◆張玉朋 蘭丹妮 郝偉博

信息安全測評工具及安全測評工具評估平臺的相關(guān)研究

◆張玉朋 蘭丹妮 郝偉博

（中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心 北京 100020）

在大數(shù)據(jù)與互聯(lián)網(wǎng)技術(shù)的支撐下，各種網(wǎng)絡(luò)技術(shù)不斷發(fā)展。大眾在享受信息化帶來的眾多好處時，也面臨著日益突出的信息安全和信息保密問題。公司內(nèi)部商業(yè)秘密保全、網(wǎng)絡(luò)銀行存取款安全保障、電子商務(wù)交易等均需要完整的信息系統(tǒng)來保障其安全運行。為保障信息系統(tǒng)的安全運行，準(zhǔn)確地對信息系統(tǒng)安全性進行測評，解決手動測評的局限性，信息安全測評工具應(yīng)運而生。但由于信息技術(shù)的敏感性和特殊性，大眾對信息安全測評工具存在一定的懷疑，因此安全可靠的信息安全測評工具的構(gòu)建至關(guān)重要。

信息安全；測評；平臺

1 信息安全測評工具與測評工具評估平臺概述

為了準(zhǔn)確地對信息系統(tǒng)進行測評，解決手動測評的局限性，信息安全測評工具應(yīng)運而生。它既可以高質(zhì)量、自動化處理檢查過程，又可以節(jié)省時間及人力成本，并使檢測報告的數(shù)據(jù)形態(tài)可被進一步挖掘分析。因此，信息安全測評工具受到信息系統(tǒng)運營者和測評從業(yè)者的青睞。但是在當(dāng)下信息安全市場中，各類信息安全測評工具層出不窮，令大眾對信息安全測評工具的選擇產(chǎn)生嚴(yán)重分歧。為確保消費者的安全不受侵害，助力信息安全測評工具品控提升，如何提升網(wǎng)絡(luò)安全，怎樣提高信息安全測評工具的可信度，信息安全測評工具的評估平臺如何搭建，都是現(xiàn)如今所面臨的重要問題。

2 提升信息安全測評工具的可信度應(yīng)關(guān)注以下五個方面

（1）信息安全測評工具的保密性

信息安全測評工具的保密性也是應(yīng)關(guān)注的重要一環(huán)，在這個龐大的網(wǎng)絡(luò)時代，信息的保密性是至關(guān)重要的。只有信息安全測評工具把保密性放在重要位置，保證信息為授權(quán)者享用而不泄露給未經(jīng)授權(quán)者，這是信息安全測評工具的職責(zé)，也是我們評價信息安全測評工具可信度的標(biāo)準(zhǔn)，信息安全測評工具的使用必須保證授權(quán)者的信息不被透漏，不被別人使用。這是信息安全測評工具能夠運轉(zhuǎn)的基礎(chǔ)，也是評價信息安全測評工具可信度的重要標(biāo)準(zhǔn)之一，所以信息安全測評工具的使用過程中，一定要著重測評此環(huán)節(jié)。

（2）信息安全測評工具的可用性

信息經(jīng)過使用者的授權(quán)，當(dāng)授權(quán)人需要使用時需要及時便捷的使用自己所授權(quán)的信息，而在信息安全測評工具的使用中信息的可用性也是重要的一步。在使用者把自己的信息授權(quán)給信息安全測評工具時，信用信息安全測評工具要保證信息和信息系統(tǒng)隨時為授權(quán)者提供服務(wù)，保證合法用戶對信息的使用不受到不合理的拒絕。保證使用者所授權(quán)的信息具有可使用性，所以測評人在使用測評工具的時候也要關(guān)注是否有這樣的問題，要保證信息安全測評工具的使用過程中能夠被合法用戶正常使用。

（3）信息安全測評工具的結(jié)論不可否認性

在信息安全測評過程中，不可否認性是非常重要的，要求通信雙方在信息交互過程中，參與者本身以及參與者所提供信息的真實一致性，即所有參與者都不可能否認或抵賴本人真實身份。在信息安全測評工具從錄入信息的過程中，是否確認信息的真實性和授權(quán)者身份的真實性。這是我們評價信息安全測評工具可信度的一個關(guān)注點。我們在測評過程中要檢測信息安全測評工具中信息的真實可靠性，授權(quán)者的身份不可否認性。

（4）信息安全測評工具保障數(shù)據(jù)的可恢復(fù)性

在信息網(wǎng)絡(luò)時代，各種天災(zāi)人禍來臨時，信息是否能重新恢復(fù)也是評價信息安全測評工具的一個重要指標(biāo)。如手機電腦丟失，賬號泄露等問題，一直困擾著我們，信息的可恢復(fù)性是信息安全測評工具所必須擁有的一個功能，因為信息安全測評工具不是一次性產(chǎn)品，是長時間使用的?？苫謴?fù)性是測評過程的一個重要節(jié)點，在遇到突發(fā)事件時，是否可以快速便捷的恢復(fù)信息，是測評工作的重要一環(huán)。人們所存儲的信息都是至關(guān)重要的，如金錢、身份信息等。這些信息因為測評工具導(dǎo)致丟失是信息擁有者的重大損失，也是信息安全平臺的失誤，所以能否恢復(fù)就成為關(guān)鍵。

