網(wǎng)絡(luò)是信息傳輸、接收、共享的平臺(tái)，通過網(wǎng)絡(luò)設(shè)備、通信介質(zhì)等將終端設(shè)備聯(lián)系到一起，從而實(shí)現(xiàn)資源共享及信息協(xié)作。網(wǎng)絡(luò)安全測(cè)評(píng)是對(duì)網(wǎng)絡(luò)中網(wǎng)絡(luò)結(jié)構(gòu)、功能配置、自身防護(hù)等方面的測(cè)評(píng)和分析，發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的安全功能缺陷、配置不安全等方面的問題。網(wǎng)絡(luò)安全測(cè)評(píng)主要測(cè)評(píng)內(nèi)容包括網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)問控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等方面。

一、網(wǎng)絡(luò)安全測(cè)評(píng)方法

（一）網(wǎng)絡(luò)安全測(cè)評(píng)依據(jù)

網(wǎng)絡(luò)安全測(cè)評(píng)的主要依據(jù)是各類國(guó)家標(biāo)準(zhǔn)，與主機(jī)安全測(cè)評(píng)相類似，主要包括以下內(nèi)容。

1、《GB 17859?1999 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》是我國(guó)信息安全測(cè)評(píng)的基礎(chǔ)類標(biāo)準(zhǔn)之一，描述了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)技術(shù)能力等級(jí)的劃分。

2、《GB/T 18336信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則》等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC 15408：2005（簡(jiǎn)稱CC），是評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)標(biāo)準(zhǔn)。

3、《GB/T 22239?2008 信息安全 技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（以下簡(jiǎn)稱《基本要求》）和《GB/T 28448?2012 信息安全 技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》（以下簡(jiǎn)稱《測(cè)評(píng)要求》）：是國(guó)家信息安全等級(jí)保護(hù)管理制度中針對(duì)信息系統(tǒng)安全開展等級(jí)測(cè)評(píng)工作的重要依據(jù)。

（二）網(wǎng)絡(luò)安全測(cè)評(píng)對(duì)象及內(nèi)容

《基本要求》針對(duì)信息系統(tǒng)的不同安全等級(jí)對(duì)網(wǎng)絡(luò)安全提出了不同的基本要求?！稖y(cè)評(píng)要求》闡述了《基本要求》中各要求項(xiàng)的具體測(cè)評(píng)方法、步驟和判斷依據(jù)等，用來評(píng)定各級(jí)信息系統(tǒng)的安全保護(hù)措施是否符合《基本要求》。依據(jù)《測(cè)評(píng)要求》，測(cè)評(píng)過程需要針對(duì)網(wǎng)絡(luò)拓?fù)?、路由器、防火墻、網(wǎng)關(guān)等測(cè)評(píng)對(duì)象，從網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)入侵防范等方面分別進(jìn)行測(cè)評(píng)

從測(cè)評(píng)對(duì)象角度來看，網(wǎng)絡(luò)安全測(cè)評(píng)應(yīng)覆蓋網(wǎng)絡(luò)本身、網(wǎng)絡(luò)設(shè)備及相關(guān)的網(wǎng)絡(luò)安全機(jī)制，具體包括網(wǎng)絡(luò)拓?fù)?、路由器、交換機(jī)、防火墻、入侵檢測(cè)系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）、網(wǎng)關(guān)等。

從測(cè)評(píng)內(nèi)容角度來看，網(wǎng)絡(luò)安全測(cè)評(píng)主要包括以下7個(gè)方面。

1、網(wǎng)絡(luò)結(jié)構(gòu)安全。從網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)段劃分、帶寬分配、擁塞控制、業(yè)務(wù)承載能力等方面對(duì)網(wǎng)絡(luò)安全性進(jìn)行測(cè)評(píng)。

2、網(wǎng)絡(luò)訪問控制。從網(wǎng)絡(luò)設(shè)備的訪問控制策略、技術(shù)手段等方面對(duì)網(wǎng)絡(luò)安全性進(jìn)行測(cè)評(píng)。

3、網(wǎng)絡(luò)安全審計(jì)。從網(wǎng)絡(luò)審計(jì)策略、審計(jì)范圍、審計(jì)內(nèi)容、審計(jì)記錄、審計(jì)日志保護(hù)等方面對(duì)網(wǎng)絡(luò)安全性進(jìn)行測(cè)評(píng)。

4、邊界完整性檢查。從網(wǎng)絡(luò)內(nèi)網(wǎng)、外網(wǎng)間連接的監(jiān)控與管理能力等方面對(duì)邊界完整性進(jìn)行測(cè)評(píng)。

5、網(wǎng)絡(luò)入侵防范。檢查對(duì)入侵事件的記錄情況，包括攻擊類型、攻擊時(shí)間、源 IP、攻擊目的等。

6、惡意代碼防范。檢查網(wǎng)絡(luò)中惡意代碼防范設(shè)備的使用、部署、更新等情況。

7、網(wǎng)絡(luò)設(shè)備防護(hù)。檢查網(wǎng)絡(luò)設(shè)備的訪問控制策略、身份鑒別、權(quán)限分離、數(shù)據(jù)保密、敏感信息保護(hù)等。

