网络保险测评（等级维护三级）

16004488

网络是信息传输、接纳、共享的平台，经过网络设备、通讯介质等将终端设备联络到一同，从而完成资源共享及信息协作。网络保险测评是对网络中网络结构、功用配置、自身防护等方面的测评和剖析，发现网络中可能存在的保险功用缺陷、配置不保险等方面的问题。网络保险测评主要测评内容包含网络结构保险、网络访问控制、网络保险审计、边疆完好性检查、网络入侵防备、歹意代码防备、网络设问控制、网络保险审计、边疆完好性检查、网络入侵防备、歹意代码防备、网络设备防护等方面。

一、网络保险测评措施

（一）网络保险测评依据

网络保险测评的主要依据是各类国度规范，与主机保险测评相相似，主要包含以下内容。

1、《GB 178591999 计算机信息系统保险等级维护划分准绳》是我国信息保险测评的基础类规范之一，描画了计算机信息系统保险维护技术才干等级的划分。

2、《GB/T 18336信息技术 保险技术 信息技术保险性评价准绳》同等采用国际规范ISO/IEC 15408：2005（简称CC），是评价信息技术产品和系统保险特性的基础规范。

3、《GB/T 222392008 信息保险 技术信息系统保险等级维护基本请求》（以下简称《基本请求》）和《GB/T 284482012 信息保险 技术信息系统保险等级维护测评请求》（以下简称《测评请求》）：是国度信息保险等级维护管理制度中针对信息系统保险展开等级测评工作的重要依据。

（二）网络保险测评对象及内容

《基本请求》针对信息系统的不同保险等级对网络保险提出了不同的基本请求。《测评请求》论述了《基本请求》中各请求项的细致测评措施、步骤和判别依据等，用来评定各级信息系统的保险维护措施能否契合《基本请求》。依据《测评请求》，测评过程需求针对网络拓扑、路由器、防火墙、网关等测评对象，从网络结构保险、网络访问控制、网络入侵防备等方面分别中止测评，主要框架如图1所示。

图1 网络保险测评框架

从测评对象角度来看，网络保险测评应掩盖网络自身、网络设备及相关的网络保险机制，细致包含网络拓扑、路由器、交流机、防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）、网关等。

从测评内容角度来看，网络保险测评主要包含以下7个方面。

1、网络结构保险。从网络拓扑结构、网段划分、带宽分配、拥塞控制、业务承载才干等方面对网络保险性中止测评。

2、网络访问控制。从网络设备的访问控制战略、技术伎俩等方面对网络保险性中止测评。

3、网络保险审计。从网络审计战略、审计范围、审计内容、审计记载、审计日志维护等方面对网络保险性中止测评。

4、边疆完好性检查。从网络内网、外网间衔接的监控与管理才干等方面对边疆完好性中止测评。

5、网络入侵防备。检查对入侵事情的记载状况，包含攻击类型、攻击时间、源 IP、攻击目的等。

6、歹意代码防备。检查网络中歹意代码防备设备的运用、部署、更新等状况。

7、网络设备防护。检查网络设备的访问控制战略、身份鉴别、权限分别、数据失密、敏感信息维护等。

（三）网络保险测评方式

与《主机保险测评》相似，网络保险测评也包含访谈、现场检查和测试3种方式。

1、访谈是指测评人员经过引导信息系统相关人员中止有目的（有针对性）的交流以了解、廓清或取得证据的过程。访谈作为保险测评的第一步，使测评人员快速天文解认识被测网络。网络保险访谈是针对网络测评的内容，由测评人员对被测评网络的网络管理员、保险管理员、保险审计员等相关人员中止讯问交流，并依据搜集的信息中止网络保险合规性的剖析判别。