（5）信息安全測評工具的售后系統(tǒng)

在現(xiàn)如今信息安全測評工具越來越多的階段，授權(quán)者的使用感受也非常重要，在使用的過程中總會有許許多多的問題出現(xiàn)，使用操作問題，后期服務(wù)問題，總是人們所關(guān)注的，所有的產(chǎn)品都是，只有做得全面便捷，才能在市場中站穩(wěn)，也是保護使用者的合法權(quán)益，授權(quán)者通過授權(quán)給信息安全測評工具，是為了可以高質(zhì)量、自動化處理檢查過程，所以信息安全測評工具的售后系統(tǒng)也是工具可信度關(guān)注的重要一環(huán)。

3 信息安全測評工具評估平臺搭建的具體措施

（1）明確信息安全測評工具評估平臺評估流程

當(dāng)下對于信息系統(tǒng)的安全保護程度明確且有嚴(yán)格的規(guī)定，在《信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則》（GB/T18336-2015）中明確表述，對信息安全測評工具進行評估時需要遵守嚴(yán)格的評估順序。在信息安全測評工具的評估與考核中首先需要對TCP卸載引擎（TOE）中的保護輪廓（PP）是否符合安全性能等相關(guān)標(biāo)準(zhǔn)，之后對TCP卸載引擎是否符合信息安全目標(biāo)（ST），最后可以進入信息安全測評工具的功能測試與保證評估的測試。在信息安全測評工具標(biāo)準(zhǔn)的大框架中還需要遵從小型框架，在對保護輪廓的相關(guān)測評時需要對其主要概念、創(chuàng)建的信息安全環(huán)境、達成防御的要求等方面，在信息系統(tǒng)安全目標(biāo)的檢測中需要包括TCP卸載引擎的基本狀況等進行深入探索。因此在搭建信息安全測評工具評估平臺時需要明確不同信息安全測評工具的評估流程與標(biāo)準(zhǔn)。

（2）構(gòu)建多重安全性能的工具評估程序

在對傳統(tǒng)信息安全測評工具的評估中，對于安全性能與防御性能的檢測限于單一程序自動化檢測或單一人工檢測，這便會導(dǎo)致對信息安全測評工具的檢測不夠充分。因此為加強對信息安全測評工具評估的有效性與科學(xué)性，需要在平臺構(gòu)建多重安全性能評估程序，將自動程序安全性能評估、功能評估人員人工評估、抵抗?jié)B透性能評估、信息安全平臺的保密性評估四種評估相結(jié)合，確保每一次對信息安全測評工具的評估均屬于有效、公平、科學(xué)的范疇。

（3）引入自動化評估系統(tǒng)，滿足組建依賴評估關(guān)系

信息安全測評工具的評估平臺既需要解決公平合理科學(xué)的檢測又需要注重對信息安全測評工具檢測的速度。在《信息技術(shù)安全評估準(zhǔn)則》中強調(diào)從安全性能與安全保證兩個層面對信息安全產(chǎn)品進行評估，需要在評估時形成由元素、組件、類的層級檢測程序，同時在信息產(chǎn)品評估數(shù)據(jù)反饋時要與平臺客戶建立相互以來的關(guān)系，需要引入自動化評估系統(tǒng)與完善的評估反饋交流機制。

4 總結(jié)

在對信息安全測評工具的評價的過程中，為進行科學(xué)且權(quán)威的評估工作可以通過搭建可恢復(fù)性信息管理后臺、明確平臺評估流程、構(gòu)建多重安全性能評估程序、引入自動化評估系統(tǒng)，滿足組建依賴評估關(guān)系等措施來對信息安全測評工具的可恢復(fù)性、保密性、可用性、不可否認性等進行評價，在公平公正科學(xué)合理的評估程序下對每一種信息安全測評工具進行綜合評估，為大眾提供可靠的評估結(jié)果。

[1]陳廣勇，祝國邦，范春玲.《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》（GB/T 28448-2019）標(biāo)準(zhǔn)解讀[J].信息網(wǎng)絡(luò)安全，2019（7）.

[2]齊云菲，李政，楊倩文，等. 工業(yè)互聯(lián)網(wǎng)安全與等級保護測評研究[J]. 信息系統(tǒng)工程，2019（6）：60-63.

[3]吳暉，孫彥，王惠蒞.基于鄰域粗糙集的工控系統(tǒng)安全測評方法研究[J]. 信息技術(shù)與標(biāo)準(zhǔn)化，2019，（6）：31-34.

[4]李文兢，謝翠萍.大型信息系統(tǒng)網(wǎng)絡(luò)安全測評的關(guān)鍵技術(shù)分析[J].信息通信，2016（2）：140-141.