網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中的網(wǎng)絡(luò)及通信安全測(cè)評(píng)

摘 要： 2019年頒布的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T 22239—2019）》（信安字〔2019〕12號(hào)）[1]在原有《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T 22239—2008）》（信安字〔2007〕12號(hào)）[2]基礎(chǔ)上進(jìn)行了修訂，使之更加切合當(dāng)今中國(guó)的網(wǎng)絡(luò)環(huán)境。針對(duì)新修版中的網(wǎng)絡(luò)和通信安全層面部分內(nèi)容，如：通信傳輸、邊界防護(hù)、訪問控制、入侵防范、惡意代碼和垃圾郵件防范等控制點(diǎn)安全測(cè)評(píng)進(jìn)行了綜述，分析了與舊版之間的區(qū)別和重要改變，并將今后網(wǎng)絡(luò)和通信安全測(cè)評(píng)的主要方法和思路進(jìn)行了總結(jié)。對(duì)等保2.0時(shí)代的網(wǎng)絡(luò)和通信安全測(cè)評(píng)工作有一定的借鑒意義。

關(guān)鍵詞： 網(wǎng)絡(luò)安全; 等級(jí)保護(hù)測(cè)評(píng); 網(wǎng)絡(luò)及通信安全測(cè)評(píng)

中圖分類號(hào)： TP311 ? ? ?文獻(xiàn)標(biāo)志碼： A

Network and Communcaton Securty Assessment n Network

Securty Level Protecton Assessment

ZHANG Ke

（Network nformaton Center， Shanx Normal Unversty， X'an 710062）

Abstract： The newly promulgated Basc Requrements for Network Securty Grade Protecton of nformaton Securty Technology n 2019 has been revsed on the bass of the orgnal Basc Requrements for Network Securty Grade Protecton， so as to make t more sutable for the network envronment of Chna today. Ths paper revews some aspects of network and communcaton securty n the new edton， such as communcaton transmsson， border protecton， access control， ntruson preventon， malcous code and spam preventon， analyzes the dfferences and mportant changes between the old edton and the new edton， and summarzes the man methods and deas of network and communcaton securty evaluaton n the future. The work of network and communcaton securty evaluaton staff n the era of peer-to-peer nsurance 2.0 has certan reference sgnfcance.

Key words： Network securty; Herarchcal protecton evaluaton; Network and communcaton securty evaluaton

0 引言

隨著網(wǎng)絡(luò)技術(shù)與人類生產(chǎn)、生活的深度結(jié)合，網(wǎng)絡(luò)空間已成為世界各國(guó)自身發(fā)展的重要戰(zhàn)略資源之一，各大國(guó)已逐漸將網(wǎng)絡(luò)和網(wǎng)絡(luò)空間當(dāng)作謀求自身發(fā)展戰(zhàn)略優(yōu)勢(shì)的重要博弈戰(zhàn)場(chǎng)[3]。作為未來國(guó)家戰(zhàn)略能力發(fā)展的重要組成部分，美、英、日等國(guó)已相繼完成本國(guó)網(wǎng)絡(luò)空間安全戰(zhàn)略的制定，確保未來能夠優(yōu)先發(fā)展自身的網(wǎng)絡(luò)空間能力[4]。進(jìn)入21世紀(jì)以來，我國(guó)綜合國(guó)力穩(wěn)步增強(qiáng)，信息技術(shù)與社會(huì)生產(chǎn)的結(jié)合也越來越緊密，“互聯(lián)網(wǎng)+”戰(zhàn)略的提出和實(shí)施保證了信息技術(shù)與傳統(tǒng)行業(yè)、新興行業(yè)的深度結(jié)合，同時(shí)也將逐漸加深我國(guó)社會(huì)生產(chǎn)、生活對(duì)網(wǎng)絡(luò)的依賴程度。在此背景下，一旦國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施遭到不法份子攻擊，極易造成國(guó)家各種信息甚至敏感信息的丟失，導(dǎo)致社會(huì)秩序產(chǎn)生混亂、危及大眾利益，甚至破壞國(guó)家安定和社會(huì)和諧[5]。新修版《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（以下簡(jiǎn)稱《要求》）對(duì)于目前網(wǎng)絡(luò)空間領(lǐng)域中各類新技術(shù)、新環(huán)境進(jìn)行了部分修訂，本研究將對(duì)其中網(wǎng)絡(luò)和通信安全測(cè)評(píng)主要內(nèi)容進(jìn)行分析和闡述，供從業(yè)人員參考借鑒。

