一、網(wǎng)絡(luò)安全測(cè)評(píng)依據(jù)
網(wǎng)絡(luò)安全測(cè)評(píng)的主要依據(jù)是各類國(guó)家標(biāo)準(zhǔn),與主機(jī)安全測(cè)評(píng)相類似,主要包括以下內(nèi)容。
1、《GB 17859−1999計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》是我國(guó)信息安全測(cè)評(píng)的基礎(chǔ)類標(biāo)準(zhǔn)之一,描述了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)技術(shù)能力等級(jí)的劃分。
2、《GB/T 18336信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC 15408:2005(簡(jiǎn)稱CC),是評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)標(biāo)準(zhǔn)。
3、《GB/T 22239−2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(以下簡(jiǎn)稱《基本要求》)和《GB/T 28448−2012信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》(以下簡(jiǎn)稱《測(cè)評(píng)要求》):是國(guó)家信息安全等級(jí)保護(hù)管理制度中針對(duì)信息系統(tǒng)安全開展等級(jí)測(cè)評(píng)工作的重要依據(jù)。
二、網(wǎng)絡(luò)安全測(cè)評(píng)對(duì)象及內(nèi)容
《基本要求》針對(duì)信息系統(tǒng)的不同安全等級(jí)對(duì)網(wǎng)絡(luò)安全提出了不同的基本要求?!稖y(cè)評(píng)要求》闡述了《基本要求》中各要求項(xiàng)的具體測(cè)評(píng)方法、步驟和判斷依據(jù)等,用來(lái)評(píng)定各級(jí)信息系統(tǒng)的安全保護(hù)措施是否符合《基本要求》。依據(jù)《測(cè)評(píng)要求》,測(cè)評(píng)過(guò)程需要針對(duì)網(wǎng)絡(luò)拓?fù)?、路由器、防火墻、網(wǎng)關(guān)等測(cè)評(píng)對(duì)象,從網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)訪問(wèn)控制、網(wǎng)絡(luò)入侵防范等方面分別進(jìn)行測(cè)評(píng),主要框架如圖1所示。
測(cè)評(píng)要求
從測(cè)評(píng)對(duì)象角度來(lái)看,網(wǎng)絡(luò)安全測(cè)評(píng)應(yīng)覆蓋網(wǎng)絡(luò)本身、網(wǎng)絡(luò)設(shè)備及相關(guān)的網(wǎng)絡(luò)安全機(jī)制,具體包括網(wǎng)絡(luò)拓?fù)洹⒙酚善?、交換機(jī)、防火墻、入侵檢測(cè)系統(tǒng)(IDS)、入侵防御系統(tǒng)(IPS)、網(wǎng)關(guān)等。
從測(cè)評(píng)內(nèi)容角度來(lái)看,網(wǎng)絡(luò)安全測(cè)評(píng)主要包括以下7個(gè)方面。
1、網(wǎng)絡(luò)結(jié)構(gòu)安全。從網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)段劃分、帶寬分配、擁塞控制、業(yè)務(wù)承載能力等方面對(duì)網(wǎng)絡(luò)安全性進(jìn)行測(cè)評(píng)。
2、網(wǎng)絡(luò)訪問(wèn)控制。從網(wǎng)絡(luò)設(shè)備的訪問(wèn)控制策略、技術(shù)手段等方面對(duì)網(wǎng)絡(luò)安全性進(jìn)行測(cè)評(píng)。
3、網(wǎng)絡(luò)安全審計(jì)。從網(wǎng)絡(luò)審計(jì)策略、審計(jì)范圍、審計(jì)內(nèi)容、審計(jì)記錄、審計(jì)日志保護(hù)等方面對(duì)網(wǎng)絡(luò)安全性進(jìn)行測(cè)評(píng)。
4、邊界完整性檢查。從網(wǎng)絡(luò)內(nèi)網(wǎng)、外網(wǎng)間連接的監(jiān)控與管理能力等方面對(duì)邊界完整性進(jìn)行測(cè)評(píng)。
5、網(wǎng)絡(luò)入侵防范。檢查對(duì)入侵事件的記錄情況,包括攻擊類型、攻擊時(shí)間、源IP、攻擊目的等。
6、惡意代碼防范。檢查網(wǎng)絡(luò)中惡意代碼防范設(shè)備的使用、部署、更新等情況。
7、網(wǎng)絡(luò)設(shè)備防護(hù)。檢查網(wǎng)絡(luò)設(shè)備的訪問(wèn)控制策略、身份鑒別、權(quán)限分離、數(shù)據(jù)保密、敏感信息保護(hù)等。