網(wǎng)絡(luò)是信息傳輸、接收、共享的平臺，通過網(wǎng)絡(luò)設(shè)備、通信介質(zhì)等將終端設(shè)備聯(lián)系到一起，從而實現(xiàn)資源共享及信息協(xié)作。網(wǎng)絡(luò)安全測評是對網(wǎng)絡(luò)中網(wǎng)絡(luò)結(jié)構(gòu)、功能配置、自身防護(hù)等方面的測評和分析，發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的安全功能缺陷、配置不安全等方面的問題。網(wǎng)絡(luò)安全測評主要測評內(nèi)容包括網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)問控制、網(wǎng)絡(luò)安全審計、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等方面。

一、網(wǎng)絡(luò)安全測評方法

（一）網(wǎng)絡(luò)安全測評依據(jù)

網(wǎng)絡(luò)安全測評的主要依據(jù)是各類國家標(biāo)準(zhǔn)，與主機安全測評相類似，主要包括以下內(nèi)容。

1、《GB 17859?1999 計算機信息系統(tǒng)安全等級保護(hù)劃分準(zhǔn)則》是我國信息安全測評的基礎(chǔ)類標(biāo)準(zhǔn)之一，描述了計算機信息系統(tǒng)安全保護(hù)技術(shù)能力等級的劃分。

2、《GB/T 18336信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則》等同采用國際標(biāo)準(zhǔn)ISO/IEC 15408：2005（簡稱CC），是評估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)標(biāo)準(zhǔn)。

3、《GB/T 22239?2008 信息安全 技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》（以下簡稱《基本要求》）和《GB/T 28448?2012 信息安全 技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》（以下簡稱《測評要求》）：是國家信息安全等級保護(hù)管理制度中針對信息系統(tǒng)安全開展等級測評工作的重要依據(jù)。

（二）網(wǎng)絡(luò)安全測評對象及內(nèi)容

《基本要求》針對信息系統(tǒng)的不同安全等級對網(wǎng)絡(luò)安全提出了不同的基本要求?！稖y評要求》闡述了《基本要求》中各要求項的具體測評方法、步驟和判斷依據(jù)等，用來評定各級信息系統(tǒng)的安全保護(hù)措施是否符合《基本要求》。依據(jù)《測評要求》，測評過程需要針對網(wǎng)絡(luò)拓?fù)?、路由器、防火墻、網(wǎng)關(guān)等測評對象，從網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)入侵防范等方面分別進(jìn)行測評

從測評對象角度來看，網(wǎng)絡(luò)安全測評應(yīng)覆蓋網(wǎng)絡(luò)本身、網(wǎng)絡(luò)設(shè)備及相關(guān)的網(wǎng)絡(luò)安全機制，具體包括網(wǎng)絡(luò)拓?fù)?、路由器、交換機、防火墻、入侵檢測系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）、網(wǎng)關(guān)等。

從測評內(nèi)容角度來看，網(wǎng)絡(luò)安全測評主要包括以下7個方面。

1、網(wǎng)絡(luò)結(jié)構(gòu)安全。從網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)段劃分、帶寬分配、擁塞控制、業(yè)務(wù)承載能力等方面對網(wǎng)絡(luò)安全性進(jìn)行測評。

2、網(wǎng)絡(luò)訪問控制。從網(wǎng)絡(luò)設(shè)備的訪問控制策略、技術(shù)手段等方面對網(wǎng)絡(luò)安全性進(jìn)行測評。

3、網(wǎng)絡(luò)安全審計。從網(wǎng)絡(luò)審計策略、審計范圍、審計內(nèi)容、審計記錄、審計日志保護(hù)等方面對網(wǎng)絡(luò)安全性進(jìn)行測評。

4、邊界完整性檢查。從網(wǎng)絡(luò)內(nèi)網(wǎng)、外網(wǎng)間連接的監(jiān)控與管理能力等方面對邊界完整性進(jìn)行測評。

5、網(wǎng)絡(luò)入侵防范。檢查對入侵事件的記錄情況，包括攻擊類型、攻擊時間、源 IP、攻擊目的等。

6、惡意代碼防范。檢查網(wǎng)絡(luò)中惡意代碼防范設(shè)備的使用、部署、更新等情況。

7、網(wǎng)絡(luò)設(shè)備防護(hù)。檢查網(wǎng)絡(luò)設(shè)備的訪問控制策略、身份鑒別、權(quán)限分離、數(shù)據(jù)保密、敏感信息保護(hù)等。