1 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)

等保測(cè)評(píng)工作，指的是測(cè)評(píng)機(jī)構(gòu)按照國(guó)家標(biāo)準(zhǔn)和規(guī)范化流程對(duì)與網(wǎng)絡(luò)安全相關(guān)的各環(huán)節(jié)進(jìn)行測(cè)評(píng)和分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)中信息系統(tǒng)以及數(shù)據(jù)資源是否存在功能缺陷或配置不安全等方面的問題[6]。等保測(cè)評(píng)工作與一般的安全測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估不同，除進(jìn)行“風(fēng)險(xiǎn)評(píng)估”外，還包括了“標(biāo)準(zhǔn)符合性評(píng)判工作”。

等保測(cè)評(píng)2.0工作具體包括兩方面：①單項(xiàng)測(cè)評(píng)，針對(duì)相關(guān)標(biāo)準(zhǔn)每一項(xiàng)安全要求進(jìn)行可重復(fù)及可再現(xiàn)性測(cè)評(píng);②整體測(cè)評(píng)，在單項(xiàng)測(cè)評(píng)基礎(chǔ)上進(jìn)行安全控制點(diǎn)、安全控制點(diǎn)間以及層面間進(jìn)行整體安全保護(hù)能力測(cè)評(píng)。其中單項(xiàng)測(cè)評(píng)工作又包括兩方面：①技術(shù)測(cè)評(píng)，從技術(shù)角度對(duì)“物理和環(huán)境安全”“網(wǎng)絡(luò)和通信安全”“設(shè)備和計(jì)算安全”及“應(yīng)用和數(shù)據(jù)安全”等四方面進(jìn)行測(cè)評(píng);②管理測(cè)評(píng)，從管理角度對(duì)“安全策略和管理制度”“安全管理機(jī)構(gòu)和人員”“安全建設(shè)管理”及“安全運(yùn)維管理”等四方面進(jìn)行測(cè)評(píng)[7]。網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)框架如圖1所示。

2 網(wǎng)絡(luò)和通信安全測(cè)評(píng)

2.1 控制點(diǎn)的變化

網(wǎng)絡(luò)和通信安全測(cè)評(píng)屬等保測(cè)評(píng)技術(shù)層面的安全檢測(cè)，是等保測(cè)評(píng)實(shí)際工作中的重要環(huán)節(jié)[8]。根據(jù)新修版《要求》中的標(biāo)準(zhǔn)，網(wǎng)絡(luò)和通信安全測(cè)評(píng)在安全通用要求部分對(duì)控制點(diǎn)訂，進(jìn)一步加強(qiáng)了對(duì)網(wǎng)絡(luò)整體安全保護(hù)的要求，確定了新的控制點(diǎn)（如圖2所示）。