2、现场检查是指测评人员经过对测评对象（如网络拓扑图、网络设备、保险配置等）中止察看、查验、剖析以了解、廓清或取得证据的过程。网络保险现场检查主要是基于访谈状况，依据检查表单，对信息系统中网络保险状况中止现场检查。主要包含2个方面：一是对所提供的网络保险相关技术文档中止检查剖析；二是依据网络保险配置检查请求，经过配置管理系统中止保险状况检查与剖析。

3、测试是指测评人员运用预定的措施/工具使测评对象（各类设备或保险配置）产生特定的结果，以将运转结果与预期的结果中止比对的过程。测试提供了高强度的网络保险检查，为考证测评结果提供有效支撑。网络保险测试需求测评人员依据被测网络的实践状况，综合采用各类测试工具、仪器和专用设备来展开实施。

（四）网络保险测评工具

展开网络保险测评的工具主要有以下类型。

1、网络设备自身提供的工具。包含设备自身支持的命令、系统自带的网络诊断工具、网络管理软件等，用于辅佐测评人员对网络结构、网络隔离和访问控制、网络状态等信息中止有效搜集。

2、网络诊断设备或工具软件。包含网络拓扑扫描工具、网络抓包软件、协议剖析软件、网络诊断仪等，用于探测网络结构、对网络性能中止专业检测或对网络数据分组中止协议格式剖析和内容剖析。

3、设备配置核对工具。对网络设备的保险战略配置状况中止自动检查，包含网络设备的鉴别机制、日志战略、审计战略、数据备份和更新战略等，运用工具替代人工记载各类系统检查命令的执行结果，并对结果中止剖析。

4、网络攻击测试工具。提供用于针对网络展开攻击测试工作的工具包，可依据测试请求生成各类攻击包或攻击流量，测试网络能否容易遭受拒绝效劳等典型网络攻击。

二、网络保险测评的实施

下面细致引见网络结构保险、网络访问控制、网络保险审计等7个方面的测评实施过程。网络保险测评需求综合采用访谈、检查和测试的测评方式。其中，访谈通常是首先展开的工作。应在测评方与被测评方充沛沟通的基础上，肯定访谈的计划布置，包含访谈部门、访谈对象、访谈时间及访谈配合人员等。在网络保险访谈过程中，测评方应确保所访谈的信息能满足网络保险测评的信息采集请求，假如有信息遗漏的状况，能够布置中止弥补访谈，确保能获取到所需求的信息。测评方应填写资料接纳单，并做好资料的保险保存。网络保险访谈中的网络状况调查至少应包含网络的拓扑结构、网络带宽、网络接入方式、主要网络设备信息（品牌、型号、物理位置、IP地址、系统版本/补丁等）、网络管理方式、网络管理员等信息，并依据细致的网络保险测评项中止扩展。

由于等级维护三级信息系统的重要性和普遍代表性，这里以等级维护三级信息系统中的网络保险请求为例，对测评实施过程中止描画。其他等级系统中的网络可依据对应级别的基本请求，参照此内容中止调整，以满足自身的保险测评需求。

如图2所示，该网络包含“办公区”“财务区”“DMZ区”“效劳器区”4个区域，其中， DMZ区直接与边疆防火墙相连，其他3个区域由三级交流机衔接。效劳器区域为被测网络的重要网段，经过防火墙与其他区域中止隔离。

图2 被测网络拓扑结构表示

（一）网络结构保险测评

针对网络结构保险方面的测评工作主要有以下12个方面。

1、访谈网络管理员，讯问关键网络设备的业务处置才干能否满足基本业务需求。包含讯问信息系统中的关键网络设备的性能，如防火墙吞吐量、分组丧失率、最大并发衔接数等性能参数；讯问目前信息系统的业务高峰网络状况，如用户访问量、网络上下行流量等参数；剖析判别网络设备性能状况能否满足业务需求。

2、访谈网络管理员，讯问接入网络及中心网络的带宽能否满足基本业务需求。包含讯问接入网络的拓扑结构及关键网络设备的带宽分配状况；讯问基本业务对带宽的需求状况；剖析判别网络带宽能否满足基本业务需求。

