第5章 網(wǎng)絡(luò)安全測評技術(shù)

第5章網(wǎng)絡(luò)安全測評技術(shù)01二月2023要點(diǎn)網(wǎng)絡(luò)安全測評有幾個(gè)環(huán)節(jié)？與主機(jī)安全的測評手段有何異同？國家標(biāo)準(zhǔn)對于網(wǎng)絡(luò)安全測評的要求有哪些？一、網(wǎng)絡(luò)安全的控制點(diǎn)網(wǎng)絡(luò)安全保障的兩個(gè)對象1）服務(wù)安全：確保網(wǎng)絡(luò)設(shè)備的安全運(yùn)行，提供有效的網(wǎng)絡(luò)服務(wù)2）數(shù)據(jù)安全：確保在網(wǎng)絡(luò)上傳輸數(shù)據(jù)的保密性、完整性和可用性網(wǎng)絡(luò)環(huán)境是抵御內(nèi)外攻擊的第一道防線，一共安排了7個(gè)控制點(diǎn)：結(jié)構(gòu)安全與網(wǎng)段劃分訪問控制（網(wǎng)絡(luò)訪問控制、撥號訪問控制）網(wǎng)絡(luò)安全審計(jì)邊界完整性檢查網(wǎng)絡(luò)入侵防范惡意代碼防范網(wǎng)絡(luò)設(shè)備防范縱橫防御結(jié)構(gòu)安全與網(wǎng)段劃分在對網(wǎng)絡(luò)安全實(shí)現(xiàn)全方位保護(hù)之前，首先應(yīng)該關(guān)注網(wǎng)絡(luò)的資源分布、架構(gòu)是否合理、只有結(jié)構(gòu)安全了，才能在其上實(shí)現(xiàn)各種技術(shù)功能，達(dá)到網(wǎng)絡(luò)安全保護(hù)的目的。通常，一個(gè)機(jī)構(gòu)由很多部門組成，各部門的地位、重要性不同，部門所要處理的信息重要性也不同，因此需要對整個(gè)網(wǎng)絡(luò)進(jìn)行子網(wǎng)劃分。三級結(jié)構(gòu)安全包含的內(nèi)容要求網(wǎng)絡(luò)資源能夠?yàn)榫W(wǎng)絡(luò)的正常運(yùn)行提供基本的保障（1級）要求網(wǎng)絡(luò)資源能夠滿足業(yè)務(wù)高峰的需要，同時(shí)應(yīng)以網(wǎng)段形式分隔不同部門的系統(tǒng)（2級）與1、2級相比，增加了“處理優(yōu)先級”考慮：要求“主要網(wǎng)絡(luò)設(shè)備”、“網(wǎng)絡(luò)各個(gè)部分的帶寬”，不僅要求滿足基本的業(yè)務(wù)需要，更應(yīng)滿足業(yè)務(wù)高峰時(shí)網(wǎng)絡(luò)正常運(yùn)行，以保證重要主機(jī)能夠正常與運(yùn)行。（3級）網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)訪問控制的意義何在？對網(wǎng)絡(luò)而言，最重要的一道安全防線就是邊界，邊界上匯聚了所有流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)流，必須對其進(jìn)行有效的監(jiān)視和控制。何謂邊界？所謂邊界即是采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。有連接就有數(shù)據(jù)間的流動，因此在邊界處重要的是對流經(jīng)的數(shù)據(jù)進(jìn)行嚴(yán)格訪問控制。按照一定規(guī)則允許或拒絕數(shù)據(jù)的流入、流出。用什么方法控制邊界？撥號訪問控制什么是撥號訪問控制？網(wǎng)絡(luò)訪問控制是從數(shù)據(jù)的角度對網(wǎng)絡(luò)中流動的數(shù)據(jù)進(jìn)行控制；撥號訪問控制就是從用戶的角度對遠(yuǎn)程訪問網(wǎng)絡(luò)的用戶進(jìn)行控制。對用戶的訪問控制，同樣應(yīng)按照一定的控制規(guī)則來允許或拒絕用戶的訪問。怎樣進(jìn)行撥號訪問控制？三級訪問控制主要在網(wǎng)絡(luò)邊界處對經(jīng)過的數(shù)據(jù)進(jìn)行包頭信息的過濾，以控制數(shù)據(jù)的進(jìn)出網(wǎng)絡(luò)，對用戶進(jìn)行基本的訪問控制。（1級）對數(shù)據(jù)的過濾增強(qiáng)為根據(jù)會話信息進(jìn)行過濾，對用戶訪問粒度進(jìn)一步細(xì)化，由用戶組到單個(gè)用戶，同時(shí)限制撥號訪問的用戶數(shù)量（2級）將過濾力度擴(kuò)展DOA應(yīng)用層，即根據(jù)應(yīng)用的不同而過濾，對設(shè)備接入網(wǎng)絡(luò)進(jìn)行了一定的限制（3級）網(wǎng)絡(luò)安全審計(jì)不僅僅是“日志記錄”不等同于入侵檢測網(wǎng)絡(luò)安全審計(jì)重點(diǎn)包括：對網(wǎng)絡(luò)流量監(jiān)測以及對異常流量的識別和報(bào)警、網(wǎng)絡(luò)設(shè)備運(yùn)行情況的監(jiān)測等。