等保测评 /EQUAL INSURANCE EVALUATION

当前位置:首页 > 等保测评
网络安全测评(等级保护三级)
2019-04-08 13:56 来源:安信安全 

网络是信息传输、接收、共享的平台,通过网络设备、通信介质等将终端设备联系到一起,从而实现资源共享及信息协作。网络安全测评是对网络中网络结构、功能配置、自身防护等方面的测评和分析,发现网络中可能存在的安全功能缺陷、配置不安全等方面的问题。网络安全测评主要测评内容包括网络结构安全、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等方面。


一、网络安全测评方法


(一)网络安全测评依据


网络安全测评的主要依据是各类国家标准,与主机安全测评相类似,主要包括以下内容。


1、《GB 17859?1999 计算机信息系统安全等级保护划分准则》是我国信息安全测评的基础类标准之一,描述了计算机信息系统安全保护技术能力等级的划分。


2、《GB/T 18336信息技术 安全技术 信息技术安全性评估准则》等同采用国际标准ISO/IEC 15408:2005(简称CC),是评估信息技术产品和系统安全特性的基础标准。


3、《GB/T 22239?2008 信息安全 技术信息系统安全等级保护基本要求》(以下简称《基本要求》)和《GB/T 28448?2012 信息安全 技术信息系统安全等级保护测评要求》(以下简称《测评要求》):是国家信息安全等级保护管理制度中针对信息系统安全开展等级测评工作的重要依据。


(二)网络安全测评对象及内容


《基本要求》针对信息系统的不同安全等级对网络安全提出了不同的基本要求。《测评要求》阐述了《基本要求》中各要求项的具体测评方法、步骤和判断依据等,用来评定各级信息系统的安全保护措施是否符合《基本要求》。依据《测评要求》,测评过程需要针对网络拓扑、路由器、防火墙、网关等测评对象,从网络结构安全、网络访问控制、网络入侵防范等方面分别进行测评,主要框架如图1所示。

图1? 网络安全测评框架

从测评对象角度来看,网络安全测评应覆盖网络本身、网络设备及相关的网络安全机制,具体包括网络拓扑、路由器、交换机、防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)、网关等。


从测评内容角度来看,网络安全测评主要包括以下7个方面。


1、网络结构安全。从网络拓扑结构、网段划分、带宽分配、拥塞控制、业务承载能力等方面对网络安全性进行测评。


2、网络访问控制。从网络设备的访问控制策略、技术手段等方面对网络安全性进行测评。


3、网络安全审计。从网络审计策略、审计范围、审计内容、审计记录、审计日志保护等方面对网络安全性进行测评。


4、边界完整性检查。从网络内网、外网间连接的监控与管理能力等方面对边界完整性进行测评。


5、网络入侵防范。检查对入侵事件的记录情况,包括攻击类型、攻击时间、源 IP、攻击目的等。


6、恶意代码防范。检查网络中恶意代码防范设备的使用、部署、更新等情况。


7、网络设备防护。检查网络设备的访问控制策略、身份鉴别、权限分离、数据保密、敏感信息保护等。


(三)网络安全测评方式


与《主机安全测评》类似,网络安全测评也包括访谈、现场检查和测试3种方式。


1、访谈是指测评人员通过引导信息系统相关人员进行有目的(有针对性)的交流以理解、澄清或取得证据的过程。访谈作为安全测评的第一步,使测评人员快速地理解认识被测网络。网络安全访谈是针对网络测评的内容,由测评人员对被测评网络的网络管理员、安全管理员、安全审计员等相关人员进行询问交流,并根据收集的信息进行网络安全合规性的分析判断。


2、现场检查是指测评人员通过对测评对象(如网络拓扑图、网络设备、安全配置等)进行观察、查验、分析以理解、澄清或取得证据的过程。网络安全现场检查主要是基于访谈情况,依据检查表单,对信息系统中网络安全状况进行现场检查。主要包括2个方面:一是对所提供的网络安全相关技术文档进行检查分析;二是依据网络安全配置检查要求,通过配置管理系统进行安全情况检查与分析。


3、测试是指测评人员使用预定的方法/工具使测评对象(各类设备或安全配置)产生特定的结果,以将运行结果与预期的结果进行比对的过程。测试提供了高强度的网络安全检查,为验证测评结果提供有效支撑。网络安全测试需要测评人员根据被测网络的实际情况,综合采用各类测试工具、仪器和专用设备来展开实施。


