网络安全测评技术与标准

网络安全测评概况

　　网络安全测评是网络信息系统和IT技术产品的安全质量保障。本节主要阐述网络安全测评的概念，给出网络安全测评的发展状况。

18.1.1 网络安全测评概念

　　网络安全测评是指参照一定的标准规范要求，通过一系列的技术和管理方法，获取评估对象的网络安全状况信息，对其给出相应的网络安全情况综合判定。网络安全测评对象通常包括信息系统的组成要素或信息系统自身。

18.1.2 网络安全测评发展

　　1999年，ISO接受CC作为国际标准ISO/IEC 15408标准，并正式颁布发行。CC标准提出了“保护轮廓”概念，将评估过程分为“功能”和“保证”两部分，是目前最全面的信息安全评估标准。
　　与此同时，网络信息安全管理国际标准化也在进一步推进。1995年，英国制定了《信息安全管理要求》，后续演变成为国际信息安全管理标准ISO/IEC 27001，是国际上具有代表性的信息安全管理体系标准，标准涉及的安全管理控制项目主要包括安全策略、安全组织、资产分类与控制、人员安全、物理与环境安全、通信与运作、访问控制、系统开发与维护、事故管理、业务持续运行、符合性。
　　国内网络信息安全测评标准工作也开始跟进。1999年，我国发布了《计算机信息系统安全保护等级划分准则》（GB 17859-1999）。GB 17859-1999从自主访问控制、强制访问控制、身份鉴别、数据完整性、客体重用、审计、标记、隐蔽通道分析、可信路径和可信恢复等方面，将计算机信息系统安全保护能力分为5个等级：第一级是用户自主保护级；第二级是系统审计保护级；第三级是安全标记保护级；第四级是结构化保护级；第五级是访问验证保护级。计算机信息系统安全保护能力随着安全保护等级增大而逐渐增强，其中第五级是最高安全等级。2001年，参考国际通用准则CC和国际标准ISO/IEC 15408,我 国分布了《信息技术 安全技术 信息安全性评估准则》（GB/T 18336-2001）。

18.2 网络安全测评类型

18.2.1 基于测评目标分类

　　按照测评的目标，网络安全测评可分为三种类型：网络信息系统安全等级测评、网络信息系统安全验收测评和网络信息系统安全风险测评。
　　1. 网络信息系统安全等级测评
　　网络信息系统安全等级测评是测评机构依据国家网络安全等级保护相关法律法规，按照有关管理规范和技术标准，对非涉及国家秘密的网络信息系统的安全等级保护状况进行检测评估的活动。
　　2. 网络信息系统安全验收测评
　　网络信息系统安全验收测评是依据相关政策文件要求，遵循公开、公平和公正原则，根据用户申请的项目验收目标和验收范围，结合项目安全建设方案的实现目标和考核指标，对项目实施状况进行安全测试和评估，评价该项目是否满足安全验收要求中的各项安全技术指标和安全考核目标，为系统整体验收和下一步的安全规划提供参考依据。
　　3. 网络信息系统安全风险测评
　　网络信息系统安全风险测评是从风险管理角度，评估系统面临的威胁以及脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对系统造成的影响，提出有针对性的抵御威胁的办法措施，将风险控制在可接受的范围内，达到系统稳定运行的目的，为保证信息系统的安全建设、稳定运行提供技术参考。

18.2.2 基于测评内容分类

　　依据网络信息系统构成的要素，网络安全测评可分成两大类型：技术安全测评和管理安全测评。其中，技术安全测评主要包括物理环境、网络通信、操作系统、数据库系统、应用系统、数据及存储系统等相关技术方面的安全性测试和评估。管理安全测评主要包括管理机构、管理制度、人员管理、系统建设、系统运维等方面的安全性评估。