（三）網(wǎng)絡(luò)安全測評方式

與《主機安全測評》類似，網(wǎng)絡(luò)安全測評也包括訪談、現(xiàn)場檢查和測試3種方式。

1、訪談是指測評人員通過引導(dǎo)信息系統(tǒng)相關(guān)人員進(jìn)行有目的（有針對性）的交流以理解、澄清或取得證據(jù)的過程。訪談作為安全測評的第一步，使測評人員快速地理解認(rèn)識被測網(wǎng)絡(luò)。網(wǎng)絡(luò)安全訪談是針對網(wǎng)絡(luò)測評的內(nèi)容，由測評人員對被測評網(wǎng)絡(luò)的網(wǎng)絡(luò)管理員、安全管理員、安全審計員等相關(guān)人員進(jìn)行詢問交流，并根據(jù)收集的信息進(jìn)行網(wǎng)絡(luò)安全合規(guī)性的分析判斷。

2、現(xiàn)場檢查是指測評人員通過對測評對象（如網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)設(shè)備、安全配置等）進(jìn)行觀察、查驗、分析以理解、澄清或取得證據(jù)的過程。網(wǎng)絡(luò)安全現(xiàn)場檢查主要是基于訪談情況，依據(jù)檢查表單，對信息系統(tǒng)中網(wǎng)絡(luò)安全狀況進(jìn)行現(xiàn)場檢查。主要包括2個方面：一是對所提供的網(wǎng)絡(luò)安全相關(guān)技術(shù)文檔進(jìn)行檢查分析；二是依據(jù)網(wǎng)絡(luò)安全配置檢查要求，通過配置管理系統(tǒng)進(jìn)行安全情況檢查與分析。

3、測試是指測評人員使用預(yù)定的方法/工具使測評對象（各類設(shè)備或安全配置）產(chǎn)生特定的結(jié)果，以將運行結(jié)果與預(yù)期的結(jié)果進(jìn)行比對的過程。測試提供了高強度的網(wǎng)絡(luò)安全檢查，為驗證測評結(jié)果提供有效支撐。網(wǎng)絡(luò)安全測試需要測評人員根據(jù)被測網(wǎng)絡(luò)的實際情況，綜合采用各類測試工具、儀器和專用設(shè)備來展開實施。

（四）網(wǎng)絡(luò)安全測評工具

開展網(wǎng)絡(luò)安全測評的工具主要有以下類型。

1、網(wǎng)絡(luò)設(shè)備自身提供的工具。包括設(shè)備自身支持的命令、系統(tǒng)自帶的網(wǎng)絡(luò)診斷工具、網(wǎng)絡(luò)管理軟件等，用于協(xié)助測評人員對網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)隔離和訪問控制、網(wǎng)絡(luò)狀態(tài)等信息進(jìn)行有效收集。

2、網(wǎng)絡(luò)診斷設(shè)備或工具軟件。包括網(wǎng)絡(luò)拓?fù)鋻呙韫ぞ摺⒕W(wǎng)絡(luò)抓包軟件、協(xié)議分析軟件、網(wǎng)絡(luò)診斷儀等，用于探測網(wǎng)絡(luò)結(jié)構(gòu)、對網(wǎng)絡(luò)性能進(jìn)行專業(yè)檢測或?qū)W(wǎng)絡(luò)數(shù)據(jù)分組進(jìn)行協(xié)議格式分析和內(nèi)容分析。

3、設(shè)備配置核查工具。對網(wǎng)絡(luò)設(shè)備的安全策略配置情況進(jìn)行自動檢查，包括網(wǎng)絡(luò)設(shè)備的鑒別機制、日志策略、審計策略、數(shù)據(jù)備份和更新策略等，使用工具代替人工記錄各類系統(tǒng)檢查命令的執(zhí)行結(jié)果，并對結(jié)果進(jìn)行分析。

4、網(wǎng)絡(luò)攻擊測試工具。提供用于針對網(wǎng)絡(luò)開展攻擊測試工作的工具包，可根據(jù)測試要求生成各類攻擊包或攻擊流量，測試網(wǎng)絡(luò)是否容易遭受拒絕服務(wù)等典型網(wǎng)絡(luò)攻擊。