(四)网络安全测评工具


开展网络安全测评的工具主要有以下类型。


1、网络设备自身提供的工具。包括设备自身支持的命令、系统自带的网络诊断工具、网络管理软件等,用于协助测评人员对网络结构、网络隔离和访问控制、网络状态等信息进行有效收集。


2、网络诊断设备或工具软件。包括网络拓扑扫描工具、网络抓包软件、协议分析软件、网络诊断仪等,用于探测网络结构、对网络性能进行专业检测或对网络数据分组进行协议格式分析和内容分析。


3、设备配置核查工具。对网络设备的安全策略配置情况进行自动检查,包括网络设备的鉴别机制、日志策略、审计策略、数据备份和更新策略等,使用工具代替人工记录各类系统检查命令的执行结果,并对结果进行分析。


4、网络攻击测试工具。提供用于针对网络开展攻击测试工作的工具包,可根据测试要求生成各类攻击包或攻击流量,测试网络是否容易遭受拒绝服务等典型网络攻击。


二、网络安全测评的实施


下面详细介绍网络结构安全、网络访问控制、网络安全审计等7个方面的测评实施过程。网络安全测评需要综合采用访谈、检查和测试的测评方式。其中,访谈通常是首先开展的工作。应在测评方与被测评方充分沟通的基础上,确定访谈的计划安排,包括访谈部门、访谈对象、访谈时间及访谈配合人员等。在网络安全访谈过程中,测评方应确保所访谈的信息能满足网络安全测评的信息采集要求,如果有信息遗漏的情况,可以安排进行补充访谈,确保能获取到所需要的信息。测评方应填写资料接收单,并做好资料的安全保管。网络安全访谈中的网络情况调查至少应包括网络的拓扑结构、网络带宽、网络接入方式、主要网络设备信息(品牌、型号、物理位置、IP地址、系统版本/补丁等)、网络管理方式、网络管理员等信息,并根据具体的网络安全测评项进行扩充。


由于等级保护三级信息系统的重要性和广泛代表性,这里以等级保护三级信息系统中的网络安全要求为例,对测评实施过程进行描述。其他等级系统中的网络可根据对应级别的基本要求,参照此内容进行调整,以满足自身的安全测评需求。


如图2所示,该网络包含“办公区”“财务区”“DMZ区”“服务器区”4个区域,其中, DMZ区直接与边界防火墙相连,其他3个区域由三级交换机连接。服务器区域为被测网络的重要网段,通过防火墙与其他区域进行隔离。

图2? 被测网络拓扑结构示意

(一)网络结构安全测评


针对网络结构安全方面的测评工作主要有以下12个方面。


1、访谈网络管理员,询问关键网络设备的业务处理能力是否满足基本业务需求。包括询问信息系统中的关键网络设备的性能,如防火墙吞吐量、分组丢失率、最大并发连接数等性能参数;询问目前信息系统的业务高峰网络情况,如用户访问量、网络上下行流量等参数;分析判断网络设备性能情况是否满足业务需求。


2、访谈网络管理员,询问接入网络及核心网络的带宽是否满足基本业务需要。包括询问接入网络的拓扑结构及关键网络设备的带宽分配情况;询问基本业务对带宽的需求情况;分析判断网络带宽是否满足基本业务需求。


3、检查网络设计或验收文档,查看是否有满足主要网络设备业务处理能力需要的设计或描述。包括查看网络设计或验收文档中是否有对网络系统需要的业务处理能力进行了描述、说明;查看网络设计或验收文档中是否记录了主要网络设备的性能参数,并判断该网络系统能否具备基本的业务能力。


4、检查网络设计或验收文档,查看是否有满足接入网络及核心网络的带宽业务高峰期的需要以及存不存在带宽瓶颈等方面的设计或描述。包括查看网络设计或验收文档中是否有对接入网络和核心网络的带宽设计,是否有对业务高峰期网络带宽的预估,并结合现场情况判断网络系统是否能够满足业务高峰期时的需要;检查文档中是否有应对带宽瓶颈等方面问题的设计、描述和解决方案。


5、检查边界和主要网络设备的路由控制策略,查看是否建立安全的访问路径。包括查看路由控制设备(边界网关、边界防火墙、交换设备和认证隔离设备);以管理员身份登录路由控制设备的管理界面查看路由控制策略,检查是否设置了静态路由;查看路由控制策略,是否把重要网段和不安全网段直接连接在一起,以及是否可以使重要网段之间连通。