3、检查网络设计或验收文档，查看能否有满足主要网络设备业务处置才干需求的设计或描画。包含查看网络设计或验收文档中能否有对网络系统需求的业务处置才干中止了描画、阐明；查看网络设计或验收文档中能否记载了主要网络设备的性能参数，并判别该网络系统能否具备基本的业务才干。

4、检查网络设计或验收文档，查看能否有满足接入网络及中心网络的带宽业务高峰期的需求以及存不存在带宽瓶颈等方面的设计或描画。包含查看网络设计或验收文档中能否有对接入网络和中心网络的带宽设计，能否有对业务高峰期网络带宽的预估，并分离现场状况判别网络系统能否能够满足业务高峰期时的需求；检查文档中能否有应对带宽瓶颈等方面问题的设计、描画和处置计划。

5、检查边疆和主要网络设备的路由控制战略，查看能否树立保险的访问途径。包含查看路由控制设备（边疆网关、边疆防火墙、交流设备和认证隔离设备）；以管理员身份登录路由控制设备的管理界面查看路由控制战略，检查能否设置了静态路由；查看路由控制战略，能否把重要网段和不保险网段直接衔接在一同，以及能否能够使重要网段之间连通。

6、检查网络拓扑结构图，查看其与当前运转的实践网络系统能否分歧。包含运用网络拓扑扫描工具得到当前网络运转拓扑图；经过人工察看对该拓扑图中止核对和调整；将该拓扑结构与设计文档中原有的拓扑规划结构中止比较；核对网络拓扑结构设计中表示的信息系统保险思想，并与被测单位制定的保险战略相比较。

7、检查网络设计或验收文档，查看能否有依据各部门的工作职能、重要性和所触及信息的重要水对等要素，划分不同的子网或网段，并依照方便管理和控制的准绳为各子网和网段分配地址段的设计和描画。包含查看网络设计或验收文档中能否有对各子网和网段分配地址段的设计或描画；查看文档中记载的对网段中止划分的依据（各部门的工作职能、重要性和所触及信息的重要水对等要素）；核对对网络系统内各子网和网段的划分能否与划分依据相匹配，能否依照了方便管理和控制的准绳中止网段划分。

8、检查边疆和主要网络设备，查看重要网段能否采取了技术隔离伎俩与其他网段隔离。包含依据被测单位实践状况查看其运用的技术隔离设备（网闸、防火墙、应用网关、交流设备和认证隔离设备等）；检查网络系统的重要网段和网络边疆处能否部署技术隔离设备并启用，如图2所示，效劳器区域作为重要网络，运用了防火墙中止区域隔离；检查技术隔离设备，查看能否设置了特别的过滤规则来保障重要网段与其他网段之间的通讯得到严厉过滤。

9、检查边疆和主要网络设备，查看能否配置对带宽中止控制的战略，这些战略能否能够保障在网络发作拥堵的时分优先维护重要业务。包含依据被测单位实践状况查看其运用的带宽控制设备（边疆网关、边疆防火墙、交流设备和认证隔离设备等）；以管理员身份衔接带宽控制设备，查看能否配置了带宽控制功用（如路由、交流设备中的QoS功用，专用的带宽管理设备的配置战略等）。检查配置的带宽控制功用中能否设定了维护优先级和网络带宽限制；检查重要网段中的效劳器、终端设备能否处在带宽控制设备的维护下；检查配置的维护优先级能否与承担业务的重要性相匹配。

10、测试业务终端与业务效劳器之间的访问途径能否保险可控。包含任选若干不同网段的业务终端，运用命令行工具tracert追踪由该终端到相应业务效劳器的路由，确认业务终端与业务效劳器之间存在访问途径；经过多次运转tracert工具的结果对比，确认终端与效劳器之间的访问途径能否遵照保险控制战略，能否为固定的可控途径。

