一、網(wǎng)絡(luò)安全測評依據(jù)

　　網(wǎng)絡(luò)安全測評的主要依據(jù)是各類國家標(biāo)準(zhǔn)，與主機安全測評相類似，主要包括以下內(nèi)容。

　　1、《GB17859−1999計算機信息系統(tǒng)安全等級保護劃分準(zhǔn)則》是我國信息安全測評的基礎(chǔ)類標(biāo)準(zhǔn)之一，描述了計算機信息系統(tǒng)安全保護技術(shù)能力等級的劃分。

　　2、《GB/T18336信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》等同采用國際標(biāo)準(zhǔn)ISO/IEC15408：2005（簡稱CC），是評估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)標(biāo)準(zhǔn)。

　　3、《GB/T22239−2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》（以下簡稱《基本要求》）和《GB/T28448−2012信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求》（以下簡稱《測評要求》）：是國家信息安全等級保護管理制度中針對信息系統(tǒng)安全開展等級測評工作的重要依據(jù)。

　　二、網(wǎng)絡(luò)安全測評對象及內(nèi)容

　　《基本要求》針對信息系統(tǒng)的不同安全等級對網(wǎng)絡(luò)安全提出了不同的基本要求。《測評要求》闡述了《基本要求》中各要求項的具體測評方法、步驟和判斷依據(jù)等，用來評定各級信息系統(tǒng)的安全保護措施是否符合《基本要求》。依據(jù)《測評要求》，測評過程需要針對網(wǎng)絡(luò)拓撲、路由器、防火墻、網(wǎng)關(guān)等測評對象，從網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)入侵防范等方面分別進行測評，主要框架如圖1所示。

　　測評要求

　　從測評對象角度來看，網(wǎng)絡(luò)安全測評應(yīng)覆蓋網(wǎng)絡(luò)本身、網(wǎng)絡(luò)設(shè)備及相關(guān)的網(wǎng)絡(luò)安全機制，具體包括網(wǎng)絡(luò)拓撲、路由器、交換機、防火墻、入侵檢測系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）、網(wǎng)關(guān)等。

　　從測評內(nèi)容角度來看，網(wǎng)絡(luò)安全測評主要包括以下7個方面。

　　1、網(wǎng)絡(luò)結(jié)構(gòu)安全。從網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)段劃分、帶寬分配、擁塞控制、業(yè)務(wù)承載能力等方面對網(wǎng)絡(luò)安全性進行測評。

　　2、網(wǎng)絡(luò)訪問控制。從網(wǎng)絡(luò)設(shè)備的訪問控制策略、技術(shù)手段等方面對網(wǎng)絡(luò)安全性進行測評。

　　3、網(wǎng)絡(luò)安全審計。從網(wǎng)絡(luò)審計策略、審計范圍、審計內(nèi)容、審計記錄、審計日志保護等方面對網(wǎng)絡(luò)安全性進行測評。

　　4、邊界完整性檢查。從網(wǎng)絡(luò)內(nèi)網(wǎng)、外網(wǎng)間連接的監(jiān)控與管理能力等方面對邊界完整性進行測評。

　　5、網(wǎng)絡(luò)入侵防范。檢查對入侵事件的記錄情況，包括攻擊類型、攻擊時間、源IP、攻擊目的等。

　　6、惡意代碼防范。檢查網(wǎng)絡(luò)中惡意代碼防范設(shè)備的使用、部署、更新等情況。

　　7、網(wǎng)絡(luò)設(shè)備防護。檢查網(wǎng)絡(luò)設(shè)備的訪問控制策略、身份鑒別、權(quán)限分離、數(shù)據(jù)保密、敏感信息保護等。