沙小睿

（蘇州供電公司，江蘇 蘇州 215004）

保證信息安全不發(fā)生外泄現(xiàn)象，是至關(guān)重要的。可是，現(xiàn)在我國信息安全保障和其它先進國家相比，仍難望其項背，還有不少問題迫切需要我們著手解決：

中國保證信息安全工作經(jīng)歷了三個時期。第一時期是不用聯(lián)網(wǎng)，只作用于單一電腦的查殺和防控病毒軟件；第二個時期是獨立的防止病毒產(chǎn)品向為保證信息安全采用的成套裝備過渡時期；第三個時期是建設(shè)保證信息安全的系統(tǒng)時期。

1 需要解決與注意的問題

信息安全保障的內(nèi)容和深度不斷得到擴展和加深，但依然存在著“頭痛醫(yī)頭，腳痛醫(yī)腳”的片面性，沒有從系統(tǒng)工程的角度來考慮和對待信息安全保障問題;信息安全保障問題的解決既不能只依靠純粹的技術(shù)，也不能靠簡單的安全產(chǎn)品的堆砌，它要依賴于復(fù)雜的系統(tǒng)工程、信息安全工程（system security engineering）;信息安全就是人們把利用工程的理論、定義、辦法和技術(shù)進行信息安全的開發(fā)實施與維護的經(jīng)過，是把通過歲月檢驗證明沒有錯誤的工程實施步驟管理技術(shù)和當(dāng)前能夠得到的最好的技術(shù)方法相結(jié)合的過程;由于國家8個重點信息系統(tǒng)和3個重點基礎(chǔ)網(wǎng)絡(luò)本身均為復(fù)雜的大型信息系統(tǒng)，因此必須采用系統(tǒng)化方法對其信息安全保障的效果和長效性進行評估。

2 安全檢測標(biāo)準(zhǔn)

2.1 CC標(biāo)準(zhǔn)

1993年6月，美國、加拿大及歐洲四國協(xié)商共同起草了《信息技術(shù)安全評估公共標(biāo)準(zhǔn)CCITSE(commoncriteria of information technical securityevaluation)》，簡稱CC，它是國際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的結(jié)果。CC標(biāo)準(zhǔn)，一方面可以支持產(chǎn)品(最終已在系統(tǒng)中安裝的產(chǎn)品)中安全特征的技術(shù)性要求評估，另一方面描述了用戶對安全性的技術(shù)需求。然而，CC沒有包括對物理安全、行政管理措施、密碼機制等方面的評估，且未能體現(xiàn)動態(tài)的安全要求。因此，CC標(biāo)準(zhǔn)主要還是一套技術(shù)性標(biāo)準(zhǔn)。

2.2 BS 7799標(biāo)準(zhǔn)

BS 7799標(biāo)準(zhǔn)是由英國標(biāo)準(zhǔn)協(xié)會(BSI)制定的信息安全管理標(biāo)準(zhǔn)，是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，包括：BS 7799-1∶1999《信息安全管理實施細則》是組織建立并實施信息安全管理體系的一個指導(dǎo)性的準(zhǔn)則；BS7799-2∶2002 以 BS 7799-1∶1999 為指南，詳細說明按照PDCA模型，建立、實施及文件化信息安全管理體系(ISMS)的要求。

2.3 SSE-CMM標(biāo)準(zhǔn)

SSE-CMM(System Security Engineering Capability Maturity Model)模型是CMM在系統(tǒng)安全工程這個具體領(lǐng)域應(yīng)用而產(chǎn)生的一個分支，是美國國家安全局(NSA)領(lǐng)導(dǎo)開發(fā)的，它專門用于系統(tǒng)安全工程的能力成熟度模型。

3 網(wǎng)絡(luò)安全框架考察的項目

對網(wǎng)絡(luò)安全進行考察的項目包括：限制訪問以及網(wǎng)絡(luò)審核記錄：對網(wǎng)絡(luò)涉及的區(qū)域進行有效訪問控制；對網(wǎng)絡(luò)實施入侵檢測和漏洞評估；進行網(wǎng)絡(luò)日志審計并統(tǒng)一日志時間基準(zhǔn)線；網(wǎng)絡(luò)框架：設(shè)計適宜的拓?fù)浣Y(jié)構(gòu)；合乎系統(tǒng)需求的區(qū)域分界；對無線網(wǎng)接入方式進行選擇方式；對周邊網(wǎng)絡(luò)接入進行安全控制和冗余設(shè)計；對網(wǎng)絡(luò)流量進行監(jiān)控和管理；對網(wǎng)絡(luò)設(shè)備和鏈路進行冗余設(shè)計；網(wǎng)絡(luò)安全管理：采用安全的網(wǎng)絡(luò)管理協(xié)議；建立網(wǎng)絡(luò)安全事件響應(yīng)體系；對網(wǎng)絡(luò)設(shè)備進行安全管理。網(wǎng)絡(luò)設(shè)備是否進行了安全配置，并且驗證設(shè)備沒有已知的漏洞等。對網(wǎng)絡(luò)設(shè)置密碼：在網(wǎng)絡(luò)運輸過程中可以根據(jù)其特點對數(shù)字設(shè)置密碼；在認(rèn)證設(shè)備時對比較敏感的信息進行加密。