11、测试重要网段的业务终端和效劳器，考证相应的网络地址与数据链路地址绑定措施能否有效。包含选择若干重要网段的业务终端或效劳器，在命令行中运用“ipconfig/all”命令（Windows操作系统）或“ifconfig”命令（Linux操作系统），查看其网络地址和数据链路地址，核对其能否与完成地址绑定的设备中记载的相分歧；修正某台终端或效劳器的网络配置参数，修正其IP地址，然后尝试衔接网络系统，察看能否能够中止访问；暂时断开某台终端或效劳器与网络的衔接，运用一台新的设备连入网络，并配置为原设备的网络参数（IP地址），然后尝试衔接网络系统，察看能否能够中止访问；测试终了后需将中止测试的设备恢复到测试前的状态。

12、测试网络带宽控制战略能否有效，测试在面对异常网络状况时系统的重要业务能否能够遭到维护。包含选择不同网段的终端设备，运用带宽测试工具，得到当前设备所在网段的带宽，并与带宽控制设备中的带宽限制记载相比较，察看能否分歧；在网络系统外部运用网络攻击测试工具中止拒绝效劳攻击（如SYN Flood攻击），并逐步进步攻击强度，察看系统内的重要业务能否会被优先维护。

（二）网络访问控制机制测评

针对网络访问控制机制方面的测评工作主要有以下7个方面。

1、访谈网络管理员，讯问网络访问控制的措施有哪些，讯问网络访问控制设备具备哪些访问控制功用。包含讯问目前网络访问控制战略及实施计划，好比静态路由配置、IP地址与MAC地址绑定等；讯问目前网络中能否存在防火墙、应用网关等访问控制设备；讯问现有访问控制设备中具备哪些访问控制功用，如远程衔接限制功用、应用层协议控制功用等。

2.检查边疆网络设备的访问控制战略，查看其能否依据会话状态信息对数据流中止控制，控制粒度能否为端口级。包含检查防火墙能否开启了数据流控制战略，检查防火墙能否依据会话信息中源地址、目的地址、源端口号、目的端口号、会话主机名、协议类型等设置了数据流控制战略；检查边疆网络设备，查看其能否对进出网络的信息内容中止过滤，完成对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。

3、检查边疆网络设备，查看能否能设置会话处于非生动的时间或会话终了后自动终止网络衔接；查看能否能设置网络最大流量数及网络衔接数。包含检查被测网络防火墙能否对会话处于非生动的时间或会话终了后自动终止网络衔接的功用中止启用，如没有启动则不契合检查请求；登录被测网络防火墙，在修正带宽通道中查看用户带宽、衔接数限制配置等，假如被测网络仅对用户带宽做了限制，并未对整体带宽及网络衔接数中止限制，则不契合检查请求。

4、检查边疆和主要网络设备地址绑定配置，查看重要网段能否采取了地址绑定的措施。包含依据被测单位实践状况查看其运用的完成地址绑定的设备（防火墙、路由设备、应用网关、交流设备和认证隔离设备等）；以管理员身份登录相关设备，查看能否配置了对IP地址和MAC地址的绑定；查看已绑定的地址中能否将重要网段中的效劳器、终端全部包含在内。

5、检查边疆网络设备的拨号用户列表，查看其能否对具有拨号访问权限的用户数量中止限制。主要包含防火墙、网络认证隔离设备、网闸和交流机等类型的设备。以管理员身份登录边疆网络设备，查看能否配置了正确的拨号访问控制列表，查看能否配置了拨号访问权限的用户数量限制。

6、测试边疆网络设备，可经过试图访问未受权的资源，考证访问控制措施对未受权的访问行为的控制能否有效，控制粒度能否为单个用户。包含运用外网未受权的用户对系统内网终端中止通讯，以未受权的用户身份向内网发送ICMP央求，查看防火墙能否对其中止阻止。

