一、網絡安全測評依據

　　網絡安全測評的主要依據是各類國家標準，與主機安全測評相類似，主要包括以下內容。

　　1、《GB17859−1999計算機信息系統安全等級保護劃分準則》是我國信息安全測評的基礎類標準之一，描述了計算機信息系統安全保護技術能力等級的劃分。

　　2、《GB/T18336信息技術安全技術信息技術安全性評估準則》等同采用國際標準ISO/IEC15408：2005（簡稱CC），是評估信息技術產品和系統安全特性的基礎標準。

　　3、《GB/T22239−2008信息安全技術信息系統安全等級保護基本要求》（以下簡稱《基本要求》）和《GB/T28448−2012信息安全技術信息系統安全等級保護測評要求》（以下簡稱《測評要求》）：是國家信息安全等級保護管理制度中針對信息系統安全開展等級測評工作的重要依據。

　　二、網絡安全測評對象及內容

　　《基本要求》針對信息系統的不同安全等級對網絡安全提出了不同的基本要求。《測評要求》闡述了《基本要求》中各要求項的具體測評方法、步驟和判斷依據等，用來評定各級信息系統的安全保護措施是否符合《基本要求》。依據《測評要求》，測評過程需要針對網絡拓撲、路由器、防火墻、網關等測評對象，從網絡結構安全、網絡訪問控制、網絡入侵防范等方面分別進行測評，主要框架如圖1所示。

　　測評要求

　　從測評對象角度來看，網絡安全測評應覆蓋網絡本身、網絡設備及相關的網絡安全機制，具體包括網絡拓撲、路由器、交換機、防火墻、入侵檢測系統（IDS）、入侵防御系統（IPS）、網關等。

　　從測評內容角度來看，網絡安全測評主要包括以下7個方面。

　　1、網絡結構安全。從網絡拓撲結構、網段劃分、帶寬分配、擁塞控制、業務承載能力等方面對網絡安全性進行測評。

　　2、網絡訪問控制。從網絡設備的訪問控制策略、技術手段等方面對網絡安全性進行測評。

　　3、網絡安全審計。從網絡審計策略、審計范圍、審計內容、審計記錄、審計日志保護等方面對網絡安全性進行測評。

　　4、邊界完整性檢查。從網絡內網、外網間連接的監控與管理能力等方面對邊界完整性進行測評。

　　5、網絡入侵防范。檢查對入侵事件的記錄情況，包括攻擊類型、攻擊時間、源IP、攻擊目的等。

　　6、惡意代碼防范。檢查網絡中惡意代碼防范設備的使用、部署、更新等情況。

　　7、網絡設備防護。檢查網絡設備的訪問控制策略、身份鑒別、權限分離、數據保密、敏感信息保護等。