（三）網(wǎng)絡(luò)安全測(cè)評(píng)方式

與《主機(jī)安全測(cè)評(píng)》類似，網(wǎng)絡(luò)安全測(cè)評(píng)也包括訪談、現(xiàn)場(chǎng)檢查和測(cè)試3種方式。

1、訪談是指測(cè)評(píng)人員通過引導(dǎo)信息系統(tǒng)相關(guān)人員進(jìn)行有目的（有針對(duì)性）的交流以理解、澄清或取得證據(jù)的過程。訪談作為安全測(cè)評(píng)的第一步，使測(cè)評(píng)人員快速地理解認(rèn)識(shí)被測(cè)網(wǎng)絡(luò)。網(wǎng)絡(luò)安全訪談是針對(duì)網(wǎng)絡(luò)測(cè)評(píng)的內(nèi)容，由測(cè)評(píng)人員對(duì)被測(cè)評(píng)網(wǎng)絡(luò)的網(wǎng)絡(luò)管理員、安全管理員、安全審計(jì)員等相關(guān)人員進(jìn)行詢問交流，并根據(jù)收集的信息進(jìn)行網(wǎng)絡(luò)安全合規(guī)性的分析判斷。

2、現(xiàn)場(chǎng)檢查是指測(cè)評(píng)人員通過對(duì)測(cè)評(píng)對(duì)象（如網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)設(shè)備、安全配置等）進(jìn)行觀察、查驗(yàn)、分析以理解、澄清或取得證據(jù)的過程。網(wǎng)絡(luò)安全現(xiàn)場(chǎng)檢查主要是基于訪談情況，依據(jù)檢查表單，對(duì)信息系統(tǒng)中網(wǎng)絡(luò)安全狀況進(jìn)行現(xiàn)場(chǎng)檢查。主要包括2個(gè)方面：一是對(duì)所提供的網(wǎng)絡(luò)安全相關(guān)技術(shù)文檔進(jìn)行檢查分析；二是依據(jù)網(wǎng)絡(luò)安全配置檢查要求，通過配置管理系統(tǒng)進(jìn)行安全情況檢查與分析。

3、測(cè)試是指測(cè)評(píng)人員使用預(yù)定的方法/工具使測(cè)評(píng)對(duì)象（各類設(shè)備或安全配置）產(chǎn)生特定的結(jié)果，以將運(yùn)行結(jié)果與預(yù)期的結(jié)果進(jìn)行比對(duì)的過程。測(cè)試提供了高強(qiáng)度的網(wǎng)絡(luò)安全檢查，為驗(yàn)證測(cè)評(píng)結(jié)果提供有效支撐。網(wǎng)絡(luò)安全測(cè)試需要測(cè)評(píng)人員根據(jù)被測(cè)網(wǎng)絡(luò)的實(shí)際情況，綜合采用各類測(cè)試工具、儀器和專用設(shè)備來展開實(shí)施。

（四）網(wǎng)絡(luò)安全測(cè)評(píng)工具

開展網(wǎng)絡(luò)安全測(cè)評(píng)的工具主要有以下類型。

1、網(wǎng)絡(luò)設(shè)備自身提供的工具。包括設(shè)備自身支持的命令、系統(tǒng)自帶的網(wǎng)絡(luò)診斷工具、網(wǎng)絡(luò)管理軟件等，用于協(xié)助測(cè)評(píng)人員對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)隔離和訪問控制、網(wǎng)絡(luò)狀態(tài)等信息進(jìn)行有效收集。

2、網(wǎng)絡(luò)診斷設(shè)備或工具軟件。包括網(wǎng)絡(luò)拓?fù)鋻呙韫ぞ摺⒕W(wǎng)絡(luò)抓包軟件、協(xié)議分析軟件、網(wǎng)絡(luò)診斷儀等，用于探測(cè)網(wǎng)絡(luò)結(jié)構(gòu)、對(duì)網(wǎng)絡(luò)性能進(jìn)行專業(yè)檢測(cè)或?qū)W(wǎng)絡(luò)數(shù)據(jù)分組進(jìn)行協(xié)議格式分析和內(nèi)容分析。

3、設(shè)備配置核查工具。對(duì)網(wǎng)絡(luò)設(shè)備的安全策略配置情況進(jìn)行自動(dòng)檢查，包括網(wǎng)絡(luò)設(shè)備的鑒別機(jī)制、日志策略、審計(jì)策略、數(shù)據(jù)備份和更新策略等，使用工具代替人工記錄各類系統(tǒng)檢查命令的執(zhí)行結(jié)果，并對(duì)結(jié)果進(jìn)行分析。