7、对网络访问控制措施中止渗透测试，可经过采用多种渗透测试技术考证网络访问控制措施能否不存在漏洞。如运用http隧道测试工具，从外网对内网中止测试，查看防火墙能否能够发现、阻止该渗透行为。

（三）网络保险审计机制测评

针对网络保险审计机制方面的测评工作主要有以下4个方面。

1、检查边疆和主要网络设备的保险审计战略，查看能否包含网络系统中的网络设备运转状况、网络流量、用户行为等。包含以管理员身份登录被测网络防火墙，查看防火墙的运转状况（包含CPU运用率、内存运用率、当前会话数、最大衔接数和接口速率等信息）；以管理员身份登录被测网络防火墙，查看防火墙的网络流量记载状况（接口速率、收发分组数等），确认防火墙记载了各个接口网络流量相关信息；以管理员身份登录被测网络防火墙，查看操作防火墙时的各种行为及这些操作发作的时间，确认能够从防火墙日志中查询相关操作记载。

2、检查边疆和网络设备，查看事情审计记载能否包含事情的日期、时间、用户、事情类型和事情胜利状况，以及其他与审计相关的信息。包含以管理员身份进入审计系统管理界面，查看审计记载。假如审计记载含有记载时间、用户、事情类型和事情结果等信息，则契合检查请求。

3、检查边疆和主要网络设备，查看能否为受权用户阅读和剖析审计数据提供特地的审计工具，并能依据需求生成审计报表。包含以管理员身份进入审计系统管理界面，查看能否为管理员提供了阅读和查询工具（如对审计记载中止分类、排序、查询、统计、剖析和组合查询等功用），用以查看该防火墙审计系统记载的各种事情，如“入侵攻击事情”和“邮件过滤事情”等；以管理员身份进入审计系统管理界面，查看能否具有对审计数据中止综合统计剖析并生成审计报表的功用。

4、测试边疆和网络设备，可经过以某个非审计用户试图删除、修正或掩盖审计记载，考证保险审计的维护状况与请求能否分歧。包含以非审计用户身份登录网络设备；尝试删除系统的审计日志记载，查看系统能否对其中止阻止；尝试修正系统的审计日志记载，查看系统能否对其中止阻止；尝试掩盖系统的审计日志记载，查看系统能否对其中止阻止。

（四）边疆完好性机制测评

针对边疆完好性机制方面的测评工作主要有以下3个方面。

1、检查边疆完好性检查设备，查看能否设置了对非法衔接到内网和非法衔接到外网的行为中止监控并有效阻断的配置。以微软Forefront TMG2010为例，运用受权用户登录防火墙后，检查设备的网络行为能否被监控，如图3所示，“WIN-EL00JP64T87”正处于监视之中，该效劳器已创建了保险网络地址转换Security NAT和网页代理Web Proxy 2个会话，后者是访问互联网的会话记载，契合检查请求。

图3 边疆完好性监控

2、测试边疆完好性检查设备，测试能否能够及时发现非法外联的设备，能否能肯定出非法外联设备的位置，并对其中止有效阻断。

3、测试边疆完好性检查设备，测试能否能够对非受权设备私自接入内部网络的行为中止检查，并准肯定出位置，对其中止有效阻断。

（五）网络入侵防备机制测评

针对网络入侵防备机制方面的测评工作主要有以下4个方面。

1、检查网络入侵防备设备，查看能否能检测以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝效劳攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等。目前，很多防火墙都具备了成熟的入侵检测功用，所以只需经过防火墙的入侵检测配置页面检查即可。以管理员身份登录被测网络防火墙，进入防火墙攻击防备配置界面，查看防火墙能够防备的网络攻击类型，与上述请求中止比对。

