基于等級(jí)保護(hù)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估技術(shù)研究

孫海申

【摘? 要】互聯(lián)網(wǎng)信息技術(shù)系統(tǒng)是當(dāng)代社會(huì)建設(shè)事業(yè)推進(jìn)過程中需要依賴和運(yùn)用的關(guān)鍵性技術(shù)系統(tǒng)之一，擇取和運(yùn)用適當(dāng)方法做好網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作，能夠使互聯(lián)網(wǎng)信息技術(shù)系統(tǒng)在具體運(yùn)行的過程中順利發(fā)揮最佳功能。本文將基于等級(jí)保護(hù)的思想，對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估技術(shù)進(jìn)行簡(jiǎn)要的闡釋分析。

【關(guān)鍵詞】等級(jí)保護(hù)思想;網(wǎng)絡(luò)安全;風(fēng)險(xiǎn)評(píng)估技術(shù);研究分析

引言

當(dāng)前發(fā)展背景之下，應(yīng)用頻率較高且具備充分可靠性的網(wǎng)絡(luò)安全測(cè)評(píng)技術(shù)方法，涉及等級(jí)保護(hù)測(cè)評(píng)技術(shù)方法，以及安全風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)技術(shù)方法兩個(gè)類型，其中等級(jí)保護(hù)測(cè)評(píng)技術(shù)方法在運(yùn)用過程中能全面準(zhǔn)確判斷揭示被測(cè)評(píng)對(duì)象所具備的安全符合性，安全風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)技術(shù)方法在運(yùn)用過程中能有效呈現(xiàn)被測(cè)評(píng)對(duì)象在特定時(shí)間節(jié)點(diǎn)之下所客觀存在的安全風(fēng)險(xiǎn)問題類型。盡管基于不同的切入角度針對(duì)被測(cè)評(píng)對(duì)象實(shí)際所處的安全狀態(tài)展開了評(píng)價(jià)分析，但是在具體的技術(shù)操作環(huán)節(jié)實(shí)施過程中，等級(jí)保護(hù)測(cè)評(píng)技術(shù)方法，以及安全風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)技術(shù)方法也存在著基于過程層面，以及方法層面的相互貫通關(guān)系，客觀上支持技術(shù)人員針對(duì)等級(jí)保護(hù)測(cè)評(píng)技術(shù)方法，以及安全風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)技術(shù)方法進(jìn)行結(jié)合運(yùn)用。以中國(guó)電信集團(tuán)有限公司北京研究院趙陽(yáng)領(lǐng)銜的研究團(tuán)隊(duì)曾經(jīng)實(shí)施過指向大規(guī)模網(wǎng)絡(luò)動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估技術(shù)應(yīng)用方法的研究分析工作，提出并且倡導(dǎo)推進(jìn)了運(yùn)用風(fēng)險(xiǎn)評(píng)估工作成果開展安全等級(jí)動(dòng)態(tài)調(diào)整技術(shù)活動(dòng)的實(shí)踐思路，該團(tuán)隊(duì)所實(shí)施的工作，本質(zhì)上是針對(duì)測(cè)評(píng)工作技術(shù)成果的運(yùn)用，而不是針對(duì)測(cè)評(píng)技術(shù)方法的相互結(jié)合。

1.網(wǎng)絡(luò)安全測(cè)評(píng)技術(shù)活動(dòng)具體開展過程中需要面對(duì)的兩個(gè)難點(diǎn)

（1）等級(jí)保護(hù)制度是現(xiàn)階段我國(guó)在開展網(wǎng)絡(luò)安全管理工作過程中需要運(yùn)用的重要制度，應(yīng)當(dāng)找尋和運(yùn)用適當(dāng)策略，做好等級(jí)保護(hù)制度與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作之間的相互結(jié)合，繼而在準(zhǔn)確判斷被評(píng)估對(duì)象是否符合相關(guān)安全性控制規(guī)定前提下，全面判斷揭示被評(píng)估對(duì)象正在面對(duì)的安全風(fēng)險(xiǎn)隱患問題。

