第5章 网络安全测评技术

第5章网络安全测评技术01二月2023要点网络安全测评有几个环节？与主机安全的测评手段有何异同？国家标准对于网络安全测评的要求有哪些？一、网络安全的控制点网络安全保障的两个对象1）服务安全：确保网络设备的安全运行，提供有效的网络服务2）数据安全：确保在网络上传输数据的保密性、完整性和可用性网络环境是抵御内外攻击的第一道防线，一共安排了7个控制点：结构安全与网段划分访问控制（网络访问控制、拨号访问控制）网络安全审计边界完整性检查网络入侵防范恶意代码防范网络设备防范纵横防御结构安全与网段划分在对网络安全实现全方位保护之前，首先应该关注网络的资源分布、架构是否合理、只有结构安全了，才能在其上实现各种技术功能，达到网络安全保护的目的。通常，一个机构由很多部门组成，各部门的地位、重要性不同，部门所要处理的信息重要性也不同，因此需要对整个网络进行子网划分。三级结构安全包含的内容要求网络资源能够为网络的正常运行提供基本的保障（1级）要求网络资源能够满足业务高峰的需要，同时应以网段形式分隔不同部门的系统（2级）与1、2级相比，增加了“处理优先级”考虑：要求“主要网络设备”、“网络各个部分的带宽”，不仅要求满足基本的业务需要，更应满足业务高峰时网络正常运行，以保证重要主机能够正常与运行。（3级）网络访问控制网络访问控制的意义何在？对网络而言，最重要的一道安全防线就是边界，边界上汇聚了所有流经网络的数据流，必须对其进行有效的监视和控制。何谓边界？所谓边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间的连接、用户内部网络不同部门之间的连接等。有连接就有数据间的流动，因此在边界处重要的是对流经的数据进行严格访问控制。按照一定规则允许或拒绝数据的流入、流出。用什么方法控制边界？拨号访问控制什么是拨号访问控制？网络访问控制是从数据的角度对网络中流动的数据进行控制；拨号访问控制就是从用户的角度对远程访问网络的用户进行控制。对用户的访问控制，同样应按照一定的控制规则来允许或拒绝用户的访问。怎样进行拨号访问控制？三级访问控制主要在网络边界处对经过的数据进行包头信息的过滤，以控制数据的进出网络，对用户进行基本的访问控制。（1级）对数据的过滤增强为根据会话信息进行过滤，对用户访问粒度进一步细化，由用户组到单个用户，同时限制拨号访问的用户数量（2级）将过滤力度扩展DOA应用层，即根据应用的不同而过滤，对设备接入网络进行了一定的限制（3级）网络安全审计不仅仅是“日志记录”不等同于入侵检测网络安全审计重点包括：对网络流量监测以及对异常流量的识别和报警、网络设备运行情况的监测等。通过对以上方面的记录分析，形成报表，并在一定情况下发出警报、阻断等动作。三级网络安全审计要求对网络设备运行、网络流量等基本情况进行记录（2级）要求对形成的记录能够分析、形成报表、同事对审计记录提出了保护要求。（3级）边界完整性检查网络入侵防范有了访问控制为什么还需要网络入侵防范？网络访问控制在网络安全中起到大门警卫的作用，是第一道阀门。只能对进出网络的数据进行分析，对网络内部发生的事件则无能为力。基于网络的入侵检测，被认为是防火墙之后的第二道安全阀门，主要监视所在网段内的各种数据包，对每个数据包或可以数据包进行分析，如果数据包与内置规则吻合，就会记录事件的各种信息，并发出警报。三级网络入侵防范包含？能够检测常见攻击的发生（2级）不仅能够检测，并能发出警报（3级）恶意代码防范目前，对恶意代码的防范已经是全方位、立体防护的概念。在网络边界处对恶意代码进行防范是整个防范工作的重点。不紧部署相应的网络防病毒产品，还要及时更新。平均每个月有300种新病毒被发现。三级恶意代码防范包含？要求能够在网络边界处防范恶意代码，并保存代码库的及时更新（3级）网络设备防护对登录网络设备各种参数进行配置、修改。三级网络设备防护包含？对网络设备要求基本的登录鉴别措施（1级）对登录要求进一步增强，提出了鉴别标识唯一、鉴别信息复杂等要求（2级）提出了两种以上鉴别技术的组合来实现身份鉴别，同时提出特权用户权限分离（3级）网络安全测评的要点二、网络安全测评点（一）访谈（二）检查（三）测试（一）网络安全访谈调研第3级安全测评要求对网络安全的访谈分为8类13项。