通過對以上方面的記錄分析，形成報(bào)表，并在一定情況下發(fā)出警報(bào)、阻斷等動作。三級網(wǎng)絡(luò)安全審計(jì)要求對網(wǎng)絡(luò)設(shè)備運(yùn)行、網(wǎng)絡(luò)流量等基本情況進(jìn)行記錄（2級）要求對形成的記錄能夠分析、形成報(bào)表、同事對審計(jì)記錄提出了保護(hù)要求。（3級）邊界完整性檢查網(wǎng)絡(luò)入侵防范有了訪問控制為什么還需要網(wǎng)絡(luò)入侵防范？網(wǎng)絡(luò)訪問控制在網(wǎng)絡(luò)安全中起到大門警衛(wèi)的作用，是第一道閥門。只能對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行分析，對網(wǎng)絡(luò)內(nèi)部發(fā)生的事件則無能為力?；诰W(wǎng)絡(luò)的入侵檢測，被認(rèn)為是防火墻之后的第二道安全閥門，主要監(jiān)視所在網(wǎng)段內(nèi)的各種數(shù)據(jù)包，對每個(gè)數(shù)據(jù)包或可以數(shù)據(jù)包進(jìn)行分析，如果數(shù)據(jù)包與內(nèi)置規(guī)則吻合，就會記錄事件的各種信息，并發(fā)出警報(bào)。三級網(wǎng)絡(luò)入侵防范包含？能夠檢測常見攻擊的發(fā)生（2級）不僅能夠檢測，并能發(fā)出警報(bào)（3級）惡意代碼防范目前，對惡意代碼的防范已經(jīng)是全方位、立體防護(hù)的概念。在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行防范是整個(gè)防范工作的重點(diǎn)。不緊部署相應(yīng)的網(wǎng)絡(luò)防病毒產(chǎn)品，還要及時(shí)更新。平均每個(gè)月有300種新病毒被發(fā)現(xiàn)。三級惡意代碼防范包含？要求能夠在網(wǎng)絡(luò)邊界處防范惡意代碼，并保存代碼庫的及時(shí)更新（3級）網(wǎng)絡(luò)設(shè)備防護(hù)對登錄網(wǎng)絡(luò)設(shè)備各種參數(shù)進(jìn)行配置、修改。三級網(wǎng)絡(luò)設(shè)備防護(hù)包含？對網(wǎng)絡(luò)設(shè)備要求基本的登錄鑒別措施（1級）對登錄要求進(jìn)一步增強(qiáng)，提出了鑒別標(biāo)識唯一、鑒別信息復(fù)雜等要求（2級）提出了兩種以上鑒別技術(shù)的組合來實(shí)現(xiàn)身份鑒別，同時(shí)提出特權(quán)用戶權(quán)限分離（3級）網(wǎng)絡(luò)安全測評的要點(diǎn)二、網(wǎng)絡(luò)安全測評點(diǎn)（一）訪談（二）檢查（三）測試（一）網(wǎng)絡(luò)安全訪談?wù){(diào)研第3級安全測評要求對網(wǎng)絡(luò)安全的訪談分為8類13項(xiàng)。1、結(jié)構(gòu)安全與網(wǎng)段劃分訪談第3級安全測評要求對網(wǎng)絡(luò)安全的結(jié)構(gòu)安全與網(wǎng)段劃分訪談共四項(xiàng)。（1）應(yīng)訪談網(wǎng)絡(luò)管理員，詢問邊界和主要網(wǎng)絡(luò)設(shè)備的性能以及目前業(yè)務(wù)高峰流量的情況。（2）應(yīng)訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)段劃分情況以及劃分的原則；需要重要網(wǎng)段有哪些？其具體的部署位置，與其他網(wǎng)段的隔離措施有哪些？（3）應(yīng)訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)絡(luò)的帶寬情況；詢問網(wǎng)絡(luò)中帶寬控制情況以及帶寬分配的原則。（4）應(yīng)訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)絡(luò)設(shè)備的路由控制策略有哪些，這些策略設(shè)計(jì)的目的？