网络安全评测

　　随着计算机技术和通信技术的发展和网络应用的普及，网络安全问题变得日益重要。认清网络的脆弱性和潜在威胁，采取强有力的安全策略，是保障网络安全的重要途径。

　　通过对网络系统全面、充分、有效的安全评测,能够快速查出网络上存在的安全隐患、网络系统中存在的安全漏洞、网络系统的抗攻击能力等。根据网络安全评估结果、 业务的安全需求、 安全策略和安全目标，提出合理的安全防护措施建议。

　　评测内容描述

　　评测前提

　　（1）设备安装的场区环境是安全的

　　（2）设备的质量是可靠的

　　（3）外部运行环境是不安全的，内部运行环境是相对安全的，系统管理员是可信任的。

　　依据和标准

　　（1）《计算机网络安全管理》（内部资料）

　　（2）ISO15408 《信息安全技术评估通用准则》

　　（3）GB 17859-1999 《计算机信息系统安全保护等级划分准则》

　　（4）相关各方达成的协议

　　1.安全策略评估

　　1.1 评估内容

　　根据网络系统规划和设计文档、安全需求分析文档、网络安全风险评估文档和安全目标评估网络安全策略的有效性。

　　1.2 评估方法

　　采用专家分析的方法，主要评估安全策略是否满足安全需求、是否能够实现安全目标、安全策略是否有效、是否容易实现、是否符合安全设计原则、各安全策略是否一致等。

　　1.3 评估结论

　　根据评估结果，描述安全策略的完整性、准确性和一致性。

　　2.网络物理安全评估

　　2.1 评估项目

　　(1)网络基础设施、配电系统

　　(2)服务器、交换机、路由器、配线柜、主机房

　　(3)工作站、工作间

　　(4)记录媒体

　　2.2 评估方法

　　采用专家分析法，主要评估2.1中各项对物理访问控制（包括安全隔离、门禁控制、访问权限和时限、访问登记等）、安全防护措施（防盗、防水、防火、防震等）、备份（安全恢复中需要的重要部件的备份）等的要求是否实现、是否满足安全需求。