1、结构安全与网段划分访谈第3级安全测评要求对网络安全的结构安全与网段划分访谈共四项。（1）应访谈网络管理员，询问边界和主要网络设备的性能以及目前业务高峰流量的情况。（2）应访谈网络管理员，询问网段划分情况以及划分的原则；需要重要网段有哪些？其具体的部署位置，与其他网段的隔离措施有哪些？（3）应访谈网络管理员，询问网络的带宽情况；询问网络中带宽控制情况以及带宽分配的原则。（4）应访谈网络管理员，询问网络设备的路由控制策略有哪些，这些策略设计的目的？2、网络访问控制访谈第3级安全测评要求对网络安全的网络访问控制访谈共2项（1）应访谈安全管理员，询问网络访问控制措施有哪些，询问访问控制策略的设计原则是什么？（2）应检查边界网络设备，查看其是否根据会话状态信息对数据流进行了控制。3、拨号访问控制访谈第3级安全测评要求对网络安全的拨号访问控制访谈共1项应访谈安全管理员，询问是否允许拨号访问网络；询问拨号访问控制的策略是什么，采取什么技术手段实现拨号访问控制（防火墙/路由器），拨号访问用户的权限分配原则是什么？4、网络安全审计访谈第3级安全测评要求对网络安全的网络安全审计访谈共1项应访谈审计员，询问边界和主要网络设备是否开启安全审计功能，审计内容包括哪些？询问审计记录的主要内容有哪些，对审计记录的处理方式有哪些？5、边界完整性访谈第3级安全测评要求对网络安全的边界完整性访谈共1项应访谈安全管理员，询问是否对内部用户私自连接到外部网络的行为及非授权设备私自连接到网络的行为进行监控。6、网络入侵防范访谈第3级安全测评要求对网络安全的网络入侵防范访谈共1项应访谈安全管理员，询问网络入侵防范措施有哪些，是否有专门设备对网络入侵进行防范；询问网络入侵防范规则库的升级方式。7、网络恶意代码防范访谈第3级安全测评要求对网络安全的网络恶意代码防范访谈共1项应访谈安全管理员，询问网络恶意代码防范措施是什么，询问恶意代码库的更新策略。8、网络设备防护访谈第3级安全测评要求对网络安全的网络设备防护访谈共2项（1）应访谈网络管理员，询问对主要网络设备的防护措施有哪些；询问对主要网络设备的登录和验证方式做过何种特定配置，询问对远程管理的设备是否采取措施防止鉴别信息被泄露，询问对网络特权用户的权限如何进行分配。（2）应访谈网络管理员，询问网络设备的口令策略是什么？（二）网络安全现场检查主要是测评工程师对测评系统各型网络设备以及相关文档资料进行检查。第3级安全测评要求对网络安全的现场检查共有8类26项。1、结构安全与网段划分现场检查第3级安全测评要求对网络安全的结构安全与网段划分检查共6项（1）应检查网络拓扑图，查看其与当前运行情况是否一致。检查目标：如上检查对象：“天网”系统中心机房检查方案：技术路线：可以通过三种方法得到网络拓扑图检查步骤：用拓扑扫描工具得到当前网络运行拓扑图。然后将该拓扑结构域设计文档中原有的拓扑规划结构进行比较。在比较的同时也要核对被测单位制定的网络安全策略是否在网络拓扑结构中得以体现。检查结论：通过对用户提供的网络拓扑图与现场检查的结果相比对，可知设计时的拓扑图与现场拓扑图相同，因此符合检查要求。（2）检查网络设计/验收文档，查看是否有边界和主要网络设备业务处理能力、网络接入及核心网络的带宽是否满足业务高峰期的需要，以及不存在带宽瓶颈等方面的设计或描述。(3)检查网络设计/验收文档，查看是否记有根据各部门的工作职能、重要性和所设计信息的安全程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网和网段分配地址段的设计或描述。（4）应检查边界和主要网络设备，查看是否体现了路由控制策略（如静态路由）以建立安全的访问路径。检查目标：如上检查对象：“天网”系统中心机房技术路线：业界常用的路由控制手段为边界网关、边界防火墙、交换设备和认证隔离设备等。”天网“主要需要查看路由控制配置。检查步骤：查看路由控制策略是否把重要网段和不安全网段直接连接在一起，如果连接在一起说明没有建立安全分访问路径，从而说明该配置策略不合理。查看路由控制策略是否可以使重要网段之间连通，如果没有连通说明配置策略没有建立必要的访问路径，从而说明该配置策略不合理。