2、網(wǎng)絡(luò)訪問控制訪談第3級安全測評要求對網(wǎng)絡(luò)安全的網(wǎng)絡(luò)訪問控制訪談共2項(xiàng)（1）應(yīng)訪談安全管理員，詢問網(wǎng)絡(luò)訪問控制措施有哪些，詢問訪問控制策略的設(shè)計(jì)原則是什么？（2）應(yīng)檢查邊界網(wǎng)絡(luò)設(shè)備，查看其是否根據(jù)會話狀態(tài)信息對數(shù)據(jù)流進(jìn)行了控制。3、撥號訪問控制訪談第3級安全測評要求對網(wǎng)絡(luò)安全的撥號訪問控制訪談共1項(xiàng)應(yīng)訪談安全管理員，詢問是否允許撥號訪問網(wǎng)絡(luò)；詢問撥號訪問控制的策略是什么，采取什么技術(shù)手段實(shí)現(xiàn)撥號訪問控制（防火墻/路由器），撥號訪問用戶的權(quán)限分配原則是什么？4、網(wǎng)絡(luò)安全審計(jì)訪談第3級安全測評要求對網(wǎng)絡(luò)安全的網(wǎng)絡(luò)安全審計(jì)訪談共1項(xiàng)應(yīng)訪談審計(jì)員，詢問邊界和主要網(wǎng)絡(luò)設(shè)備是否開啟安全審計(jì)功能，審計(jì)內(nèi)容包括哪些？詢問審計(jì)記錄的主要內(nèi)容有哪些，對審計(jì)記錄的處理方式有哪些？5、邊界完整性訪談第3級安全測評要求對網(wǎng)絡(luò)安全的邊界完整性訪談共1項(xiàng)應(yīng)訪談安全管理員，詢問是否對內(nèi)部用戶私自連接到外部網(wǎng)絡(luò)的行為及非授權(quán)設(shè)備私自連接到網(wǎng)絡(luò)的行為進(jìn)行監(jiān)控。6、網(wǎng)絡(luò)入侵防范訪談第3級安全測評要求對網(wǎng)絡(luò)安全的網(wǎng)絡(luò)入侵防范訪談共1項(xiàng)應(yīng)訪談安全管理員，詢問網(wǎng)絡(luò)入侵防范措施有哪些，是否有專門設(shè)備對網(wǎng)絡(luò)入侵進(jìn)行防范；詢問網(wǎng)絡(luò)入侵防范規(guī)則庫的升級方式。7、網(wǎng)絡(luò)惡意代碼防范訪談第3級安全測評要求對網(wǎng)絡(luò)安全的網(wǎng)絡(luò)惡意代碼防范訪談共1項(xiàng)應(yīng)訪談安全管理員，詢問網(wǎng)絡(luò)惡意代碼防范措施是什么，詢問惡意代碼庫的更新策略。8、網(wǎng)絡(luò)設(shè)備防護(hù)訪談第3級安全測評要求對網(wǎng)絡(luò)安全的網(wǎng)絡(luò)設(shè)備防護(hù)訪談共2項(xiàng)（1）應(yīng)訪談網(wǎng)絡(luò)管理員，詢問對主要網(wǎng)絡(luò)設(shè)備的防護(hù)措施有哪些；詢問對主要網(wǎng)絡(luò)設(shè)備的登錄和驗(yàn)證方式做過何種特定配置，詢問對遠(yuǎn)程管理的設(shè)備是否采取措施防止鑒別信息被泄露，詢問對網(wǎng)絡(luò)特權(quán)用戶的權(quán)限如何進(jìn)行分配。（2）應(yīng)訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)絡(luò)設(shè)備的口令策略是什么？（二）網(wǎng)絡(luò)安全現(xiàn)場檢查主要是測評工程師對測評系統(tǒng)各型網(wǎng)絡(luò)設(shè)備以及相關(guān)文檔資料進(jìn)行檢查。第3級安全測評要求對網(wǎng)絡(luò)安全的現(xiàn)場檢查共有8類26項(xiàng)。1、結(jié)構(gòu)安全與網(wǎng)段劃分現(xiàn)場檢查第3級安全測評要求對網(wǎng)絡(luò)安全的結(jié)構(gòu)安全與網(wǎng)段劃分檢查共6項(xiàng)（1）應(yīng)檢查網(wǎng)絡(luò)拓?fù)鋱D，查看其與當(dāng)前運(yùn)行情況是否一致。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機(jī)房檢查方案：技術(shù)路線：可以通過三種方法得到網(wǎng)絡(luò)拓?fù)鋱D檢查步驟：用拓?fù)鋻呙韫ぞ叩玫疆?dāng)前網(wǎng)絡(luò)運(yùn)行拓?fù)鋱D。然后將該拓?fù)浣Y(jié)構(gòu)域設(shè)計(jì)文檔中原有的拓?fù)湟?guī)劃結(jié)構(gòu)進(jìn)行比較。在比較的同時(shí)也要核對被測單位制定的網(wǎng)絡(luò)安全策略是否在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中得以體現(xiàn)。