4、網(wǎng)絡(luò)攻擊測(cè)試工具。提供用于針對(duì)網(wǎng)絡(luò)開展攻擊測(cè)試工作的工具包，可根據(jù)測(cè)試要求生成各類攻擊包或攻擊流量，測(cè)試網(wǎng)絡(luò)是否容易遭受拒絕服務(wù)等典型網(wǎng)絡(luò)攻擊。

二、網(wǎng)絡(luò)安全測(cè)評(píng)的實(shí)施

下面詳細(xì)介紹網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計(jì)等7個(gè)方面的測(cè)評(píng)實(shí)施過程。網(wǎng)絡(luò)安全測(cè)評(píng)需要綜合采用訪談、檢查和測(cè)試的測(cè)評(píng)方式。其中，訪談通常是首先開展的工作。應(yīng)在測(cè)評(píng)方與被測(cè)評(píng)方充分溝通的基礎(chǔ)上，確定訪談的計(jì)劃安排，包括訪談部門、訪談對(duì)象、訪談時(shí)間及訪談配合人員等。在網(wǎng)絡(luò)安全訪談過程中，測(cè)評(píng)方應(yīng)確保所訪談的信息能滿足網(wǎng)絡(luò)安全測(cè)評(píng)的信息采集要求，如果有信息遺漏的情況，可以安排進(jìn)行補(bǔ)充訪談，確保能獲取到所需要的信息。測(cè)評(píng)方應(yīng)填寫資料接收單，并做好資料的安全保管。網(wǎng)絡(luò)安全訪談中的網(wǎng)絡(luò)情況調(diào)查至少應(yīng)包括網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)接入方式、主要網(wǎng)絡(luò)設(shè)備信息（品牌、型號(hào)、物理位置、IP地址、系統(tǒng)版本/補(bǔ)丁等）、網(wǎng)絡(luò)管理方式、網(wǎng)絡(luò)管理員等信息，并根據(jù)具體的網(wǎng)絡(luò)安全測(cè)評(píng)項(xiàng)進(jìn)行擴(kuò)充。

由于等級(jí)保護(hù)三級(jí)信息系統(tǒng)的重要性和廣泛代表性，這里以等級(jí)保護(hù)三級(jí)信息系統(tǒng)中的網(wǎng)絡(luò)安全要求為例，對(duì)測(cè)評(píng)實(shí)施過程進(jìn)行描述。其他等級(jí)系統(tǒng)中的網(wǎng)絡(luò)可根據(jù)對(duì)應(yīng)級(jí)別的基本要求，參照此內(nèi)容進(jìn)行調(diào)整，以滿足自身的安全測(cè)評(píng)需求。

如圖2所示，該網(wǎng)絡(luò)包含“辦公區(qū)”“財(cái)務(wù)區(qū)”“DMZ區(qū)”“服務(wù)器區(qū)”4個(gè)區(qū)域，其中， DMZ區(qū)直接與邊界防火墻相連，其他3個(gè)區(qū)域由三級(jí)交換機(jī)連接。服務(wù)器區(qū)域?yàn)楸粶y(cè)網(wǎng)絡(luò)的重要網(wǎng)段，通過防火墻與其他區(qū)域進(jìn)行隔離。

（一）網(wǎng)絡(luò)結(jié)構(gòu)安全測(cè)評(píng)

針對(duì)網(wǎng)絡(luò)結(jié)構(gòu)安全方面的測(cè)評(píng)工作主要有以下12個(gè)方面。

1、訪談網(wǎng)絡(luò)管理員，詢問關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力是否滿足基本業(yè)務(wù)需求。包括詢問信息系統(tǒng)中的關(guān)鍵網(wǎng)絡(luò)設(shè)備的性能，如防火墻吞吐量、分組丟失率、最大并發(fā)連接數(shù)等性能參數(shù)；詢問目前信息系統(tǒng)的業(yè)務(wù)高峰網(wǎng)絡(luò)情況，如用戶訪問量、網(wǎng)絡(luò)上下行流量等參數(shù)；分析判斷網(wǎng)絡(luò)設(shè)備性能情況是否滿足業(yè)務(wù)需求。

2、訪談網(wǎng)絡(luò)管理員，詢問接入網(wǎng)絡(luò)及核心網(wǎng)絡(luò)的帶寬是否滿足基本業(yè)務(wù)需要。包括詢問接入網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及關(guān)鍵網(wǎng)絡(luò)設(shè)備的帶寬分配情況；詢問基本業(yè)務(wù)對(duì)帶寬的需求情況；分析判斷網(wǎng)絡(luò)帶寬是否滿足基本業(yè)務(wù)需求。

3、檢查網(wǎng)絡(luò)設(shè)計(jì)或驗(yàn)收文檔，查看是否有滿足主要網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力需要的設(shè)計(jì)或描述。包括查看網(wǎng)絡(luò)設(shè)計(jì)或驗(yàn)收文檔中是否有對(duì)網(wǎng)絡(luò)系統(tǒng)需要的業(yè)務(wù)處理能力進(jìn)行了描述、說明；查看網(wǎng)絡(luò)設(shè)計(jì)或驗(yàn)收文檔中是否記錄了主要網(wǎng)絡(luò)設(shè)備的性能參數(shù)，并判斷該網(wǎng)絡(luò)系統(tǒng)能否具備基本的業(yè)務(wù)能力。

