網(wǎng)絡(luò)安全測評(等級保護三級)
網(wǎng)絡(luò)是信息傳輸、接收、共享的平臺,通過網(wǎng)絡(luò)設(shè)備、通信介質(zhì)等將終端設(shè)備聯(lián)系到一起,從而實現(xiàn)資源共享及信息協(xié)作。網(wǎng)絡(luò)安全測評是對網(wǎng)絡(luò)中網(wǎng)絡(luò)結(jié)構(gòu)、功能配置、自身防護等方面的測評和分析,發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的安全功能缺陷、配置不安全等方面的問題。網(wǎng)絡(luò)安全測評主要測評內(nèi)容包括網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)問控制、網(wǎng)絡(luò)安全審計、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護等方面。
一、網(wǎng)絡(luò)安全測評方法
(一)網(wǎng)絡(luò)安全測評依據(jù)
網(wǎng)絡(luò)安全測評的主要依據(jù)是各類國家標準,與主機安全測評相類似,主要包括以下內(nèi)容。
1、《GB 17859?1999 計算機信息系統(tǒng)安全等級保護劃分準則》是我國信息安全測評的基礎(chǔ)類標準之一,描述了計算機信息系統(tǒng)安全保護技術(shù)能力等級的劃分。
2、《GB/T 18336信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》等同采用國際標準ISO/IEC 15408:2005(簡稱CC),是評估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)標準。
3、《GB/T 22239?2008 信息安全 技術(shù)信息系統(tǒng)安全等級保護基本要求》(以下簡稱《基本要求》)和《GB/T 28448?2012 信息安全 技術(shù)信息系統(tǒng)安全等級保護測評要求》(以下簡稱《測評要求》):是國家信息安全等級保護管理制度中針對信息系統(tǒng)安全開展等級測評工作的重要依據(jù)。
(二)網(wǎng)絡(luò)安全測評對象及內(nèi)容
《基本要求》針對信息系統(tǒng)的不同安全等級對網(wǎng)絡(luò)安全提出了不同的基本要求。《測評要求》闡述了《基本要求》中各要求項的具體測評方法、步驟和判斷依據(jù)等,用來評定各級信息系統(tǒng)的安全保護措施是否符合《基本要求》。依據(jù)《測評要求》,測評過程需要針對網(wǎng)絡(luò)拓撲、路由器、防火墻、網(wǎng)關(guān)等測評對象,從網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)入侵防范等方面分別進行測評
從測評對象角度來看,網(wǎng)絡(luò)安全測評應(yīng)覆蓋網(wǎng)絡(luò)本身、網(wǎng)絡(luò)設(shè)備及相關(guān)的網(wǎng)絡(luò)安全機制,具體包括網(wǎng)絡(luò)拓撲、路由器、交換機、防火墻、入侵檢測系統(tǒng)(IDS)、入侵防御系統(tǒng)(IPS)、網(wǎng)關(guān)等。
從測評內(nèi)容角度來看,網(wǎng)絡(luò)安全測評主要包括以下7個方面。
1、網(wǎng)絡(luò)結(jié)構(gòu)安全。從網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)段劃分、帶寬分配、擁塞控制、業(yè)務(wù)承載能力等方面對網(wǎng)絡(luò)安全性進行測評。
2、網(wǎng)絡(luò)訪問控制。從網(wǎng)絡(luò)設(shè)備的訪問控制策略、技術(shù)手段等方面對網(wǎng)絡(luò)安全性進行測評。
3、網(wǎng)絡(luò)安全審計。從網(wǎng)絡(luò)審計策略、審計范圍、審計內(nèi)容、審計記錄、審計日志保護等方面對網(wǎng)絡(luò)安全性進行測評。
4、邊界完整性檢查。從網(wǎng)絡(luò)內(nèi)網(wǎng)、外網(wǎng)間連接的監(jiān)控與管理能力等方面對邊界完整性進行測評。