路由策略可以在交换机管理界面中的“routing”中查看使用路由追踪命令“tracert”检查网络内部访问路径是否安全可控。检查结论：该三层交换机配置了静态的安全控制路由，并且通过命令追踪发现该路由是可以追踪并可以控制的。因此该项检查符合要求。（5）检查边界和主要网络设备，查看重要网段是否采取了技术隔离手段与其他网段隔离。检查目标：如上检查对象：”天网“系统中心机房技术路线：目前业界常用的隔离手段分为网闸、防火墙、应用网关、认证隔离设备和交换设备五种、”天网“系统中使用的是防火墙。检查步骤：检查防火墙设备，其重要网段是否与其他网段直接连接。查看防火墙设备，是否设置了特别规则使重要网段与其他网段的通信都得到严格隔离检查边界和主要网络设备，查看重要网段是否采取了技术隔离手段与其他网段隔离。检查过程中所绘制的网络边界如图P131图5.5.检查结论：系统的重要网段和网络边界处，均设置了防火墙设备，以防止与危险网段的直接连接，符合检查要求。（6）检查边界和主要网络设备，查看是否配置了对带宽进行控制的功能，这些功能能否保证在网络发生拥堵的时候优先保护重要业务。检查目标：如上检查对象：“天网”系统中心机房技术路线：目前业界常用的带宽控制功能（如路由、交换设备上的Qos功能配置情况、专门的带宽管理设备的配置策略）分为边界网关、边界防火墙、交换设备和认证隔离设备四种。“天网”信息系统使用三层交换机，并且通过其管理系统查看端口的速率控制设置情况。检查步骤：连接三层交换机检查该交换机管理系统端口的“速率限制“。检查结论：现场检查表明，该三层交换机上没有设置对带宽的限制和管理。因此，该项检查未能通过。2.网络访问控制现场检查第3级安全测评要求对网络访问控制现场检查共有5项。（1）检查边界网络设备，查看其是否根据会话状态信息对数据流进行了控制。检查目标：如上检查对象：”天网“系统中心机房技术路线：目前常见的能够根据会话状态信息进行控制的设备有防火墙和路由设备。检查步骤：查看防火墙检测RPC和UDP等协议的端口信息（包过滤和代理网关都不支持此类端口），有一项”启动流量控制“。检查结论：防火墙上没有设置根据会话状态信息对数据流进行控制功能。因此该项检查未能通过。（2）检查边界网络设备，查看其是否对进出网络的信息内容进行过滤，以实现对应用层HTTP、FTP、Telnet、SMTP和POP3等协议命令级的控制。检查目标：如上检查对象：”天网“系统中心机房技术路线：目前业界能够实现对应用层协议命令级控制的设备有防火墙和路由设备等。”天网“信息系统采用的是防火墙。检查步骤：通过防火墙配置界面进行设置检查，可以从”服务类型“中看到，能够对HTTP和FTP等协议进行”用户认证“和”规则策略“等控制。检查结论：现场检查表明，防火墙上设置了对应用层HTTP、FTP、TELNET等协议命令级的控制功能，符合检查要求。（3）检查边界网络设备，查看是否设置了会话处于非活跃的时间或会话结束后自动终止网络连接功能；查看是否设置了网络最大流量数及网络连接数。检查目标：检查边界网络设备，查看是否设置了会话处于非活跃的时间或会话结束后自动终止网络连接检查对象：”天网“系统中心机房技术路线：目前业界能够实现对网络流量、网络连接和应用层会话管理控制的设备有防火墙和路由设备等几种。检查步骤：以管理员身份登录防火墙设备，查看是否设定了要求的相关配置。从图5.9（P134）可以看到对”最大带宽“”保证带宽“设置了限制值。同时QoS优先级设置为3级。检查结论:防火墙上设置了网络带宽的最大流量和网络最大连接数，符合检查要求。（4）检查边界和主要网络设备，查看重要网段是否采取了网络地址与数据链路地址绑定的措施。检查目标：如上检查对象：“天网”系统中心机房技术路线：目前业界能够实现对网络地址与数据链路地址绑定的设备有防火墙、路由设备、交换设备、应用网关和认证隔离设备等几种。检查步骤：以管理员身份登录防火墙，查看是否设定了相关配置。图5.11（P135）可以看出，ＩＰ地址与ＭＡＣ地址之间进行了绑定。检查结论：防火墙上设置了对IP地址和MAC地址的绑定功能，符合要求。（5）检查边界网络设备，查看是否采取了一定的技术措施防止内部网络信息外泄。检查目标：如上检查对象：“天网”系统中心机房技术路线：防止内部信息外泄的方法有很多，较为普遍的是采用VPN技术。目前业界能够防止内部信息外泄的设备有防火墙、网络认证隔离设备、网闸、交换机和正在兴起的单向信息导入设备等几种。“Virtual

