一、网络安全测评依据
网络安全测评的主要依据是各类国家标准,与主机安全测评相类似,主要包括以下内容。
1、《GB17859−1999计算机信息系统安全等级保护划分准则》是我国信息安全测评的基础类标准之一,描述了计算机信息系统安全保护技术能力等级的划分。
2、《GB/T18336信息技术安全技术信息技术安全性评估准则》等同采用国际标准ISO/IEC15408:2005(简称CC),是评估信息技术产品和系统安全特性的基础标准。
3、《GB/T22239−2008信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)和《GB/T28448−2012信息安全技术信息系统安全等级保护测评要求》(以下简称《测评要求》):是国家信息安全等级保护管理制度中针对信息系统安全开展等级测评工作的重要依据。
二、网络安全测评对象及内容
《基本要求》针对信息系统的不同安全等级对网络安全提出了不同的基本要求。《测评要求》阐述了《基本要求》中各要求项的具体测评方法、步骤和判断依据等,用来评定各级信息系统的安全保护措施是否符合《基本要求》。依据《测评要求》,测评过程需要针对网络拓扑、路由器、防火墙、网关等测评对象,从网络结构安全、网络访问控制、网络入侵防范等方面分别进行测评,主要框架如图1所示。
测评要求
从测评对象角度来看,网络安全测评应覆盖网络本身、网络设备及相关的网络安全机制,具体包括网络拓扑、路由器、交换机、防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)、网关等。
从测评内容角度来看,网络安全测评主要包括以下7个方面。
1、网络结构安全。从网络拓扑结构、网段划分、带宽分配、拥塞控制、业务承载能力等方面对网络安全性进行测评。
2、网络访问控制。从网络设备的访问控制策略、技术手段等方面对网络安全性进行测评。
3、网络安全审计。从网络审计策略、审计范围、审计内容、审计记录、审计日志保护等方面对网络安全性进行测评。
4、边界完整性检查。从网络内网、外网间连接的监控与管理能力等方面对边界完整性进行测评。
5、网络入侵防范。检查对入侵事件的记录情况,包括攻击类型、攻击时间、源IP、攻击目的等。
6、恶意代码防范。检查网络中恶意代码防范设备的使用、部署、更新等情况。
7、网络设备防护。检查网络设备的访问控制策略、身份鉴别、权限分离、数据保密、敏感信息保护等。