檢查結(jié)論：通過對用戶提供的網(wǎng)絡(luò)拓?fù)鋱D與現(xiàn)場檢查的結(jié)果相比對，可知設(shè)計(jì)時(shí)的拓?fù)鋱D與現(xiàn)場拓?fù)鋱D相同，因此符合檢查要求。（2）檢查網(wǎng)絡(luò)設(shè)計(jì)/驗(yàn)收文檔，查看是否有邊界和主要網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力、網(wǎng)絡(luò)接入及核心網(wǎng)絡(luò)的帶寬是否滿足業(yè)務(wù)高峰期的需要，以及不存在帶寬瓶頸等方面的設(shè)計(jì)或描述。(3)檢查網(wǎng)絡(luò)設(shè)計(jì)/驗(yàn)收文檔，查看是否記有根據(jù)各部門的工作職能、重要性和所設(shè)計(jì)信息的安全程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)和網(wǎng)段分配地址段的設(shè)計(jì)或描述。（4）應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否體現(xiàn)了路由控制策略（如靜態(tài)路由）以建立安全的訪問路徑。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機(jī)房技術(shù)路線：業(yè)界常用的路由控制手段為邊界網(wǎng)關(guān)、邊界防火墻、交換設(shè)備和認(rèn)證隔離設(shè)備等?！碧炀W(wǎng)“主要需要查看路由控制配置。檢查步驟：查看路由控制策略是否把重要網(wǎng)段和不安全網(wǎng)段直接連接在一起，如果連接在一起說明沒有建立安全分訪問路徑，從而說明該配置策略不合理。查看路由控制策略是否可以使重要網(wǎng)段之間連通，如果沒有連通說明配置策略沒有建立必要的訪問路徑，從而說明該配置策略不合理。路由策略可以在交換機(jī)管理界面中的“routing”中查看使用路由追蹤命令“tracert”檢查網(wǎng)絡(luò)內(nèi)部訪問路徑是否安全可控。檢查結(jié)論：該三層交換機(jī)配置了靜態(tài)的安全控制路由，并且通過命令追蹤發(fā)現(xiàn)該路由是可以追蹤并可以控制的。因此該項(xiàng)檢查符合要求。（5）檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看重要網(wǎng)段是否采取了技術(shù)隔離手段與其他網(wǎng)段隔離。檢查目標(biāo)：如上檢查對象：”天網(wǎng)“系統(tǒng)中心機(jī)房技術(shù)路線：目前業(yè)界常用的隔離手段分為網(wǎng)閘、防火墻、應(yīng)用網(wǎng)關(guān)、認(rèn)證隔離設(shè)備和交換設(shè)備五種、”天網(wǎng)“系統(tǒng)中使用的是防火墻。檢查步驟：檢查防火墻設(shè)備，其重要網(wǎng)段是否與其他網(wǎng)段直接連接。查看防火墻設(shè)備，是否設(shè)置了特別規(guī)則使重要網(wǎng)段與其他網(wǎng)段的通信都得到嚴(yán)格隔離檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看重要網(wǎng)段是否采取了技術(shù)隔離手段與其他網(wǎng)段隔離。檢查過程中所繪制的網(wǎng)絡(luò)邊界如圖P131圖5.5.檢查結(jié)論：系統(tǒng)的重要網(wǎng)段和網(wǎng)絡(luò)邊界處，均設(shè)置了防火墻設(shè)備，以防止與危險(xiǎn)網(wǎng)段的直接連接，符合檢查要求。（6）檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否配置了對帶寬進(jìn)行控制的功能，這些功能能否保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要業(yè)務(wù)。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機(jī)房技術(shù)路線：目前業(yè)界常用的帶寬控制功能（如路由、交換設(shè)備上的Qos功能配置情況、專門的帶寬管理設(shè)備的配置策略）分為邊界網(wǎng)關(guān)、邊界防火墻、交換設(shè)備和認(rèn)證隔離設(shè)備四種?！疤炀W(wǎng)”信息系統(tǒng)使用三層交換機(jī)，并且通過其管理系統(tǒng)查看端口的速率控制設(shè)置情況。