18.2.3 基于实施方式分类

　　按照网络安全测评的实施方式，测评主要包括安全功能检测、安全管理检测、代码安全审查、安全渗透、信息系统攻击测试等。
　　1. 安全功能检测
　　安全功能检测依据网络信息系统的安全目标和设计要求，对信息系统的安全功能实现状况进行评估，检查安全功能是否满足目标和设计要求。主要方法有：访谈调研、现场查看、文档审查、社会工程、漏洞扫描、渗透测试、形式化分析验证等。
　　2. 安全管理检测
　　安全管理检测依据网络信息系统的管理目标，检查分析管理要素及机制的安全状况，评估安全管理是否满足信息系统的安全管理目标要求。主要方法是：访谈调研、现场查看、文档审查、安全基线对比、社会工程等。
　　3. 代码安全审查
　　代码安全审查是对定制开发的应用程序源代码进行静态安全扫描和审查，识别可能导致安全问题的编码缺陷和漏洞的过程。
　　4. 安全渗透测试
　　通过模拟黑客对目标系统进行渗透测试，发现、分析并验证其存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、跨站脚本漏洞及弱口令等安全隐患，评估系统抗攻击能力，提出安全加固建议。
　　5.信息系统攻击测试
　　根据用户提出的各种攻击性测试要求，分析应用系统现有防护设备及技术，确定攻击测试方案和测试内容：采用专用的测试设备及测试软件对应用系统的抗攻击能力进行测试，出具相应测试报告。测试指标包括：防御攻击的种类与能力，如拒绝服务攻击、恶意代码攻击等。

18.2.4 基于测评对象保密性分类

　　按照测评对象的保密性质，网络安全测评可分为两种类型：涉密信息系统安全测评、非涉密信息系统安全测评。

18.3 网络安全测评流程与内容

18.3.1 网络安全等级保护测评流程与内容

　　网络信息系统安全等级测评内容主要包括技术安全测评、管理安全测评。其中，技术安全测评的主要内容有安全物理环境、安全区域边界、安全计算环境、安全管理中心；管理安全测评的主要内容有安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

18.3.2 网络安全渗透测试流程与内容

　　网络安全渗透测试的过程可分为委托受理、准备、实施、综合评估和结题五个阶段。

18.4 网络安全测评技术与工具

18.4.1 漏洞扫描

　　漏洞扫描常用来获取测评对象的安全漏洞信息，常用的漏洞扫描工具有网络安全漏洞扫描器、主机安全漏洞扫描器、数据库安全漏洞扫描器、Web应用安全漏洞扫描器。其中，网络安全漏洞扫描器通过远程网络访问，获取测评对象的安全漏洞信息。常见的网络漏洞扫描工具有Nmap、Nessus、OpenVAS。主机安全漏洞扫描器则安装在测评目标的主机上，通过运行安全漏洞扫描工具软件，获取目标的安全漏洞信息。典型的主机漏洞扫描工具有微软安全基线分析器、COPS等。数据库安全漏洞扫描器针对目标系统的数据库进行安全漏洞检查，分析数据库帐号、配置、软件版本等漏洞信息。数据库漏洞扫描工具有安华金和数据库漏洞扫描系统（商业）、THC-Hydra、SQLMap等。Web应用安全漏洞扫描器对Web应用系统存在的安全隐患进行检查。Web应用漏洞扫描的主要工具有w3af（开源）、Nikto（开源）、AppScan（商业）、Acunetix WVS（商业）等。

18.4.2 安全渗透测试

　　安全渗透测试通过模拟攻击者对测评对象进行安全攻击，以验证安全防护机制的有效性。根据对测评对象的掌握信息状况，安全渗透测试可以分为三种类型。
　　1. 黑盒模型
　　只需要提供测试目标地址，授权测试团队从指定的测试点进行测试。
　　2.白盒模型
　　需要提供尽可能详细的测试对象信息，测试团队根据所获取的信息，制订特殊的渗透方案，对系统进行高级别的的安全测试。该方式适合高级持续威胁者模拟。
　　3. 灰盒模型
　　需要提供部分测试对象信息，测试团队根据所获取的信息，模拟不同级别的威胁者进行渗透。该方式适合手机银行和代码安全测试。
　　安全渗透测试常用的工具有sploit、字典生成器、GDB、Burpsuit、OllyDbg、IDA Pro等。

