如何改进网络安全试验评估系统？

来源：北京科技大学官网

近年来，在网络对抗环境下，针对性开展的网络攻击已逐渐成为影响安全和性能的关键因素。随着系统遭受网络攻击威胁的不断增加，如何堵住网络安全的漏洞和减少网络安全渗透性的威胁，已成为信息化测试评估工作的一项重要内容。

美国防部（以下简称“DoD”）2020年发布《网络安全试验评估指南》2.0更新版（以下简称《指南》）。DoD《指南》将网络安全试验评估分为六个阶段，分别是了解安全需求、确定攻击面、协作漏洞识别、对抗性研制测试评估、协作漏洞渗透评估以及对抗性攻击评估^[1-2]。

01 评估方案分析

DoD《指南》主张对系统的各个阶段进行裁剪和集成，而不是跳过某一阶段。在调整阶段时，可遵循一般原则，网络安全试验评估应该尽早进行，并在系统研制期间进行。同时，根据《指南》的六个阶段分布，对照国内通用系统场景，显然该指南并不完全适用于所有系统试验评估的流程设计，主要区别在于：一般系统不对标装备的采办流程，不涉及研制阶段的试验评估。

基于测试活动的阶段整合

由于通用场景不涉及系统研制阶段的相关数据，所以即使在掌握相关信息的情况下，测试成果也无法反馈到系统的研制中。基于此，将研制阶段3与阶段4裁减，同时为保留向后兼容性，分别将其整合到阶段5及阶段6中，即将阶段3与阶段5合并，阶段4与阶段6合并。

基于测试逻辑的阶段迁移

阶段1、阶段2原应在系统研制阶段启动，现在迁移推迟到系统部署阶段。逻辑上讲，阶段1、阶段2可以划入到阶段5和阶段6中，前两者是后两者实现过程中的两个步骤。但为向DoD《指南》对标更加清晰，单独保留。

基于协作与对抗的分步测试

系统支持协作性漏洞识别与对抗性试验评估，协作可提供更详细的待测目标情况，对目标网络实施精准测试，缩短试验评估时间，提高试验评估效率。二者区别在于资源、信息掌握情况及评估深度。在通用系统实现中，可以只开展对抗性评估，也可以在对抗性评估之后，再开展协作性渗透试验。

对抗性评估是在基本凭借自主探测、获取相关信息的情况下开展；协作性渗透试验则在事先掌握目标网络直接相关信息的情况下开展，此时在对抗性阶段已发现的漏洞和问题已经得以缓解，进行更深入的评估，这是二者迭代进行的示例。

基于合规性试验评估的安全评估

DoD《指南》在其阶段3中，伴随着基于RMF（风险管理框架）的安全评估，这一评估结果作为阶段4数据输入的一部分。本通用实施方案中，也涉及合规性评估阶段，且其合规性评估结果最终也在协作性渗透试验期间引用。这样，与DoD《指南》映射不存在间隙。不同的是，作为系统的两大评估任务之一，合规性试验评估被独立抽取出来，以凸显其重要性和必要性。

综上所述，通用方案中的试验评估流程总体可以分为五个阶段，分别是明确网络安全需求、确定网络攻击面、合规性试验评估、协作性渗透试验、对抗性攻击评估等。其中，阶段1和阶段2属于网络安全试验论证范畴，阶段3和4属于网络安全性能试验评估，阶段5属于网络安全作战试验评估范畴。与美国DoD《指南》六个阶段的基本映射关系如图1所示。

图1 试验评估系统五阶段与DoD六阶段映射关系

除上述针对性的设计以外，系统还具有如下特点：

1.试验评估具有可重复性

针对特定的试验场景，在不改变目标模拟网络环境、服务、应用、配置等场景的前提下，不更新试验所用情报、工具、策略等资源、其他试验条件满足同等水平的情况下，多次试验评估的结果具有一致性。换句话说，同一个试验可以以预期的结果重复进行。

2.系统服务扩展性强

系统采用微服务架构模式设计，在开放性、扩展性和增量式发展上，具有较强的可扩展性。在扩展系统服务能力时，只需遵循开放的标准接口，以微服务插件的形式无缝集成到评估系统中，与原有系统构成有机的统一体。

02 系统评估详述

如前所述，系统支持网络安全试验论证、网络安全性能试验评估、网络安全作战试验评估三方面的试验评估。在网络安全领域，每一方面均有各自特定的内容和重点。

网络安全试验论证

试验任务人员依据任务、技术指标与效能，开展网络安全论证工作，旨在阐明：网络安全需求，潜在网络安全威胁，网络安全攻击面，制定网络安全试验评估策略、计划，明确试验评估的主要任务，资源需求（人员、环境、工具等），时间节点等。同时，根据场景和面临威胁，提出潜在的威胁模拟事件，以开展针对性的性能试验评估。

1.明确网络安全需求

确定试验目标边界范围，检查系统的网络安全需求，编制网络安全需求列表，以用于指导制定进行网络安全试验评估的初步方法和计划。

2.确定网络攻击面

检查或获取系统架构、组件、数据流及安全标准，以确认网络安全脆弱性。需要识别所有形式的通信、网络连接、软件、硬件、供应链及人类交互，还有以前合规性检查报告、网络安全漏洞评估、渗透测试结果等。此外，安全风险管理计划可能提供有关网络攻击面的信息。

3.确认网络威胁模拟

分析完成攻击面以后，试验人员根据作战对手网络空间作战手段与技术发展，以假定或已知的系统漏洞为攻击点，需要开发网络安全威胁模拟，确定在试验活动中采用模仿的网络威胁内容，以指导测试规划。将模拟的威胁纳入ATT&CK框架，通过预置典型APT事件案例、自定义案例等，实施基于事件的网络安全试验评估。