5、網(wǎng)絡(luò)入侵防范。檢查對入侵事件的記錄情況,包括攻擊類型、攻擊時間、源 IP、攻擊目的等。
6、惡意代碼防范。檢查網(wǎng)絡(luò)中惡意代碼防范設(shè)備的使用、部署、更新等情況。
7、網(wǎng)絡(luò)設(shè)備防護。檢查網(wǎng)絡(luò)設(shè)備的訪問控制策略、身份鑒別、權(quán)限分離、數(shù)據(jù)保密、敏感信息保護等。
(三)網(wǎng)絡(luò)安全測評方式
與《主機安全測評》類似,網(wǎng)絡(luò)安全測評也包括訪談、現(xiàn)場檢查和測試3種方式。
1、訪談是指測評人員通過引導(dǎo)信息系統(tǒng)相關(guān)人員進行有目的(有針對性)的交流以理解、澄清或取得證據(jù)的過程。訪談作為安全測評的第一步,使測評人員快速地理解認識被測網(wǎng)絡(luò)。網(wǎng)絡(luò)安全訪談是針對網(wǎng)絡(luò)測評的內(nèi)容,由測評人員對被測評網(wǎng)絡(luò)的網(wǎng)絡(luò)管理員、安全管理員、安全審計員等相關(guān)人員進行詢問交流,并根據(jù)收集的信息進行網(wǎng)絡(luò)安全合規(guī)性的分析判斷。
2、現(xiàn)場檢查是指測評人員通過對測評對象(如網(wǎng)絡(luò)拓撲圖、網(wǎng)絡(luò)設(shè)備、安全配置等)進行觀察、查驗、分析以理解、澄清或取得證據(jù)的過程。網(wǎng)絡(luò)安全現(xiàn)場檢查主要是基于訪談情況,依據(jù)檢查表單,對信息系統(tǒng)中網(wǎng)絡(luò)安全狀況進行現(xiàn)場檢查。主要包括2個方面:一是對所提供的網(wǎng)絡(luò)安全相關(guān)技術(shù)文檔進行檢查分析;二是依據(jù)網(wǎng)絡(luò)安全配置檢查要求,通過配置管理系統(tǒng)進行安全情況檢查與分析。
3、測試是指測評人員使用預(yù)定的方法/工具使測評對象(各類設(shè)備或安全配置)產(chǎn)生特定的結(jié)果,以將運行結(jié)果與預(yù)期的結(jié)果進行比對的過程。測試提供了高強度的網(wǎng)絡(luò)安全檢查,為驗證測評結(jié)果提供有效支撐。網(wǎng)絡(luò)安全測試需要測評人員根據(jù)被測網(wǎng)絡(luò)的實際情況,綜合采用各類測試工具、儀器和專用設(shè)備來展開實施。
(四)網(wǎng)絡(luò)安全測評工具
開展網(wǎng)絡(luò)安全測評的工具主要有以下類型。
1、網(wǎng)絡(luò)設(shè)備自身提供的工具。包括設(shè)備自身支持的命令、系統(tǒng)自帶的網(wǎng)絡(luò)診斷工具、網(wǎng)絡(luò)管理軟件等,用于協(xié)助測評人員對網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)隔離和訪問控制、網(wǎng)絡(luò)狀態(tài)等信息進行有效收集。
2、網(wǎng)絡(luò)診斷設(shè)備或工具軟件。包括網(wǎng)絡(luò)拓撲掃描工具、網(wǎng)絡(luò)抓包軟件、協(xié)議分析軟件、網(wǎng)絡(luò)診斷儀等,用于探測網(wǎng)絡(luò)結(jié)構(gòu)、對網(wǎng)絡(luò)性能進行專業(yè)檢測或?qū)W(wǎng)絡(luò)數(shù)據(jù)分組進行協(xié)議格式分析和內(nèi)容分析。
3、設(shè)備配置核查工具。對網(wǎng)絡(luò)設(shè)備的安全策略配置情況進行自動檢查,包括網(wǎng)絡(luò)設(shè)備的鑒別機制、日志策略、審計策略、數(shù)據(jù)備份和更新策略等,使用工具代替人工記錄各類系統(tǒng)檢查命令的執(zhí)行結(jié)果,并對結(jié)果進行分析。
4、網(wǎng)絡(luò)攻擊測試工具。提供用于針對網(wǎng)絡(luò)開展攻擊測試工作的工具包,可根據(jù)測試要求生成各類攻擊包或攻擊流量,測試網(wǎng)絡(luò)是否容易遭受拒絕服務(wù)等典型網(wǎng)絡(luò)攻擊。