檢查步驟：連接三層交換機(jī)檢查該交換機(jī)管理系統(tǒng)端口的“速率限制“。檢查結(jié)論：現(xiàn)場檢查表明，該三層交換機(jī)上沒有設(shè)置對帶寬的限制和管理。因此，該項(xiàng)檢查未能通過。2.網(wǎng)絡(luò)訪問控制現(xiàn)場檢查第3級安全測評要求對網(wǎng)絡(luò)訪問控制現(xiàn)場檢查共有5項(xiàng)。（1）檢查邊界網(wǎng)絡(luò)設(shè)備，查看其是否根據(jù)會話狀態(tài)信息對數(shù)據(jù)流進(jìn)行了控制。檢查目標(biāo)：如上檢查對象：”天網(wǎng)“系統(tǒng)中心機(jī)房技術(shù)路線：目前常見的能夠根據(jù)會話狀態(tài)信息進(jìn)行控制的設(shè)備有防火墻和路由設(shè)備。檢查步驟：查看防火墻檢測RPC和UDP等協(xié)議的端口信息（包過濾和代理網(wǎng)關(guān)都不支持此類端口），有一項(xiàng)”啟動流量控制“。檢查結(jié)論：防火墻上沒有設(shè)置根據(jù)會話狀態(tài)信息對數(shù)據(jù)流進(jìn)行控制功能。因此該項(xiàng)檢查未能通過。（2）檢查邊界網(wǎng)絡(luò)設(shè)備，查看其是否對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，以實(shí)現(xiàn)對應(yīng)用層HTTP、FTP、Telnet、SMTP和POP3等協(xié)議命令級的控制。檢查目標(biāo)：如上檢查對象：”天網(wǎng)“系統(tǒng)中心機(jī)房技術(shù)路線：目前業(yè)界能夠?qū)崿F(xiàn)對應(yīng)用層協(xié)議命令級控制的設(shè)備有防火墻和路由設(shè)備等?！碧炀W(wǎng)“信息系統(tǒng)采用的是防火墻。檢查步驟：通過防火墻配置界面進(jìn)行設(shè)置檢查，可以從”服務(wù)類型“中看到，能夠?qū)TTP和FTP等協(xié)議進(jìn)行”用戶認(rèn)證“和”規(guī)則策略“等控制。檢查結(jié)論：現(xiàn)場檢查表明，防火墻上設(shè)置了對應(yīng)用層HTTP、FTP、TELNET等協(xié)議命令級的控制功能，符合檢查要求。（3）檢查邊界網(wǎng)絡(luò)設(shè)備，查看是否設(shè)置了會話處于非活躍的時(shí)間或會話結(jié)束后自動終止網(wǎng)絡(luò)連接功能；查看是否設(shè)置了網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。檢查目標(biāo)：檢查邊界網(wǎng)絡(luò)設(shè)備，查看是否設(shè)置了會話處于非活躍的時(shí)間或會話結(jié)束后自動終止網(wǎng)絡(luò)連接檢查對象：”天網(wǎng)“系統(tǒng)中心機(jī)房技術(shù)路線：目前業(yè)界能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)流量、網(wǎng)絡(luò)連接和應(yīng)用層會話管理控制的設(shè)備有防火墻和路由設(shè)備等幾種。檢查步驟：以管理員身份登錄防火墻設(shè)備，查看是否設(shè)定了要求的相關(guān)配置。從圖5.9（P134）可以看到對”最大帶寬“”保證帶寬“設(shè)置了限制值。同時(shí)QoS優(yōu)先級設(shè)置為3級。檢查結(jié)論:防火墻上設(shè)置了網(wǎng)絡(luò)帶寬的最大流量和網(wǎng)絡(luò)最大連接數(shù)，符合檢查要求。（4）檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看重要網(wǎng)段是否采取了網(wǎng)絡(luò)地址與數(shù)據(jù)鏈路地址綁定的措施。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機(jī)房技術(shù)路線：目前業(yè)界能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)地址與數(shù)據(jù)鏈路地址綁定的設(shè)備有防火墻、路由設(shè)備、交換設(shè)備、應(yīng)用網(wǎng)關(guān)和認(rèn)證隔離設(shè)備等幾種。檢查步驟：以管理員身份登錄防火墻，查看是否設(shè)定了相關(guān)配置。圖5.11（P135）可以看出，ＩＰ地址與ＭＡＣ地址之間進(jìn)行了綁定。