二、網(wǎng)絡(luò)安全測評的實施

下面詳細(xì)介紹網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計等7個方面的測評實施過程。網(wǎng)絡(luò)安全測評需要綜合采用訪談、檢查和測試的測評方式。其中，訪談通常是首先開展的工作。應(yīng)在測評方與被測評方充分溝通的基礎(chǔ)上，確定訪談的計劃安排，包括訪談部門、訪談對象、訪談時間及訪談配合人員等。在網(wǎng)絡(luò)安全訪談過程中，測評方應(yīng)確保所訪談的信息能滿足網(wǎng)絡(luò)安全測評的信息采集要求，如果有信息遺漏的情況，可以安排進(jìn)行補充訪談，確保能獲取到所需要的信息。測評方應(yīng)填寫資料接收單，并做好資料的安全保管。網(wǎng)絡(luò)安全訪談中的網(wǎng)絡(luò)情況調(diào)查至少應(yīng)包括網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)接入方式、主要網(wǎng)絡(luò)設(shè)備信息（品牌、型號、物理位置、IP地址、系統(tǒng)版本/補丁等）、網(wǎng)絡(luò)管理方式、網(wǎng)絡(luò)管理員等信息，并根據(jù)具體的網(wǎng)絡(luò)安全測評項進(jìn)行擴(kuò)充。

由于等級保護(hù)三級信息系統(tǒng)的重要性和廣泛代表性，這里以等級保護(hù)三級信息系統(tǒng)中的網(wǎng)絡(luò)安全要求為例，對測評實施過程進(jìn)行描述。其他等級系統(tǒng)中的網(wǎng)絡(luò)可根據(jù)對應(yīng)級別的基本要求，參照此內(nèi)容進(jìn)行調(diào)整，以滿足自身的安全測評需求。

如圖2所示，該網(wǎng)絡(luò)包含“辦公區(qū)”“財務(wù)區(qū)”“DMZ區(qū)”“服務(wù)器區(qū)”4個區(qū)域，其中， DMZ區(qū)直接與邊界防火墻相連，其他3個區(qū)域由三級交換機連接。服務(wù)器區(qū)域為被測網(wǎng)絡(luò)的重要網(wǎng)段，通過防火墻與其他區(qū)域進(jìn)行隔離。

（一）網(wǎng)絡(luò)結(jié)構(gòu)安全測評

針對網(wǎng)絡(luò)結(jié)構(gòu)安全方面的測評工作主要有以下12個方面。

1、訪談網(wǎng)絡(luò)管理員，詢問關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力是否滿足基本業(yè)務(wù)需求。包括詢問信息系統(tǒng)中的關(guān)鍵網(wǎng)絡(luò)設(shè)備的性能，如防火墻吞吐量、分組丟失率、最大并發(fā)連接數(shù)等性能參數(shù)；詢問目前信息系統(tǒng)的業(yè)務(wù)高峰網(wǎng)絡(luò)情況，如用戶訪問量、網(wǎng)絡(luò)上下行流量等參數(shù)；分析判斷網(wǎng)絡(luò)設(shè)備性能情況是否滿足業(yè)務(wù)需求。

2、訪談網(wǎng)絡(luò)管理員，詢問接入網(wǎng)絡(luò)及核心網(wǎng)絡(luò)的帶寬是否滿足基本業(yè)務(wù)需要。包括詢問接入網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及關(guān)鍵網(wǎng)絡(luò)設(shè)備的帶寬分配情況；詢問基本業(yè)務(wù)對帶寬的需求情況；分析判斷網(wǎng)絡(luò)帶寬是否滿足基本業(yè)務(wù)需求。

3、檢查網(wǎng)絡(luò)設(shè)計或驗收文檔，查看是否有滿足主要網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力需要的設(shè)計或描述。包括查看網(wǎng)絡(luò)設(shè)計或驗收文檔中是否有對網(wǎng)絡(luò)系統(tǒng)需要的業(yè)務(wù)處理能力進(jìn)行了描述、說明；查看網(wǎng)絡(luò)設(shè)計或驗收文檔中是否記錄了主要網(wǎng)絡(luò)設(shè)備的性能參數(shù)，并判斷該網(wǎng)絡(luò)系統(tǒng)能否具備基本的業(yè)務(wù)能力。