二、網(wǎng)絡(luò)安全測評的實施
下面詳細介紹網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計等7個方面的測評實施過程。網(wǎng)絡(luò)安全測評需要綜合采用訪談、檢查和測試的測評方式。其中,訪談通常是首先開展的工作。應(yīng)在測評方與被測評方充分溝通的基礎(chǔ)上,確定訪談的計劃安排,包括訪談部門、訪談對象、訪談時間及訪談配合人員等。在網(wǎng)絡(luò)安全訪談過程中,測評方應(yīng)確保所訪談的信息能滿足網(wǎng)絡(luò)安全測評的信息采集要求,如果有信息遺漏的情況,可以安排進行補充訪談,確保能獲取到所需要的信息。測評方應(yīng)填寫資料接收單,并做好資料的安全保管。網(wǎng)絡(luò)安全訪談中的網(wǎng)絡(luò)情況調(diào)查至少應(yīng)包括網(wǎng)絡(luò)的拓撲結(jié)構(gòu)、網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)接入方式、主要網(wǎng)絡(luò)設(shè)備信息(品牌、型號、物理位置、IP地址、系統(tǒng)版本/補丁等)、網(wǎng)絡(luò)管理方式、網(wǎng)絡(luò)管理員等信息,并根據(jù)具體的網(wǎng)絡(luò)安全測評項進行擴充。
由于等級保護三級信息系統(tǒng)的重要性和廣泛代表性,這里以等級保護三級信息系統(tǒng)中的網(wǎng)絡(luò)安全要求為例,對測評實施過程進行描述。其他等級系統(tǒng)中的網(wǎng)絡(luò)可根據(jù)對應(yīng)級別的基本要求,參照此內(nèi)容進行調(diào)整,以滿足自身的安全測評需求。
如圖2所示,該網(wǎng)絡(luò)包含“辦公區(qū)”“財務(wù)區(qū)”“DMZ區(qū)”“服務(wù)器區(qū)”4個區(qū)域,其中, DMZ區(qū)直接與邊界防火墻相連,其他3個區(qū)域由三級交換機連接。服務(wù)器區(qū)域為被測網(wǎng)絡(luò)的重要網(wǎng)段,通過防火墻與其他區(qū)域進行隔離。
(一)網(wǎng)絡(luò)結(jié)構(gòu)安全測評
針對網(wǎng)絡(luò)結(jié)構(gòu)安全方面的測評工作主要有以下12個方面。
1、訪談網(wǎng)絡(luò)管理員,詢問關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力是否滿足基本業(yè)務(wù)需求。包括詢問信息系統(tǒng)中的關(guān)鍵網(wǎng)絡(luò)設(shè)備的性能,如防火墻吞吐量、分組丟失率、最大并發(fā)連接數(shù)等性能參數(shù);詢問目前信息系統(tǒng)的業(yè)務(wù)高峰網(wǎng)絡(luò)情況,如用戶訪問量、網(wǎng)絡(luò)上下行流量等參數(shù);分析判斷網(wǎng)絡(luò)設(shè)備性能情況是否滿足業(yè)務(wù)需求。
2、訪談網(wǎng)絡(luò)管理員,詢問接入網(wǎng)絡(luò)及核心網(wǎng)絡(luò)的帶寬是否滿足基本業(yè)務(wù)需要。包括詢問接入網(wǎng)絡(luò)的拓撲結(jié)構(gòu)及關(guān)鍵網(wǎng)絡(luò)設(shè)備的帶寬分配情況;詢問基本業(yè)務(wù)對帶寬的需求情況;分析判斷網(wǎng)絡(luò)帶寬是否滿足基本業(yè)務(wù)需求。
3、檢查網(wǎng)絡(luò)設(shè)計或驗收文檔,查看是否有滿足主要網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力需要的設(shè)計或描述。包括查看網(wǎng)絡(luò)設(shè)計或驗收文檔中是否有對網(wǎng)絡(luò)系統(tǒng)需要的業(yè)務(wù)處理能力進行了描述、說明;查看網(wǎng)絡(luò)設(shè)計或驗收文檔中是否記錄了主要網(wǎng)絡(luò)設(shè)備的性能參數(shù),并判斷該網(wǎng)絡(luò)系統(tǒng)能否具備基本的業(yè)務(wù)能力。