檢查結(jié)論：防火墻上設(shè)置了對IP地址和MAC地址的綁定功能，符合要求。（5）檢查邊界網(wǎng)絡(luò)設(shè)備，查看是否采取了一定的技術(shù)措施防止內(nèi)部網(wǎng)絡(luò)信息外泄。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機(jī)房技術(shù)路線：防止內(nèi)部信息外泄的方法有很多，較為普遍的是采用VPN技術(shù)。目前業(yè)界能夠防止內(nèi)部信息外泄的設(shè)備有防火墻、網(wǎng)絡(luò)認(rèn)證隔離設(shè)備、網(wǎng)閘、交換機(jī)和正在興起的單向信息導(dǎo)入設(shè)備等幾種?！癡irtual

Private

Network”，“虛擬專用網(wǎng)絡(luò)”。顧名思義，理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購買路由器等硬件設(shè)備。檢查步驟：以管理員身份登錄防火墻設(shè)備，查看是否設(shè)定了相關(guān)配置。從圖5.12（P136）可以看出，該防火墻啟用了VPN模塊，并設(shè)置了共享秘鑰進(jìn)行信息加密傳輸。檢查結(jié)論：采用了VPN技術(shù)手段防止內(nèi)部網(wǎng)絡(luò)信息外泄，符合檢查要求。3、撥號訪問控制現(xiàn)場檢查第3級安全測評要求對網(wǎng)絡(luò)安全的撥號訪問控制檢查只有1項(xiàng)。檢查邊界網(wǎng)絡(luò)設(shè)備（如路由器、防火墻和認(rèn)證網(wǎng)關(guān)），查看是否正確配置了撥號訪問控制列表，其控制粒度是否為單個(gè)用戶；查看其能否限制具有撥號訪問權(quán)限的用戶。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機(jī)房技術(shù)路線：目前業(yè)界能夠?qū)崿F(xiàn)撥號訪問控制的設(shè)備有防火墻、網(wǎng)絡(luò)認(rèn)證隔離設(shè)備、網(wǎng)閘和交換機(jī)等幾種。檢查步驟：查看防火墻配置是否有訪問控制管理及其控制粒度為單個(gè)用戶。查看具有撥號訪問權(quán)限的用戶數(shù)量，發(fā)現(xiàn)對該用戶數(shù)量未進(jìn)行限制。檢查結(jié)論：在防火墻中已把撥號訪問的控制粒度設(shè)定為單個(gè)用戶，但是沒有限制具有撥號訪問權(quán)限的用戶數(shù)量，因此該項(xiàng)檢查只有部分符合要求。4、網(wǎng)絡(luò)安全審計(jì)現(xiàn)場檢查第3級安全測評要求對網(wǎng)絡(luò)安全審計(jì)檢查共有3項(xiàng)（1）檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看審計(jì)記錄是否包含網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量和用戶行為等。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機(jī)房技術(shù)路線：目前業(yè)界能夠?qū)崿F(xiàn)網(wǎng)絡(luò)邊界審計(jì)記錄的設(shè)備有防火墻、邊界網(wǎng)關(guān)和專用安全審計(jì)設(shè)備等。檢查步驟：查看防火墻的相應(yīng)審計(jì)記錄是否記錄了網(wǎng)絡(luò)設(shè)備運(yùn)行情況、網(wǎng)絡(luò)流量和用戶行為等。圖5.15和5.16（P138）記錄了CPU使用率、內(nèi)存使用率、當(dāng)前會話數(shù)、最大連接數(shù)和接口速率等數(shù)據(jù)。圖5.17（P139）展示了操作防火墻時(shí)的各種行為以及這些操作發(fā)生的時(shí)間。檢查結(jié)論：該測試表明，防火墻的審計(jì)記錄記錄了網(wǎng)絡(luò)設(shè)備運(yùn)行狀況，可以監(jiān)控用戶行為和網(wǎng)絡(luò)流量，因此符合檢查要求。（2）檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看事件審計(jì)記錄是否包括事件的日期和時(shí)間、用戶、事件類型和事件成功情況，以及其他與審計(jì)相關(guān)的信息。