（2）國(guó)家標(biāo)準(zhǔn)文件GB/T20984針對(duì)資產(chǎn)要素、威脅要素，以及脆弱性要素所提出的識(shí)別范圍，以及賦值操作方法，已經(jīng)無(wú)法充分支持和滿足網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作具體開展過程中的基本需求，迫切需要擇取和運(yùn)用適當(dāng)策略展開改良調(diào)整。

2.等級(jí)保護(hù)的合規(guī)性評(píng)判分析

所謂等級(jí)保護(hù)測(cè)評(píng)技術(shù)活動(dòng)，本質(zhì)上是針對(duì)網(wǎng)絡(luò)技術(shù)系統(tǒng)運(yùn)行過程中具體確定的安全技術(shù)等級(jí)實(shí)施基于合規(guī)性層面的評(píng)判干預(yù)過程，網(wǎng)絡(luò)技術(shù)系統(tǒng)運(yùn)行過程中實(shí)際具備的安全等級(jí)，應(yīng)當(dāng)遵照網(wǎng)絡(luò)技術(shù)系統(tǒng)實(shí)際具備的業(yè)務(wù)信息安全等級(jí)，以及網(wǎng)絡(luò)技術(shù)系統(tǒng)服務(wù)安全等級(jí)具體加以確定。網(wǎng)絡(luò)技術(shù)系統(tǒng)的業(yè)務(wù)信息安全等級(jí)，與網(wǎng)絡(luò)技術(shù)系統(tǒng)內(nèi)部實(shí)際承載的信息資產(chǎn)要素，以及具體運(yùn)作支持的業(yè)務(wù)項(xiàng)目具備密切相關(guān)性，而在資產(chǎn)要素實(shí)際具備的保密性狀態(tài)、完整性狀態(tài)，以及可用性狀態(tài)遭受破壞條件下，通常會(huì)顯著提升網(wǎng)絡(luò)技術(shù)系統(tǒng)具體運(yùn)行過程中的業(yè)務(wù)信息安全風(fēng)險(xiǎn)等級(jí);網(wǎng)絡(luò)技術(shù)系統(tǒng)服務(wù)安全的意義，在于支持和確保具體的定級(jí)對(duì)象能夠及時(shí)且全面地對(duì)外提供服務(wù)支持，其關(guān)鍵性程度，主要依賴網(wǎng)絡(luò)技術(shù)系統(tǒng)運(yùn)行過程中的服務(wù)覆蓋范圍，以及各類基本業(yè)務(wù)活動(dòng)對(duì)網(wǎng)絡(luò)技術(shù)系統(tǒng)的依賴程度。

在現(xiàn)有技術(shù)發(fā)展背景之下，網(wǎng)絡(luò)技術(shù)系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)活動(dòng)的開展過程涉及如下步驟：

（1）針對(duì)網(wǎng)絡(luò)技術(shù)系統(tǒng)所具備的基本情況展開調(diào)查，全面分析認(rèn)識(shí)網(wǎng)絡(luò)技術(shù)系統(tǒng)在定級(jí)要求方面、資產(chǎn)構(gòu)成方面、網(wǎng)絡(luò)拓?fù)浞矫?、主要業(yè)務(wù)方面，以及既往安全威脅方面的基本信息。

（2）遵照網(wǎng)絡(luò)技術(shù)系統(tǒng)實(shí)際具備的基本狀態(tài)，具體分析確定測(cè)評(píng)對(duì)象、測(cè)評(píng)內(nèi)容，以及測(cè)評(píng)指標(biāo)。