4、檢查網(wǎng)絡(luò)設(shè)計或驗收文檔,查看是否有滿足接入網(wǎng)絡(luò)及核心網(wǎng)絡(luò)的帶寬業(yè)務(wù)高峰期的需要以及存不存在帶寬瓶頸等方面的設(shè)計或描述。包括查看網(wǎng)絡(luò)設(shè)計或驗收文檔中是否有對接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬設(shè)計,是否有對業(yè)務(wù)高峰期網(wǎng)絡(luò)帶寬的預(yù)估,并結(jié)合現(xiàn)場情況判斷網(wǎng)絡(luò)系統(tǒng)是否能夠滿足業(yè)務(wù)高峰期時的需要;檢查文檔中是否有應(yīng)對帶寬瓶頸等方面問題的設(shè)計、描述和解決方案。
5、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的路由控制策略,查看是否建立安全的訪問路徑。包括查看路由控制設(shè)備(邊界網(wǎng)關(guān)、邊界防火墻、交換設(shè)備和認證隔離設(shè)備);以管理員身份登錄路由控制設(shè)備的管理界面查看路由控制策略,檢查是否設(shè)置了靜態(tài)路由;查看路由控制策略,是否把重要網(wǎng)段和不安全網(wǎng)段直接連接在一起,以及是否可以使重要網(wǎng)段之間連通。
6、檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖,查看其與當前運行的實際網(wǎng)絡(luò)系統(tǒng)是否一致。包括使用網(wǎng)絡(luò)拓撲掃描工具得到當前網(wǎng)絡(luò)運行拓撲圖;通過人工觀察對該拓撲圖進行核查和調(diào)整;將該拓撲結(jié)構(gòu)與設(shè)計文檔中原有的拓撲規(guī)劃結(jié)構(gòu)進行比較;核對網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計中體現(xiàn)的信息系統(tǒng)安全思想,并與被測單位制定的安全策略相比較。
7、檢查網(wǎng)絡(luò)設(shè)計或驗收文檔,查看是否有根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,并按照方便管理和控制的原則為各子網(wǎng)和網(wǎng)段分配地址段的設(shè)計和描述。包括查看網(wǎng)絡(luò)設(shè)計或驗收文檔中是否有對各子網(wǎng)和網(wǎng)段分配地址段的設(shè)計或描述;查看文檔中記錄的對網(wǎng)段進行劃分的依據(jù)(各部門的工作職能、重要性和所涉及信息的重要程度等因素);核查對網(wǎng)絡(luò)系統(tǒng)內(nèi)各子網(wǎng)和網(wǎng)段的劃分是否與劃分依據(jù)相匹配,是否依照了方便管理和控制的原則進行網(wǎng)段劃分。
8、檢查邊界和主要網(wǎng)絡(luò)設(shè)備,查看重要網(wǎng)段是否采取了技術(shù)隔離手段與其他網(wǎng)段隔離。包括根據(jù)被測單位實際情況查看其使用的技術(shù)隔離設(shè)備(網(wǎng)閘、防火墻、應(yīng)用網(wǎng)關(guān)、交換設(shè)備和認證隔離設(shè)備等);檢查網(wǎng)絡(luò)系統(tǒng)的重要網(wǎng)段和網(wǎng)絡(luò)邊界處是否部署技術(shù)隔離設(shè)備并啟用,如圖2所示,服務(wù)器區(qū)域作為重要網(wǎng)絡(luò),使用了防火墻進行區(qū)域隔離;檢查技術(shù)隔離設(shè)備,查看是否設(shè)置了特別的過濾規(guī)則來保證重要網(wǎng)段與其他網(wǎng)段之間的通信得到嚴格過濾。