2、检查网络入侵防备设备，查看入侵事情记载中能否包含入侵的源 IP、攻击的类型、攻击的目的、攻击的时间等。

3、检查网络入侵防备设备的规则库版本，查看其规则库能否及时更新。

4、测试网络入侵防备设备，考证其检测战略和报警战略能否有效。经过模仿常见的扫描类攻击，探测目的设备端口的工作状态，检查网络入侵防备设备的响应状况。

（六）歹意代码防备机制测评

针对歹意代码防备机制方面的测评工作主要有以下4个方面。

1、检查设计/验收文档，查看在网络边疆及中心业务网段处能否部署了歹意代码防备措施（如防病毒网关），歹意代码防备产品能否有实时更新的功用描画。

2、检查歹意代码防备产品，查看能否为正轨厂商消费，运转能否正常，歹意代码库能否为最新版本。

3、检查歹意代码防备产品的运转日志，查看能否持续运转。

4、检查歹意代码防备产品的配置战略，查看能否支持歹意代码防备的统一管理。

（七）网络设备防护机制测评

针对网络设备防护机制方面的测评工作主要有以下10个方面。

1、检查边疆和主要网络设备的防护战略，查看能否配置了登录用户身份鉴别功用。翻开网络设备管理员登录界面，假如设置了登录用户身份鉴别功用，则会提示请求输入用户名密码或其他认证凭据，分别用错误和正确的方式中止登录，确认设备能否正确判别。

2、检查边疆和主要网络设备的防护战略，查看能否对网络设备的登录地址中止了限制。如以管理员身份登录防火墙管理界面，在登录地址限制中检查能否有设置允许登录的 MAC地址（或IP地址）。

3、检查边疆和主要网络设备的账户列表，查看用户标识能否独一。

4、检查边疆和主要网络设备，查看能否对同一用户选择2种或2种以上组合的鉴别技术来中止身份鉴别。

5、检查边疆和主要网络设备的防护战略，查看其口令设置能否有复杂度和定期修正请求。

6、检查边疆和主要网络设备，查看能否配置了鉴别失败处置功用，包含终了会话、限制非法登录次数、登录衔接超时自动退出等。

7、检查边疆和主要网络设备，查看能否配置了对设备远程管理所产生的鉴别信息中止维护的功用。可经过远程管理登录能否采用加密通讯中止考证，假如运用了加密通讯（如https协议），则为其实施了信息维护。

8、检查边疆和主要网络设备的管理设置，查看能否完成了设备特权用户的权限分别。

9、测试边疆和主要网络设备的保险设置，考证鉴别失败处置措施能否有效。包含尝试用错误的用户名和密码中止登录，检查考证鉴别失败处置措施的有效性；尝试多次非法的登录行为，查看设备的动作，以考证能否对非法登录次数中止了限制；尝试运用恣意地址登录，察看设备的动作，以考证能否对管理员登录地址中止了限制；尝试长时间衔接无任何操作，察看设备的动作，以考证能否设置了网络登录衔接超时的自动退出战略；对边疆和主要网络设备中止渗透测试，经过运用各种渗透测试技术（如口令猜解等），考证设备防护才干能否契合请求。

10、测试网络设备能否存在保险漏洞和隐患。可运用Nmap等扫描工具对网络设备中止信息采集；运用Nessus漏洞扫描器对网络设备中止扫描，探测设备的漏洞状况；对网络设备中止口令猜解，如采用Medusa对网络设备telnet密码中止暴力破解；针对不同网络设备漏洞中止漏洞应用测试，考证设备能否存在已知的严重保险漏洞。

三、结语

本文引见了网络保险测评的内容、措施和实施过程，并重点参照等级维护三级信息系统的网络保险测评请求，针对网络中主要网络设备战争安机制，从网络保险结构、网络访问控制、网络保险审计、边疆完好性检查、网络入侵防备、歹意代码防备、网络设备防护等方面引见了网络保险测评的细致工作。

在细致实施测评工作时，应依据实践业务网络的涵盖范围中止调整，本文的测评措施与实施指导仅供参考。