（3）遵照具體選擇確定的測(cè)評(píng)對(duì)象和測(cè)評(píng)指標(biāo)，遵循等級(jí)保護(hù)指導(dǎo)思想的基本要求，以及測(cè)評(píng)技術(shù)要求等基本指導(dǎo)標(biāo)準(zhǔn)，針對(duì)實(shí)際選擇確定的測(cè)評(píng)對(duì)象，以及測(cè)評(píng)指標(biāo)逐項(xiàng)開展現(xiàn)場(chǎng)測(cè)評(píng)技術(shù)干預(yù)環(huán)節(jié)。

（4）遵照實(shí)際獲取的測(cè)評(píng)技術(shù)結(jié)果，針對(duì)網(wǎng)絡(luò)技術(shù)系統(tǒng)依次開展單元測(cè)評(píng)技術(shù)環(huán)節(jié)、整體測(cè)評(píng)技術(shù)環(huán)節(jié)，以及總體安全狀況分析技術(shù)環(huán)節(jié)。在具體推進(jìn)總體安全狀況分析技術(shù)環(huán)節(jié)期間，要在全面充分認(rèn)識(shí)目前已經(jīng)具備的安全保障技術(shù)措施前提下，對(duì)具體技術(shù)測(cè)試環(huán)節(jié)開展過程中遭遇的安全問題展開風(fēng)險(xiǎn)評(píng)估。

3.網(wǎng)絡(luò)技術(shù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施方法

遵照國(guó)家標(biāo)準(zhǔn)文件GB/T20984中闡釋的定義和相關(guān)信息，所謂網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估，就是要遵照指向信息安全領(lǐng)域的相關(guān)技術(shù)和管理標(biāo)準(zhǔn)，針對(duì)網(wǎng)絡(luò)信息技術(shù)系統(tǒng)，以及經(jīng)由網(wǎng)絡(luò)信息技術(shù)系統(tǒng)完成處理環(huán)節(jié)、傳輸環(huán)節(jié)和存儲(chǔ)環(huán)節(jié)的信息要素所具備的保密性狀態(tài)、完整性狀態(tài)，以及可用性狀態(tài)等安全屬性狀態(tài)展開評(píng)價(jià)揭示;要具體評(píng)估分析資產(chǎn)要素所面對(duì)的基本威脅和脆弱點(diǎn)，以及在脆弱點(diǎn)被利用條件下引致發(fā)生各類安全風(fēng)險(xiǎn)隱患事件的可能性，并且參照結(jié)合安全風(fēng)險(xiǎn)隱患事件發(fā)生過程中具體涉及的資產(chǎn)要素類型，具體確定安全風(fēng)險(xiǎn)問題發(fā)生條件下的嚴(yán)重程度。

在現(xiàn)有技術(shù)發(fā)展背景之下，網(wǎng)絡(luò)技術(shù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估活動(dòng)的開展過程涉及如下步驟：

（1）準(zhǔn)確分析梳理被測(cè)評(píng)對(duì)象所占有和控制的資產(chǎn)要素，及其目前所處的價(jià)值水平。

（2）找尋確定資產(chǎn)要素實(shí)際具備的基本漏洞和基本弱點(diǎn)。

（3）辨識(shí)并且判斷被測(cè)評(píng)對(duì)象可能遭遇的安全威脅問題。

（4）遵照理論分析模型具體評(píng)判確定被測(cè)評(píng)對(duì)象所存在的安全風(fēng)險(xiǎn)問題。

4.等級(jí)保護(hù)測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的關(guān)聯(lián)性分析

（1）等級(jí)保護(hù)測(cè)評(píng)技術(shù)活動(dòng)可以被視作風(fēng)險(xiǎn)評(píng)估技術(shù)活動(dòng)開展過程中的前提和基礎(chǔ)，借由開展等級(jí)保護(hù)測(cè)評(píng)技術(shù)活動(dòng)，有助于明確揭示網(wǎng)絡(luò)技術(shù)系統(tǒng)內(nèi)部資產(chǎn)要素的重要性，以及脆弱源。

