麥卓群

摘要：由于國(guó)內(nèi)外對(duì)信息系統(tǒng)安全性問(wèn)題的高度重視與關(guān)心，各行各業(yè)的等級(jí)防護(hù)評(píng)估工作也正在快速的發(fā)展。等級(jí)保護(hù)的評(píng)估工作，要求評(píng)估人員以交流溝通和審計(jì)的方法獲取和分析數(shù)據(jù)，監(jiān)控整個(gè)等級(jí)保護(hù)評(píng)估工作過(guò)程的風(fēng)險(xiǎn)的方法，定性風(fēng)險(xiǎn)的延伸性、關(guān)聯(lián)性和相似程度，也成了人們研究的重心所在。正是基于此原因，本文對(duì)等級(jí)保護(hù)評(píng)估工作流程中的風(fēng)險(xiǎn)管理問(wèn)題開(kāi)展了一定程度的研討，為形成快速的可行的風(fēng)險(xiǎn)響應(yīng)計(jì)劃總結(jié)方法，以及風(fēng)險(xiǎn)分析方法提供了基礎(chǔ)。

關(guān)鍵詞：等級(jí)保護(hù);測(cè)評(píng);風(fēng)險(xiǎn)控制

引言

由于計(jì)算機(jī)技術(shù)的應(yīng)用與快速發(fā)展，網(wǎng)絡(luò)安全已然變成了危害經(jīng)濟(jì)社會(huì)發(fā)展的重大話題。信息安全領(lǐng)域涉及到我國(guó)的政治、經(jīng)貿(mào)、軍事、人文、教育等多個(gè)領(lǐng)域，而信息的保存、傳遞與管理主要是由政府部門(mén)進(jìn)行宏觀調(diào)控和決策、商業(yè)經(jīng)營(yíng)信息、銀行資金轉(zhuǎn)賬、股票證券、能源資料數(shù)據(jù)、科研數(shù)據(jù)等重要信息的有力依據(jù)。信息作為一種特殊的資源，面臨非法篡改、偽造、竊取以及截取等安全隱患，并導(dǎo)致信息的丟失、泄密，甚至造成惡意代碼的傳播，給國(guó)家的信息化建設(shè)帶來(lái)不利影響。進(jìn)入二十一世紀(jì)以來(lái)，我國(guó)信息安全問(wèn)題涉及的領(lǐng)域不斷擴(kuò)大，這已經(jīng)引起了我國(guó)政府的高度重視。信息安全等級(jí)保護(hù)制度是我國(guó)應(yīng)對(duì)信息安全風(fēng)險(xiǎn)，及時(shí)發(fā)現(xiàn)信息系統(tǒng)漏洞的一項(xiàng)重要舉措。實(shí)行信息安全等級(jí)保護(hù)制度有利于提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展。

一、等級(jí)保護(hù)測(cè)評(píng)過(guò)程中風(fēng)險(xiǎn)控制的測(cè)評(píng)流程

安全分級(jí)保障，是指對(duì)國(guó)家機(jī)密信息、法人或者其他組織和公民的專用信息，以及公共信息資源和儲(chǔ)存、傳送、管理上述信息資源的網(wǎng)絡(luò)系統(tǒng)分等級(jí)進(jìn)行安全保障，對(duì)網(wǎng)絡(luò)系統(tǒng)中所采用的安全產(chǎn)品進(jìn)行按級(jí)別管理，對(duì)網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)的重大安全事故分等級(jí)應(yīng)對(duì)、處理。等級(jí)評(píng)估流程包括四項(xiàng)基礎(chǔ)評(píng)估活動(dòng)【安全技術(shù)信息系統(tǒng)級(jí)別保護(hù)評(píng)估流程指南】：評(píng)估準(zhǔn)備活動(dòng)、方法制定活動(dòng)、現(xiàn)場(chǎng)檢查活動(dòng)、數(shù)據(jù)分析和報(bào)表撰寫(xiě)活動(dòng)。而測(cè)評(píng)雙方之間的溝通與洽談應(yīng)貫穿整個(gè)等級(jí)測(cè)評(píng)過(guò)程。測(cè)評(píng)準(zhǔn)備活動(dòng)本活動(dòng)是開(kāi)展等級(jí)測(cè)評(píng)工作的前提和基礎(chǔ)，是整個(gè)等級(jí)測(cè)評(píng)過(guò)程有效性的保證。本活動(dòng)的主要任務(wù)是掌握被測(cè)系統(tǒng)的詳細(xì)情況，準(zhǔn)備測(cè)試工具，為編制測(cè)評(píng)方案做好準(zhǔn)備。本活動(dòng)的主要任務(wù)是通過(guò)現(xiàn)場(chǎng)測(cè)量結(jié)果，采用項(xiàng)目測(cè)量結(jié)論判斷、單體測(cè)量結(jié)論判斷、總體評(píng)估和危險(xiǎn)性分析等方式，查明整個(gè)體系的安全防護(hù)現(xiàn)狀和相關(guān)等級(jí)的防護(hù)要求間的差異，并分析這種差異造成被測(cè)系統(tǒng)面臨的危險(xiǎn)性，從而給出等級(jí)測(cè)評(píng)結(jié)論，形成測(cè)評(píng)報(bào)告文本。