4、檢查網(wǎng)絡(luò)設(shè)計或驗收文檔，查看是否有滿足接入網(wǎng)絡(luò)及核心網(wǎng)絡(luò)的帶寬業(yè)務(wù)高峰期的需要以及存不存在帶寬瓶頸等方面的設(shè)計或描述。包括查看網(wǎng)絡(luò)設(shè)計或驗收文檔中是否有對接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬設(shè)計，是否有對業(yè)務(wù)高峰期網(wǎng)絡(luò)帶寬的預(yù)估，并結(jié)合現(xiàn)場情況判斷網(wǎng)絡(luò)系統(tǒng)是否能夠滿足業(yè)務(wù)高峰期時的需要；檢查文檔中是否有應(yīng)對帶寬瓶頸等方面問題的設(shè)計、描述和解決方案。

5、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的路由控制策略，查看是否建立安全的訪問路徑。包括查看路由控制設(shè)備（邊界網(wǎng)關(guān)、邊界防火墻、交換設(shè)備和認(rèn)證隔離設(shè)備）；以管理員身份登錄路由控制設(shè)備的管理界面查看路由控制策略，檢查是否設(shè)置了靜態(tài)路由；查看路由控制策略，是否把重要網(wǎng)段和不安全網(wǎng)段直接連接在一起，以及是否可以使重要網(wǎng)段之間連通。

6、檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，查看其與當(dāng)前運行的實際網(wǎng)絡(luò)系統(tǒng)是否一致。包括使用網(wǎng)絡(luò)拓?fù)鋻呙韫ぞ叩玫疆?dāng)前網(wǎng)絡(luò)運行拓?fù)鋱D；通過人工觀察對該拓?fù)鋱D進(jìn)行核查和調(diào)整；將該拓?fù)浣Y(jié)構(gòu)與設(shè)計文檔中原有的拓?fù)湟?guī)劃結(jié)構(gòu)進(jìn)行比較；核對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計中體現(xiàn)的信息系統(tǒng)安全思想，并與被測單位制定的安全策略相比較。

7、檢查網(wǎng)絡(luò)設(shè)計或驗收文檔，查看是否有根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)和網(wǎng)段分配地址段的設(shè)計和描述。包括查看網(wǎng)絡(luò)設(shè)計或驗收文檔中是否有對各子網(wǎng)和網(wǎng)段分配地址段的設(shè)計或描述；查看文檔中記錄的對網(wǎng)段進(jìn)行劃分的依據(jù)（各部門的工作職能、重要性和所涉及信息的重要程度等因素）；核查對網(wǎng)絡(luò)系統(tǒng)內(nèi)各子網(wǎng)和網(wǎng)段的劃分是否與劃分依據(jù)相匹配，是否依照了方便管理和控制的原則進(jìn)行網(wǎng)段劃分。

8、檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看重要網(wǎng)段是否采取了技術(shù)隔離手段與其他網(wǎng)段隔離。包括根據(jù)被測單位實際情況查看其使用的技術(shù)隔離設(shè)備（網(wǎng)閘、防火墻、應(yīng)用網(wǎng)關(guān)、交換設(shè)備和認(rèn)證隔離設(shè)備等）；檢查網(wǎng)絡(luò)系統(tǒng)的重要網(wǎng)段和網(wǎng)絡(luò)邊界處是否部署技術(shù)隔離設(shè)備并啟用，如圖2所示，服務(wù)器區(qū)域作為重要網(wǎng)絡(luò)，使用了防火墻進(jìn)行區(qū)域隔離；檢查技術(shù)隔離設(shè)備，查看是否設(shè)置了特別的過濾規(guī)則來保證重要網(wǎng)段與其他網(wǎng)段之間的通信得到嚴(yán)格過濾。

9、檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否配置對帶寬進(jìn)行控制的策略，這些策略是否能夠保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護(hù)重要業(yè)務(wù)。包括根據(jù)被測單位實際情況查看其使用的帶寬控制設(shè)備（邊界網(wǎng)關(guān)、邊界防火墻、交換設(shè)備和認(rèn)證隔離設(shè)備等）；以管理員身份連接帶寬控制設(shè)備，查看是否配置了帶寬控制功能（如路由、交換設(shè)備中的QoS功能，專用的帶寬管理設(shè)備的配置策略等）。檢查配置的帶寬控制功能中是否設(shè)定了保護(hù)優(yōu)先級和網(wǎng)絡(luò)帶寬限制；檢查重要網(wǎng)段中的服務(wù)器、終端設(shè)備是否處在帶寬控制設(shè)備的保護(hù)下；檢查配置的保護(hù)優(yōu)先級是否與承擔(dān)業(yè)務(wù)的重要性相匹配。