9、檢查邊界和主要網(wǎng)絡(luò)設(shè)備,查看是否配置對帶寬進行控制的策略,這些策略是否能夠保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要業(yè)務(wù)。包括根據(jù)被測單位實際情況查看其使用的帶寬控制設(shè)備(邊界網(wǎng)關(guān)、邊界防火墻、交換設(shè)備和認證隔離設(shè)備等);以管理員身份連接帶寬控制設(shè)備,查看是否配置了帶寬控制功能(如路由、交換設(shè)備中的QoS功能,專用的帶寬管理設(shè)備的配置策略等)。檢查配置的帶寬控制功能中是否設(shè)定了保護優(yōu)先級和網(wǎng)絡(luò)帶寬限制;檢查重要網(wǎng)段中的服務(wù)器、終端設(shè)備是否處在帶寬控制設(shè)備的保護下;檢查配置的保護優(yōu)先級是否與承擔(dān)業(yè)務(wù)的重要性相匹配。
10、測試業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間的訪問路徑是否安全可控。包括任選若干不同網(wǎng)段的業(yè)務(wù)終端,使用命令行工具tracert追蹤由該終端到相應(yīng)業(yè)務(wù)服務(wù)器的路由,確認業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間存在訪問路徑;通過多次運行tracert工具的結(jié)果對比,確認終端與服務(wù)器之間的訪問路徑是否遵循安全控制策略,是否為固定的可控路徑。
11、測試重要網(wǎng)段的業(yè)務(wù)終端和服務(wù)器,驗證相應(yīng)的網(wǎng)絡(luò)地址與數(shù)據(jù)鏈路地址綁定措施是否有效。包括選擇若干重要網(wǎng)段的業(yè)務(wù)終端或服務(wù)器,在命令行中使用“ipconfig/all”命令(Windows操作系統(tǒng))或“ifconfig”命令(Linux操作系統(tǒng)),查看其網(wǎng)絡(luò)地址和數(shù)據(jù)鏈路地址,核查其是否與實現(xiàn)地址綁定的設(shè)備中記錄的相一致;修改某臺終端或服務(wù)器的網(wǎng)絡(luò)配置參數(shù),修改其IP地址,然后嘗試連接網(wǎng)絡(luò)系統(tǒng),觀察是否可以進行訪問;暫時斷開某臺終端或服務(wù)器與網(wǎng)絡(luò)的連接,使用一臺新的設(shè)備連入網(wǎng)絡(luò),并配置為原設(shè)備的網(wǎng)絡(luò)參數(shù)(IP地址),然后嘗試連接網(wǎng)絡(luò)系統(tǒng),觀察是否可以進行訪問;測試結(jié)束后需將進行測試的設(shè)備恢復(fù)到測試前的狀態(tài)。
12、測試網(wǎng)絡(luò)帶寬控制策略是否有效,測試在面對異常網(wǎng)絡(luò)狀況時系統(tǒng)的重要業(yè)務(wù)是否能夠受到保護。包括選擇不同網(wǎng)段的終端設(shè)備,使用帶寬測試工具,得到當前設(shè)備所在網(wǎng)段的帶寬,并與帶寬控制設(shè)備中的帶寬限制記錄相比較,觀察是否一致;在網(wǎng)絡(luò)系統(tǒng)外部使用網(wǎng)絡(luò)攻擊測試工具進行拒絕服務(wù)攻擊(如SYN Flood攻擊),并逐步提高攻擊強度,觀察系統(tǒng)內(nèi)的重要業(yè)務(wù)是否會被優(yōu)先保護。
(二)網(wǎng)絡(luò)訪問控制機制測評
針對網(wǎng)絡(luò)訪問控制機制方面的測評工作主要有以下7個方面。
1、訪談網(wǎng)絡(luò)管理員,詢問網(wǎng)絡(luò)訪問控制的措施有哪些,詢問網(wǎng)絡(luò)訪問控制設(shè)備具備哪些訪問控制功能。包括詢問目前網(wǎng)絡(luò)訪問控制策略及實施方案,比如靜態(tài)路由配置、IP地址與MAC地址綁定等;詢問目前網(wǎng)絡(luò)中是否存在防火墻、應(yīng)用網(wǎng)關(guān)等訪問控制設(shè)備;詢問現(xiàn)有訪問控制設(shè)備中具備哪些訪問控制功能,如遠程連接限制功能、應(yīng)用層協(xié)議控制功能等。
2.檢查邊界網(wǎng)絡(luò)設(shè)備的訪問控制策略,查看其是否根據(jù)會話狀態(tài)信息對數(shù)據(jù)流進行控制,控制粒度是否為端口級。包括檢查防火墻是否開啟了數(shù)據(jù)流控制策略,檢查防火墻是否根據(jù)會話信息中源地址、目的地址、源端口號、目的端口號、會話主機名、協(xié)議類型等設(shè)置了數(shù)據(jù)流控制策略;檢查邊界網(wǎng)絡(luò)設(shè)備,查看其是否對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾,實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制。