Private

Network”，“虚拟专用网络”。顾名思义，理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。检查步骤：以管理员身份登录防火墙设备，查看是否设定了相关配置。从图5.12（P136）可以看出，该防火墙启用了VPN模块，并设置了共享秘钥进行信息加密传输。检查结论：采用了VPN技术手段防止内部网络信息外泄，符合检查要求。3、拨号访问控制现场检查第3级安全测评要求对网络安全的拨号访问控制检查只有1项。检查边界网络设备（如路由器、防火墙和认证网关），查看是否正确配置了拨号访问控制列表，其控制粒度是否为单个用户；查看其能否限制具有拨号访问权限的用户。检查目标：如上检查对象：“天网”系统中心机房技术路线：目前业界能够实现拨号访问控制的设备有防火墙、网络认证隔离设备、网闸和交换机等几种。检查步骤：查看防火墙配置是否有访问控制管理及其控制粒度为单个用户。查看具有拨号访问权限的用户数量，发现对该用户数量未进行限制。检查结论：在防火墙中已把拨号访问的控制粒度设定为单个用户，但是没有限制具有拨号访问权限的用户数量，因此该项检查只有部分符合要求。4、网络安全审计现场检查第3级安全测评要求对网络安全审计检查共有3项（1）检查边界和主要网络设备，查看审计记录是否包含网络系统中的网络设备运行状况、网络流量和用户行为等。检查目标：如上检查对象：“天网”系统中心机房技术路线：目前业界能够实现网络边界审计记录的设备有防火墙、边界网关和专用安全审计设备等。检查步骤：查看防火墙的相应审计记录是否记录了网络设备运行情况、网络流量和用户行为等。图5.15和5.16（P138）记录了CPU使用率、内存使用率、当前会话数、最大连接数和接口速率等数据。图5.17（P139）展示了操作防火墙时的各种行为以及这些操作发生的时间。检查结论：该测试表明，防火墙的审计记录记录了网络设备运行状况，可以监控用户行为和网络流量，因此符合检查要求。（2）检查边界和主要网络设备，查看事件审计记录是否包括事件的日期和时间、用户、事件类型和事件成功情况，以及其他与审计相关的信息。检查目标：如上检查对象：“天网”系统中心机房技术路线：同上检查步骤：以管理员身份进入审计系统管理界面，查看审计记录，如图5.18（P140）检查结论：防火墙的审计记录包含了事件的时间、事件类型、事件是否成功等情况，以及其他与审计有关的信息，因此符合检查要求。（3）检查边界和主要网络设备，查看是否为授权用户浏览和分析审计数据提供了专门的审计工具，并能根据需要生成审计报表。检查对象：“天网”系统中心机房检查步骤:以管理员身份进入审计系统管理界面，查看为管理员提供的浏览和查询工具，图5.19（P141），可以看到该防火墙审计系统提供了各种事件的查询模块。同时，也可以通过配置查询事件等方式进行综合统计分析等工作。输入查询条件后，可以吧查询结果以报表形式显示出来。检查结论：防火墙为授权用户浏览和分析审计数据提供了专门的审计工具，并能根据需要生成审计报表，因此符合检查要求。5、边界完整性现场检查第3级安全测评要求对网络安全的边界完整性检查只有1项。检查边界完整性检查设备，查看是否设置了对非法链接到内网和非法链接到外网的行为进行监控并有效阻断的功能。检查目标：如上检查对象：“天网”系统中心机房检查步骤：以管理员身份登录防火墙管理设置界面，查看是否设置了对非法链接到内网和非法链接到外网的行为进行监控并有效阻断.图5.21（P142）检查结论：防火墙提供了对非法链接到内网和非法链接到外网的行为进行监控的功能，但不能实时阻断，因此只是部分满足检查要求。6、网络入侵防范现场检查第3级安全测评要求对网络安全的网络入侵防范检查共3项。（1）检查网络入侵防范设备，查看是否能检测端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等攻击行为。