安全資訊

網(wǎng)絡(luò )是信息傳輸、接收、共享的平臺，通過(guò)網(wǎng)絡(luò )設備、通信介質(zhì)等將終端設備聯(lián)系到一起，從而實(shí)現資源共享及信息協(xié)作。網(wǎng)絡(luò )安全測評是對網(wǎng)絡(luò )中網(wǎng)絡(luò )結構、功能配置、自身防護等方面的測評和分析，發(fā)現網(wǎng)絡(luò )中可能存在的安全功能缺陷、配置不安全等方面的問(wèn)題。網(wǎng)絡(luò )安全測評主要測評內容包括網(wǎng)絡(luò )結構安全、網(wǎng)絡(luò )訪(fǎng)問(wèn)控制、網(wǎng)絡(luò )安全審計、邊界完整性檢查、網(wǎng)絡(luò )入侵防范、惡意代碼防范、網(wǎng)絡(luò )設問(wèn)控制、網(wǎng)絡(luò )安全審計、邊界完整性檢查、網(wǎng)絡(luò )入侵防范、惡意代碼防范、網(wǎng)絡(luò )設備防護等方面。

一、網(wǎng)絡(luò )安全測評方法

（一）網(wǎng)絡(luò )安全測評依據

網(wǎng)絡(luò )安全測評的主要依據是各類(lèi)國家標準，與主機安全測評相類(lèi)似，主要包括以下內容。

1、《GB 17859?1999 計算機信息系統安全等級保護劃分準則》是我國信息安全測評的基礎類(lèi)標準之一，描述了計算機信息系統安全保護技術(shù)能力等級的劃分。

2、《GB/T 18336信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》等同采用國際標準ISO/IEC 15408：2005（簡(jiǎn)稱(chēng)CC），是評估信息技術(shù)產(chǎn)品和系統安全特性的基礎標準。

3、《GB/T 22239?2008 信息安全 技術(shù)信息系統安全等級保護基本要求》（以下簡(jiǎn)稱(chēng)《基本要求》）和《GB/T 28448?2012 信息安全 技術(shù)信息系統安全等級保護測評要求》（以下簡(jiǎn)稱(chēng)《測評要求》）：是國家信息安全等級保護管理制度中針對信息系統安全開(kāi)展等級測評工作的重要依據。

（二）網(wǎng)絡(luò )安全測評對象及內容

《基本要求》針對信息系統的不同安全等級對網(wǎng)絡(luò )安全提出了不同的基本要求?！稖y評要求》闡述了《基本要求》中各要求項的具體測評方法、步驟和判斷依據等，用來(lái)評定各級信息系統的安全保護措施是否符合《基本要求》。依據《測評要求》，測評過(guò)程需要針對網(wǎng)絡(luò )拓撲、路由器、防火墻、網(wǎng)關(guān)等測評對象，從網(wǎng)絡(luò )結構安全、網(wǎng)絡(luò )訪(fǎng)問(wèn)控制、網(wǎng)絡(luò )入侵防范等方面分別進(jìn)行測評

從測評對象角度來(lái)看，網(wǎng)絡(luò )安全測評應覆蓋網(wǎng)絡(luò )本身、網(wǎng)絡(luò )設備及相關(guān)的網(wǎng)絡(luò )安全機制，具體包括網(wǎng)絡(luò )拓撲、路由器、交換機、防火墻、入侵檢測系統（IDS）、入侵防御系統（IPS）、網(wǎng)關(guān)等。

從測評內容角度來(lái)看，網(wǎng)絡(luò )安全測評主要包括以下7個(gè)方面。

1、網(wǎng)絡(luò )結構安全。從網(wǎng)絡(luò )拓撲結構、網(wǎng)段劃分、帶寬分配、擁塞控制、業(yè)務(wù)承載能力等方面對網(wǎng)絡(luò )安全性進(jìn)行測評。

2、網(wǎng)絡(luò )訪(fǎng)問(wèn)控制。從網(wǎng)絡(luò )設備的訪(fǎng)問(wèn)控制策略、技術(shù)手段等方面對網(wǎng)絡(luò )安全性進(jìn)行測評。

3、網(wǎng)絡(luò )安全審計。從網(wǎng)絡(luò )審計策略、審計范圍、審計內容、審計記錄、審計日志保護等方面對網(wǎng)絡(luò )安全性進(jìn)行測評。