3、檢查邊界網(wǎng)絡(luò)設(shè)備,查看是否能設(shè)置會話處于非活躍的時間或會話結(jié)束后自動終止網(wǎng)絡(luò)連接;查看是否能設(shè)置網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。包括檢查被測網(wǎng)絡(luò)防火墻是否對會話處于非活躍的時間或會話結(jié)束后自動終止網(wǎng)絡(luò)連接的功能進行啟用,如沒有啟動則不符合檢查要求;登錄被測網(wǎng)絡(luò)防火墻,在修改帶寬通道中查看用戶帶寬、連接數(shù)限制配置等,如果被測網(wǎng)絡(luò)僅對用戶帶寬做了限制,并未對整體帶寬及網(wǎng)絡(luò)連接數(shù)進行限制,則不符合檢查要求。
4、檢查邊界和主要網(wǎng)絡(luò)設(shè)備地址綁定配置,查看重要網(wǎng)段是否采取了地址綁定的措施。包括根據(jù)被測單位實際情況查看其使用的實現(xiàn)地址綁定的設(shè)備(防火墻、路由設(shè)備、應(yīng)用網(wǎng)關(guān)、交換設(shè)備和認證隔離設(shè)備等);以管理員身份登錄相關(guān)設(shè)備,查看是否配置了對IP地址和MAC地址的綁定;查看已綁定的地址中是否將重要網(wǎng)段中的服務(wù)器、終端全部包含在內(nèi)。
5、檢查邊界網(wǎng)絡(luò)設(shè)備的撥號用戶列表,查看其是否對具有撥號訪問權(quán)限的用戶數(shù)量進行限制。主要包括防火墻、網(wǎng)絡(luò)認證隔離設(shè)備、網(wǎng)閘和交換機等類型的設(shè)備。以管理員身份登錄邊界網(wǎng)絡(luò)設(shè)備,查看是否配置了正確的撥號訪問控制列表,查看是否配置了撥號訪問權(quán)限的用戶數(shù)量限制。
6、測試邊界網(wǎng)絡(luò)設(shè)備,可通過試圖訪問未授權(quán)的資源,驗證訪問控制措施對未授權(quán)的訪問行為的控制是否有效,控制粒度是否為單個用戶。包括使用外網(wǎng)未授權(quán)的用戶對系統(tǒng)內(nèi)網(wǎng)終端進行通信,以未授權(quán)的用戶身份向內(nèi)網(wǎng)發(fā)送ICMP請求,查看防火墻是否對其進行阻止。
7、對網(wǎng)絡(luò)訪問控制措施進行滲透測試,可通過采用多種滲透測試技術(shù)驗證網(wǎng)絡(luò)訪問控制措施是否不存在漏洞。如使用http隧道測試工具,從外網(wǎng)對內(nèi)網(wǎng)進行測試,查看防火墻是否能夠發(fā)現(xiàn)、阻止該滲透行為。
(三)網(wǎng)絡(luò)安全審計機制測評
針對網(wǎng)絡(luò)安全審計機制方面的測評工作主要有以下4個方面。
1、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的安全審計策略,查看是否包含網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等。包括以管理員身份登錄被測網(wǎng)絡(luò)防火墻,查看防火墻的運行狀況(包括CPU使用率、內(nèi)存使用率、當前會話數(shù)、最大連接數(shù)和接口速率等信息);以管理員身份登錄被測網(wǎng)絡(luò)防火墻,查看防火墻的網(wǎng)絡(luò)流量記錄情況(接口速率、收發(fā)分組數(shù)等),確認防火墻記錄了各個接口網(wǎng)絡(luò)流量相關(guān)信息;以管理員身份登錄被測網(wǎng)絡(luò)防火墻,查看操作防火墻時的各種行為及這些操作發(fā)生的時間,確認可以從防火墻日志中查詢相關(guān)操作記錄。
2、檢查邊界和網(wǎng)絡(luò)設(shè)備,查看事件審計記錄是否包含事件的日期、時間、用戶、事件類型和事件成功情況,以及其他與審計相關(guān)的信息。包括以管理員身份進入審計系統(tǒng)管理界面,查看審計記錄。如果審計記錄含有記錄時間、用戶、事件類型和事件結(jié)果等信息,則符合檢查要求。