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機(jī)房技術(shù)路線：同上檢查步驟：以管理員身份進(jìn)入審計(jì)系統(tǒng)管理界面，查看審計(jì)記錄，如圖5.18（P140）檢查結(jié)論：防火墻的審計(jì)記錄包含了事件的時(shí)間、事件類型、事件是否成功等情況，以及其他與審計(jì)有關(guān)的信息，因此符合檢查要求。（3）檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否為授權(quán)用戶瀏覽和分析審計(jì)數(shù)據(jù)提供了專門的審計(jì)工具，并能根據(jù)需要生成審計(jì)報(bào)表。檢查對象：“天網(wǎng)”系統(tǒng)中心機(jī)房檢查步驟:以管理員身份進(jìn)入審計(jì)系統(tǒng)管理界面，查看為管理員提供的瀏覽和查詢工具，圖5.19（P141），可以看到該防火墻審計(jì)系統(tǒng)提供了各種事件的查詢模塊。同時(shí)，也可以通過配置查詢事件等方式進(jìn)行綜合統(tǒng)計(jì)分析等工作。輸入查詢條件后，可以吧查詢結(jié)果以報(bào)表形式顯示出來。檢查結(jié)論：防火墻為授權(quán)用戶瀏覽和分析審計(jì)數(shù)據(jù)提供了專門的審計(jì)工具，并能根據(jù)需要生成審計(jì)報(bào)表，因此符合檢查要求。5、邊界完整性現(xiàn)場檢查第3級安全測評要求對網(wǎng)絡(luò)安全的邊界完整性檢查只有1項(xiàng)。檢查邊界完整性檢查設(shè)備，查看是否設(shè)置了對非法鏈接到內(nèi)網(wǎng)和非法鏈接到外網(wǎng)的行為進(jìn)行監(jiān)控并有效阻斷的功能。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機(jī)房檢查步驟：以管理員身份登錄防火墻管理設(shè)置界面，查看是否設(shè)置了對非法鏈接到內(nèi)網(wǎng)和非法鏈接到外網(wǎng)的行為進(jìn)行監(jiān)控并有效阻斷.圖5.21（P142）檢查結(jié)論：防火墻提供了對非法鏈接到內(nèi)網(wǎng)和非法鏈接到外網(wǎng)的行為進(jìn)行監(jiān)控的功能，但不能實(shí)時(shí)阻斷，因此只是部分滿足檢查要求。6、網(wǎng)絡(luò)入侵防范現(xiàn)場檢查第3級安全測評要求對網(wǎng)絡(luò)安全的網(wǎng)絡(luò)入侵防范檢查共3項(xiàng)。（1）檢查網(wǎng)絡(luò)入侵防范設(shè)備，查看是否能檢測端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等攻擊行為。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機(jī)房技術(shù)路線：目前許多防火墻產(chǎn)品也具備了成熟的入侵檢測功能，所以只需在防火墻的配置管理界面上查看是否有上述各種攻擊的檢測功能即可。檢查步驟：進(jìn)入防火墻的入侵檢測配置界面，如5.22（P143）左邊第一列羅列了眾多的攻擊檢測模塊。用戶可以根據(jù)實(shí)際情況進(jìn)行配置。檢查結(jié)果：防火墻提供了對端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等的實(shí)時(shí)檢測功能，因此符合檢查要求。（2）檢查網(wǎng)絡(luò)入侵防范設(shè)備，查看事件記錄中是否包括入侵的源IP、攻擊的類型、攻擊的目的和攻擊的時(shí)間等信息。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機(jī)房技術(shù)路線：模擬攻擊檢查步驟：以管理員身份進(jìn)入入侵檢查系統(tǒng)的管理界面，首先對入侵檢測的攻擊類型進(jìn)行設(shè)置，然后對目標(biāo)機(jī)進(jìn)行模擬攻擊。攻擊的方式選用多種攻擊方式，從兩個(gè)不同的IP發(fā)起攻擊，攻擊所有的協(xié)議包括ICMP和TCP等?？梢圆榭慈肭謾z測的事件記錄。圖5.23（P144）檢查結(jié)論：防火墻的入侵檢測事件記錄中包括對入侵的源IP、攻擊的類型、攻擊的目的地和攻擊時(shí)間等的記錄。因此符合檢查要求。（3）檢查入侵防范設(shè)備，查看其規(guī)則庫是否為最新的。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機(jī)房檢查步驟：登錄防火墻配置管理界面，選擇“信息過濾”-“病毒過濾”，進(jìn)入“病毒過濾模塊”的主界面。