6、检查网络拓扑结构图,查看其与当前运行的实际网络系统是否一致。包括使用网络拓扑扫描工具得到当前网络运行拓扑图;通过人工观察对该拓扑图进行核查和调整;将该拓扑结构与设计文档中原有的拓扑规划结构进行比较;核对网络拓扑结构设计中体现的信息系统安全思想,并与被测单位制定的安全策略相比较。


7、检查网络设计或验收文档,查看是否有根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网和网段分配地址段的设计和描述。包括查看网络设计或验收文档中是否有对各子网和网段分配地址段的设计或描述;查看文档中记录的对网段进行划分的依据(各部门的工作职能、重要性和所涉及信息的重要程度等因素);核查对网络系统内各子网和网段的划分是否与划分依据相匹配,是否依照了方便管理和控制的原则进行网段划分。


8、检查边界和主要网络设备,查看重要网段是否采取了技术隔离手段与其他网段隔离。包括根据被测单位实际情况查看其使用的技术隔离设备(网闸、防火墙、应用网关、交换设备和认证隔离设备等);检查网络系统的重要网段和网络边界处是否部署技术隔离设备并启用,如图2所示,服务器区域作为重要网络,使用了防火墙进行区域隔离;检查技术隔离设备,查看是否设置了特别的过滤规则来保证重要网段与其他网段之间的通信得到严格过滤。


9、检查边界和主要网络设备,查看是否配置对带宽进行控制的策略,这些策略是否能够保证在网络发生拥堵的时候优先保护重要业务。包括根据被测单位实际情况查看其使用的带宽控制设备(边界网关、边界防火墙、交换设备和认证隔离设备等);以管理员身份连接带宽控制设备,查看是否配置了带宽控制功能(如路由、交换设备中的QoS功能,专用的带宽管理设备的配置策略等)。检查配置的带宽控制功能中是否设定了保护优先级和网络带宽限制;检查重要网段中的服务器、终端设备是否处在带宽控制设备的保护下;检查配置的保护优先级是否与承担业务的重要性相匹配。


10、测试业务终端与业务服务器之间的访问路径是否安全可控。包括任选若干不同网段的业务终端,使用命令行工具tracert追踪由该终端到相应业务服务器的路由,确认业务终端与业务服务器之间存在访问路径;通过多次运行tracert工具的结果对比,确认终端与服务器之间的访问路径是否遵循安全控制策略,是否为固定的可控路径。


11、测试重要网段的业务终端和服务器,验证相应的网络地址与数据链路地址绑定措施是否有效。包括选择若干重要网段的业务终端或服务器,在命令行中使用“ipconfig/all”命令(Windows操作系统)或“ifconfig”命令(Linux操作系统),查看其网络地址和数据链路地址,核查其是否与实现地址绑定的设备中记录的相一致;修改某台终端或服务器的网络配置参数,修改其IP地址,然后尝试连接网络系统,观察是否可以进行访问;暂时断开某台终端或服务器与网络的连接,使用一台新的设备连入网络,并配置为原设备的网络参数(IP地址),然后尝试连接网络系统,观察是否可以进行访问;测试结束后需将进行测试的设备恢复到测试前的状态。


12、测试网络带宽控制策略是否有效,测试在面对异常网络状况时系统的重要业务是否能够受到保护。包括选择不同网段的终端设备,使用带宽测试工具,得到当前设备所在网段的带宽,并与带宽控制设备中的带宽限制记录相比较,观察是否一致;在网络系统外部使用网络攻击测试工具进行拒绝服务攻击(如SYN Flood攻击),并逐步提高攻击强度,观察系统内的重要业务是否会被优先保护。


(二)网络访问控制机制测评


针对网络访问控制机制方面的测评工作主要有以下7个方面。


1、访谈网络管理员,询问网络访问控制的措施有哪些,询问网络访问控制设备具备哪些访问控制功能。包括询问目前网络访问控制策略及实施方案,比如静态路由配置、IP地址与MAC地址绑定等;询问目前网络中是否存在防火墙、应用网关等访问控制设备;询问现有访问控制设备中具备哪些访问控制功能,如远程连接限制功能、应用层协议控制功能等。


2.检查边界网络设备的访问控制策略,查看其是否根据会话状态信息对数据流进行控制,控制粒度是否为端口级。包括检查防火墙是否开启了数据流控制策略,检查防火墙是否根据会话信息中源地址、目的地址、源端口号、目的端口号、会话主机名、协议类型等设置了数据流控制策略;检查边界网络设备,查看其是否对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。