10、測試業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間的訪問路徑是否安全可控。包括任選若干不同網(wǎng)段的業(yè)務(wù)終端，使用命令行工具tracert追蹤由該終端到相應(yīng)業(yè)務(wù)服務(wù)器的路由，確認(rèn)業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間存在訪問路徑；通過多次運行tracert工具的結(jié)果對比，確認(rèn)終端與服務(wù)器之間的訪問路徑是否遵循安全控制策略，是否為固定的可控路徑。

11、測試重要網(wǎng)段的業(yè)務(wù)終端和服務(wù)器，驗證相應(yīng)的網(wǎng)絡(luò)地址與數(shù)據(jù)鏈路地址綁定措施是否有效。包括選擇若干重要網(wǎng)段的業(yè)務(wù)終端或服務(wù)器，在命令行中使用“ipconfig/all”命令（Windows操作系統(tǒng)）或“ifconfig”命令（Linux操作系統(tǒng)），查看其網(wǎng)絡(luò)地址和數(shù)據(jù)鏈路地址，核查其是否與實現(xiàn)地址綁定的設(shè)備中記錄的相一致；修改某臺終端或服務(wù)器的網(wǎng)絡(luò)配置參數(shù)，修改其IP地址，然后嘗試連接網(wǎng)絡(luò)系統(tǒng)，觀察是否可以進(jìn)行訪問；暫時斷開某臺終端或服務(wù)器與網(wǎng)絡(luò)的連接，使用一臺新的設(shè)備連入網(wǎng)絡(luò)，并配置為原設(shè)備的網(wǎng)絡(luò)參數(shù)（IP地址），然后嘗試連接網(wǎng)絡(luò)系統(tǒng)，觀察是否可以進(jìn)行訪問；測試結(jié)束后需將進(jìn)行測試的設(shè)備恢復(fù)到測試前的狀態(tài)。

12、測試網(wǎng)絡(luò)帶寬控制策略是否有效，測試在面對異常網(wǎng)絡(luò)狀況時系統(tǒng)的重要業(yè)務(wù)是否能夠受到保護(hù)。包括選擇不同網(wǎng)段的終端設(shè)備，使用帶寬測試工具，得到當(dāng)前設(shè)備所在網(wǎng)段的帶寬，并與帶寬控制設(shè)備中的帶寬限制記錄相比較，觀察是否一致；在網(wǎng)絡(luò)系統(tǒng)外部使用網(wǎng)絡(luò)攻擊測試工具進(jìn)行拒絕服務(wù)攻擊（如SYN Flood攻擊），并逐步提高攻擊強度，觀察系統(tǒng)內(nèi)的重要業(yè)務(wù)是否會被優(yōu)先保護(hù)。

（二）網(wǎng)絡(luò)訪問控制機制測評

針對網(wǎng)絡(luò)訪問控制機制方面的測評工作主要有以下7個方面。

1、訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)絡(luò)訪問控制的措施有哪些，詢問網(wǎng)絡(luò)訪問控制設(shè)備具備哪些訪問控制功能。包括詢問目前網(wǎng)絡(luò)訪問控制策略及實施方案，比如靜態(tài)路由配置、IP地址與MAC地址綁定等；詢問目前網(wǎng)絡(luò)中是否存在防火墻、應(yīng)用網(wǎng)關(guān)等訪問控制設(shè)備；詢問現(xiàn)有訪問控制設(shè)備中具備哪些訪問控制功能，如遠(yuǎn)程連接限制功能、應(yīng)用層協(xié)議控制功能等。

2.檢查邊界網(wǎng)絡(luò)設(shè)備的訪問控制策略，查看其是否根據(jù)會話狀態(tài)信息對數(shù)據(jù)流進(jìn)行控制，控制粒度是否為端口級。包括檢查防火墻是否開啟了數(shù)據(jù)流控制策略，檢查防火墻是否根據(jù)會話信息中源地址、目的地址、源端口號、目的端口號、會話主機名、協(xié)議類型等設(shè)置了數(shù)據(jù)流控制策略；檢查邊界網(wǎng)絡(luò)設(shè)備，查看其是否對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制。

