■上海 朱圣才

《信息安全等級保護管理辦法》第十八條明確指出，受理備案的公安機關應當對信息系統(tǒng)的運營和使用單位的信息安全等級保護工作情況進行檢查?！豆矙C關信息安全等級保護檢查工作規(guī)范（試行）》提出，對轄區(qū)內獨自運行的信息系統(tǒng)，由受理備案的公安機關獨自進行檢查。2017年6月1日，網絡安全法正式實施，為網絡安全等級保護制度提供了法律依據(jù)，實現(xiàn)了網絡空間安全的法治化。2019年5月13日，網絡安全等級保護制度2.0標準正式發(fā)布，并于2019年12月1日起正式實施。

網絡安全等級保護自查工具背景

網絡安全等級保護工作是長期的、合規(guī)性操作，是各行業(yè)、各單位必須落實的一項基本要求，并始終貫穿于信息化日常安全維護工作之中。根據(jù)“誰主管誰負責，誰運行誰負責，誰使用誰負責”的原則，網絡安全等級保護責任單位必須落實網絡安全等級保護自查，配合公安機關監(jiān)督與檢查。如何更好地落地網絡安全自查工作，是各企事業(yè)單位存在的一個難題。

1.應對網絡安全執(zhí)法檢查存在的問題

網絡安全等級保護安全檢查工作是等級測評、用戶自查、安全檢查三位一體安全保障長效機制的重要一環(huán)；是公安機關對備案信息系統(tǒng)進行信息安全監(jiān)督管理的重要途徑；是建立在等級測評和用戶自查的基礎上，對已發(fā)現(xiàn)安全問題進行跟蹤、督促、整改和落實的有效手段。

目前，公安機關網絡安全等級保護執(zhí)法檢查工作的開展主要是依據(jù)各公安部門網絡信息安全中心的現(xiàn)場檢查人員進行現(xiàn)場檢查，同時，公安機關會邀請網絡安全專業(yè)技術單位協(xié)同參與執(zhí)法檢查，為執(zhí)法檢查提供技術支撐。

由于網絡安全執(zhí)法檢查對專業(yè)性要求較高，如何在網絡安全執(zhí)法檢查之前對網絡安全檢查進行自查，減少網絡安全執(zhí)法檢查工作對各單位工作人員的壓力，更好地應對和維護網絡空間安全，基于上述思考，成為網絡安全等級保護自查工具的設計起因。

2.網絡安全等級保護自查工具目標

網絡安全等級保護自查工具在管理和技術都是以國家標準為指導，報告內容豐富而簡練，以發(fā)現(xiàn)問題，督促整改為目的，符合“有限時間，快速發(fā)現(xiàn)”的工作特點。具體如下：

（1）能夠提供覆蓋網絡、主機、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)等層面的專業(yè)技術檢測。

（2）能夠通過自動化的檢測技術，全面、快速的發(fā)現(xiàn)信息系統(tǒng)存在的各類安全漏洞，適應“有限時間、快速發(fā)現(xiàn)”的使用需求。

（3）能夠根據(jù)漏洞風險程度進行分類匯總，形成安全自查報告。

（4）形成合理規(guī)范化的書面報告，在用戶體驗上保障得到使用者的青睞。

網絡安全等級保護自查功能

網絡安全等級保護自查工具包含快速檢查功能模塊、完整檢查功能模塊，以及具體的掃描引擎功能（主機掃描引擎、數(shù)據(jù)庫掃描引擎和應用掃描引擎）。

1.快速檢查

快速檢查功能是在綜合了主機掃描技術、數(shù)據(jù)庫掃描技術和應用系統(tǒng)掃描技術的基礎上，對緊急漏洞、高風險漏洞和常見漏洞進行快速掃描的過程。

該功能是對傳統(tǒng)等級保護檢查工作的完善和提煉。在快速安全檢查的整個過程中，用戶無需對掃描對象的類型進行區(qū)分，只需用戶輸入掃描對象的IP或者URL，快速檢查功能會自動匹配掃描對象的類型。

例如，當輸入URL 時，快速檢查功能會自動給該掃描對象匹配為應用系統(tǒng)類型，檢查工具會使用應用掃描引擎進行技術檢查；當輸入IP地址時，快速安全檢查會通過探測功能，分別去匹配數(shù)據(jù)庫的類型，同時會匹配主機掃描引擎，從而確定快速檢查使用什么類型的數(shù)據(jù)庫引擎和主機引擎。