二、傳統(tǒng)測(cè)評(píng)方法的弊端

按照國(guó)家標(biāo)準(zhǔn)GB/T 2239 2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，信息安全等級(jí)保護(hù)測(cè)評(píng)要遵從被測(cè)系統(tǒng)的安全保護(hù)等級(jí)所涵蓋的控制點(diǎn)，“基本技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全幾個(gè)層面提出?！蔽覀儜?yīng)該從各個(gè)層面測(cè)評(píng)系統(tǒng)的每個(gè)組件是否滿足安全要求，除了保證系統(tǒng)的每個(gè)組件滿足要求外，還要考慮信息系統(tǒng)的整體安全保護(hù)能力。雖然近幾年來(lái)人工審計(jì)技術(shù)、掃描工具都有了很大的進(jìn)步，但是信息安全測(cè)評(píng)項(xiàng)目的延時(shí)、范圍不夠準(zhǔn)確現(xiàn)象十分普遍，尤其是當(dāng)今網(wǎng)絡(luò)系統(tǒng)規(guī)模不斷擴(kuò)大，各類(lèi)操作系統(tǒng)的復(fù)雜性不斷提高，設(shè)備種類(lèi)的不斷變化，使得整體網(wǎng)絡(luò)防護(hù)體系變得越來(lái)越復(fù)雜。項(xiàng)目測(cè)評(píng)過(guò)程中的不確定性，也就是項(xiàng)目中的風(fēng)險(xiǎn)不斷的影響項(xiàng)目的開(kāi)展進(jìn)度和結(jié)果。風(fēng)險(xiǎn)測(cè)評(píng)的不完全會(huì)給國(guó)家和人民帶來(lái)巨大的損失，在傳統(tǒng)測(cè)評(píng)方法的當(dāng)中，由于工具設(shè)備的不夠完善，風(fēng)險(xiǎn)測(cè)評(píng)人員專業(yè)素養(yǎng)不足等原因，往往會(huì)使得有很多的安全隱患沒(méi)有被檢測(cè)出來(lái)，小小的漏洞會(huì)造成巨大的損失，數(shù)以萬(wàn)計(jì)的財(cái)產(chǎn)以及國(guó)家機(jī)密會(huì)被泄露出去，從而造成難以估計(jì)的巨大損失。但是隨著科技的發(fā)展與社會(huì)的進(jìn)步，越來(lái)越多的先進(jìn)工具開(kāi)始被廣泛應(yīng)用到風(fēng)險(xiǎn)測(cè)評(píng)當(dāng)中，還有很多人才在學(xué)校與社會(huì)的培養(yǎng)之下積極投身于風(fēng)險(xiǎn)測(cè)評(píng)工作，他們與老一代的人相比，具有更加專業(yè)的基礎(chǔ)知識(shí)，更加專業(yè)的素養(yǎng)以及更為堅(jiān)韌的品格。除此之外，還有很多新型的風(fēng)險(xiǎn)測(cè)評(píng)的方法逐漸引入，幫助人們更好地解決問(wèn)題。例如，在測(cè)評(píng)項(xiàng)目中，引進(jìn)風(fēng)險(xiǎn)分析的方法和思路，能夠規(guī)范發(fā)生風(fēng)險(xiǎn)的類(lèi)型、降低風(fēng)險(xiǎn)發(fā)生的概率，讓風(fēng)險(xiǎn)的影響降到最小，在風(fēng)險(xiǎn)發(fā)生后能夠及時(shí)對(duì)其進(jìn)行處理，將損失降低到最低，從而保證測(cè)評(píng)項(xiàng)目的順利實(shí)施。

三、風(fēng)險(xiǎn)控制

針對(duì)測(cè)評(píng)的風(fēng)險(xiǎn)，應(yīng)在日常工作中和測(cè)評(píng)過(guò)程的準(zhǔn)備階段、方案編制階段、現(xiàn)場(chǎng)測(cè)評(píng)階段予以控制。主要分為以下三類(lèi)：

1、敏感信息泄露防范

敏感信息泄露防范要從人員管理和設(shè)備管理兩方面入手。人員管理一方面采用安全管理的方式加強(qiáng)信息安全教育，提高信息安全意識(shí)，避免主觀泄露被測(cè)單位信息的可能;另一方面采用保密合同，確保測(cè)評(píng)人員泄露被測(cè)單位信息后，可追究責(zé)任，必要時(shí)可采取法律手段。所以，各測(cè)評(píng)單位應(yīng)建立相關(guān)制度，定期進(jìn)行人員教育，并對(duì)人員錄用、離崗等相關(guān)過(guò)程做出規(guī)定，防范主觀上泄露被測(cè)單位的敏感信息。設(shè)備管理要注意測(cè)評(píng)存儲(chǔ)介質(zhì)保管、工作計(jì)算機(jī)的惡意代碼防范。對(duì)存儲(chǔ)被測(cè)單位信息的介質(zhì)，要妥善保管，制定相應(yīng)制度和審批程序，防止存儲(chǔ)介質(zhì)的混用和丟失。工作計(jì)算機(jī)要做好惡意代碼的防范工作，對(duì)存有敏感信息的工作計(jì)算機(jī)要做到專機(jī)專用，并防止其接入互聯(lián)網(wǎng)，造成被測(cè)單位信息泄露?？傊?，要防范敏感信息泄露要制定嚴(yán)格的管理制度和相應(yīng)流程，規(guī)范測(cè)評(píng)設(shè)備的使用，制約測(cè)評(píng)人員行為，減少敏感信息泄露的可能性。