相比于舊版標(biāo)準(zhǔn)，新修版《要求》在網(wǎng)絡(luò)和通信安全層面的主要變化有：①對(duì)舊版“入侵防范”“訪問控制”以及“惡意代碼和垃圾郵件防范”3個(gè)控制點(diǎn)的要求進(jìn)行了重新修訂;②新增了“通信傳輸”“邊界防護(hù)”和“集中管控”3個(gè)控制點(diǎn)，并將舊版標(biāo)準(zhǔn)中的“邊界完整性檢查”與新版標(biāo)準(zhǔn)的“邊界防護(hù)”控制點(diǎn)進(jìn)行了融合;③提出了更高的設(shè)備冗余要求，并將舊版中的“結(jié)構(gòu)安全”控制點(diǎn)改名為“網(wǎng)絡(luò)架構(gòu)”;④采用新版標(biāo)準(zhǔn)“設(shè)備和計(jì)算安全”控制點(diǎn)要求，對(duì)舊版標(biāo)準(zhǔn)中的“網(wǎng)絡(luò)設(shè)備防護(hù)”控制點(diǎn)要求進(jìn)行替換[9]。

2.2 重要控制點(diǎn)測(cè)評(píng)

2.2.1 通信傳輸

在“通信傳輸”控制點(diǎn)方面新版《要求》提出了兩點(diǎn)標(biāo)準(zhǔn)：①確保通信過程中的各類數(shù)據(jù)信息完整性，引入校驗(yàn)技術(shù)和密碼技術(shù);②確保通信過程中的各類數(shù)據(jù)信息保密性，引入密碼技術(shù)。

本研究認(rèn)為：①對(duì)一般網(wǎng)絡(luò)設(shè)備如路由器、交換機(jī)等而言，具有傳輸層網(wǎng)絡(luò)連接加密功能的SSH協(xié)議比TELNET協(xié)議等明文傳輸方式進(jìn)行遠(yuǎn)程管理的安全性更高[10];②對(duì)防火墻等安全設(shè)備而言，加入了SSL協(xié)議的HTTPS協(xié)議比HTTP協(xié)議等明文傳輸方式進(jìn)行遠(yuǎn)程管理的安全性更高[11]。實(shí)際的網(wǎng)絡(luò)和通信安全測(cè)評(píng)工作中，可按照通信傳輸控制點(diǎn)測(cè)評(píng)，如圖3所示。

2.2.2 邊界防護(hù)

為保證網(wǎng)絡(luò)的邊界安全，避免網(wǎng)絡(luò)中出現(xiàn)非法接入或外聯(lián)現(xiàn)象，同時(shí)實(shí)現(xiàn)對(duì)無線網(wǎng)絡(luò)的接入控制，在“邊界防護(hù)”控制點(diǎn)方面新修版《要求》提出了四點(diǎn)標(biāo)準(zhǔn)：①跨越邊界的訪問和數(shù)據(jù)流在進(jìn)行通信時(shí)，要確保通過了邊界設(shè)備提供的受控接口;②要能夠限制或檢查某些非授權(quán)設(shè)備私自連接內(nèi)部網(wǎng)絡(luò);③要能夠限制或檢查某些內(nèi)部用戶采用非授權(quán)的方式連接外部網(wǎng)絡(luò);④對(duì)無線網(wǎng)絡(luò)進(jìn)行一定限制，確保在接入內(nèi)部網(wǎng)絡(luò)時(shí)通過了受控的邊界設(shè)備。

研究認(rèn)為，通信網(wǎng)絡(luò)中可引入類似無線嗅探器等設(shè)備對(duì)網(wǎng)絡(luò)中的無線熱點(diǎn)進(jìn)行檢測(cè)，可及時(shí)甄別出網(wǎng)絡(luò)中的無線熱點(diǎn)是否非法，從而防止未授權(quán)設(shè)備利用該類熱點(diǎn)進(jìn)入內(nèi)部網(wǎng)絡(luò)[12-13]。實(shí)際測(cè)評(píng)工作中可按照如下步驟對(duì)邊界防護(hù)控制點(diǎn)進(jìn)行測(cè)評(píng)。

對(duì)于非法接入行為：

第一，核實(shí)通信網(wǎng)絡(luò)是否采用了網(wǎng)絡(luò)準(zhǔn)入控制技術(shù);

第二，通過網(wǎng)絡(luò)管理員驗(yàn)證網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)有效性;

第三，核實(shí)是否將未使用端口斷開或關(guān)閉;