網絡安全等級保護工具的這種自動完成類型匹配的功能，從技術上提供了檢查工作的全面性，從管理上方便了工作人員，操作非常簡單，結果精確而簡短。

快速檢查功能的特點包括：

（1）精確而穩(wěn)健的自動類型匹配功能。

（2）智能、快速的重點漏洞掃描。

（3）靈活、簡單的漏洞掃描方式。

（4）直觀、豐富的安全評估結果。

（5）穩(wěn)定的性能和主要風險的把握。

2.完整檢查

完整檢查功能是指網絡安全等級保護自查工具提供的全策略掃描方式。該功能是對主機掃描技術、數(shù)據(jù)庫掃描技術和應用系統(tǒng)掃描技術三種方式進行全策略的綜合性安全自查過程，該掃描方式在掃描對象類型上沒有任何限制，用戶可以根據(jù)自己的要求設置自己的任何掃描對象。

特別是在數(shù)據(jù)庫掃描策略設置方面，此時用戶可以進行詳細的參數(shù)設置，以保證掃描結果的完整性和全面性。

3.掃描引擎

無論是快速檢查還是完整檢查，自查工具的核心都離不開掃描引擎的支撐。

（1）主機掃描引擎。

借助Nessus 掃描內核，具備檢測漏洞多、準確、速度快的特點。另外，主機掃描技術還在支持的系統(tǒng)類型上進行了擴展，具體包括Windows、Debian、Ubuntu、SuSE、CentOS、Red、Fedora、FreeBSD、HP-UX、MacOS 十種類型。

（2）數(shù)據(jù)庫掃描引擎。

在支持的數(shù)據(jù)庫類型和策略方面更加全面，包括：Oracle、MSSQL 2000、MSSQL2005/2008、DB2 v8、DB2 v9、MySQL、Informix 七種大類；并且支持授權與非授權兩種掃描方式以及現(xiàn)場自動取證功能。

數(shù)據(jù)庫掃描引擎的特點還包括：

全方位的安全剖析。多層次SQL 注入剖析。

高性能的數(shù)據(jù)庫連接及掃描引擎。提供了一個高效、輕量級的數(shù)據(jù)庫訪問引擎，采用API 方式連接數(shù)據(jù)庫，使得數(shù)據(jù)庫的訪問效率大大提升。

全面的掃描漏洞描述和建議。提供多達八大類的數(shù)據(jù)庫安全弱點，如緩沖區(qū)溢出、拒絕服務、提權、SQL 注入、執(zhí)行權限過大、訪問權限繞過、弱口令、安全信息查看等各種漏洞類別。

直觀、豐富的掃描結果展現(xiàn)。每個掃描的數(shù)據(jù)庫都有獨立的進度條，顯示掃描進度。在界面左邊的工作區(qū)里可以看到掃描出的各類弱點的個數(shù)?？梢栽谟疫叺娜觞c顯示里看到弱點的詳細信息，可以在圖表中看到具體的漏洞統(tǒng)計信息。

強大的策略管理功能。提供自定義策略的功能。

（3）Web掃描引擎。

采用經典的Web掃描內核，集成了全部Web掃描策略和Web漏洞庫信息，并且能夠及時更新漏洞數(shù)據(jù)庫。目前支持OWASP TOP 10 和各類Web漏洞信息檢測，可以幫助用戶充分了解Web應用存在的安全隱患，建立安全可靠的Web應用服務，改善并提升應用系統(tǒng)抗各類Web應用攻擊的能力。

例如：SQL注入攻擊漏洞、XSS 跨站腳本攻擊漏洞、釣魚攻擊漏洞、信息泄漏、惡意編碼、表單繞過、緩沖區(qū)溢出等等，協(xié)助用戶滿足等級保護、PCI、內控審計等規(guī)范要求。

4.網絡安全等級保護自查工具創(chuàng)新

網絡安全等級保護自查工具在傳統(tǒng)的等級保護工作中給予了一定程度創(chuàng)新：

（1）提出了快速檢查功能模塊。從市場調研角度分析該模塊的可行性，從技術支持角度探索該模塊實現(xiàn)可用性，從穩(wěn)定性和基本性能上保障快速檢查功能的有效性。

（2）切實有效的將主機掃描引擎、數(shù)據(jù)庫掃描引擎和應用系統(tǒng)掃描引擎結合在網絡安全自查工具之中，保障了整個掃描引擎的全面性。同時系統(tǒng)報告提供了不同版本類型的支撐，例如Word、PDF、HTML 等。

（3）快速檢查加入自動匹配類型的功能，從技術上提升了安全檢查工作的技術指標，從管理上方便了用戶的使用，完整檢查對檢測的全面性提供了保障。

結語

網絡安全等級保護自查工具使用規(guī)范化的安全檢查標準，簡單友好的人機交互界面，全方面覆蓋的掃描接口，解決了信息系統(tǒng)安全等級保護自查工作中的技術困難，為專業(yè)技術人員進行網絡安全等級保護評估提供了技術支撐。

同時，對特殊內容的定制預留接口，特別是在對用戶界面的友好性以及關鍵技術的研發(fā)上都進行了非常深入的研究和調查。