检查目标：如上检查对象：“天网”系统中心机房技术路线：目前许多防火墙产品也具备了成熟的入侵检测功能，所以只需在防火墙的配置管理界面上查看是否有上述各种攻击的检测功能即可。检查步骤：进入防火墙的入侵检测配置界面，如5.22（P143）左边第一列罗列了众多的攻击检测模块。用户可以根据实际情况进行配置。检查结果：防火墙提供了对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等的实时检测功能，因此符合检查要求。（2）检查网络入侵防范设备，查看事件记录中是否包括入侵的源IP、攻击的类型、攻击的目的和攻击的时间等信息。检查目标：如上检查对象：“天网”系统中心机房技术路线：模拟攻击检查步骤：以管理员身份进入入侵检查系统的管理界面，首先对入侵检测的攻击类型进行设置，然后对目标机进行模拟攻击。攻击的方式选用多种攻击方式，从两个不同的IP发起攻击，攻击所有的协议包括ICMP和TCP等。可以查看入侵检测的事件记录。图5.23（P144）检查结论：防火墙的入侵检测事件记录中包括对入侵的源IP、攻击的类型、攻击的目的地和攻击时间等的记录。因此符合检查要求。（3）检查入侵防范设备，查看其规则库是否为最新的。检查目标：如上检查对象：“天网”系统中心机房检查步骤：登录防火墙配置管理界面，选择“信息过滤”-“病毒过滤”，进入“病毒过滤模块”的主界面。图5.24（P145）可以看到图中有“自动升级”的病毒库版本号模块，但版本号显示结果却是2001年检查结论：防火墙的网络入侵模块的规则库不是最新的，不符合检查要求。7、恶意代码防范现场检查第3级安全测评要求对网络安全的恶意代码防范检查共3项。（1）检查网络设计/验收文档，查看其是否有在网络边界处对恶意代码采取相关措施（如是否有防病毒网关）的描述，防恶意代码产品是否有实时更新功能的描述。（2）检查在网络边界以及核心业务网段处是否设置有相应的防恶意代码措施。检查目标：如上检查对象：“天网”系统中心机房检查步骤：检查杀毒软件的运行情况检查结论：符合检查要求。（3）检查防恶意代码产品，查看其运行是否正常，恶意代码库是否为最新版本。检查目标：如上检查对象：“天网”系统中心机房检查步骤：查看杀毒软件更新日志记录图5.26（P147）检查结论：防恶意代码产品运行正常，恶意代码库为最新版本，符合要求。8、网络设备防护现场检查第3级安全测评要求对网络安全的网络设备防护检查共4项。（1）检查边界和主要网络设备，查看是否配置了对登录用户身份的鉴别功能，口令设置是否有复杂度要求；查看是否能对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别。检查目标：如上检查对象：“天网”系统中心机房检查步骤：打开防火墙，输入PIN码（初次密码为123456），对管理员身份进行验证。（灯：红绿黄）检查口令伸着是否有复杂度要求。（修改密码）查看是否对同一用户选择两种或两种以上的组合鉴别技术进行身份鉴别。检查结论：该防火墙配置了登录用户身份鉴别功能，但口令设置没有复杂度要求。对同一用户有两种鉴别技术来进行身份鉴别，因此只是部分符合检查要求。（2）检查边界和主要网络设备，查看是否配置了鉴别失败处理功能。检查目标：如上检查对象：“天网”系统中心机房检查步骤：用错误的口令进行登录，检查是否会把错误账号进行锁定或系统对其连接进行强制断开。查看是否有限制非法登录次数的限制，并连续三次输入错误口令，此时通过电子钥匙进行身份鉴别失败，防火墙登录自动退出。重新登录防火墙，以防火墙认证用户身份连接防火墙，当登录信息不正确时，系统自动与服务器通信中断。检查结论：该防火墙设置有鉴别失败后锁定账号的功能，符合检查要求。（3）检查边界和主要网络设备，查看是否配置了对设备远程管理所产生的鉴别信息进行保护的功能。检查目标：如上检查对象：“天网”系统中心机房检查步骤：远程登录主要网络，输入用户名和密码。如果看到主要网络拒绝登录，鉴别信息保护功能是有效的。检查结论：该防火墙配置了对设备远程管理所产生的鉴别信息进行保护的功能，因此符合检查要求。（4）检查边界和主要网络设备，查看是否对边界和主要网络设备的管理员登陆地址进行了限制；查看是否设置了网络登陆连接超时并自动退出功能；查看是否实现了设备特权用