第四，核實(shí)通信網(wǎng)絡(luò)中的設(shè)備是否進(jìn)行了P/MAC地址綁定。

對(duì)于非法外聯(lián)行為：

第一，核實(shí)系統(tǒng)是否部署了非授權(quán)用戶外聯(lián)網(wǎng)絡(luò)控制技術(shù);

第二，核實(shí)系統(tǒng)是否禁止雙網(wǎng)卡、Modem等端口使用。

無線網(wǎng)絡(luò)測(cè)評(píng)步驟如圖4所示。

2.2.3 訪問控制

為實(shí)現(xiàn)對(duì)系統(tǒng)網(wǎng)絡(luò)訪問的細(xì)粒度控制，保證內(nèi)部網(wǎng)絡(luò)不受攻擊，在“訪問控制”控制點(diǎn)方面新版《要求》提出了五點(diǎn)標(biāo)準(zhǔn)：①設(shè)置訪問控制規(guī)則，網(wǎng)絡(luò)邊界或區(qū)域之間的受控接口無法進(jìn)行任何通信;②優(yōu)化訪問控制列表，篩除系統(tǒng)中的無效或多余訪問控制規(guī)則至數(shù)量最低;③系統(tǒng)各環(huán)節(jié)進(jìn)行檢查，按照允許/拒絕形式的數(shù)據(jù)包進(jìn)出;④有明確的允許/拒絕訪問能力，能夠根據(jù)系統(tǒng)會(huì)話信息對(duì)數(shù)據(jù)流進(jìn)行控制，控制粒度為端口級(jí);⑤能夠根據(jù)應(yīng)用協(xié)議和內(nèi)容對(duì)數(shù)據(jù)流進(jìn)行控制，控制粒度為端口級(jí)。實(shí)際測(cè)評(píng)工作中可按照如下步驟對(duì)“訪問控制”控制點(diǎn)進(jìn)行測(cè)評(píng)。

對(duì)于網(wǎng)閘、防火墻、路由器以及三層路由交換機(jī)等訪問控制設(shè)備：

第一，核實(shí)網(wǎng)絡(luò)中是否配置訪問控制設(shè)備;

第二，核實(shí)系統(tǒng)中是否配置了適合自身業(yè)務(wù)需求的訪問控制規(guī)則;

第三，核實(shí)系統(tǒng)中是否確保訪問控制規(guī)則最優(yōu)化;

第四，核實(shí)訪問控制設(shè)備中的最后一條安全策略是否為“拒絕所有網(wǎng)絡(luò)通信”。

此外，隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，海量應(yīng)用公用幾個(gè)端口或協(xié)議的情況已越來越普遍，原有的P地址/端口號(hào)的傳統(tǒng)防火墻已無法針對(duì)不同的應(yīng)用采取相應(yīng)的訪問控制策略[14-15]，必須引入應(yīng)用協(xié)議和內(nèi)容更加先進(jìn)的防火墻。為應(yīng)對(duì)該類問題，滿足新版標(biāo)準(zhǔn)中的相關(guān)要求，今后的“訪問控制”控制點(diǎn)實(shí)際測(cè)評(píng)中，應(yīng)采取相應(yīng)措施對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)中是否在關(guān)鍵節(jié)點(diǎn)處部署了新式防火墻以及防火墻中是否部署了相應(yīng)的訪問控制策略進(jìn)行核實(shí)。