4、邊界完整性檢查。從網(wǎng)絡(luò )內網(wǎng)、外網(wǎng)間連接的監控與管理能力等方面對邊界完整性進(jìn)行測評。

5、網(wǎng)絡(luò )入侵防范。檢查對入侵事件的記錄情況，包括攻擊類(lèi)型、攻擊時(shí)間、源 IP、攻擊目的等。

6、惡意代碼防范。檢查網(wǎng)絡(luò )中惡意代碼防范設備的使用、部署、更新等情況。

7、網(wǎng)絡(luò )設備防護。檢查網(wǎng)絡(luò )設備的訪(fǎng)問(wèn)控制策略、身份鑒別、權限分離、數據保密、敏感信息保護等。

（三）網(wǎng)絡(luò )安全測評方式

與《主機安全測評》類(lèi)似，網(wǎng)絡(luò )安全測評也包括訪(fǎng)談、現場(chǎng)檢查和測試3種方式。

1、訪(fǎng)談是指測評人員通過(guò)引導信息系統相關(guān)人員進(jìn)行有目的（有針對性）的交流以理解、澄清或取得證據的過(guò)程。訪(fǎng)談作為安全測評的第一步，使測評人員快速地理解認識被測網(wǎng)絡(luò )。網(wǎng)絡(luò )安全訪(fǎng)談是針對網(wǎng)絡(luò )測評的內容，由測評人員對被測評網(wǎng)絡(luò )的網(wǎng)絡(luò )管理員、安全管理員、安全審計員等相關(guān)人員進(jìn)行詢(xún)問(wèn)交流，并根據收集的信息進(jìn)行網(wǎng)絡(luò )安全合規性的分析判斷。

2、現場(chǎng)檢查是指測評人員通過(guò)對測評對象（如網(wǎng)絡(luò )拓撲圖、網(wǎng)絡(luò )設備、安全配置等）進(jìn)行觀(guān)察、查驗、分析以理解、澄清或取得證據的過(guò)程。網(wǎng)絡(luò )安全現場(chǎng)檢查主要是基于訪(fǎng)談情況，依據檢查表單，對信息系統中網(wǎng)絡(luò )安全狀況進(jìn)行現場(chǎng)檢查。主要包括2個(gè)方面：一是對所提供的網(wǎng)絡(luò )安全相關(guān)技術(shù)文檔進(jìn)行檢查分析；二是依據網(wǎng)絡(luò )安全配置檢查要求，通過(guò)配置管理系統進(jìn)行安全情況檢查與分析。

3、測試是指測評人員使用預定的方法/工具使測評對象（各類(lèi)設備或安全配置）產(chǎn)生特定的結果，以將運行結果與預期的結果進(jìn)行比對的過(guò)程。測試提供了高強度的網(wǎng)絡(luò )安全檢查，為驗證測評結果提供有效支撐。網(wǎng)絡(luò )安全測試需要測評人員根據被測網(wǎng)絡(luò )的實(shí)際情況，綜合采用各類(lèi)測試工具、儀器和專(zhuān)用設備來(lái)展開(kāi)實(shí)施。

（四）網(wǎng)絡(luò )安全測評工具

開(kāi)展網(wǎng)絡(luò )安全測評的工具主要有以下類(lèi)型。

1、網(wǎng)絡(luò )設備自身提供的工具。包括設備自身支持的命令、系統自帶的網(wǎng)絡(luò )診斷工具、網(wǎng)絡(luò )管理軟件等，用于協(xié)助測評人員對網(wǎng)絡(luò )結構、網(wǎng)絡(luò )隔離和訪(fǎng)問(wèn)控制、網(wǎng)絡(luò )狀態(tài)等信息進(jìn)行有效收集。

2、網(wǎng)絡(luò )診斷設備或工具軟件。包括網(wǎng)絡(luò )拓撲掃描工具、網(wǎng)絡(luò )抓包軟件、協(xié)議分析軟件、網(wǎng)絡(luò )診斷儀等，用于探測網(wǎng)絡(luò )結構、對網(wǎng)絡(luò )性能進(jìn)行專(zhuān)業(yè)檢測或對網(wǎng)絡(luò )數據分組進(jìn)行協(xié)議格式分析和內容分析。

3、設備配置核查工具。對網(wǎng)絡(luò )設備的安全策略配置情況進(jìn)行自動(dòng)檢查，包括網(wǎng)絡(luò )設備的鑒別機制、日志策略、審計策略、數據備份和更新策略等，使用工具代替人工記錄各類(lèi)系統檢查命令的執行結果，并對結果進(jìn)行分析。

4、網(wǎng)絡(luò )攻擊測試工具。提供用于針對網(wǎng)絡(luò )開(kāi)展攻擊測試工作的工具包，可根據測試要求生成各類(lèi)攻擊包或攻擊流量，測試網(wǎng)絡(luò )是否容易遭受拒絕服務(wù)等典型網(wǎng)絡(luò )攻擊。

