3.3 网络安全评估准则和方法

网络安全评估准则 是评判网络安全技术和产品，从设计、研发到实施、使用和管理维护过程中，对一致性、可靠性、可控性、先进性和符合性的解决能力的技术规范和依据。深受各国政府重视，是各国国家安全工作中不可缺少的一项内容。

3.3.1 国外网络安全评估准则

国际性标准化组织主要包括 ：国际标准化组织（ISO）、国际电工委员会（IEC）及国际电信联盟（ITU）所属的电信标准化组织（ITU-TS）等。ISO是制定全世界工商业国际标准的总体标准化组织，而IEC在电工与电子技术领域相当于ISO的地位。1987年，成立了联合技术委员会（JTC1）。ITU-TS则是一个联合缔约组织。这些组织在安全需求服务分析指导、安全技术研制开发、安全评估标准等方面制定了一些标准草案。

1.美国TCSEC（橙皮书）

1983年由美国国防部制定的 可信计算系统评价准则（Trusted Computer Standards Evaluation Criteria，TCSEC） ，即网络安全 橙皮书或桔皮书 ，主要利用计算机安全级别评价计算机系统的安全性。它将安全分为4个方面（类别）：安全政策、可说明性、安全保障和文档。从1985年开始，橙皮书成为美国国防部的标准以后基本没有更改，一直是评估多用户主机和小型操作系统的主要方法。

国际上，网络和应用系统一直用橙皮书进行评估。橙皮书将安全的级别从低到高分成4个类别：D类、C类、B类和A类，并分为7个级别，如表3-1所示。

通常，网络系统的安全级别设计需要从数学角度上进行验证，而且必须进行秘密通道分析和可信任分布分析。

2.美国联邦准则（FC）

美国联邦准则（FC） 标准参照了加拿大的评价标准CTCPEC与橙皮书TCSEC，目的是提供TCSEC的升级版本，同时保护已有建设和投资。FC是一个过渡标准，之后结合ITSEC发展为联合公共准则。

3.欧洲ITSEC（白皮书）

信息技术安全评估标准（Information Technology Security Evaluation Criteria，ITSEC） ，俗称 欧洲的白皮书 ，将保密作为安全增强功能，仅限于阐述技术安全要求，并未将保密措施直接与计算机功能相结合。ITSEC是欧洲的英国、法国、德国和荷兰在借鉴橙皮书的基础上，于1989年联合提出的。橙皮书将保密作为安全重点，而ITSEC则将首次提出的完整性、可用性与保密性作为同等重要的因素，并将可信计算机的概念提高到可信信息技术的高度。ITSEC定义了从E0级（不满足品质）到E6级（形式化验证）的7个安全等级，对于每个系统安全功能可分别定义。ITSEC预定义了10种功能，其中前5种与桔皮书中的C1～B3级基本类似。

4.通用评估准则（CC）

通用评估准则（Common Criteria for IT Security Evaluation，CC） 由美国等国家与国际标准化组织联合提出，并结合FC及ITSEC的主要特征，强调将网络信息安全的功能与保障分离，将功能需求分为9类63族（项），将保障分为7类29族。CC的先进性体现在其结构的开放性、表达方式的通用性，以及结构及表达方式的内在完备性和实用性4个方面。CC标准于1996年发布第一版，充分结合并替代了ITSEC、TCSEC、CTCPEC、FC等国际上重要的信息安全评估标准而成为通用评估准则，历经了诸多的更新和改进。

CC标准主要确定评估信息技术产品和系统安全性的基本准则，提出国际上公认的表述信息技术安全性的结构，将安全要求分为规范产品和系统安全行为的功能要求，以及正确有效地实施这些功能的保证要求。中国测评中心主要采用CC进行测评，其具体内容可查阅相关网站。

5.ISO安全体系结构标准

开放系统标准建立框架的依据是国际标准ISO 7498-2-1989《信息处理系统·开放系统互连、基本模型·第2部分：安全体系结构》。此标准给出了网络安全服务与有关机制的基本描述，确定了在参考模型内部可提供的服务与机制。该标准从体系结构描述ISO基本参考模型之间的网络安全通信所提供的网络安全服务和安全机制，并表明网络安全服务及其相应机制在安全体系结构中的关系，建立了开放互连系统的安全体系结构框架。并在身份验证、访问控制、数据加密、数据完整性和防止抵赖方面，提供了5种可选择的网络安全服务，如表3-2所示。