3、檢查邊界和主要網(wǎng)絡(luò)設(shè)備,查看是否為授權(quán)用戶瀏覽和分析審計數(shù)據(jù)提供專門的審計工具,并能根據(jù)需要生成審計報表。包括以管理員身份進入審計系統(tǒng)管理界面,查看是否為管理員提供了瀏覽和查詢工具(如對審計記錄進行分類、排序、查詢、統(tǒng)計、分析和組合查詢等功能),用以查看該防火墻審計系統(tǒng)記錄的各種事件,如“入侵攻擊事件”和“郵件過濾事件”等;以管理員身份進入審計系統(tǒng)管理界面,查看是否具有對審計數(shù)據(jù)進行綜合統(tǒng)計分析并生成審計報表的功能。
4、測試邊界和網(wǎng)絡(luò)設(shè)備,可通過以某個非審計用戶試圖刪除、修改或覆蓋審計記錄,驗證安全審計的保護情況與要求是否一致。包括以非審計用戶身份登錄網(wǎng)絡(luò)設(shè)備;嘗試刪除系統(tǒng)的審計日志記錄,查看系統(tǒng)是否對其進行阻止;嘗試修改系統(tǒng)的審計日志記錄,查看系統(tǒng)是否對其進行阻止;嘗試覆蓋系統(tǒng)的審計日志記錄,查看系統(tǒng)是否對其進行阻止。
(四)邊界完整性機制測評
針對邊界完整性機制方面的測評工作主要有以下3個方面。
1、檢查邊界完整性檢查設(shè)備,查看是否設(shè)置了對非法連接到內(nèi)網(wǎng)和非法連接到外網(wǎng)的行為進行監(jiān)控并有效阻斷的配置。以微軟Forefront TMG2010為例,使用授權(quán)用戶登錄防火墻后,檢查設(shè)備的網(wǎng)絡(luò)行為是否被監(jiān)控,如圖3所示,“WIN-EL00JP64T87”正處于監(jiān)視之中,該服務(wù)器已創(chuàng)建了安全網(wǎng)絡(luò)地址轉(zhuǎn)換Security NAT和網(wǎng)頁代理Web Proxy 2個會話,后者是訪問互聯(lián)網(wǎng)的會話記錄,符合檢查要求。
2、測試邊界完整性檢查設(shè)備,測試是否能夠及時發(fā)現(xiàn)非法外聯(lián)的設(shè)備,是否能確定出非法外聯(lián)設(shè)備的位置,并對其進行有效阻斷。
3、測試邊界完整性檢查設(shè)備,測試是否能夠?qū)Ψ鞘跈?quán)設(shè)備私自接入內(nèi)部網(wǎng)絡(luò)的行為進行檢查,并準確定出位置,對其進行有效阻斷。
(五)網(wǎng)絡(luò)入侵防范機制測評
針對網(wǎng)絡(luò)入侵防范機制方面的測評工作主要有以下4個方面。
1、檢查網(wǎng)絡(luò)入侵防范設(shè)備,查看是否能檢測以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等。目前,很多防火墻都具備了成熟的入侵檢測功能,所以只需通過防火墻的入侵檢測配置頁面檢查即可。以管理員身份登錄被測網(wǎng)絡(luò)防火墻,進入防火墻攻擊防范配置界面,查看防火墻能夠防范的網(wǎng)絡(luò)攻擊類型,與上述要求進行比對。
2、檢查網(wǎng)絡(luò)入侵防范設(shè)備,查看入侵事件記錄中是否包括入侵的源 IP、攻擊的類型、攻擊的目的、攻擊的時間等。
3、檢查網(wǎng)絡(luò)入侵防范設(shè)備的規(guī)則庫版本,查看其規(guī)則庫是否及時更新。
4、測試網(wǎng)絡(luò)入侵防范設(shè)備,驗證其檢測策略和報警策略是否有效。通過模擬常見的掃描類攻擊,探測目標設(shè)備端口的工作狀態(tài),檢查網(wǎng)絡(luò)入侵防范設(shè)備的響應(yīng)情況。
(六)惡意代碼防范機制測評
針對惡意代碼防范機制方面的測評工作主要有以下4個方面。
1、檢查設(shè)計/驗收文檔,查看在網(wǎng)絡(luò)邊界及核心業(yè)務(wù)網(wǎng)段處是否部署了惡意代碼防范措施(如防病毒網(wǎng)關(guān)),惡意代碼防范產(chǎn)品是否有實時更新的功能描述。
2、檢查惡意代碼防范產(chǎn)品,查看是否為正規(guī)廠商生產(chǎn),運行是否正常,惡意代碼庫是否為最新版本。