二、網(wǎng)絡(luò )安全測評的實(shí)施

下面詳細介紹網(wǎng)絡(luò )結構安全、網(wǎng)絡(luò )訪(fǎng)問(wèn)控制、網(wǎng)絡(luò )安全審計等7個(gè)方面的測評實(shí)施過(guò)程。網(wǎng)絡(luò )安全測評需要綜合采用訪(fǎng)談、檢查和測試的測評方式。其中，訪(fǎng)談通常是首先開(kāi)展的工作。應在測評方與被測評方充分溝通的基礎上，確定訪(fǎng)談的計劃安排，包括訪(fǎng)談部門(mén)、訪(fǎng)談對象、訪(fǎng)談時(shí)間及訪(fǎng)談配合人員等。在網(wǎng)絡(luò )安全訪(fǎng)談過(guò)程中，測評方應確保所訪(fǎng)談的信息能滿(mǎn)足網(wǎng)絡(luò )安全測評的信息采集要求，如果有信息遺漏的情況，可以安排進(jìn)行補充訪(fǎng)談，確保能獲取到所需要的信息。測評方應填寫(xiě)資料接收單，并做好資料的安全保管。網(wǎng)絡(luò )安全訪(fǎng)談中的網(wǎng)絡(luò )情況調查至少應包括網(wǎng)絡(luò )的拓撲結構、網(wǎng)絡(luò )帶寬、網(wǎng)絡(luò )接入方式、主要網(wǎng)絡(luò )設備信息（品牌、型號、物理位置、IP地址、系統版本/補丁等）、網(wǎng)絡(luò )管理方式、網(wǎng)絡(luò )管理員等信息，并根據具體的網(wǎng)絡(luò )安全測評項進(jìn)行擴充。

由于等級保護三級信息系統的重要性和廣泛代表性，這里以等級保護三級信息系統中的網(wǎng)絡(luò )安全要求為例，對測評實(shí)施過(guò)程進(jìn)行描述。其他等級系統中的網(wǎng)絡(luò )可根據對應級別的基本要求，參照此內容進(jìn)行調整，以滿(mǎn)足自身的安全測評需求。

如圖2所示，該網(wǎng)絡(luò )包含“辦公區”“財務(wù)區”“DMZ區”“服務(wù)器區”4個(gè)區域，其中， DMZ區直接與邊界防火墻相連，其他3個(gè)區域由三級交換機連接。服務(wù)器區域為被測網(wǎng)絡(luò )的重要網(wǎng)段，通過(guò)防火墻與其他區域進(jìn)行隔離。

（一）網(wǎng)絡(luò )結構安全測評

針對網(wǎng)絡(luò )結構安全方面的測評工作主要有以下12個(gè)方面。

1、訪(fǎng)談網(wǎng)絡(luò )管理員，詢(xún)問(wèn)關(guān)鍵網(wǎng)絡(luò )設備的業(yè)務(wù)處理能力是否滿(mǎn)足基本業(yè)務(wù)需求。包括詢(xún)問(wèn)信息系統中的關(guān)鍵網(wǎng)絡(luò )設備的性能，如防火墻吞吐量、分組丟失率、最大并發(fā)連接數等性能參數；詢(xún)問(wèn)目前信息系統的業(yè)務(wù)高峰網(wǎng)絡(luò )情況，如用戶(hù)訪(fǎng)問(wèn)量、網(wǎng)絡(luò )上下行流量等參數；分析判斷網(wǎng)絡(luò )設備性能情況是否滿(mǎn)足業(yè)務(wù)需求。

2、訪(fǎng)談網(wǎng)絡(luò )管理員，詢(xún)問(wèn)接入網(wǎng)絡(luò )及核心網(wǎng)絡(luò )的帶寬是否滿(mǎn)足基本業(yè)務(wù)需要。包括詢(xún)問(wèn)接入網(wǎng)絡(luò )的拓撲結構及關(guān)鍵網(wǎng)絡(luò )設備的帶寬分配情況；詢(xún)問(wèn)基本業(yè)務(wù)對帶寬的需求情況；分析判斷網(wǎng)絡(luò )帶寬是否滿(mǎn)足基本業(yè)務(wù)需求。

3、檢查網(wǎng)絡(luò )設計或驗收文檔，查看是否有滿(mǎn)足主要網(wǎng)絡(luò )設備業(yè)務(wù)處理能力需要的設計或描述。包括查看網(wǎng)絡(luò )設計或驗收文檔中是否有對網(wǎng)絡(luò )系統需要的業(yè)務(wù)處理能力進(jìn)行了描述、說(shuō)明；查看網(wǎng)絡(luò )設計或驗收文檔中是否記錄了主要網(wǎng)絡(luò )設備的性能參數，并判斷該網(wǎng)絡(luò )系統能否具備基本的業(yè)務(wù)能力。

