。在测评前，重要信息系统应进行备份。

3、工具测试风险范

由于工具测试对网络带宽和设备性能会造成一定影响，渗透性测试还可能破坏系统的可用性，因此在测评准备阶段要充分了解扫描系统的扫描策略，并对被测单位的设备性能、网络带宽等进行调研。在制定扫描计划时，应避免网络高峰和设备繁忙时段，并针对被测信息系统制定安全的扫描策略。

结束语：风险总是存在的，只有在对信息系统整体全面分析之后，权衡系统所处的特定环境后，测评方法中存在的风险才能降至最低，才能确保每一个项目测评分析都能成功地完成。本文通过阐述测评方法中所涉及的层面，将测评过程中所涉及的技术层面风险和风险分析相结合，明确了项目方法中互补分析的必要性、有效性和可操作性。

参考文献：

[1]宋超臣，王希忠. 等级保护测评过程中的风险控制[J]. 网络安全技术与应用，2014（4）：183，188.

[2]王智，王大萌，刘兆东. 等级保护测评中的风险质量定性分析研究[C]. //第二届全国信息安全等级保护技术大会论文集. 2013：274-275.

[3]陈旭壮. 浅谈渗透测试在网络安全等级保护测评中的应用[J]. 中国新通信，2020，22（5）：103-104.

[4]才华. 基于安全威胁与脆弱性的风险分析方法在工业控制系统测评中的实践[C]. //第三届全国信息安全等级保护技术大会论文集. 2014：652-658.

[5]曾宪波. Z公共资源交易中心网站安全等级保护测评项目管理研究[D]. 广东：广东工业大学，2018. DOI：10.7666/d.D01524987.

[6]姚明辉. 基于模糊综合法的信息系统安全等级保护测评方法研究[J]. 电信技术，2019（11）：34-37.