　　2.3 评估结论

　　根据评估结果，描述网络系统的物理安全情况。

　　3.网络体系的安全性评测

　　3.1网络隔离的安全性评测

　　3.1.1 评测项目

　　(1)网络系统内部与外部的隔离的安全性

　　(2)内部虚网划分和网段的划分的安全性

　　(3)远程连接(VPN、MODEM)的安全性

　　3.1.2 评测方法

　　主要采用侦听工具，评测防火墙过滤和交换机、路由器实现虚网划分的情况。

　　采用漏洞扫描软件评测防火墙、交换机和路由其是否存在安全漏洞。

　　3.1.3 评测结论

　　根据评测结果，描述网络隔离的安全性。

　　3.2网络系统配置安全性评测

　　3.2.1 评测项目

　　(1)各网络设备如路由器、交换机、HUB的网管代理是否修改了默认值

　　(2)是否有措施保证普通用户不能远程登录路由器、交换机等网络设备

　　(3)服务模式的设置

　　(4)开放的服务是否是必须的

　　(5)服务软件版本的更新

　　(6)*作系统的漏洞

　　(7)设备的安全性。

　　3.2.2 评测方法和工具

　　(1) 采用漏洞扫描软件，测试*作系统存在哪些漏洞；

　　(2) 检查网络系统采用的各设备是否采用了安全性得到认证的产品。

　　(3) 根据设计文档，检查网络系统配置是否被更改和更改原因等是否满足安全需求。

　　3.2.3 评估结论

　　根据评估结果，描述网络系统配置的安全情况。

　　3.4网络防护能力评测

　　3.4.1 评测内容

　　主要对拒绝服务、电子欺骗、网络侦听、入侵等攻击形式是否采取了相应的防护措施及防护措施是否有效。

　　3.4.2 评测方法

　　主要采用模拟攻击、漏洞扫描软件，评测网络防护能力。

　　3.4.3 评测结论

　　根据评测结果，描述网络防护能力。

　　3.5 服务的安全性评测

　　3.5.1 评测项目

　　(1) 服务隔离的安全性

　　根据信息敏感级别要求是否实现了不同服务的隔离。

　　(2) 服务的脆弱性分析

　　主要测试系统开放的服务（DNS、FTP、E-Mail、HTTP等）是否存在安全漏洞。

　　3.5.2 评测方法

　　(1)采用漏洞扫描软件，测试网络系统开放的服务是否存在安全漏洞；

　　(2)模拟各服务的实现条件，检测服务的运行情况。

　　3.5.3 评测结论

　　根据评测结果，描述服务的安全性。

　　3.6 应用系统的安全性评估

　　3.6.1 评估项目

　　主要评估应用程序是否存在安全漏洞；应用系统的访问授权、访问控制等防护措施的安全性 。

　　3.6.2 评估方法

　　主要采用专家分析和模拟测试的方法。

　　3.6.3 评估结论

　　根据评估结果，描述应用程序的安全性。

　　4.安全服务的评测

　　4.1 评测项目

　　(1)认证

　　(2)授权

　　(3)数据机密性、完整性、可用性

　　(4)逻辑访问控制

　　4.2 评测方法

　　采用工具截获数据包，分析上述各项是否满足安全需求。

　　4.3 评测结论

　　根据评测结果，描述安全服务的充分性和有效性。

　　5. 病毒防护安全性评估

　　5.1 评估项目

　　主要检测服务器、工作站和网络系统是否配备了有效的病毒清测软件及病毒清查的执行情况。

　　5.2 评估方法

　　专家分析和模拟评测。

　　5.3 评估结论

　　根据评估结果，描述对病毒防范的情况。

　　6.审计的安全性评测

　　6.1 评测项目

　　(1)审计数据的生成方式的安全性

　　(2)审计数据是否充分。

　　(3)审计数据的存储是否安全

　　(4)审计数据的访问及防更改的安全性

　　6.2 评测方法

　　主要采用专家分析和模拟测试。

　　6.3 评测结论

　　根据评测结果描述审计的安全性。

　　7. 备份的安全性评估

　　7.1 评估项目

　　(1)备份方式的有效性

　　(2)备份的充分性

　　(3)备份存储的安全性

　　(4)备份的访问控制

　　7.2 评估方法

　　采用专家分析的方法，根据系统的安全需求、业务的连续性计划，评估备份的安全性。

　　7.3 评估结论

　　根据评估结果，描述备份系统的安全性。

　　8.紧急事件响应评估

　　8.1 评估项目

　　(1)是否有紧急事件响应程序及响应程序是否有效

　　(2)平时的准备情况(备份和演练)

　　8.2 评估方法

　　模拟紧急事件响应条件，检测响应程序是否能够有序、有效处理安全事件。

　　8.3 评估结论

　　根据评估结果，描述紧急事件响应程序的充分性、有效性。

　　9.安全组织和管理评估

　　9.1 评估项目

　　(1)是否建立了安全组织机构、安全机构的设置是否合理

　　(2)是否有网络管理条例，明确规定网络应用目的、应用范围、应用要求、违反惩罚规定、用户入网审批程序等。

　　(3)是否明确指定了每个介入网络人员的安全责任

　　(4)是否有合适的信息处理设施授权程序

　　(5)是否实施了网络配置管理

　　(6)是否规定了各作业的合理*作规程

　　(7)是否有明确详实的人员安全性的规?贫?br /> (8)是否有详实、有效的安全事件响应程序

　　(9)是否相关人员容易得到各管理规定、是否清楚其详细内容。

　　(10)是否有相应的保密制度

　　(11)是否有账号、口令、权限等授权和管理制度

　　(12)是否有定期安全审核和安全风险评估制度

　　(13)是否有管理员定期培训和资质考核制度

　　9.2 评估方法

　　专家分析、考核、审计和调查的方法。

　　9.3 评估结论

　　根据评估结果，描述安全组织机构和安全管理是否充分有效。