4、檢查網(wǎng)絡(luò )設計或驗收文檔，查看是否有滿(mǎn)足接入網(wǎng)絡(luò )及核心網(wǎng)絡(luò )的帶寬業(yè)務(wù)高峰期的需要以及存不存在帶寬瓶頸等方面的設計或描述。包括查看網(wǎng)絡(luò )設計或驗收文檔中是否有對接入網(wǎng)絡(luò )和核心網(wǎng)絡(luò )的帶寬設計，是否有對業(yè)務(wù)高峰期網(wǎng)絡(luò )帶寬的預估，并結合現場(chǎng)情況判斷網(wǎng)絡(luò )系統是否能夠滿(mǎn)足業(yè)務(wù)高峰期時(shí)的需要；檢查文檔中是否有應對帶寬瓶頸等方面問(wèn)題的設計、描述和解決方案。

5、檢查邊界和主要網(wǎng)絡(luò )設備的路由控制策略，查看是否建立安全的訪(fǎng)問(wèn)路徑。包括查看路由控制設備（邊界網(wǎng)關(guān)、邊界防火墻、交換設備和認證隔離設備）；以管理員身份登錄路由控制設備的管理界面查看路由控制策略，檢查是否設置了靜態(tài)路由；查看路由控制策略，是否把重要網(wǎng)段和不安全網(wǎng)段直接連接在一起，以及是否可以使重要網(wǎng)段之間連通。

6、檢查網(wǎng)絡(luò )拓撲結構圖，查看其與當前運行的實(shí)際網(wǎng)絡(luò )系統是否一致。包括使用網(wǎng)絡(luò )拓撲掃描工具得到當前網(wǎng)絡(luò )運行拓撲圖；通過(guò)人工觀(guān)察對該拓撲圖進(jìn)行核查和調整；將該拓撲結構與設計文檔中原有的拓撲規劃結構進(jìn)行比較；核對網(wǎng)絡(luò )拓撲結構設計中體現的信息系統安全思想，并與被測單位制定的安全策略相比較。

7、檢查網(wǎng)絡(luò )設計或驗收文檔，查看是否有根據各部門(mén)的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)和網(wǎng)段分配地址段的設計和描述。包括查看網(wǎng)絡(luò )設計或驗收文檔中是否有對各子網(wǎng)和網(wǎng)段分配地址段的設計或描述；查看文檔中記錄的對網(wǎng)段進(jìn)行劃分的依據（各部門(mén)的工作職能、重要性和所涉及信息的重要程度等因素）；核查對網(wǎng)絡(luò )系統內各子網(wǎng)和網(wǎng)段的劃分是否與劃分依據相匹配，是否依照了方便管理和控制的原則進(jìn)行網(wǎng)段劃分。

8、檢查邊界和主要網(wǎng)絡(luò )設備，查看重要網(wǎng)段是否采取了技術(shù)隔離手段與其他網(wǎng)段隔離。包括根據被測單位實(shí)際情況查看其使用的技術(shù)隔離設備（網(wǎng)閘、防火墻、應用網(wǎng)關(guān)、交換設備和認證隔離設備等）；檢查網(wǎng)絡(luò )系統的重要網(wǎng)段和網(wǎng)絡(luò )邊界處是否部署技術(shù)隔離設備并啟用，如圖2所示，服務(wù)器區域作為重要網(wǎng)絡(luò )，使用了防火墻進(jìn)行區域隔離；檢查技術(shù)隔離設備，查看是否設置了特別的過(guò)濾規則來(lái)保證重要網(wǎng)段與其他網(wǎng)段之間的通信得到嚴格過(guò)濾。

9、檢查邊界和主要網(wǎng)絡(luò )設備，查看是否配置對帶寬進(jìn)行控制的策略，這些策略是否能夠保證在網(wǎng)絡(luò )發(fā)生擁堵的時(shí)候優(yōu)先保護重要業(yè)務(wù)。包括根據被測單位實(shí)際情況查看其使用的帶寬控制設備（邊界網(wǎng)關(guān)、邊界防火墻、交換設備和認證隔離設備等）；以管理員身份連接帶寬控制設備，查看是否配置了帶寬控制功能（如路由、交換設備中的QoS功能，專(zhuān)用的帶寬管理設備的配置策略等）。檢查配置的帶寬控制功能中是否設定了保護優(yōu)先級和網(wǎng)絡(luò )帶寬限制；檢查重要網(wǎng)段中的服務(wù)器、終端設備是否處在帶寬控制設備的保護下；檢查配置的保護優(yōu)先級是否與承擔業(yè)務(wù)的重要性相匹配。