3、檢查惡意代碼防范產(chǎn)品的運行日志,查看是否持續(xù)運行。
4、檢查惡意代碼防范產(chǎn)品的配置策略,查看是否支持惡意代碼防范的統(tǒng)一管理。
(七)網(wǎng)絡(luò)設(shè)備防護機制測評
針對網(wǎng)絡(luò)設(shè)備防護機制方面的測評工作主要有以下10個方面。
1、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的防護策略,查看是否配置了登錄用戶身份鑒別功能。打開網(wǎng)絡(luò)設(shè)備管理員登錄界面,如果設(shè)置了登錄用戶身份鑒別功能,則會提示要求輸入用戶名密碼或其他認證憑據(jù),分別用錯誤和正確的方式進行登錄,確認設(shè)備能否正確判別。
2、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的防護策略,查看是否對網(wǎng)絡(luò)設(shè)備的登錄地址進行了限制。如以管理員身份登錄防火墻管理界面,在登錄地址限制中檢查是否有設(shè)置允許登錄的 MAC地址(或IP地址)。
3、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的賬戶列表,查看用戶標識是否唯一。
4、檢查邊界和主要網(wǎng)絡(luò)設(shè)備,查看是否對同一用戶選擇2種或2種以上組合的鑒別技術(shù)來進行身份鑒別。
5、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的防護策略,查看其口令設(shè)置是否有復(fù)雜度和定期修改要求。
6、檢查邊界和主要網(wǎng)絡(luò)設(shè)備,查看是否配置了鑒別失敗處理功能,包括結(jié)束會話、限制非法登錄次數(shù)、登錄連接超時自動退出等。
7、檢查邊界和主要網(wǎng)絡(luò)設(shè)備,查看是否配置了對設(shè)備遠程管理所產(chǎn)生的鑒別信息進行保護的功能??赏ㄟ^遠程管理登錄是否采用加密通信進行驗證,如果使用了加密通信(如https協(xié)議),則為其實施了信息保護。
8、檢查邊界和主要網(wǎng)絡(luò)設(shè)備的管理設(shè)置,查看是否實現(xiàn)了設(shè)備特權(quán)用戶的權(quán)限分離。
9、測試邊界和主要網(wǎng)絡(luò)設(shè)備的安全設(shè)置,驗證鑒別失敗處理措施是否有效。包括嘗試用錯誤的用戶名和密碼進行登錄,檢查驗證鑒別失敗處理措施的有效性;嘗試多次非法的登錄行為,查看設(shè)備的動作,以驗證是否對非法登錄次數(shù)進行了限制;嘗試使用任意地址登錄,觀察設(shè)備的動作,以驗證是否對管理員登錄地址進行了限制;嘗試長時間連接無任何操作,觀察設(shè)備的動作,以驗證是否設(shè)置了網(wǎng)絡(luò)登錄連接超時的自動退出策略;對邊界和主要網(wǎng)絡(luò)設(shè)備進行滲透測試,通過使用各種滲透測試技術(shù)(如口令猜解等),驗證設(shè)備防護能力是否符合要求。
10、測試網(wǎng)絡(luò)設(shè)備是否存在安全漏洞和隱患??墒褂肗map等掃描工具對網(wǎng)絡(luò)設(shè)備進行信息采集;使用Nessus漏洞掃描器對網(wǎng)絡(luò)設(shè)備進行掃描,探測設(shè)備的漏洞情況;對網(wǎng)絡(luò)設(shè)備進行口令猜解,如采用Medusa對網(wǎng)絡(luò)設(shè)備telnet密碼進行暴力破解;針對不同網(wǎng)絡(luò)設(shè)備漏洞進行漏洞利用測試,驗證設(shè)備是否存在已知的嚴重安全漏洞。
三、結(jié)語
本文介紹了網(wǎng)絡(luò)安全測評的內(nèi)容、方法和實施過程,并重點參照等級保護三級信息系統(tǒng)的網(wǎng)絡(luò)安全測評要求,針對網(wǎng)絡(luò)中主要網(wǎng)絡(luò)設(shè)備和安全機制,從網(wǎng)絡(luò)安全結(jié)構(gòu)、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護等方面介紹了網(wǎng)絡(luò)安全測評的具體工作。