现在， 国际上通行的同网络信息安全有关的标准 主要可以分为3大类，如图3-10所示。

3.3.2 国内网络安全评估准则

1.系统安全保护等级划分准则

1999年10月，原国家质量技术监督局批准发布了“系统安全保护等级划分准则”，此准则主要依据GB 17859—1999《计算机信息系统安全保护等级划分准则》和GA 163—1997《计算机信息系统安全专用产品分类原则》等，将计算机系统安全保护划分为5个级别，如表3-3所示。

我国提出的有关网络信息安全实施等级保护问题，经过专家多次反复论证研究，其相关制度得到不断细化和完善。

2.我国网络信息安全标准化现状

因网络安全逐渐纳入国家安全战略新高度，网络信息安全标准化事关国家信息化安全建设与实施，是网络信息安全保障体系的重要组成部分。各国通常借鉴国际标准，并结合本国实际情况制定并完善本国的信息安全标准化组织和标准。

中国的信息安全标准化建设，主要按照国务院授权，在国家市场监督管理总局管理下，由国家标准化管理委员会统一管理全国标准化工作，该委员会下设有255个专业技术委员会。中国标准化工作实行统一管理与分工负责相结合的管理体制，有88个国务院有关行政主管部门和国务院授权的有关行业协会分工管理本部门、本行业标准化工作，有31个省、自治区、直辖市政府有关行政主管部门分工管理本行政区域内、本行业的标准化工作。1983年成立的全国信息技术标准化技术委员会（NITS），在国家标准化管理委员会及工业和信息化部的共同领导下负责全国IT领域和与ISO/IEC JTC1对应的标准化工作，下设24个分技术委员会和特别工作组，为国内最大的标准化技术委员会。工作范围是负责信息和通信安全的通用框架、方法、技术和机制的标准化，主要从事国内外对应的标准化工作。

2016年8月，国家标准化管理委员会等部门制定了《关于加强国家网络安全标准化工作的若干意见》，对于网络安全标准化起到了极为重要的作用。我国信息安全标准化工作起步晚、发展快，积极借鉴国际标准原则，制定了一系列符合中国国情的信息安全标准和行业标准。

2019年5月13日，网络安全等级保护 2.0（简称等保2.0）核心标准（《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护测评要求》《信息安全技术 网络安全等级保护安全设计技术要求》）正式发布，网络安全等级保护正式进入2.0时代。

3.3.3 网络安全常用测评方法

网络安全测评也要讲究方式方法，只有使用恰当的方法进行全面、彻底、有效的安全测评，才能准确查找并分析网络安全漏洞、隐患和风险，根据评估结果与业务的安全需求及目标，及时采取有效措施提高安全防御能力。实际安全测评应按照网络安全相关的目的、要求、策略、技术、方法和标准等进行。

1.网络安全测评目的和方法

（1）网络安全的测评目的

网络安全测评目的 包括：

1）彻底搞清企事业机构具体信息资产的实际价值及状况。

2）明确企事业机构信息资源，及其在机密性、完整性、可用性、可控性和可审查性方面的具体威胁风险及实际程度。

3）通过深入调研分析搞清网络系统实际存在的具体漏洞隐患及风险的状况。

4）确定同本机构信息资产有关的风险和具体需要改进之处。

5）提出改变现状的具体建议和方案，将风险降低到可接受的程度。

6）做好构建合适的安全计划和策略的准备。

（2）网络安全常用测评类型

网络安全 通用的测评类型 分为5种：

1）系统级漏洞测评。主要测评企事业机构整个系统的漏洞、系统安全隐患与风险、基本安全策略及具体实施状况等。

2）网络级风险测评。主要测评企事业机构相关的所有网络系统及信息基础设施实际存在的隐患和风险范围方面的具体情况。

3）机构的风险测评。对机构进行整体风险测评分析，对其信息资产存在的具体威胁及隐患、问题和处理方式方法，包括对实体系统及运行环境的各种安全等进行测评。

4）实际入侵测试。对机构重要的网络系统及业务应用（服务）安全进行网络入侵的实际反应能力等方面的安全性测试检验，便于采取有效措施。

5）审计。深入实际检查具体的网络安全策略、记录和该组织具体执行情况。

（3）网络安全常用调研及测评方法

在实际调研和测评时，主要收集3种基本信息源：调研对象、文本查阅和物理检验。调研对象主要是指现有系统安全和组织实施相关人员，重点为熟悉情况和管理者。为了准确测评所保护的信息资源及资产，调研提纲应尽量简单易懂，且所提供的信息与调研人员无直接利害关系，同时审查现有的安全策略及关键的配置情况，包括已经完成和正在草拟或修改的文本。还应搜集对该机构的各种设施的审查信息。