4、檢查網(wǎng)絡(luò)設(shè)計(jì)或驗(yàn)收文檔，查看是否有滿足接入網(wǎng)絡(luò)及核心網(wǎng)絡(luò)的帶寬業(yè)務(wù)高峰期的需要以及存不存在帶寬瓶頸等方面的設(shè)計(jì)或描述。包括查看網(wǎng)絡(luò)設(shè)計(jì)或驗(yàn)收文檔中是否有對(duì)接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬設(shè)計(jì)，是否有對(duì)業(yè)務(wù)高峰期網(wǎng)絡(luò)帶寬的預(yù)估，并結(jié)合現(xiàn)場(chǎng)情況判斷網(wǎng)絡(luò)系統(tǒng)是否能夠滿足業(yè)務(wù)高峰期時(shí)的需要；檢查文檔中是否有應(yīng)對(duì)帶寬瓶頸等方面問題的設(shè)計(jì)、描述和解決方案。

5、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的路由控制策略，查看是否建立安全的訪問路徑。包括查看路由控制設(shè)備（邊界網(wǎng)關(guān)、邊界防火墻、交換設(shè)備和認(rèn)證隔離設(shè)備）；以管理員身份登錄路由控制設(shè)備的管理界面查看路由控制策略，檢查是否設(shè)置了靜態(tài)路由；查看路由控制策略，是否把重要網(wǎng)段和不安全網(wǎng)段直接連接在一起，以及是否可以使重要網(wǎng)段之間連通。

6、檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，查看其與當(dāng)前運(yùn)行的實(shí)際網(wǎng)絡(luò)系統(tǒng)是否一致。包括使用網(wǎng)絡(luò)拓?fù)鋻呙韫ぞ叩玫疆?dāng)前網(wǎng)絡(luò)運(yùn)行拓?fù)鋱D；通過人工觀察對(duì)該拓?fù)鋱D進(jìn)行核查和調(diào)整；將該拓?fù)浣Y(jié)構(gòu)與設(shè)計(jì)文檔中原有的拓?fù)湟?guī)劃結(jié)構(gòu)進(jìn)行比較；核對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)中體現(xiàn)的信息系統(tǒng)安全思想，并與被測(cè)單位制定的安全策略相比較。

7、檢查網(wǎng)絡(luò)設(shè)計(jì)或驗(yàn)收文檔，查看是否有根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)和網(wǎng)段分配地址段的設(shè)計(jì)和描述。包括查看網(wǎng)絡(luò)設(shè)計(jì)或驗(yàn)收文檔中是否有對(duì)各子網(wǎng)和網(wǎng)段分配地址段的設(shè)計(jì)或描述；查看文檔中記錄的對(duì)網(wǎng)段進(jìn)行劃分的依據(jù)（各部門的工作職能、重要性和所涉及信息的重要程度等因素）；核查對(duì)網(wǎng)絡(luò)系統(tǒng)內(nèi)各子網(wǎng)和網(wǎng)段的劃分是否與劃分依據(jù)相匹配，是否依照了方便管理和控制的原則進(jìn)行網(wǎng)段劃分。

8、檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看重要網(wǎng)段是否采取了技術(shù)隔離手段與其他網(wǎng)段隔離。包括根據(jù)被測(cè)單位實(shí)際情況查看其使用的技術(shù)隔離設(shè)備（網(wǎng)閘、防火墻、應(yīng)用網(wǎng)關(guān)、交換設(shè)備和認(rèn)證隔離設(shè)備等）；檢查網(wǎng)絡(luò)系統(tǒng)的重要網(wǎng)段和網(wǎng)絡(luò)邊界處是否部署技術(shù)隔離設(shè)備并啟用，如圖2所示，服務(wù)器區(qū)域作為重要網(wǎng)絡(luò)，使用了防火墻進(jìn)行區(qū)域隔離；檢查技術(shù)隔離設(shè)備，查看是否設(shè)置了特別的過濾規(guī)則來保證重要網(wǎng)段與其他網(wǎng)段之間的通信得到嚴(yán)格過濾。

9、檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否配置對(duì)帶寬進(jìn)行控制的策略，這些策略是否能夠保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要業(yè)務(wù)。包括根據(jù)被測(cè)單位實(shí)際情況查看其使用的帶寬控制設(shè)備（邊界網(wǎng)關(guān)、邊界防火墻、交換設(shè)備和認(rèn)證隔離設(shè)備等）；以管理員身份連接帶寬控制設(shè)備，查看是否配置了帶寬控制功能（如路由、交換設(shè)備中的QoS功能，專用的帶寬管理設(shè)備的配置策略等）。檢查配置的帶寬控制功能中是否設(shè)定了保護(hù)優(yōu)先級(jí)和網(wǎng)絡(luò)帶寬限制；檢查重要網(wǎng)段中的服務(wù)器、終端設(shè)備是否處在帶寬控制設(shè)備的保護(hù)下；檢查配置的保護(hù)優(yōu)先級(jí)是否與承擔(dān)業(yè)務(wù)的重要性相匹配。