10、測試業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間的訪(fǎng)問(wèn)路徑是否安全可控。包括任選若干不同網(wǎng)段的業(yè)務(wù)終端，使用命令行工具tracert追蹤由該終端到相應業(yè)務(wù)服務(wù)器的路由，確認業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間存在訪(fǎng)問(wèn)路徑；通過(guò)多次運行tracert工具的結果對比，確認終端與服務(wù)器之間的訪(fǎng)問(wèn)路徑是否遵循安全控制策略，是否為固定的可控路徑。

11、測試重要網(wǎng)段的業(yè)務(wù)終端和服務(wù)器，驗證相應的網(wǎng)絡(luò )地址與數據鏈路地址綁定措施是否有效。包括選擇若干重要網(wǎng)段的業(yè)務(wù)終端或服務(wù)器，在命令行中使用“ipconfig/all”命令（Windows操作系統）或“ifconfig”命令（Linux操作系統），查看其網(wǎng)絡(luò )地址和數據鏈路地址，核查其是否與實(shí)現地址綁定的設備中記錄的相一致；修改某臺終端或服務(wù)器的網(wǎng)絡(luò )配置參數，修改其IP地址，然后嘗試連接網(wǎng)絡(luò )系統，觀(guān)察是否可以進(jìn)行訪(fǎng)問(wèn)；暫時(shí)斷開(kāi)某臺終端或服務(wù)器與網(wǎng)絡(luò )的連接，使用一臺新的設備連入網(wǎng)絡(luò )，并配置為原設備的網(wǎng)絡(luò )參數（IP地址），然后嘗試連接網(wǎng)絡(luò )系統，觀(guān)察是否可以進(jìn)行訪(fǎng)問(wèn)；測試結束后需將進(jìn)行測試的設備恢復到測試前的狀態(tài)。

12、測試網(wǎng)絡(luò )帶寬控制策略是否有效，測試在面對異常網(wǎng)絡(luò )狀況時(shí)系統的重要業(yè)務(wù)是否能夠受到保護。包括選擇不同網(wǎng)段的終端設備，使用帶寬測試工具，得到當前設備所在網(wǎng)段的帶寬，并與帶寬控制設備中的帶寬限制記錄相比較，觀(guān)察是否一致；在網(wǎng)絡(luò )系統外部使用網(wǎng)絡(luò )攻擊測試工具進(jìn)行拒絕服務(wù)攻擊（如SYN Flood攻擊），并逐步提高攻擊強度，觀(guān)察系統內的重要業(yè)務(wù)是否會(huì )被優(yōu)先保護。

（二）網(wǎng)絡(luò )訪(fǎng)問(wèn)控制機制測評

針對網(wǎng)絡(luò )訪(fǎng)問(wèn)控制機制方面的測評工作主要有以下7個(gè)方面。

1、訪(fǎng)談網(wǎng)絡(luò )管理員，詢(xún)問(wèn)網(wǎng)絡(luò )訪(fǎng)問(wèn)控制的措施有哪些，詢(xún)問(wèn)網(wǎng)絡(luò )訪(fǎng)問(wèn)控制設備具備哪些訪(fǎng)問(wèn)控制功能。包括詢(xún)問(wèn)目前網(wǎng)絡(luò )訪(fǎng)問(wèn)控制策略及實(shí)施方案，比如靜態(tài)路由配置、IP地址與MAC地址綁定等；詢(xún)問(wèn)目前網(wǎng)絡(luò )中是否存在防火墻、應用網(wǎng)關(guān)等訪(fǎng)問(wèn)控制設備；詢(xún)問(wèn)現有訪(fǎng)問(wèn)控制設備中具備哪些訪(fǎng)問(wèn)控制功能，如遠程連接限制功能、應用層協(xié)議控制功能等。

2.檢查邊界網(wǎng)絡(luò )設備的訪(fǎng)問(wèn)控制策略，查看其是否根據會(huì )話(huà)狀態(tài)信息對數據流進(jìn)行控制，控制粒度是否為端口級。包括檢查防火墻是否開(kāi)啟了數據流控制策略，檢查防火墻是否根據會(huì )話(huà)信息中源地址、目的地址、源端口號、目的端口號、會(huì )話(huà)主機名、協(xié)議類(lèi)型等設置了數據流控制策略；檢查邊界網(wǎng)絡(luò )設備，查看其是否對進(jìn)出網(wǎng)絡(luò )的信息內容進(jìn)行過(guò)濾，實(shí)現對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制。