2.网络安全测评标准和内容

1）安全测评前提。在进行网络安全实际测评前，主要重点考察3个方面的测评因素：服务器和终端及其网络设备安装区域环境的安全性；设备和设施的质量安全可靠性；外部运行环境及内部运行环境的相对安全性，系统管理员可信任度和配合测评愿意情况等。

2）测评依据和标准。以上述ISO或国家有关的通用评估准则CC、《信息安全技术 评估通用准则》《计算机信息系统安全保护等级划分准则》《信息安全等级保护管理办法（试行）》和GB/T 36958—2018《信息安全技术 网络安全等级保护 安全管理中心技术要求》等作为评估标准。此外，经过各方认真研究和协商讨论达成的相关标准及协议，也可作为网络安全测评的重要依据。

3）具体测评内容。网络安全的评估内容主要包括：安全策略测评、网络实体（物理）安全测评、网络体系安全测评、安全服务测评、病毒防护安全性测评、审计安全性测评、备份安全性测评、紧急事件响应测评和安全组织与管理测评等。

3.网络安全策略测评

1）测评事项。利用网络系统规划及设计文档、安全需求分析文档、网络安全风险测评文档和网络安全目标，测评网络安全策略的有效性。

2）测评方法。采用专家分析的方法，主要测评安全策略实施及效果，包括：安全需求是否满足、安全目标是否能够实现、安全策略是否有效、实现是否容易、是否符合安全设计原则、各安全策略的一致性等。

3）测评结论。按照测评的具体结果，对比网络安全策略的完整性、准确性和一致性。

4.网络实体安全测评

1）实体安全的测评项目。主要测评项目包括：网络基础设施、配电系统、服务器、交换机、路由器、配线柜、主机房、工作站、工作间、记录媒体及运行环境等。

2）测评方法。主要采用专家分析法，包括测评对物理访问控制（包括安全隔离、门禁控制、访问权限和时限、访问登记等）、安全防护措施（防盗、防水、防火、防振等）、备份及运行环境等的要求是否实现、是否满足安全需求。