（2）風(fēng)險(xiǎn)評(píng)估技術(shù)環(huán)節(jié)中獲取結(jié)果所具備的準(zhǔn)確性和客觀性表現(xiàn)狀態(tài)，與等級(jí)保護(hù)測(cè)評(píng)技術(shù)活動(dòng)過程中所選取的資產(chǎn)要素具備密切相關(guān)性，實(shí)際擇取的資產(chǎn)要素覆蓋范圍越寬廣，種類構(gòu)成越齊全，則實(shí)際獲取的評(píng)估工作結(jié)果就越有價(jià)值。

（3）在具體組織開展等級(jí)保護(hù)測(cè)評(píng)技術(shù)活動(dòng)，以及風(fēng)險(xiǎn)評(píng)估技術(shù)活動(dòng)過程中，均可以全面綜合選擇運(yùn)用漏洞掃描技術(shù)方法、滲透測(cè)試技術(shù)方法，以及配置核查技術(shù)方法等多樣化測(cè)評(píng)技術(shù)方法，繼而發(fā)現(xiàn)和揭示網(wǎng)絡(luò)技術(shù)系統(tǒng)資產(chǎn)在多個(gè)不同層面所出現(xiàn)的安全隱患問題與漏洞問題。

（4）在具體組織開展等級(jí)保護(hù)測(cè)評(píng)技術(shù)活動(dòng)，以及風(fēng)險(xiǎn)評(píng)估技術(shù)活動(dòng)過程中，實(shí)際選擇的檢測(cè)技術(shù)對(duì)象，應(yīng)當(dāng)廣泛性地覆蓋和包含物理技術(shù)環(huán)境層面、網(wǎng)絡(luò)層面、服務(wù)器設(shè)備層面、終端設(shè)備層面、應(yīng)用系統(tǒng)層面、數(shù)據(jù)信息層面、管理制度層面，以及參與人員層面。

（5）從具體實(shí)施的檢測(cè)技術(shù)活動(dòng)流程角度展開分析，等級(jí)保護(hù)測(cè)評(píng)技術(shù)活動(dòng)，以及風(fēng)險(xiǎn)評(píng)估技術(shù)活動(dòng)均可以被劃分處理成四個(gè)階段：準(zhǔn)備技術(shù)階段、方案編制技術(shù)階段、現(xiàn)場(chǎng)實(shí)施技術(shù)階段，以及報(bào)告編制技術(shù)階段。

5.結(jié)束語(yǔ)

綜合梳理現(xiàn)有研究成果可以知道，針對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)開展的評(píng)估技術(shù)活動(dòng)，是網(wǎng)絡(luò)安全保護(hù)與管理工作開展過程中需要涉及的重要步驟之一，在引入等級(jí)保護(hù)思想背景下開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估技術(shù)活動(dòng)，能夠支持和保障網(wǎng)絡(luò)技術(shù)系統(tǒng)在具體運(yùn)行過程中維持充分的安全性和穩(wěn)定性，發(fā)揮最優(yōu)化的技術(shù)效能。

參考文獻(xiàn)

[1]趙鵬，白國(guó)柱.基于生成對(duì)抗網(wǎng)絡(luò)人臉生成技術(shù)信息安全風(fēng)險(xiǎn)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（01）：55-58.

[2]郭江，張志華，付志遠(yuǎn)，雷亮，李小龍，葉雨龍.水庫(kù)大壩安全監(jiān)測(cè)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估及防護(hù)技術(shù)解決方案[J].水電站機(jī)電技術(shù)，2019，42（07）：41-43.

[3]何靜，楊翼.物聯(lián)網(wǎng)環(huán)境下的乳制品供應(yīng)鏈質(zhì)量安全風(fēng)險(xiǎn)管理研究[J].中國(guó)乳品工業(yè)，2019，47（02）：43-47.

[4]徐慧瓊.有關(guān)大數(shù)據(jù)時(shí)代背景下網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（07）：72+89.