3.3 网络安全评估准则和方法

网络安全标准是保障网络信息安全的技术和产品，在设计、建设、研发、实施、使用、测评和管理维护过程中，解决一致性、可靠性、可控性、先进性和符合性的技术规范和依据。它也是政府进行宏观管理的重要手段，是各国信息安全保障体系的重要组成部分。

3.3.1 国外网络安全评估标准

国际性标准化组织主要包括：国际标准化组织（ISO）、国际电器技术委员会（IEC）及国际电信联盟（ITU）所属的电信标准化组织（ITU-TS）等。ISO是总体标准化组织，而IEC在电工与电子技术领域里相当于ISO的位置。1987年，ISO的TC97和IEC的TCS47B/83合并成立了ISO/IEU联合技术委员会（JTC1）。ITU-TS则是一个联合缔约组织。这些组织在安全需求服务分析指导、安全技术研制开发和安全评估标准等方面制定了一些标准草案。

1.美国可信计算系统评价准则（TCSEC）

1983年由美国国防部制定的可信计算系统评价准则（Trusted Computer Standards Evaluation Criteria，TCSEC），即网络安全橙皮书或桔皮书，主要利用计算机安全级别评价计算机系统的安全性。它将安全分为4个方面（类别）：安全政策、可说明性、安全保障和文档。将这4个方面（类别）又分为7个安全级别，从低到高依次为D、C1、C2、B1、B2、B3和A级。从1985年开始，橙皮书成为美国国防部的标准以后基本没有更改，一直是评估多用户主机和小型操作系统的主要方法。

国际上，多年以来对于数据库系统和网络其他子系统也一直利用橙皮书进行评估。橙皮书将安全的级别从低到高分成4个类别：D类、C类、B类和A类，并分为7个级别，如表3-1所示。

通常，网络系统的安全级别设计需要从数学角度上进行验证，而且必须进行秘密通道分析和可信任分布分析。

2.美国联邦准则（FC）

美国联邦准则（FC）标准参照了加拿大的评价标准CTCPEC与橙皮书TCSEC，目的是提供TCSEC的升级版本，同时保护已有的建设和投资。FC是一个过渡标准，之后结合ITSEC发展为联合公共准则。

3.欧洲ITSEC（白皮书）

信息技术安全评估标准（Information Technology Security Evaluation Criteria，ITSEC），俗称欧洲的白皮书，将保密作为安全增强功能，仅限于阐述技术安全要求，并未将保密措施直接与计算机功能相结合。ITSEC是欧洲的英国、法国、德国和荷兰4国在借鉴橙皮书的基础上，于1989年联合提出的。橙皮书将保密作为安全重点，而ITSEC则将首次提出的完整性、可用性与保密性作为同等重要的因素，并将可信计算机的概念提高到可信信息技术的高度。ITSEC定义了从E0级（不满足品质）到E6级（形式化验证）的7个安全等级，对于每个系统安全功能可分别定义。ITSEC预定义了10种功能，其中前5种与橙皮书中的C1～B3级基本类似。

4.通用评估准则（CC）

通用评估准则（Common Criteria for IT Security Evaluation，CC）由美国等国家与国际标准化组织联合提出，并结合FC及ITSEC的主要特征，强调将网络信息安全的功能与保障分离，将功能需求分为9类63族（项），将保障分为7类29族。CC的先进性体现在其结构的开放性、表达方式的通用性，以及结构及表达方式的内在完备性和实用性4个方面。CC标准于1996年发布第一版，充分结合并替代了ITSEC、TCSEC、CTCPEC和US Federal Criteria等国际上重要的信息安全评估标准而成为通用评估准则。CC标准经过了诸多的更新和改进。

CC标准主要确定评估信息技术产品和系统安全性的基本准则，提出国际上公认的表述信息技术安全性的结构，将安全要求分为规范产品和系统安全行为的功能要求，以及解决正确有效的实施这些功能的保证要求。中国测评中心主要采用CC进行测评，其内容可查阅相关网站。