3）测评结论。根据实际测评结果，确定网络系统实际实体安全及运行环境情况。

5.网络体系的安全性测评

（1）网络隔离的安全性测评

1）测评项目。测评项目主要包括以下3个方面：

①网络系统内部与外部隔离的安全性。

②内部虚拟网划分和网段划分的安全性。

③远程连接（VPN、交换机、路由器等）的安全性。

2）测评方法。主要利用检测侦听工具，测评防火墙过滤和交换机、路由器实现虚拟网划分的情况。采用漏洞扫描软件测评防火墙、交换机和路由器是否存在安全漏洞及程度。

3）测评结论。依据实际测评结果，表述网络隔离的安全性情况。

（2）网络系统配置安全性测评

1）测评项目。测评项目主要包括以下7个方面：

①网络设备（如路由器、交换机、Hub）的网络管理代理默认值是否修改。

②防止非授权用户远程登录路由器、交换机等网络设备。

③业务服务模式的安全设置是否合适。

④业务服务端口开放及具体管理情况。

⑤应用程序及服务软件版本加固和更新程度。

⑥网络操作系统的漏洞、隐患及更新情况。

⑦网络系统设备设施的安全性情况。

2）测评方法和工具。常用的主要测评方法和工具包括：

①采用漏洞扫描软件，测试网络系统存在的漏洞和隐患情况。

②检查网络系统采用的各设备是否采用安全性得到认证的产品。

③依据设计文档，检查网络系统配置是否被更改和更改原因等是否满足安全需求。

3）测评结论。依据测评结果，表述网络系统配置的安全情况。

（3）网络防护能力测评

1）测评内容。主要测评拒绝服务、电子欺骗、网络侦听、入侵等攻击形式是否采取了相应的防护措施及防护措施是否有效。

2）测评方法。用模拟攻击、漏洞扫描软件，测评网络防护能力。

3）测评结论。依据具体测评结果，具体表述网络防护能力。

（4）服务的安全性测评

1）测评项目。主要包括两个方面：

①服务隔离的安全性。以网络信息机密级别要求进行服务隔离。

②服务的脆弱性分析。主要测试网络系统开放的服务DNS、FTP、E-mail、HTTP等是否存在安全漏洞和隐患。

2）测评方法。常用的测评方法主要有两种：

①采用系统漏洞检测扫描工具，测试网络系统开放的服务是否存在安全漏洞和隐患。

②模拟各项业务和服务运行环境及条件，检测具体运行情况。

3）测评结论。依据实际测评结果，表述网络系统服务的安全性。

（5）应用系统的安全性测评

1）测评项目。主要测评应用程序是否存在安全漏洞；应用系统的访问授权、访问控制等防护措施（加固）的安全性。

2）测评方法。主要采用专家分析和模拟测试的方法。

3）测评结论。按照实际测评结果，对应用程序安全性进行全面评价。

6.安全服务的测评

1）测评项目。主要包括：认证、授权、数据安全性（保密性、完整性、可用性、可控性、可审查性）、逻辑访问控制等。

2）测评方法。采用扫描检测等工具截获数据包，分析各项具体的满足安全需求情况。

3）测评结论。按照测评结果，表述安全服务的充分性和有效性。

7.病毒防护安全性测评

1）测评项目。主要检测服务器、工作站和网络系统是否配备有效的防病毒软件及病毒清查的执行情况。

2）测评方法。主要利用专家分析和模拟测评等测评方法。

3）测评结论。依据测评结果，表述计算机病毒防范实际情况。

8.审计的安全性测评

1）测评项目。主要包括：审计数据的生成方式安全性、数据充分性、存储安全性、访问安全性及防篡改的安全性。

2）测评方法。主要采用专家分析和模拟测试等测评方法。

3）测评结论。依据测评具体结果表述审计的安全性。

9.备份的安全性测评

1）测评项目。主要包括：备份方式的有效性、备份的充分性、备份存储的安全性和备份的访问控制情况等。

2）测评方法。采用专家分析的方法，依据系统的安全需求、业务的连续性计划，测评备份的安全性情况。

3）测评结论。依据测评结果，表述备份系统的安全性。

10.紧急事件响应测评

1）测评项目。主要包括：紧急事件响应程序及其有效应急处理情况，以及平时的应急准备情况（备份、培训和演练情况）。

2）测评方法。模拟紧急事件响应条件，检测响应程序有序且有效处理安全事件情况。

3）测评结论。依据实际测评结果，对紧急事件响应程序和应急预案及措施的充分性、有效性对比评价。

11.网络安全组织和管理测评

（1）主要相关测评项目

1）建立网络安全组织机构和设置相关机构（部门）的情况。

2）检查网络安全管理条例及落实情况，明确规定网络应用目的、应用范围、应用要求、违反惩罚规定、用户入网审批程序等情况。

3）所有相关人员的网络安全职责是否明确并具体落实。

4）具体查清合适的信息处理设施授权程序。

5）实施网络安全配置管理的具体情况。

6）规定各业务作业的合理工作规程情况。

7）明确具体翔实的人员安全管理规程情况。

8）记载具体、有效的安全事件响应程序及预案情况。

9）相关人员涉及各种安全管理规定，对其详细内容掌握情况。

10）机构相应的安全保密制度及具体落实情况。

11）对于账号、口令、权限等授权和管理制度及落实情况。

12）定期网络安全审核和安全风险测评制度及落实情况。

13）管理员定期培训和资质考核制度及落实情况。

（2）安全测评方法

主要采用专家分析的方法、考核法、审计方法和调查方法。

（3）主要测评结论

由实际测评结果，评价安全组织机构和安全管理的有效性。

讨论思考

1）橙皮书将安全级别从低到高分成哪些类和级别？

2）国家将计算机安全保护划分为哪5个级别？

3）网络安全测评方法具体主要有哪些？