10、測(cè)試業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間的訪問路徑是否安全可控。包括任選若干不同網(wǎng)段的業(yè)務(wù)終端，使用命令行工具tracert追蹤由該終端到相應(yīng)業(yè)務(wù)服務(wù)器的路由，確認(rèn)業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間存在訪問路徑；通過多次運(yùn)行tracert工具的結(jié)果對(duì)比，確認(rèn)終端與服務(wù)器之間的訪問路徑是否遵循安全控制策略，是否為固定的可控路徑。

11、測(cè)試重要網(wǎng)段的業(yè)務(wù)終端和服務(wù)器，驗(yàn)證相應(yīng)的網(wǎng)絡(luò)地址與數(shù)據(jù)鏈路地址綁定措施是否有效。包括選擇若干重要網(wǎng)段的業(yè)務(wù)終端或服務(wù)器，在命令行中使用“ipconfig/all”命令（Windows操作系統(tǒng)）或“ifconfig”命令（Linux操作系統(tǒng)），查看其網(wǎng)絡(luò)地址和數(shù)據(jù)鏈路地址，核查其是否與實(shí)現(xiàn)地址綁定的設(shè)備中記錄的相一致；修改某臺(tái)終端或服務(wù)器的網(wǎng)絡(luò)配置參數(shù)，修改其IP地址，然后嘗試連接網(wǎng)絡(luò)系統(tǒng)，觀察是否可以進(jìn)行訪問；暫時(shí)斷開某臺(tái)終端或服務(wù)器與網(wǎng)絡(luò)的連接，使用一臺(tái)新的設(shè)備連入網(wǎng)絡(luò)，并配置為原設(shè)備的網(wǎng)絡(luò)參數(shù)（IP地址），然后嘗試連接網(wǎng)絡(luò)系統(tǒng)，觀察是否可以進(jìn)行訪問；測(cè)試結(jié)束后需將進(jìn)行測(cè)試的設(shè)備恢復(fù)到測(cè)試前的狀態(tài)。

12、測(cè)試網(wǎng)絡(luò)帶寬控制策略是否有效，測(cè)試在面對(duì)異常網(wǎng)絡(luò)狀況時(shí)系統(tǒng)的重要業(yè)務(wù)是否能夠受到保護(hù)。包括選擇不同網(wǎng)段的終端設(shè)備，使用帶寬測(cè)試工具，得到當(dāng)前設(shè)備所在網(wǎng)段的帶寬，并與帶寬控制設(shè)備中的帶寬限制記錄相比較，觀察是否一致；在網(wǎng)絡(luò)系統(tǒng)外部使用網(wǎng)絡(luò)攻擊測(cè)試工具進(jìn)行拒絕服務(wù)攻擊（如SYN Flood攻擊），并逐步提高攻擊強(qiáng)度，觀察系統(tǒng)內(nèi)的重要業(yè)務(wù)是否會(huì)被優(yōu)先保護(hù)。

（二）網(wǎng)絡(luò)訪問控制機(jī)制測(cè)評(píng)

針對(duì)網(wǎng)絡(luò)訪問控制機(jī)制方面的測(cè)評(píng)工作主要有以下7個(gè)方面。

1、訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)絡(luò)訪問控制的措施有哪些，詢問網(wǎng)絡(luò)訪問控制設(shè)備具備哪些訪問控制功能。包括詢問目前網(wǎng)絡(luò)訪問控制策略及實(shí)施方案，比如靜態(tài)路由配置、IP地址與MAC地址綁定等；詢問目前網(wǎng)絡(luò)中是否存在防火墻、應(yīng)用網(wǎng)關(guān)等訪問控制設(shè)備；詢問現(xiàn)有訪問控制設(shè)備中具備哪些訪問控制功能，如遠(yuǎn)程連接限制功能、應(yīng)用層協(xié)議控制功能等。

2.檢查邊界網(wǎng)絡(luò)設(shè)備的訪問控制策略，查看其是否根據(jù)會(huì)話狀態(tài)信息對(duì)數(shù)據(jù)流進(jìn)行控制，控制粒度是否為端口級(jí)。包括檢查防火墻是否開啟了數(shù)據(jù)流控制策略，檢查防火墻是否根據(jù)會(huì)話信息中源地址、目的地址、源端口號(hào)、目的端口號(hào)、會(huì)話主機(jī)名、協(xié)議類型等設(shè)置了數(shù)據(jù)流控制策略；檢查邊界網(wǎng)絡(luò)設(shè)備，查看其是否對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制。