3、檢查邊界網(wǎng)絡(luò )設備，查看是否能設置會(huì )話(huà)處于非活躍的時(shí)間或會(huì )話(huà)結束后自動(dòng)終止網(wǎng)絡(luò )連接；查看是否能設置網(wǎng)絡(luò )最大流量數及網(wǎng)絡(luò )連接數。包括檢查被測網(wǎng)絡(luò )防火墻是否對會(huì )話(huà)處于非活躍的時(shí)間或會(huì )話(huà)結束后自動(dòng)終止網(wǎng)絡(luò )連接的功能進(jìn)行啟用，如沒(méi)有啟動(dòng)則不符合檢查要求；登錄被測網(wǎng)絡(luò )防火墻，在修改帶寬通道中查看用戶(hù)帶寬、連接數限制配置等，如果被測網(wǎng)絡(luò )僅對用戶(hù)帶寬做了限制，并未對整體帶寬及網(wǎng)絡(luò )連接數進(jìn)行限制，則不符合檢查要求。

4、檢查邊界和主要網(wǎng)絡(luò )設備地址綁定配置，查看重要網(wǎng)段是否采取了地址綁定的措施。包括根據被測單位實(shí)際情況查看其使用的實(shí)現地址綁定的設備（防火墻、路由設備、應用網(wǎng)關(guān)、交換設備和認證隔離設備等）；以管理員身份登錄相關(guān)設備，查看是否配置了對IP地址和MAC地址的綁定；查看已綁定的地址中是否將重要網(wǎng)段中的服務(wù)器、終端全部包含在內。

5、檢查邊界網(wǎng)絡(luò )設備的撥號用戶(hù)列表，查看其是否對具有撥號訪(fǎng)問(wèn)權限的用戶(hù)數量進(jìn)行限制。主要包括防火墻、網(wǎng)絡(luò )認證隔離設備、網(wǎng)閘和交換機等類(lèi)型的設備。以管理員身份登錄邊界網(wǎng)絡(luò )設備，查看是否配置了正確的撥號訪(fǎng)問(wèn)控制列表，查看是否配置了撥號訪(fǎng)問(wèn)權限的用戶(hù)數量限制。

6、測試邊界網(wǎng)絡(luò )設備，可通過(guò)試圖訪(fǎng)問(wèn)未授權的資源，驗證訪(fǎng)問(wèn)控制措施對未授權的訪(fǎng)問(wèn)行為的控制是否有效，控制粒度是否為單個(gè)用戶(hù)。包括使用外網(wǎng)未授權的用戶(hù)對系統內網(wǎng)終端進(jìn)行通信，以未授權的用戶(hù)身份向內網(wǎng)發(fā)送ICMP請求，查看防火墻是否對其進(jìn)行阻止。

7、對網(wǎng)絡(luò )訪(fǎng)問(wèn)控制措施進(jìn)行滲透測試，可通過(guò)采用多種滲透測試技術(shù)驗證網(wǎng)絡(luò )訪(fǎng)問(wèn)控制措施是否不存在漏洞。如使用http隧道測試工具，從外網(wǎng)對內網(wǎng)進(jìn)行測試，查看防火墻是否能夠發(fā)現、阻止該滲透行為。

（三）網(wǎng)絡(luò )安全審計機制測評

針對網(wǎng)絡(luò )安全審計機制方面的測評工作主要有以下4個(gè)方面。

1、檢查邊界和主要網(wǎng)絡(luò )設備的安全審計策略，查看是否包含網(wǎng)絡(luò )系統中的網(wǎng)絡(luò )設備運行狀況、網(wǎng)絡(luò )流量、用戶(hù)行為等。包括以管理員身份登錄被測網(wǎng)絡(luò )防火墻，查看防火墻的運行狀況（包括CPU使用率、內存使用率、當前會(huì )話(huà)數、最大連接數和接口速率等信息）；以管理員身份登錄被測網(wǎng)絡(luò )防火墻，查看防火墻的網(wǎng)絡(luò )流量記錄情況（接口速率、收發(fā)分組數等），確認防火墻記錄了各個(gè)接口網(wǎng)絡(luò )流量相關(guān)信息；以管理員身份登錄被測網(wǎng)絡(luò )防火墻，查看操作防火墻時(shí)的各種行為及這些操作發(fā)生的時(shí)間，確認可以從防火墻日志中查詢(xún)相關(guān)操作記錄。

2、檢查邊界和網(wǎng)絡(luò )設備，查看事件審計記錄是否包含事件的日期、時(shí)間、用戶(hù)、事件類(lèi)型和事件成功情況，以及其他與審計相關(guān)的信息。包括以管理員身份進(jìn)入審計系統管理界面，查看審計記錄。如果審計記錄含有記錄時(shí)間、用戶(hù)、事件類(lèi)型和事件結果等信息，則符合檢查要求。