5.ISO安全体系结构标准

开放系统标准建立框架的依据是国际标准ISO7498—2—1989《信息处理系统·开放系统互连、基本模型第2部分安全体系结构》。此标准给出网络安全服务与有关机制的基本描述，确定在参考模型内部可提供的服务与机制。此标准从体系结构的角度描述了ISO基本参考模型之间的网络安全通信所提供的网络安全服务和安全机制，并表明网络安全服务及其相应机制在安全体系结构中的关系，建立了开放互连系统的安全体系结构框架，并在身份认证、访问控制、数据加密、数据完整性和防止抵赖方面提供了5种可选择的网络安全服务，如表3-2所示。

现在，国际上通行的与网络信息安全有关的标准主要可以分为三大类，如图3-9所示。

3.3.2 国内网络安全评估准则

1.系统安全保护等级划分准则

1999年10月，经过国家质量技术监督局批准发布了“系统安全保护等级划分准则”，此准则主要依据《计算机信息系统安全保护等级划分准则》（GB 17859—1999）和《计算机信息系统安全专用产品分类原则》（GA 163—1997）等文件，将计算机系统安全保护划分为5个级别，如表3-3所示，分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。

最近十几年，我国提出的有关信息安全实施等级保护问题，经过专家多次反复论证研究，其相关制度得到不断细化和完善。

2.我国网络信息安全标准化现状

网络信息安全的标准事关国家安全利益，各国均在借鉴国际标准的基础上，结合本国国情制定并完善各国的信息安全标准化组织和标准。其标准不仅是网络信息安全保障体系的重要组成部分，而且是政府进行宏观管理的重要依据。

中国的信息安全标准化建设主要按照国务院授权，在国家质量监督检验检疫总局的管理下，由国家标准化管理委员会统一管理全国标准化工作，该委员会下设有255个专业技术委员会。中国标准化工作实行统一管理与分工负责相结合的管理体制，有88个国务院有关行政主管部门和国务院授权的有关行业协会分工管理本部门、本行业的标准化工作，有31个省、自治区、直辖市政府有关行政主管部门分工管理本行政区域内、本行业的标准化工作。1984年成立的全国信息技术安全标准化技术委员会（CITS），在国家标准化管理委员会及工业和信息化部的共同领导下负责全国IT领域及与ISO/IEC JTC1对应的标准化工作，下设24个分技术委员会和特别工作组，为国内最大的标准化技术委员会，是一个具有广泛代表性、权威性和军民结合的信息安全标准化组织。工作范围是负责信息和通信安全的通用框架、方法、技术和机制的标准化，主要从事国内外对应的标准化工作。

2016年8月，中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局与国家标准化管理委员会制定了《关于加强国家网络安全标准化工作的若干意见》，对于网络安全标准化起到了极为重要的作用。我国信息安全标准化工作起步晚、发展快，积极借鉴国际标准原则，制定了一系列符合中国国情的信息安全标准和行业标准。

3.3.3 网络安全的测评方法

通过对网络系统进行全面、彻底、有效的安全测评，可查找并分析出网络安全漏洞、隐患和风险，以便采取措施提高系统的防御及抗攻击能力。根据网络安全评估结果、业务的安全需求、安全策略和安全目标，提出合理的安全防护措施建议和解决方案。具体测评可通过网络安全管理的计划、规划、设计、策略和技术措施等方面进行。