4.网络安全试验计划

在明确安全需求、攻击面及潜在的网络威胁事件后，需要制定网络安全试验主计划。

网络安全性能试验评估

网络安全性能试验评估，重点在合规性评估基础上，通过对信息系统网络安全脆弱性分析。具体由试验人员通过模拟网络威胁手段和技术，在典型环境与任务背景下，基于典型网络安全事件，对信息系统进行网络安全性能试验评估，并为下一步网络安全试验评估奠定基础。

合规性试验评估对照系统的网络安全需求，试验评估其合规性。合规性要求主要参照《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）。

系统提供按照合规项生成的在线表单，根据合规性关于不同等级对应的要求，试验评估人员在线勾选、填写相应的文档、表格。完整的试验评估工作从接收试验评估任务开始，按照预先审查、方案编制、现场检测、综合评定四个步骤组织实施。

同时，合规性试验评估包含网络安全风险管理评估，风险管理评估结论与措施，将为后续试验鉴定定型提供支持。对于合规项中涉及渗透测试等实操的内容可不在测评时进行，结合对抗性评估和协作性渗透一并进行。

网络安全作战试验评估

网络安全作战试验评估，主要完成制定网络安全试验计划、实施网络安全试验与评估等，包括计划（试验）、准备（被试装备、陪试准备、试验条件、试验人员）和实施（攻击发起、指标设定、数据采集记录、问题解决、报告结果）等。

1.对抗性攻击试验

对抗性评估的目的是从系统外部评估其抗网络攻击的能力，使工作人员能够在预期环境中执行关键任务。

对抗性评估除在试验方案中提供的关于目标模拟网络的部分信息外，主要依托试验平台自主探测、扫描获取目标网络的网络拓扑、资产信息、信息系统、运行业务等信息。按照试验方案配置的目标、工具、资源等，开展对目标模拟网络的试验评估。其中，接入工具和威胁受到威胁接入控制子系统的控制，只有经授权的威胁、工具才能对目标模拟网络实施探测、扫描、漏洞验证、攻击等行为。典型对抗活动包括利用、控制、打击与驻留、信息窃取等^[2]。

由试验人员根据网络威胁评估报告提供的对手网络攻击手段，进行网络安全杀伤链分析，选择或设计网络安全威胁事件。主要是根据信息系统网络安全脆弱项评估报告，基于ATT&CK攻击框架中的步骤，分析对手对信息系统可能实施的典型攻击行为；

信息系统在任务背景下的潜在影响及可能的应对措施：探测、拒止、阻隔、降级、欺骗、摧毁与恢复等。目的是使网络安全试验人员对被试系统进行充分了解，熟悉信息系统结构和关键脆弱性以及脆弱性被利用后的潜在影响与应对措施等。

2.网络安全作战试验评估

由网络安全试验人员对网络安全作战试验进行评估，形成的评估报告作为装备作战试验报告的一部分或独立编制对抗性网络安全作战试验评估报告。内容主要包括网络安全装备情况、对使命任务的影响、对网络威胁的响应能力、装备能力丧失后的恢复能力等。

3.基于攻击效果的等级划分

攻击等级是指攻击开展的强度，对目标网络可能导致的潜在后果，涉及资源配置、时间分配、技战术应用等。按照《信息安全技术信息安全事件分类分级指南》（GB/Z20986-2007）对事件分类分级的定义，对网络攻击的分级主要从攻击造成的损失维度进行考虑。

网络安全试验评估系统主要从系统受到攻击后对系统本身造成的后果及影响，对攻击实施分级分类，典型系统损失包括降效、降级、致瘫、摧毁等。具体说明如下：

第一级（较小的系统损失）：造成系统短暂中断，影响系统效率，使系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除攻击事件负面影响所需付出的代价较小；

第二级（较大的系统损失）：造成系统中断，明显影响系统效率，使重要信息系统或一般信息系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除攻击事件负面影响所需付出的代价较大，但对于装备、网络、系统的影响完全可以承受；

第三级（导致严重系统损失）：造成系统长时间中断或局部瘫痪，使其业务处理能力受到较大影响，或系统关键数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除攻击事件负面影响所需付出的代价巨大，但对于装备、网络、系统的影响可承受；

第四级（导致特别重大的系统损失）：造成系统大面积瘫痪，使其丧失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除攻击事件负面影响所需付出的代价十分巨大，对于装备、网络、系统的影响不可承受。

通过对不同等级攻击事件的对抗性评估，识别、发现、验证、利用系统存在的系统、网络、应用、业务逻辑等漏洞，以评估系统在不同威胁情况下的弹性及系统受损后的恢复能力，以寻求最佳的改进建议及应对措施。

03 结束语

本文借鉴美国防部发布的安全指南，根据国内网络安全的场景，思考提出了对安全试验评估系统进行对应的改进和调整，从六个阶段调整为三个方面五个步骤。

文章不仅分析了网络安全试验的基本程序与要求，而且对调整后的方案做了详细介绍，系统地对每个步骤做了说明，为打造网络安全试验评估体系提供了有益参考。同时，对采取必要措施，防范网络攻击、侵入、干扰、破坏、非法使用和意外事故^[3]，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力也具有一定的参考意义。

参考文献

[1]https://cn-sec.com/archives/363319.html

[2]谢伟朋，薛卫等.装备网络安全试验鉴定问题初探[J].中国电子科学研究院学报，2021，11(16):1103-1112.

[3]国家市场监督管理总局,中国国家标准化管理委员会．GB/T36466-2018信息安全技术工业控制系统风险评估实施指南[S].北京:中国标准出版社，2018.

作者：王翔（北京科技大学信息化建设与管理办公室）

声明：本文来自中国教育网络，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。