2、系統(tǒng)功能驗(yàn)證風(fēng)險(xiǎn)防范

在等級(jí)保護(hù)測(cè)評(píng)過(guò)程中，主要有訪談、檢查和測(cè)試三種測(cè)評(píng)方式。在設(shè)備配置查看過(guò)程中，誤操作容易引起被測(cè)系統(tǒng)的異常，而測(cè)試過(guò)程中，例如輸入數(shù)據(jù)檢查驗(yàn)證，則有可能進(jìn)行驗(yàn)證而對(duì)信息系統(tǒng)造成破壞。要規(guī)避系統(tǒng)功能驗(yàn)證風(fēng)險(xiǎn)必須在準(zhǔn)備階段充分了解被測(cè)信息系統(tǒng)的情況，除了必要的信息收集外，還應(yīng)查看相關(guān)開(kāi)發(fā)文件和配置說(shuō)明等。應(yīng)避免有風(fēng)險(xiǎn)的功能驗(yàn)證，如查看信息系統(tǒng)的源代碼或說(shuō)明文件檢查被測(cè)信息系統(tǒng)是否達(dá)到等保要求的功能。為防范誤操作引起的風(fēng)險(xiǎn)，應(yīng)在測(cè)評(píng)準(zhǔn)備階段制定相應(yīng)的應(yīng)急預(yù)案。應(yīng)急預(yù)案應(yīng)通過(guò)被測(cè)單位的審查，檢驗(yàn)其有效性。在測(cè)評(píng)前，重要信息系統(tǒng)應(yīng)進(jìn)行備份。

3、工具測(cè)試風(fēng)險(xiǎn)范

由于工具測(cè)試對(duì)網(wǎng)絡(luò)帶寬和設(shè)備性能會(huì)造成一定影響，滲透性測(cè)試還可能破壞系統(tǒng)的可用性，因此在測(cè)評(píng)準(zhǔn)備階段要充分了解掃描系統(tǒng)的掃描策略，并對(duì)被測(cè)單位的設(shè)備性能、網(wǎng)絡(luò)帶寬等進(jìn)行調(diào)研。在制定掃描計(jì)劃時(shí)，應(yīng)避免網(wǎng)絡(luò)高峰和設(shè)備繁忙時(shí)段，并針對(duì)被測(cè)信息系統(tǒng)制定安全的掃描策略。

結(jié)束語(yǔ)：風(fēng)險(xiǎn)總是存在的，只有在對(duì)信息系統(tǒng)整體全面分析之后，權(quán)衡系統(tǒng)所處的特定環(huán)境后，測(cè)評(píng)方法中存在的風(fēng)險(xiǎn)才能降至最低，才能確保每一個(gè)項(xiàng)目測(cè)評(píng)分析都能成功地完成。本文通過(guò)闡述測(cè)評(píng)方法中所涉及的層面，將測(cè)評(píng)過(guò)程中所涉及的技術(shù)層面風(fēng)險(xiǎn)和風(fēng)險(xiǎn)分析相結(jié)合，明確了項(xiàng)目方法中互補(bǔ)分析的必要性、有效性和可操作性。

參考文獻(xiàn)：

[1]宋超臣，王希忠. 等級(jí)保護(hù)測(cè)評(píng)過(guò)程中的風(fēng)險(xiǎn)控制[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（4）：183，188.

[2]王智，王大萌，劉兆東. 等級(jí)保護(hù)測(cè)評(píng)中的風(fēng)險(xiǎn)質(zhì)量定性分析研究[C]. //第二屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)論文集. 2013：274-275.

[3]陳旭壯. 淺談滲透測(cè)試在網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中的應(yīng)用[J]. 中國(guó)新通信，2020，22（5）：103-104.

[4]才華. 基于安全威脅與脆弱性的風(fēng)險(xiǎn)分析方法在工業(yè)控制系統(tǒng)測(cè)評(píng)中的實(shí)踐[C]. //第三屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)論文集. 2014：652-658.

[5]曾憲波. Z公共資源交易中心網(wǎng)站安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目管理研究[D]. 廣東：廣東工業(yè)大學(xué)，2018. DOI：10.7666/d.D01524987.

[6]姚明輝. 基于模糊綜合法的信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)方法研究[J]. 電信技術(shù)，2019（11）：34-37.