1.网络安全测评目的和方法

（1）网络安全的测评目的

网络安全测评目的包括以下几个。

1）弄清机构具体信息资产的实际价值及状况。

2）确定机构信息资源的机密性、完整性、可用性、可控性和可审查性的具体威胁风险及程度。

3）通过调研分析弄清网络系统实际存在的具体漏洞隐患及状况。

4）明确与该机构信息资产有关的风险和具体的需要改进之处。

5）提出改变现状的具体建议和方案，将风险降低到可接受程度。

6）为构建合适的安全计划和策略做好准备。

（2）网络安全常用的测评类型

网络安全通用的测评类型分为5个。

1）系统级漏洞测评。主要检测计算机系统的漏洞、系统安全隐患和基本安全策略及状况等。

2）网络级风险测评。主要测评相关的所有计算机网络及信息基础设施的风险范围方面的情况。

3）机构的风险测评。对整个机构进行整体风险分析，分析对其信息资产的具体威胁和隐患，分析处理信息漏洞和隐患，对实体系统及运行环境的各种信息进行检验。

4）实际入侵测试。检验具有成熟系统安全程序的机构，检验该机构对具体模式的网络入侵的实际反映能力。

5）审计。深入实际检查具体的安全策略和记录情况，以及该组织具体执行的情况。

入侵测试和审计这两种类型的测评将在后面的审计阶段介绍。

（3）网络安全常用的调研及测评方法

调研和测评时主要收集3种基本信息源：调研对象、文本查阅和物理检验。调研对象主要是指现有系统安全和组织实施相关人员，重点是熟悉情况的人员和管理者。为了准确测评所保护的信息资源及资产，调研提纲应尽量简单易懂，且所提供的信息与调研人员无直接利害关系，同时审查现有的安全策略及关键的配置情况，包括已经完成的和正在草拟或修改的文本，还应搜集对该机构的各种设施的审查信息。

2.网络安全测评标准和内容

1）安全测评的前提。在网络安全实际测评前，应重点考察3个方面的测评因素：服务器和终端及其网络设备安装区域环境的安全性；设备和设施的质量安全可靠性；外部运行环境及内部运行环境的相对安全性，系统管理员可信任度和配合测评意愿情况等。

2）测评依据和标准。以上述ISO或国家有关的通用评估准则CC、《信息安全技术评估通用准则》《计算机信息系统安全保护等级划分准则》和《信息安全等级保护管理办法（试行）》等作为评估标准。

经过各方认真研究和协商讨论达成的相关标准及协议，也可作为网络安全测评的重要依据。

3）具体测评内容。网络安全的评估内容主要包括：安全策略测评、网络实体（物理）安全测评、网络体系安全测评、安全服务测评、病毒防护安全性测评、审计安全性测评、备份安全性测评、紧急事件响应测评和安全组织与管理测评等。

3.网络安全策略测评

1）测评事项。利用网络系统规划及设计文档、安全需求分析文档、网络安全风险测评文档和网络安全目标，测评网络安全策略的有效性。

2）测评方法。采用专家分析的方法，主要测评安全策略实施及效果，主要包括：安全需求是否满足、安全目标是否能够实现、安全策略是否有效、实现是否容易、是否符合安全设计原则，以及各安全策略的一致性等。

3）测评结论。依据测评的具体结果，对比网络安全策略的完整性、准确性和一致性。

4.网络实体安全测评

1）实体安全的测评项目。主要的测评项目包括：网络基础设施、配电系统；服务器、交换机、路由器、配线柜、主机房；工作站、工作间；记录媒体及运行环境。

2）测评方法。采用专家分析法，主要测评对物理访问控制（包括安全隔离、门禁控制、访问权限和时限、访问登记等）、安全防护措施（防盗、防水、防火和防震等）、备份（安全恢复中需要的重要部件的备份）及运行环境等的要求是否实现、是否满足安全需求。