3、檢查邊界網(wǎng)絡(luò)設(shè)備，查看是否能設(shè)置會話處于非活躍的時間或會話結(jié)束后自動終止網(wǎng)絡(luò)連接；查看是否能設(shè)置網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。包括檢查被測網(wǎng)絡(luò)防火墻是否對會話處于非活躍的時間或會話結(jié)束后自動終止網(wǎng)絡(luò)連接的功能進(jìn)行啟用，如沒有啟動則不符合檢查要求；登錄被測網(wǎng)絡(luò)防火墻，在修改帶寬通道中查看用戶帶寬、連接數(shù)限制配置等，如果被測網(wǎng)絡(luò)僅對用戶帶寬做了限制，并未對整體帶寬及網(wǎng)絡(luò)連接數(shù)進(jìn)行限制，則不符合檢查要求。

4、檢查邊界和主要網(wǎng)絡(luò)設(shè)備地址綁定配置，查看重要網(wǎng)段是否采取了地址綁定的措施。包括根據(jù)被測單位實際情況查看其使用的實現(xiàn)地址綁定的設(shè)備（防火墻、路由設(shè)備、應(yīng)用網(wǎng)關(guān)、交換設(shè)備和認(rèn)證隔離設(shè)備等）；以管理員身份登錄相關(guān)設(shè)備，查看是否配置了對IP地址和MAC地址的綁定；查看已綁定的地址中是否將重要網(wǎng)段中的服務(wù)器、終端全部包含在內(nèi)。

5、檢查邊界網(wǎng)絡(luò)設(shè)備的撥號用戶列表，查看其是否對具有撥號訪問權(quán)限的用戶數(shù)量進(jìn)行限制。主要包括防火墻、網(wǎng)絡(luò)認(rèn)證隔離設(shè)備、網(wǎng)閘和交換機等類型的設(shè)備。以管理員身份登錄邊界網(wǎng)絡(luò)設(shè)備，查看是否配置了正確的撥號訪問控制列表，查看是否配置了撥號訪問權(quán)限的用戶數(shù)量限制。

6、測試邊界網(wǎng)絡(luò)設(shè)備，可通過試圖訪問未授權(quán)的資源，驗證訪問控制措施對未授權(quán)的訪問行為的控制是否有效，控制粒度是否為單個用戶。包括使用外網(wǎng)未授權(quán)的用戶對系統(tǒng)內(nèi)網(wǎng)終端進(jìn)行通信，以未授權(quán)的用戶身份向內(nèi)網(wǎng)發(fā)送ICMP請求，查看防火墻是否對其進(jìn)行阻止。

7、對網(wǎng)絡(luò)訪問控制措施進(jìn)行滲透測試，可通過采用多種滲透測試技術(shù)驗證網(wǎng)絡(luò)訪問控制措施是否不存在漏洞。如使用http隧道測試工具，從外網(wǎng)對內(nèi)網(wǎng)進(jìn)行測試，查看防火墻是否能夠發(fā)現(xiàn)、阻止該滲透行為。

（三）網(wǎng)絡(luò)安全審計機制測評

針對網(wǎng)絡(luò)安全審計機制方面的測評工作主要有以下4個方面。

1、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的安全審計策略，查看是否包含網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等。包括以管理員身份登錄被測網(wǎng)絡(luò)防火墻，查看防火墻的運行狀況（包括CPU使用率、內(nèi)存使用率、當(dāng)前會話數(shù)、最大連接數(shù)和接口速率等信息）；以管理員身份登錄被測網(wǎng)絡(luò)防火墻，查看防火墻的網(wǎng)絡(luò)流量記錄情況（接口速率、收發(fā)分組數(shù)等），確認(rèn)防火墻記錄了各個接口網(wǎng)絡(luò)流量相關(guān)信息；以管理員身份登錄被測網(wǎng)絡(luò)防火墻，查看操作防火墻時的各種行為及這些操作發(fā)生的時間，確認(rèn)可以從防火墻日志中查詢相關(guān)操作記錄。

2、檢查邊界和網(wǎng)絡(luò)設(shè)備，查看事件審計記錄是否包含事件的日期、時間、用戶、事件類型和事件成功情況，以及其他與審計相關(guān)的信息。包括以管理員身份進(jìn)入審計系統(tǒng)管理界面，查看審計記錄。如果審計記錄含有記錄時間、用戶、事件類型和事件結(jié)果等信息，則符合檢查要求。