3、檢查邊界網(wǎng)絡(luò)設(shè)備，查看是否能設(shè)置會(huì)話處于非活躍的時(shí)間或會(huì)話結(jié)束后自動(dòng)終止網(wǎng)絡(luò)連接；查看是否能設(shè)置網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。包括檢查被測(cè)網(wǎng)絡(luò)防火墻是否對(duì)會(huì)話處于非活躍的時(shí)間或會(huì)話結(jié)束后自動(dòng)終止網(wǎng)絡(luò)連接的功能進(jìn)行啟用，如沒有啟動(dòng)則不符合檢查要求；登錄被測(cè)網(wǎng)絡(luò)防火墻，在修改帶寬通道中查看用戶帶寬、連接數(shù)限制配置等，如果被測(cè)網(wǎng)絡(luò)僅對(duì)用戶帶寬做了限制，并未對(duì)整體帶寬及網(wǎng)絡(luò)連接數(shù)進(jìn)行限制，則不符合檢查要求。

4、檢查邊界和主要網(wǎng)絡(luò)設(shè)備地址綁定配置，查看重要網(wǎng)段是否采取了地址綁定的措施。包括根據(jù)被測(cè)單位實(shí)際情況查看其使用的實(shí)現(xiàn)地址綁定的設(shè)備（防火墻、路由設(shè)備、應(yīng)用網(wǎng)關(guān)、交換設(shè)備和認(rèn)證隔離設(shè)備等）；以管理員身份登錄相關(guān)設(shè)備，查看是否配置了對(duì)IP地址和MAC地址的綁定；查看已綁定的地址中是否將重要網(wǎng)段中的服務(wù)器、終端全部包含在內(nèi)。

5、檢查邊界網(wǎng)絡(luò)設(shè)備的撥號(hào)用戶列表，查看其是否對(duì)具有撥號(hào)訪問權(quán)限的用戶數(shù)量進(jìn)行限制。主要包括防火墻、網(wǎng)絡(luò)認(rèn)證隔離設(shè)備、網(wǎng)閘和交換機(jī)等類型的設(shè)備。以管理員身份登錄邊界網(wǎng)絡(luò)設(shè)備，查看是否配置了正確的撥號(hào)訪問控制列表，查看是否配置了撥號(hào)訪問權(quán)限的用戶數(shù)量限制。

6、測(cè)試邊界網(wǎng)絡(luò)設(shè)備，可通過試圖訪問未授權(quán)的資源，驗(yàn)證訪問控制措施對(duì)未授權(quán)的訪問行為的控制是否有效，控制粒度是否為單個(gè)用戶。包括使用外網(wǎng)未授權(quán)的用戶對(duì)系統(tǒng)內(nèi)網(wǎng)終端進(jìn)行通信，以未授權(quán)的用戶身份向內(nèi)網(wǎng)發(fā)送ICMP請(qǐng)求，查看防火墻是否對(duì)其進(jìn)行阻止。

7、對(duì)網(wǎng)絡(luò)訪問控制措施進(jìn)行滲透測(cè)試，可通過采用多種滲透測(cè)試技術(shù)驗(yàn)證網(wǎng)絡(luò)訪問控制措施是否不存在漏洞。如使用http隧道測(cè)試工具，從外網(wǎng)對(duì)內(nèi)網(wǎng)進(jìn)行測(cè)試，查看防火墻是否能夠發(fā)現(xiàn)、阻止該滲透行為。

（三）網(wǎng)絡(luò)安全審計(jì)機(jī)制測(cè)評(píng)

針對(duì)網(wǎng)絡(luò)安全審計(jì)機(jī)制方面的測(cè)評(píng)工作主要有以下4個(gè)方面。

1、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的安全審計(jì)策略，查看是否包含網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等。包括以管理員身份登錄被測(cè)網(wǎng)絡(luò)防火墻，查看防火墻的運(yùn)行狀況（包括CPU使用率、內(nèi)存使用率、當(dāng)前會(huì)話數(shù)、最大連接數(shù)和接口速率等信息）；以管理員身份登錄被測(cè)網(wǎng)絡(luò)防火墻，查看防火墻的網(wǎng)絡(luò)流量記錄情況（接口速率、收發(fā)分組數(shù)等），確認(rèn)防火墻記錄了各個(gè)接口網(wǎng)絡(luò)流量相關(guān)信息；以管理員身份登錄被測(cè)網(wǎng)絡(luò)防火墻，查看操作防火墻時(shí)的各種行為及這些操作發(fā)生的時(shí)間，確認(rèn)可以從防火墻日志中查詢相關(guān)操作記錄。

2、檢查邊界和網(wǎng)絡(luò)設(shè)備，查看事件審計(jì)記錄是否包含事件的日期、時(shí)間、用戶、事件類型和事件成功情況，以及其他與審計(jì)相關(guān)的信息。包括以管理員身份進(jìn)入審計(jì)系統(tǒng)管理界面，查看審計(jì)記錄。如果審計(jì)記錄含有記錄時(shí)間、用戶、事件類型和事件結(jié)果等信息，則符合檢查要求。