3）测评结论。依据实际测评结果，确定网络系统的实际实体安全及运行环境情况。

5.网络体系的安全性测评

（1）网络隔离的安全性测评

1）测评项目。测评项目主要包括以下3个方面。

① 网络系统内部与外部的隔离的安全性。

② 内部虚拟网划分和网段划分的安全性。

③ 远程连接（VPN、交换机和路由器等）的安全性。

2）测评方法。主要利用检测侦听工具，测评防火墙过滤和交换机、路由器实现虚拟网划分的情况。采用漏洞扫描软件测评防火墙、交换机和路由器是否存在安全漏洞及其程度。

3）测评结论。依据实际测评结果，表述网络隔离的安全性情况。

（2）网络系统配置安全性测评

1）测评项目。主要的测评项目包括以下7个方面。

① 网络设备（如路由器、交换机、HUB）的网络管理代理是否修改了默认值。

② 防止非授权用户远程登录路由器、交换机等网络设备。

③ 服务模式的安全设置是否合适。

④ 服务端口开放及具体管理情况。

⑤ 应用程序及服务软件版本加固和更新程度。

⑥ 操作系统的漏洞及更新情况。

⑦ 网络系统设备的安全性情况。

2）测评方法和工具。常用的测评方法和工具包括以下几个。

① 采用漏洞扫描软件，测试网络系统存在的漏洞和隐患情况。

② 检查网络系统采用的各设备是否采用了安全性得到认证的产品。

③ 依据设计文档，检查网络系统配置是否被更改和更改原因等是否满足安全需求。

3）测评结论。依据测评结果，表述网络系统配置的安全情况。

（3）网络防护能力测评

1）测评内容。主要对拒绝服务、电子欺骗、网络侦听和入侵等攻击形式，是否采取了相应的防护措施，以及防护措施是否有效。

2）测评方法。主要采用模拟攻击、漏洞扫描软件，测评网络防护能力。

3）测评结论。依据具体测评结果，具体表述网络防护能力。

（4）服务的安全性测评

1）主要测评项目。主要包括两个方面。

① 服务隔离的安全性。依据信息敏感级别要求，是否实现了不同服务的隔离。

② 服务的脆弱性分析。主要测试系统开放的服务DNS、FTP、E-mail和HTTP等，是否存在安全漏洞和隐患。

2）主要测评方法。常用的测评方法主要有两种。

① 采用系统漏洞检测扫描工具，测试网络系统开放的服务是否存在安全漏洞和隐患。

② 模拟各项业务和服务的运行环境及条件，检测具体的运行情况。

3）测评结论。依据实际测评结果，表述网络系统服务的安全性。

（5）应用系统的安全性测评

1）测评项目。主要测评应用程序是否存在安全漏洞；应用系统的访问授权、访问控制等防护措施（加固）的安全性。

2）测评方法。主要采用专家分析和模拟测试的方法。

3）测评结论。依据实际测评结果，对应用程序的安全性进行全面评价。

6.安全服务的测评

1）测评项目。主要包括：认证、授权、数据安全性（保密性、完整性、可用性、可控性、可审查性）和逻辑访问控制等。

2）测评方法。采用扫描检测等工具截获数据包，分析上述各项是否满足安全需求。

3）测评结论。依据测评结果，表述安全服务的充分性和有效性。

7.病毒防护安全性测评

1）测评项目。主要检测服务器、工作站和网络系统是否配备了有效的防病毒软件及病毒清查的执行情况。

2）测评方法。主要利用专家分析和模拟测评等测评方法。

3）测评结论。依据测评结果，表述计算机病毒防范的实际情况。

8.审计的安全性测评

1）测评项目。主要包括：审计数据的生成方式安全性、数据充分性、存储安全性、访问安全性及防篡改的安全性。

2）测评方法。主要采用专家分析和模拟测试等测评方法。

3）测评结论。依据测评的具体结果，表述审计的安全性。

9.备份的安全性测评

1）测评项目。主要包括：备份方式的有效性、备份的充分性、备份存储的安全性和备份的访问控制情况等。

2）测评方法。采用专家分析的方法，依据系统的安全需求和业务的连续性计划，测评备份的安全性情况。

3）测评结论。依据测评结果，表述备份系统的安全性。

10.紧急事件响应测评

1）测评项目。主要包括：紧急事件响应程序及其有效应急处理情况，以及平时的应急准备情况（备份、培训和演练）。

2）测评方法。模拟紧急事件响应条件，检测响应程序是否有序，能否有效处理安全事件。

3）测评结论。依据实际测评结果，对紧急事件响应程序和应急预案及措施的充分性、有效性进行对比评价。

11.安全组织和管理测评

（1）相关测评项目

1）建立安全组织机构和设置安全机构（部门）的情况。

2）检查网络管理条例及落实情况，明确规定网络应用目的、应用范围、应用要求、违反惩罚规定和用户入网审批程序等情况。

3）每个相关网络人员的安全职责是否明确及落实情况。

4）查清合适的信息处理设施授权程序。

5）实施网络配置管理情况。

6）规定各作业的合理工作规程情况。

7）明确具体详实的人员安全管理规程情况。

8）记载详实、有效的安全事件响应程序情况。

9）有关人员涉及各种管理规定，对其详细内容的掌握情况。

10）机构相应的保密制度及落实情况。

11）账号、口令、权限等授权和管理制度及落实情况。

12）定期安全审核和安全风险测评制度及落实情况。

13）管理员定期培训和资质考核制度及落实情况。

（2）安全测评方法

主要利用专家分析方法、考核法、审计方法和调查的方法。

（3）主要测评结论

由实际的测评结果，评价安全组织机构和安全管理的有效性。

讨论思考

1）橙皮书将安全级别从低到高分成哪4个类别和7个级别？

2）国家将计算机安全保护划分为哪5个级别？

3）网络安全测评方法主要有哪些？