3、檢查邊界和主要網(wǎng)絡(luò )設備，查看是否為授權用戶(hù)瀏覽和分析審計數據提供專(zhuān)門(mén)的審計工具，并能根據需要生成審計報表。包括以管理員身份進(jìn)入審計系統管理界面，查看是否為管理員提供了瀏覽和查詢(xún)工具（如對審計記錄進(jìn)行分類(lèi)、排序、查詢(xún)、統計、分析和組合查詢(xún)等功能），用以查看該防火墻審計系統記錄的各種事件，如“入侵攻擊事件”和“郵件過(guò)濾事件”等；以管理員身份進(jìn)入審計系統管理界面，查看是否具有對審計數據進(jìn)行綜合統計分析并生成審計報表的功能。

4、測試邊界和網(wǎng)絡(luò )設備，可通過(guò)以某個(gè)非審計用戶(hù)試圖刪除、修改或覆蓋審計記錄，驗證安全審計的保護情況與要求是否一致。包括以非審計用戶(hù)身份登錄網(wǎng)絡(luò )設備；嘗試刪除系統的審計日志記錄，查看系統是否對其進(jìn)行阻止；嘗試修改系統的審計日志記錄，查看系統是否對其進(jìn)行阻止；嘗試覆蓋系統的審計日志記錄，查看系統是否對其進(jìn)行阻止。

（四）邊界完整性機制測評

針對邊界完整性機制方面的測評工作主要有以下3個(gè)方面。

1、檢查邊界完整性檢查設備，查看是否設置了對非法連接到內網(wǎng)和非法連接到外網(wǎng)的行為進(jìn)行監控并有效阻斷的配置。以微軟Forefront TMG2010為例，使用授權用戶(hù)登錄防火墻后，檢查設備的網(wǎng)絡(luò )行為是否被監控，如圖3所示，“WIN-EL00JP64T87”正處于監視之中，該服務(wù)器已創(chuàng )建了安全網(wǎng)絡(luò )地址轉換Security NAT和網(wǎng)頁(yè)代理Web Proxy 2個(gè)會(huì )話(huà)，后者是訪(fǎng)問(wèn)互聯(lián)網(wǎng)的會(huì )話(huà)記錄，符合檢查要求。

2、測試邊界完整性檢查設備，測試是否能夠及時(shí)發(fā)現非法外聯(lián)的設備，是否能確定出非法外聯(lián)設備的位置，并對其進(jìn)行有效阻斷。

3、測試邊界完整性檢查設備，測試是否能夠對非授權設備私自接入內部網(wǎng)絡(luò )的行為進(jìn)行檢查，并準確定出位置，對其進(jìn)行有效阻斷。

（五）網(wǎng)絡(luò )入侵防范機制測評

針對網(wǎng)絡(luò )入侵防范機制方面的測評工作主要有以下4個(gè)方面。

1、檢查網(wǎng)絡(luò )入侵防范設備，查看是否能檢測以下攻擊行為：端口掃描、強力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò )蠕蟲(chóng)攻擊等。目前，很多防火墻都具備了成熟的入侵檢測功能，所以只需通過(guò)防火墻的入侵檢測配置頁(yè)面檢查即可。以管理員身份登錄被測網(wǎng)絡(luò )防火墻，進(jìn)入防火墻攻擊防范配置界面，查看防火墻能夠防范的網(wǎng)絡(luò )攻擊類(lèi)型，與上述要求進(jìn)行比對。

2、檢查網(wǎng)絡(luò )入侵防范設備，查看入侵事件記錄中是否包括入侵的源 IP、攻擊的類(lèi)型、攻擊的目的、攻擊的時(shí)間等。

3、檢查網(wǎng)絡(luò )入侵防范設備的規則庫版本，查看其規則庫是否及時(shí)更新。

4、測試網(wǎng)絡(luò )入侵防范設備，驗證其檢測策略和報警策略是否有效。通過(guò)模擬常見(jiàn)的掃描類(lèi)攻擊，探測目標設備端口的工作狀態(tài)，檢查網(wǎng)絡(luò )入侵防范設備的響應情況。

（六）惡意代碼防范機制測評

針對惡意代碼防范機制方面的測評工作主要有以下4個(gè)方面。

1、檢查設計/驗收文檔，查看在網(wǎng)絡(luò )邊界及核心業(yè)務(wù)網(wǎng)段處是否部署了惡意代碼防范措施（如防病毒網(wǎng)關(guān)），惡意代碼防范產(chǎn)品是否有實(shí)時(shí)更新的功能描述。