3、檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否為授權(quán)用戶瀏覽和分析審計數(shù)據(jù)提供專門的審計工具，并能根據(jù)需要生成審計報表。包括以管理員身份進(jìn)入審計系統(tǒng)管理界面，查看是否為管理員提供了瀏覽和查詢工具（如對審計記錄進(jìn)行分類、排序、查詢、統(tǒng)計、分析和組合查詢等功能），用以查看該防火墻審計系統(tǒng)記錄的各種事件，如“入侵攻擊事件”和“郵件過濾事件”等；以管理員身份進(jìn)入審計系統(tǒng)管理界面，查看是否具有對審計數(shù)據(jù)進(jìn)行綜合統(tǒng)計分析并生成審計報表的功能。

4、測試邊界和網(wǎng)絡(luò)設(shè)備，可通過以某個非審計用戶試圖刪除、修改或覆蓋審計記錄，驗證安全審計的保護(hù)情況與要求是否一致。包括以非審計用戶身份登錄網(wǎng)絡(luò)設(shè)備；嘗試刪除系統(tǒng)的審計日志記錄，查看系統(tǒng)是否對其進(jìn)行阻止；嘗試修改系統(tǒng)的審計日志記錄，查看系統(tǒng)是否對其進(jìn)行阻止；嘗試覆蓋系統(tǒng)的審計日志記錄，查看系統(tǒng)是否對其進(jìn)行阻止。

（四）邊界完整性機制測評

針對邊界完整性機制方面的測評工作主要有以下3個方面。

1、檢查邊界完整性檢查設(shè)備，查看是否設(shè)置了對非法連接到內(nèi)網(wǎng)和非法連接到外網(wǎng)的行為進(jìn)行監(jiān)控并有效阻斷的配置。以微軟Forefront TMG2010為例，使用授權(quán)用戶登錄防火墻后，檢查設(shè)備的網(wǎng)絡(luò)行為是否被監(jiān)控，如圖3所示，“WIN-EL00JP64T87”正處于監(jiān)視之中，該服務(wù)器已創(chuàng)建了安全網(wǎng)絡(luò)地址轉(zhuǎn)換Security NAT和網(wǎng)頁代理Web Proxy 2個會話，后者是訪問互聯(lián)網(wǎng)的會話記錄，符合檢查要求。

2、測試邊界完整性檢查設(shè)備，測試是否能夠及時發(fā)現(xiàn)非法外聯(lián)的設(shè)備，是否能確定出非法外聯(lián)設(shè)備的位置，并對其進(jìn)行有效阻斷。

3、測試邊界完整性檢查設(shè)備，測試是否能夠?qū)Ψ鞘跈?quán)設(shè)備私自接入內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，并準(zhǔn)確定出位置，對其進(jìn)行有效阻斷。

（五）網(wǎng)絡(luò)入侵防范機制測評

針對網(wǎng)絡(luò)入侵防范機制方面的測評工作主要有以下4個方面。

1、檢查網(wǎng)絡(luò)入侵防范設(shè)備，查看是否能檢測以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等。目前，很多防火墻都具備了成熟的入侵檢測功能，所以只需通過防火墻的入侵檢測配置頁面檢查即可。以管理員身份登錄被測網(wǎng)絡(luò)防火墻，進(jìn)入防火墻攻擊防范配置界面，查看防火墻能夠防范的網(wǎng)絡(luò)攻擊類型，與上述要求進(jìn)行比對。

2、檢查網(wǎng)絡(luò)入侵防范設(shè)備，查看入侵事件記錄中是否包括入侵的源 IP、攻擊的類型、攻擊的目的、攻擊的時間等。

3、檢查網(wǎng)絡(luò)入侵防范設(shè)備的規(guī)則庫版本，查看其規(guī)則庫是否及時更新。

4、測試網(wǎng)絡(luò)入侵防范設(shè)備，驗證其檢測策略和報警策略是否有效。通過模擬常見的掃描類攻擊，探測目標(biāo)設(shè)備端口的工作狀態(tài)，檢查網(wǎng)絡(luò)入侵防范設(shè)備的響應(yīng)情況。

（六）惡意代碼防范機制測評

針對惡意代碼防范機制方面的測評工作主要有以下4個方面。

1、檢查設(shè)計/驗收文檔，查看在網(wǎng)絡(luò)邊界及核心業(yè)務(wù)網(wǎng)段處是否部署了惡意代碼防范措施（如防病毒網(wǎng)關(guān)），惡意代碼防范產(chǎn)品是否有實時更新的功能描述。