3、檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否為授權(quán)用戶瀏覽和分析審計(jì)數(shù)據(jù)提供專門的審計(jì)工具，并能根據(jù)需要生成審計(jì)報(bào)表。包括以管理員身份進(jìn)入審計(jì)系統(tǒng)管理界面，查看是否為管理員提供了瀏覽和查詢工具（如對(duì)審計(jì)記錄進(jìn)行分類、排序、查詢、統(tǒng)計(jì)、分析和組合查詢等功能），用以查看該防火墻審計(jì)系統(tǒng)記錄的各種事件，如“入侵攻擊事件”和“郵件過濾事件”等；以管理員身份進(jìn)入審計(jì)系統(tǒng)管理界面，查看是否具有對(duì)審計(jì)數(shù)據(jù)進(jìn)行綜合統(tǒng)計(jì)分析并生成審計(jì)報(bào)表的功能。

4、測(cè)試邊界和網(wǎng)絡(luò)設(shè)備，可通過以某個(gè)非審計(jì)用戶試圖刪除、修改或覆蓋審計(jì)記錄，驗(yàn)證安全審計(jì)的保護(hù)情況與要求是否一致。包括以非審計(jì)用戶身份登錄網(wǎng)絡(luò)設(shè)備；嘗試刪除系統(tǒng)的審計(jì)日志記錄，查看系統(tǒng)是否對(duì)其進(jìn)行阻止；嘗試修改系統(tǒng)的審計(jì)日志記錄，查看系統(tǒng)是否對(duì)其進(jìn)行阻止；嘗試覆蓋系統(tǒng)的審計(jì)日志記錄，查看系統(tǒng)是否對(duì)其進(jìn)行阻止。

（四）邊界完整性機(jī)制測(cè)評(píng)

針對(duì)邊界完整性機(jī)制方面的測(cè)評(píng)工作主要有以下3個(gè)方面。

1、檢查邊界完整性檢查設(shè)備，查看是否設(shè)置了對(duì)非法連接到內(nèi)網(wǎng)和非法連接到外網(wǎng)的行為進(jìn)行監(jiān)控并有效阻斷的配置。以微軟Forefront TMG2010為例，使用授權(quán)用戶登錄防火墻后，檢查設(shè)備的網(wǎng)絡(luò)行為是否被監(jiān)控，如圖3所示，“WIN-EL00JP64T87”正處于監(jiān)視之中，該服務(wù)器已創(chuàng)建了安全網(wǎng)絡(luò)地址轉(zhuǎn)換Security NAT和網(wǎng)頁代理Web Proxy 2個(gè)會(huì)話，后者是訪問互聯(lián)網(wǎng)的會(huì)話記錄，符合檢查要求。

2、測(cè)試邊界完整性檢查設(shè)備，測(cè)試是否能夠及時(shí)發(fā)現(xiàn)非法外聯(lián)的設(shè)備，是否能確定出非法外聯(lián)設(shè)備的位置，并對(duì)其進(jìn)行有效阻斷。

3、測(cè)試邊界完整性檢查設(shè)備，測(cè)試是否能夠?qū)Ψ鞘跈?quán)設(shè)備私自接入內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，并準(zhǔn)確定出位置，對(duì)其進(jìn)行有效阻斷。

（五）網(wǎng)絡(luò)入侵防范機(jī)制測(cè)評(píng)

針對(duì)網(wǎng)絡(luò)入侵防范機(jī)制方面的測(cè)評(píng)工作主要有以下4個(gè)方面。

1、檢查網(wǎng)絡(luò)入侵防范設(shè)備，查看是否能檢測(cè)以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等。目前，很多防火墻都具備了成熟的入侵檢測(cè)功能，所以只需通過防火墻的入侵檢測(cè)配置頁面檢查即可。以管理員身份登錄被測(cè)網(wǎng)絡(luò)防火墻，進(jìn)入防火墻攻擊防范配置界面，查看防火墻能夠防范的網(wǎng)絡(luò)攻擊類型，與上述要求進(jìn)行比對(duì)。

2、檢查網(wǎng)絡(luò)入侵防范設(shè)備，查看入侵事件記錄中是否包括入侵的源 IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間等。

3、檢查網(wǎng)絡(luò)入侵防范設(shè)備的規(guī)則庫版本，查看其規(guī)則庫是否及時(shí)更新。

4、測(cè)試網(wǎng)絡(luò)入侵防范設(shè)備，驗(yàn)證其檢測(cè)策略和報(bào)警策略是否有效。通過模擬常見的掃描類攻擊，探測(cè)目標(biāo)設(shè)備端口的工作狀態(tài)，檢查網(wǎng)絡(luò)入侵防范設(shè)備的響應(yīng)情況。

（六）惡意代碼防范機(jī)制測(cè)評(píng)

針對(duì)惡意代碼防范機(jī)制方面的測(cè)評(píng)工作主要有以下4個(gè)方面。

1、檢查設(shè)計(jì)/驗(yàn)收文檔，查看在網(wǎng)絡(luò)邊界及核心業(yè)務(wù)網(wǎng)段處是否部署了惡意代碼防范措施（如防病毒網(wǎng)關(guān)），惡意代碼防范產(chǎn)品是否有實(shí)時(shí)更新的功能描述。