2.2.4 入侵防范

為防止系統(tǒng)受到攻擊，并主動(dòng)分析網(wǎng)絡(luò)中出現(xiàn)的新型攻擊行為，在“入侵防范”控制點(diǎn)方面新版《要求》提出了3點(diǎn)標(biāo)準(zhǔn)：①部署關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)檢測(cè)設(shè)備，防止出現(xiàn)從外部或內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊;②部署網(wǎng)絡(luò)攻擊行為分析設(shè)備，及時(shí)掌握新型網(wǎng)絡(luò)攻擊行為規(guī)律;③當(dāng)網(wǎng)絡(luò)受到攻擊時(shí)，應(yīng)及時(shí)對(duì)攻擊源P、攻擊類型、攻擊目的、攻擊時(shí)間進(jìn)行記錄，并提供自行報(bào)警功能。實(shí)際測(cè)評(píng)工作可對(duì)“入侵防范”控制點(diǎn)進(jìn)行測(cè)評(píng)，如圖5所示。

此外，在實(shí)際測(cè)評(píng)工作中，應(yīng)首先核實(shí)網(wǎng)絡(luò)中部署的組件是否正常工作，其次要核實(shí)部署的相關(guān)組件規(guī)則庫(kù)是否為最新。

2.2.5 惡意代碼和垃圾郵件防范

為保證內(nèi)部網(wǎng)絡(luò)安全，阻止惡意代碼及垃圾郵件進(jìn)入，在“惡意代碼和垃圾郵件防范”控制點(diǎn)方面新版《要求》提出了兩點(diǎn)標(biāo)準(zhǔn)：①在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署惡意代碼防護(hù)機(jī)制，及時(shí)檢測(cè)并清除惡意代碼;②在關(guān)鍵節(jié)點(diǎn)處部署垃圾郵件防護(hù)機(jī)制，及時(shí)檢測(cè)并清除垃圾郵件。實(shí)際測(cè)評(píng)工作中可按照如下步驟對(duì)“惡意代碼和垃圾郵件防范”控制點(diǎn)進(jìn)行測(cè)評(píng)。

對(duì)于惡意代碼：

第一，核實(shí)系統(tǒng)是否于關(guān)鍵節(jié)點(diǎn)處部署了惡意代碼防護(hù)機(jī)制;

第二，核實(shí)惡意代碼防護(hù)機(jī)制是否正常運(yùn)行;

第三，核實(shí)核實(shí)惡意代碼防護(hù)機(jī)制特征庫(kù)數(shù)據(jù)是否最新;

第四，網(wǎng)絡(luò)和通信層面的惡意代碼防范是否與設(shè)備和計(jì)算層面的惡意代碼防范協(xié)同工作;

第四，若系統(tǒng)要求較高的實(shí)時(shí)性，則應(yīng)采取其他方式進(jìn)行惡意代碼防護(hù)。

對(duì)于垃圾郵件：

第一，確認(rèn)郵件系統(tǒng)為單位自建或購(gòu)買第三方服務(wù);

第二，若單位郵件系統(tǒng)為自建系統(tǒng)，則核實(shí)系統(tǒng)是否于關(guān)鍵節(jié)點(diǎn)處部署了垃圾郵件防護(hù)機(jī)制;

第三，核實(shí)系統(tǒng)中垃圾郵件防護(hù)機(jī)制是否正常運(yùn)行;

第四，核實(shí)系統(tǒng)中垃圾郵件防護(hù)機(jī)制特征庫(kù)數(shù)據(jù)是否最新。

若單位郵件系統(tǒng)為購(gòu)買的第三方服務(wù)，則應(yīng)協(xié)調(diào)服務(wù)提供方配合進(jìn)行安全測(cè)評(píng)工作，其他內(nèi)容不變。

3 總結(jié)