2、檢查惡意代碼防范產(chǎn)品，查看是否為正規(guī)廠商生產(chǎn)，運行是否正常，惡意代碼庫是否為最新版本。

3、檢查惡意代碼防范產(chǎn)品的運行日志，查看是否持續(xù)運行。

4、檢查惡意代碼防范產(chǎn)品的配置策略，查看是否支持惡意代碼防范的統(tǒng)一管理。

（七）網(wǎng)絡(luò)設(shè)備防護(hù)機制測評

針對網(wǎng)絡(luò)設(shè)備防護(hù)機制方面的測評工作主要有以下10個方面。

1、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的防護(hù)策略，查看是否配置了登錄用戶身份鑒別功能。打開網(wǎng)絡(luò)設(shè)備管理員登錄界面，如果設(shè)置了登錄用戶身份鑒別功能，則會提示要求輸入用戶名密碼或其他認(rèn)證憑據(jù)，分別用錯誤和正確的方式進(jìn)行登錄，確認(rèn)設(shè)備能否正確判別。

2、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的防護(hù)策略，查看是否對網(wǎng)絡(luò)設(shè)備的登錄地址進(jìn)行了限制。如以管理員身份登錄防火墻管理界面，在登錄地址限制中檢查是否有設(shè)置允許登錄的 MAC地址（或IP地址）。

3、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的賬戶列表，查看用戶標(biāo)識是否唯一。

4、檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否對同一用戶選擇2種或2種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別。

5、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的防護(hù)策略，查看其口令設(shè)置是否有復(fù)雜度和定期修改要求。

6、檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否配置了鑒別失敗處理功能，包括結(jié)束會話、限制非法登錄次數(shù)、登錄連接超時自動退出等。

7、檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否配置了對設(shè)備遠(yuǎn)程管理所產(chǎn)生的鑒別信息進(jìn)行保護(hù)的功能?？赏ㄟ^遠(yuǎn)程管理登錄是否采用加密通信進(jìn)行驗證，如果使用了加密通信（如https協(xié)議），則為其實施了信息保護(hù)。

8、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的管理設(shè)置，查看是否實現(xiàn)了設(shè)備特權(quán)用戶的權(quán)限分離。

9、測試邊界和主要網(wǎng)絡(luò)設(shè)備的安全設(shè)置，驗證鑒別失敗處理措施是否有效。包括嘗試用錯誤的用戶名和密碼進(jìn)行登錄，檢查驗證鑒別失敗處理措施的有效性；嘗試多次非法的登錄行為，查看設(shè)備的動作，以驗證是否對非法登錄次數(shù)進(jìn)行了限制；嘗試使用任意地址登錄，觀察設(shè)備的動作，以驗證是否對管理員登錄地址進(jìn)行了限制；嘗試長時間連接無任何操作，觀察設(shè)備的動作，以驗證是否設(shè)置了網(wǎng)絡(luò)登錄連接超時的自動退出策略；對邊界和主要網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測試，通過使用各種滲透測試技術(shù)（如口令猜解等），驗證設(shè)備防護(hù)能力是否符合要求。

10、測試網(wǎng)絡(luò)設(shè)備是否存在安全漏洞和隱患。可使用Nmap等掃描工具對網(wǎng)絡(luò)設(shè)備進(jìn)行信息采集；使用Nessus漏洞掃描器對網(wǎng)絡(luò)設(shè)備進(jìn)行掃描，探測設(shè)備的漏洞情況；對網(wǎng)絡(luò)設(shè)備進(jìn)行口令猜解，如采用Medusa對網(wǎng)絡(luò)設(shè)備telnet密碼進(jìn)行暴力破解；針對不同網(wǎng)絡(luò)設(shè)備漏洞進(jìn)行漏洞利用測試，驗證設(shè)備是否存在已知的嚴(yán)重安全漏洞。

三、結(jié)語

本文介紹了網(wǎng)絡(luò)安全測評的內(nèi)容、方法和實施過程，并重點參照等級保護(hù)三級信息系統(tǒng)的網(wǎng)絡(luò)安全測評要求，針對網(wǎng)絡(luò)中主要網(wǎng)絡(luò)設(shè)備和安全機制，從網(wǎng)絡(luò)安全結(jié)構(gòu)、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等方面介紹了網(wǎng)絡(luò)安全測評的具體工作。