2、檢查惡意代碼防范產(chǎn)品，查看是否為正規廠(chǎng)商生產(chǎn)，運行是否正常，惡意代碼庫是否為最新版本。

3、檢查惡意代碼防范產(chǎn)品的運行日志，查看是否持續運行。

4、檢查惡意代碼防范產(chǎn)品的配置策略，查看是否支持惡意代碼防范的統一管理。

（七）網(wǎng)絡(luò )設備防護機制測評

針對網(wǎng)絡(luò )設備防護機制方面的測評工作主要有以下10個(gè)方面。

1、檢查邊界和主要網(wǎng)絡(luò )設備的防護策略，查看是否配置了登錄用戶(hù)身份鑒別功能。打開(kāi)網(wǎng)絡(luò )設備管理員登錄界面，如果設置了登錄用戶(hù)身份鑒別功能，則會(huì )提示要求輸入用戶(hù)名密碼或其他認證憑據，分別用錯誤和正確的方式進(jìn)行登錄，確認設備能否正確判別。

2、檢查邊界和主要網(wǎng)絡(luò )設備的防護策略，查看是否對網(wǎng)絡(luò )設備的登錄地址進(jìn)行了限制。如以管理員身份登錄防火墻管理界面，在登錄地址限制中檢查是否有設置允許登錄的 MAC地址（或IP地址）。

3、檢查邊界和主要網(wǎng)絡(luò )設備的賬戶(hù)列表，查看用戶(hù)標識是否唯一。

4、檢查邊界和主要網(wǎng)絡(luò )設備，查看是否對同一用戶(hù)選擇2種或2種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別。

5、檢查邊界和主要網(wǎng)絡(luò )設備的防護策略，查看其口令設置是否有復雜度和定期修改要求。

6、檢查邊界和主要網(wǎng)絡(luò )設備，查看是否配置了鑒別失敗處理功能，包括結束會(huì )話(huà)、限制非法登錄次數、登錄連接超時(shí)自動(dòng)退出等。

7、檢查邊界和主要網(wǎng)絡(luò )設備，查看是否配置了對設備遠程管理所產(chǎn)生的鑒別信息進(jìn)行保護的功能?？赏ㄟ^(guò)遠程管理登錄是否采用加密通信進(jìn)行驗證，如果使用了加密通信（如https協(xié)議），則為其實(shí)施了信息保護。

8、檢查邊界和主要網(wǎng)絡(luò )設備的管理設置，查看是否實(shí)現了設備特權用戶(hù)的權限分離。

9、測試邊界和主要網(wǎng)絡(luò )設備的安全設置，驗證鑒別失敗處理措施是否有效。包括嘗試用錯誤的用戶(hù)名和密碼進(jìn)行登錄，檢查驗證鑒別失敗處理措施的有效性；嘗試多次非法的登錄行為，查看設備的動(dòng)作，以驗證是否對非法登錄次數進(jìn)行了限制；嘗試使用任意地址登錄，觀(guān)察設備的動(dòng)作，以驗證是否對管理員登錄地址進(jìn)行了限制；嘗試長(cháng)時(shí)間連接無(wú)任何操作，觀(guān)察設備的動(dòng)作，以驗證是否設置了網(wǎng)絡(luò )登錄連接超時(shí)的自動(dòng)退出策略；對邊界和主要網(wǎng)絡(luò )設備進(jìn)行滲透測試，通過(guò)使用各種滲透測試技術(shù)（如口令猜解等），驗證設備防護能力是否符合要求。

10、測試網(wǎng)絡(luò )設備是否存在安全漏洞和隱患?？墒褂肗map等掃描工具對網(wǎng)絡(luò )設備進(jìn)行信息采集；使用Nessus漏洞掃描器對網(wǎng)絡(luò )設備進(jìn)行掃描，探測設備的漏洞情況；對網(wǎng)絡(luò )設備進(jìn)行口令猜解，如采用Medusa對網(wǎng)絡(luò )設備telnet密碼進(jìn)行暴力破解；針對不同網(wǎng)絡(luò )設備漏洞進(jìn)行漏洞利用測試，驗證設備是否存在已知的嚴重安全漏洞。

三、結語(yǔ)

本文介紹了網(wǎng)絡(luò )安全測評的內容、方法和實(shí)施過(guò)程，并重點(diǎn)參照等級保護三級信息系統的網(wǎng)絡(luò )安全測評要求，針對網(wǎng)絡(luò )中主要網(wǎng)絡(luò )設備和安全機制，從網(wǎng)絡(luò )安全結構、網(wǎng)絡(luò )訪(fǎng)問(wèn)控制、網(wǎng)絡(luò )安全審計、邊界完整性檢查、網(wǎng)絡(luò )入侵防范、惡意代碼防范、網(wǎng)絡(luò )設備防護等方面介紹了網(wǎng)絡(luò )安全測評的具體工作。