4 安全信息檢測辦法

4.1 調(diào)整材料和訪問

調(diào)整材料和訪問是對安全信息檢測的手段。評估人員首先通過對信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D、安全運作記錄、相關(guān)的管理制度、規(guī)范、技術(shù)文檔、歷史事件、日志等的研究和剖析，從更高的層次上發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的安全脆弱性。并找準(zhǔn)信息資產(chǎn)體現(xiàn)為一個業(yè)務(wù)流時所流經(jīng)的網(wǎng)絡(luò)節(jié)點，查看關(guān)鍵網(wǎng)絡(luò)節(jié)點的設(shè)備安全策略是否得當(dāng)，利用技術(shù)手段驗證安全策略是否有效。評估專家經(jīng)驗在安全顧問咨詢服務(wù)中處于不可替代的關(guān)鍵地位。通過對客戶訪談、技術(shù)資料進行分析，分析設(shè)備的安全性能，而且注意把自己的實際體會納入網(wǎng)絡(luò)安全的檢測中。

4.2 工具發(fā)現(xiàn)

工具發(fā)現(xiàn)是利用掃描器掃描設(shè)備上的缺陷，發(fā)現(xiàn)危險的地方和錯誤的配置。利用檢測掃描數(shù)據(jù)庫、應(yīng)用程序和主機，利用已有的安全漏洞知識庫，模擬黑客的攻擊方法，檢測網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等各主機設(shè)備所存在的安全隱患和漏洞。漏洞掃描主要依靠帶有安全漏洞知識庫的網(wǎng)絡(luò)安全掃描工具對信息資產(chǎn)進行基于網(wǎng)絡(luò)層面安全掃描，其特點是能對被評估目標(biāo)進行覆蓋面廣泛的安全漏洞查找，并且評估環(huán)境與被評估對象在線運行的環(huán)境完全一致，從而把主機、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備中存在的不利于安全的因素恰切地展現(xiàn)出來。

4.3 滲透評估

滲透評估是為了讓使用的人員能夠知道網(wǎng)絡(luò)當(dāng)前存在的危險以及會產(chǎn)生的后果，從而進行預(yù)防。滲透評估的關(guān)鍵是經(jīng)過辨別業(yè)務(wù)產(chǎn)業(yè)，搭配一定手段進行探測，判斷可能存在的攻擊路徑，并且利用技術(shù)手段技術(shù)實現(xiàn)。由于滲透測試偏重于黑盒測試，因此可能對被測試目標(biāo)造成不可預(yù)知的風(fēng)險；此外對于性能比較敏感的測試目標(biāo)，如一些實時性要求比較高的系統(tǒng)，由于滲透測試的某些手段可能引起網(wǎng)絡(luò)流量的增加，因此可能會引起被測試目標(biāo)的服務(wù)質(zhì)量降低。由于中國電信運營商的網(wǎng)絡(luò)規(guī)范龐大，因此在滲透測試的難度也較大。因此，滲透層次上既包括了網(wǎng)絡(luò)層的滲透測試，也包括了系統(tǒng)層的滲透測試及應(yīng)用層的滲透測試。合法滲透測試的一般流程為兩大步驟，即預(yù)攻擊探測階段、驗證攻擊階段、滲透實施階段。不涉及安裝后門、遠程控制等活動。

我國信息安全要想得到保證，需要有一定的信息安全監(jiān)測辦法。依靠信息安全監(jiān)測辦法對中國業(yè)務(wù)系統(tǒng)和信息系統(tǒng)整體分析和多方面衡量，將對中國信息安全結(jié)論的量化提供強有力的幫助，給我國所做出的重要決策實行保密，對中國籌劃安全信息建設(shè)以及投入，甚至包括制定安全信息決策、探究與拓寬安全技術(shù)，都至關(guān)重要。因而，制定我國信息安全檢測辦法，是一項不容忽視的重要工作。

[1]曹一家,姚歡,黃小慶,等.基于D-S證據(jù)理論的變電站通信系統(tǒng)信息安全評估[J].電力自動化設(shè)備,2011,31(6):1-5.

[2]焦波,李輝,黃赪東,等.基于變權(quán)證據(jù)合成的信息安全評估[J].計算機工程,2012,38(21):126-128,132.

[3]張海霞,連一峰.基于測試床模擬的通用安全評估框架[J].信息網(wǎng)絡(luò)安全,2013,(z1):13-16.

[4]張恒雙.信息安全評估算法研究[J].計算機與現(xiàn)代化,2011(4):42-44.

[5]楊浩.協(xié)同OA系統(tǒng)信息安全評估及建模研究[J].辦公自動化（綜合版）,2011,(1):39-40.