圖5.24（P145）可以看到圖中有“自動升級”的病毒庫版本號模塊，但版本號顯示結(jié)果卻是2001年檢查結(jié)論：防火墻的網(wǎng)絡(luò)入侵模塊的規(guī)則庫不是最新的，不符合檢查要求。7、惡意代碼防范現(xiàn)場檢查第3級安全測評要求對網(wǎng)絡(luò)安全的惡意代碼防范檢查共3項(xiàng)。（1）檢查網(wǎng)絡(luò)設(shè)計(jì)/驗(yàn)收文檔，查看其是否有在網(wǎng)絡(luò)邊界處對惡意代碼采取相關(guān)措施（如是否有防病毒網(wǎng)關(guān)）的描述，防惡意代碼產(chǎn)品是否有實(shí)時(shí)更新功能的描述。（2）檢查在網(wǎng)絡(luò)邊界以及核心業(yè)務(wù)網(wǎng)段處是否設(shè)置有相應(yīng)的防惡意代碼措施。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機(jī)房檢查步驟：檢查殺毒軟件的運(yùn)行情況檢查結(jié)論：符合檢查要求。（3）檢查防惡意代碼產(chǎn)品，查看其運(yùn)行是否正常，惡意代碼庫是否為最新版本。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機(jī)房檢查步驟：查看殺毒軟件更新日志記錄圖5.26（P147）檢查結(jié)論：防惡意代碼產(chǎn)品運(yùn)行正常，惡意代碼庫為最新版本，符合要求。8、網(wǎng)絡(luò)設(shè)備防護(hù)現(xiàn)場檢查第3級安全測評要求對網(wǎng)絡(luò)安全的網(wǎng)絡(luò)設(shè)備防護(hù)檢查共4項(xiàng)。（1）檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否配置了對登錄用戶身份的鑒別功能，口令設(shè)置是否有復(fù)雜度要求；查看是否能對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機(jī)房檢查步驟：打開防火墻，輸入PIN碼（初次密碼為123456），對管理員身份進(jìn)行驗(yàn)證。（燈：紅綠黃）檢查口令伸著是否有復(fù)雜度要求。（修改密碼）查看是否對同一用戶選擇兩種或兩種以上的組合鑒別技術(shù)進(jìn)行身份鑒別。檢查結(jié)論：該防火墻配置了登錄用戶身份鑒別功能，但口令設(shè)置沒有復(fù)雜度要求。對同一用戶有兩種鑒別技術(shù)來進(jìn)行身份鑒別，因此只是部分符合檢查要求。（2）檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否配置了鑒別失敗處理功能。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機(jī)房檢查步驟：用錯(cuò)誤的口令進(jìn)行登錄，檢查是否會把錯(cuò)誤賬號進(jìn)行鎖定或系統(tǒng)對其連接進(jìn)行強(qiáng)制斷開。查看是否有限制非法登錄次數(shù)的限制，并連續(xù)三次輸入錯(cuò)誤口令，此時(shí)通過電子鑰匙進(jìn)行身份鑒別失敗，防火墻登錄自動退出。重新登錄防火墻，以防火墻認(rèn)證用戶身份連接防火墻，當(dāng)?shù)卿浶畔⒉徽_時(shí)，系統(tǒng)自動與服務(wù)器通信中斷。檢查結(jié)論：該防火墻設(shè)置有鑒別失敗后鎖定賬號的功能，符合檢查要求。（3）檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否配置了對設(shè)備遠(yuǎn)程管理所產(chǎn)生的鑒別信息進(jìn)行保護(hù)的功能。檢查目標(biāo)：如上檢查對象：“天網(wǎng)”系統(tǒng)中心機(jī)房檢查步驟：遠(yuǎn)程登錄主要網(wǎng)絡(luò)，輸入用戶名和密碼。如果看到主要網(wǎng)絡(luò)拒絕登錄，鑒別信息保護(hù)功能是有效的。檢查結(jié)論：該防火墻配置了對設(shè)備遠(yuǎn)程管理所產(chǎn)生的鑒別信息進(jìn)行保護(hù)的功能，因此符合檢查要求。（4）檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否對邊界和主要網(wǎng)絡(luò)設(shè)備的管理員登陸地址進(jìn)行了限制；查看是否設(shè)置了網(wǎng)絡(luò)登陸連接超時(shí)并自動退出功能；查看是否實(shí)現(xiàn)了設(shè)備特權(quán)用