3、检查边界网络设备,查看是否能设置会话处于非活跃的时间或会话结束后自动终止网络连接;查看是否能设置网络最大流量数及网络连接数。包括检查被测网络防火墙是否对会话处于非活跃的时间或会话结束后自动终止网络连接的功能进行启用,如没有启动则不符合检查要求;登录被测网络防火墙,在修改带宽通道中查看用户带宽、连接数限制配置等,如果被测网络仅对用户带宽做了限制,并未对整体带宽及网络连接数进行限制,则不符合检查要求。


4、检查边界和主要网络设备地址绑定配置,查看重要网段是否采取了地址绑定的措施。包括根据被测单位实际情况查看其使用的实现地址绑定的设备(防火墙、路由设备、应用网关、交换设备和认证隔离设备等);以管理员身份登录相关设备,查看是否配置了对IP地址和MAC地址的绑定;查看已绑定的地址中是否将重要网段中的服务器、终端全部包含在内。


5、检查边界网络设备的拨号用户列表,查看其是否对具有拨号访问权限的用户数量进行限制。主要包括防火墙、网络认证隔离设备、网闸和交换机等类型的设备。以管理员身份登录边界网络设备,查看是否配置了正确的拨号访问控制列表,查看是否配置了拨号访问权限的用户数量限制。


6、测试边界网络设备,可通过试图访问未授权的资源,验证访问控制措施对未授权的访问行为的控制是否有效,控制粒度是否为单个用户。包括使用外网未授权的用户对系统内网终端进行通信,以未授权的用户身份向内网发送ICMP请求,查看防火墙是否对其进行阻止。


7、对网络访问控制措施进行渗透测试,可通过采用多种渗透测试技术验证网络访问控制措施是否不存在漏洞。如使用http隧道测试工具,从外网对内网进行测试,查看防火墙是否能够发现、阻止该渗透行为。


(三)网络安全审计机制测评


针对网络安全审计机制方面的测评工作主要有以下4个方面。


1、检查边界和主要网络设备的安全审计策略,查看是否包含网络系统中的网络设备运行状况、网络流量、用户行为等。包括以管理员身份登录被测网络防火墙,查看防火墙的运行状况(包括CPU使用率、内存使用率、当前会话数、最大连接数和接口速率等信息);以管理员身份登录被测网络防火墙,查看防火墙的网络流量记录情况(接口速率、收发分组数等),确认防火墙记录了各个接口网络流量相关信息;以管理员身份登录被测网络防火墙,查看操作防火墙时的各种行为及这些操作发生的时间,确认可以从防火墙日志中查询相关操作记录。


2、检查边界和网络设备,查看事件审计记录是否包含事件的日期、时间、用户、事件类型和事件成功情况,以及其他与审计相关的信息。包括以管理员身份进入审计系统管理界面,查看审计记录。如果审计记录含有记录时间、用户、事件类型和事件结果等信息,则符合检查要求。


3、检查边界和主要网络设备,查看是否为授权用户浏览和分析审计数据提供专门的审计工具,并能根据需要生成审计报表。包括以管理员身份进入审计系统管理界面,查看是否为管理员提供了浏览和查询工具(如对审计记录进行分类、排序、查询、统计、分析和组合查询等功能),用以查看该防火墙审计系统记录的各种事件,如“入侵攻击事件”和“邮件过滤事件”等;以管理员身份进入审计系统管理界面,查看是否具有对审计数据进行综合统计分析并生成审计报表的功能。


4、测试边界和网络设备,可通过以某个非审计用户试图删除、修改或覆盖审计记录,验证安全审计的保护情况与要求是否一致。包括以非审计用户身份登录网络设备;尝试删除系统的审计日志记录,查看系统是否对其进行阻止;尝试修改系统的审计日志记录,查看系统是否对其进行阻止;尝试覆盖系统的审计日志记录,查看系统是否对其进行阻止。


(四)边界完整性机制测评


针对边界完整性机制方面的测评工作主要有以下3个方面。


1、检查边界完整性检查设备,查看是否设置了对非法连接到内网和非法连接到外网的行为进行监控并有效阻断的配置。以微软Forefront TMG2010为例,使用授权用户登录防火墙后,检查设备的网络行为是否被监控,如图3所示,“WIN-EL00JP64T87”正处于监视之中,该服务器已创建了安全网络地址转换Security NAT和网页代理Web Proxy 2个会话,后者是访问互联网的会话记录,符合检查要求。





©版权所有 2011-2015 青海玉仑信息科技有限公司 青公网安备63010402000599号
Copyright All 2011-2015 Qinghai Yulun Information Technology Co., Ltd
公司地址:海湖新区万达广场SOHO A座23层12320室