2、檢查惡意代碼防范產(chǎn)品，查看是否為正規(guī)廠商生產(chǎn)，運(yùn)行是否正常，惡意代碼庫是否為最新版本。

3、檢查惡意代碼防范產(chǎn)品的運(yùn)行日志，查看是否持續(xù)運(yùn)行。

4、檢查惡意代碼防范產(chǎn)品的配置策略，查看是否支持惡意代碼防范的統(tǒng)一管理。

（七）網(wǎng)絡(luò)設(shè)備防護(hù)機(jī)制測(cè)評(píng)

針對(duì)網(wǎng)絡(luò)設(shè)備防護(hù)機(jī)制方面的測(cè)評(píng)工作主要有以下10個(gè)方面。

1、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的防護(hù)策略，查看是否配置了登錄用戶身份鑒別功能。打開網(wǎng)絡(luò)設(shè)備管理員登錄界面，如果設(shè)置了登錄用戶身份鑒別功能，則會(huì)提示要求輸入用戶名密碼或其他認(rèn)證憑據(jù)，分別用錯(cuò)誤和正確的方式進(jìn)行登錄，確認(rèn)設(shè)備能否正確判別。

2、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的防護(hù)策略，查看是否對(duì)網(wǎng)絡(luò)設(shè)備的登錄地址進(jìn)行了限制。如以管理員身份登錄防火墻管理界面，在登錄地址限制中檢查是否有設(shè)置允許登錄的 MAC地址（或IP地址）。

3、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的賬戶列表，查看用戶標(biāo)識(shí)是否唯一。

4、檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否對(duì)同一用戶選擇2種或2種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別。

5、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的防護(hù)策略，查看其口令設(shè)置是否有復(fù)雜度和定期修改要求。

6、檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否配置了鑒別失敗處理功能，包括結(jié)束會(huì)話、限制非法登錄次數(shù)、登錄連接超時(shí)自動(dòng)退出等。

7、檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否配置了對(duì)設(shè)備遠(yuǎn)程管理所產(chǎn)生的鑒別信息進(jìn)行保護(hù)的功能?？赏ㄟ^遠(yuǎn)程管理登錄是否采用加密通信進(jìn)行驗(yàn)證，如果使用了加密通信（如https協(xié)議），則為其實(shí)施了信息保護(hù)。

8、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的管理設(shè)置，查看是否實(shí)現(xiàn)了設(shè)備特權(quán)用戶的權(quán)限分離。

9、測(cè)試邊界和主要網(wǎng)絡(luò)設(shè)備的安全設(shè)置，驗(yàn)證鑒別失敗處理措施是否有效。包括嘗試用錯(cuò)誤的用戶名和密碼進(jìn)行登錄，檢查驗(yàn)證鑒別失敗處理措施的有效性；嘗試多次非法的登錄行為，查看設(shè)備的動(dòng)作，以驗(yàn)證是否對(duì)非法登錄次數(shù)進(jìn)行了限制；嘗試使用任意地址登錄，觀察設(shè)備的動(dòng)作，以驗(yàn)證是否對(duì)管理員登錄地址進(jìn)行了限制；嘗試長(zhǎng)時(shí)間連接無任何操作，觀察設(shè)備的動(dòng)作，以驗(yàn)證是否設(shè)置了網(wǎng)絡(luò)登錄連接超時(shí)的自動(dòng)退出策略；對(duì)邊界和主要網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測(cè)試，通過使用各種滲透測(cè)試技術(shù)（如口令猜解等），驗(yàn)證設(shè)備防護(hù)能力是否符合要求。

10、測(cè)試網(wǎng)絡(luò)設(shè)備是否存在安全漏洞和隱患?？墒褂肗map等掃描工具對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行信息采集；使用Nessus漏洞掃描器對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行掃描，探測(cè)設(shè)備的漏洞情況；對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行口令猜解，如采用Medusa對(duì)網(wǎng)絡(luò)設(shè)備telnet密碼進(jìn)行暴力破解；針對(duì)不同網(wǎng)絡(luò)設(shè)備漏洞進(jìn)行漏洞利用測(cè)試，驗(yàn)證設(shè)備是否存在已知的嚴(yán)重安全漏洞。

三、結(jié)語

本文介紹了網(wǎng)絡(luò)安全測(cè)評(píng)的內(nèi)容、方法和實(shí)施過程，并重點(diǎn)參照等級(jí)保護(hù)三級(jí)信息系統(tǒng)的網(wǎng)絡(luò)安全測(cè)評(píng)要求，針對(duì)網(wǎng)絡(luò)中主要網(wǎng)絡(luò)設(shè)備和安全機(jī)制，從網(wǎng)絡(luò)安全結(jié)構(gòu)、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等方面介紹了網(wǎng)絡(luò)安全測(cè)評(píng)的具體工作。