研究主要對(duì)最新版等保測(cè)評(píng)標(biāo)準(zhǔn)中的網(wǎng)絡(luò)和通信安全測(cè)評(píng)進(jìn)行了研究。通過對(duì)通信傳輸、邊界防護(hù)、訪問控制、入侵防范、惡意代碼和垃圾郵件防范等控制點(diǎn)的變化情況及具體測(cè)評(píng)方法進(jìn)行分析，總結(jié)出了最適合測(cè)評(píng)工作人員使用的測(cè)評(píng)流程，為等保2.0時(shí)代的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作提供了借鑒。但是，由于新版評(píng)測(cè)標(biāo)準(zhǔn)剛公布不久，文章尚未對(duì)“物理和環(huán)境”“設(shè)備和計(jì)算安全”及“應(yīng)用和數(shù)據(jù)安全”等方面進(jìn)行分析，也還未從管理角度對(duì)測(cè)評(píng)工作進(jìn)行研究。等保2.0時(shí)代，《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》具有更強(qiáng)的時(shí)效性、易用性，也具有更強(qiáng)的可操作性，對(duì)其進(jìn)行深入分析將會(huì)大大提高等保測(cè)評(píng)工作的工作質(zhì)量和工作效率。

參考文獻(xiàn)

[1] 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).GB/T 22239—2019信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].北京：中國(guó)標(biāo)準(zhǔn)出版社：2019.

[2] 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).GB/T 22239—2008網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[S]. 北京：中國(guó)標(biāo)準(zhǔn)出版社：2008.

[3] 夏冰.網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0[M].北京：電子工業(yè)出版社，2017.

[4] 黎水林，陳廣勇，陶源.網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中網(wǎng)絡(luò)和通信安全[J].信息網(wǎng)絡(luò)安全，2018，18（9）：19-24.

[5] 李云亞，陳大文，李盛民.基于網(wǎng)絡(luò)安全法的等級(jí)保護(hù)工作開展研究[J].無線互聯(lián)科技，2018，19：23-24.

[6] 高員，黃曉昆，李秀偉.等. 保2.0時(shí)代云計(jì)算安全要求及測(cè)評(píng)實(shí)踐[J].信息安全研究，2018，4（11）：987-992.

[7] 陳芳.等級(jí)保護(hù)體系下云計(jì)算安全芻議[J].廣播電視信息，2017，24（3）：35-38.

[8] 張文勇，李維華，唐作其.信息安全等級(jí)保護(hù)測(cè)評(píng)中網(wǎng)絡(luò)安全現(xiàn)場(chǎng)測(cè)評(píng)方法研究[J].電子科學(xué)技術(shù)，2016，5（5）：272-276.

[9] 王曙光，王慶升，劉美麗，等.無線傳感器網(wǎng)絡(luò)安全測(cè)評(píng)關(guān)鍵技術(shù)研究[J].電子測(cè)量技術(shù)，2015，38（5）：93-96.

[10] 馬蘇安，駱文，張金鑫.應(yīng)對(duì)高級(jí)網(wǎng)絡(luò)威脅建立新型網(wǎng)絡(luò)防御系統(tǒng)[J].信息安全研究，2016，2（4）：377-382.

[11] 焦改英.分布式移動(dòng)管理技術(shù)在無線網(wǎng)絡(luò)管理中的應(yīng)用研究[J].微型電腦應(yīng)用，2018，34（8）：82-84.

[12] 李毅，顧健，顧鐵軍.復(fù)雜網(wǎng)絡(luò)安全產(chǎn)品質(zhì)量評(píng)價(jià)體系的知識(shí)建模及其應(yīng)用[J].信息網(wǎng)絡(luò)安全，2018，18（9）：55-59.

[13] 劉偉，李泉林，芮力.一種入侵防御系統(tǒng)性能分析方法[J].信息網(wǎng)絡(luò)安全，2015，15（9）：46-49.

[14] 王世軼，吳江，張輝.滲透測(cè)試在網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中的應(yīng)用[J].計(jì)算機(jī)應(yīng)用與軟件，2018，35（11）：190-193.

[15] 張家偉，張冬梅，黃偲琪.一種抗APT攻擊的可信軟件基設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2017，17（6）：49-55.

（收稿日期： 2019.06.26）

作者簡(jiǎn)介：張珂（1982-），男，潼關(guān)人，學(xué)士，工程師，研究方向：網(wǎng)絡(luò)工程、網(wǎng)絡(luò)安全。文章編號(hào)：1007-757X（2020）01-0130-04