18.4.3 代码安全审查

　　代码安全审查是指按照C、Java、OWASP等安全编程规范和业务安全规范、对测评对象的源代码或二进制代码进行安全符合性检查。
　　典型的代码安全缺陷类型有缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危险函数等。

18.4.4 协议分析

　　协议分析用于检测协议的安全性。常见的网络协议分析工具有TCPDump、Wireshark。TCPDump提供命令行方式，提供灵活的包过滤规则，是一个有力的网络协议分析工具。
　　TCPDump的表达式一般有三种类型的关键字。
　　1. 类型关键字
　　2. 传输方向关键字
　　3. 协议关键字

18.4.5 性能测试

　　性能测试用于评估测评对象的性能状况，检查测评对象的承载性能压力或安全对性能的影响。常用的性能测试工具有性能监测工具（操作系统自带）、Apache JMeter（开源）、LoadRunner（商业产品）、SmartBits（商业产品）等。
　　1. 性能监测工具
　　性能监测工具主要有：Windows操作系统的任务管理器、ping系统命令、tracert系统命令、UNIX/Linux操作系统的ping命令、traceroute系统命令、UnixBench工具。
　　2. Apache JMeter
　　Apache JMeter是用于测试Web应用性能和功能的工具，能够支持Web、FTP、数据库、LDAP等性能测试。
　　3. LoadRunner
　　LoadRunner是软件测试工具，用于评估系统在不同压力下的性能状况，提供负载生成、虚拟用户创建、测试控制、测试分析等功能。
　　4. SmartBits
　　SmartBits是用于网络及设备性能测试和评估分析的测量设备。

18.5 网络安全测评质量管理与标准

18.5.1 网络安全测评质量管理

　　网络安全测评质量管理是测评可信的基础性工作，网络安全测评质量管理工作主要包括测评机构建立质量管理体系、测评实施人员管理、测评实施设备管理、测评实施方法管理、测评实施文件控制、测评实施人员管理、测评实施设备管理、测评实施方法管理、测评实施文件控制、测评非符合性工作控制、体系运行监督、持续改进。目前，有关测评机构的质量管理体系的建立主要参考的国际标准是ISO 9000。
　　中国合格评定国家认可委员会（简称CNAS）负责对认证机构、实验室和检查机构等相关单位的认可工作，对申请认可的机构的质量管理体系和技术能力分别进行确认。

18.5.2 网络安全测评标准

　　网络安全标准是测评工作开展的依据，目前国内信息安全测评标准类型可分为信息系统安全等级保护测评标准、产品测评标准、风险评估标准、密码应用安全、工业控制系统信息安全防护能力评估等。
　　1. 信息系统安全等级保护测评标准
　　1）计算机信息系统 安全保护等级划分准则（GB 17859-1999）
　　本标准规定了计算机信息系统安全保护能力的五个等级，即第一级为用户自主保护级、第二级为系统审计保护级、第三级为安全标记保护级、第四级为结构化保护级、第五级为访问验证保护级。
　　2）信息安全技术 网络安全等级保护基本要求（GB/T 22239-2019）
　　3）信息安全技术 网络安全等级保护定级指南（GB/T 22240-2020）（于2020年11月1日开始实施）
　　4）信息安全技术 网络安全等级保护安全设计技术要求（GB/T 25070-2019）
　　5）信息安全技术 网络安全等级保护实施指南（GB/T 25058-2019）
　　6）信息安全技术 信息系统安全工程管理要求（GB/T 20282-2006）
　　7）信息安全技术 应用软件系统安全等级保护通用技术指南（GA/T 711-2007）
　　8）信息安全技术 网络安全等级保护基本要求 第2部分：云计算扩展要求（GA/T 1390.2-2017）
　　9）信息安全技术 网络安全等级保护基本要求 第3部分：移动互联安全扩展要求（GA/T 1390.3-2017）
　　10）信息安全技术 网络安全等级保护基本要求 第5部分：工业控制系统安全扩展要求（GA/T 1390.3-2017）
　　2.产品测评标准
　　信息技术产品灰标准主要涉及服务器、操作系统、数据库、应用系统、网络核心设备、网络安全设备、安全管理平台等。
　　1）信息技术 安全技术 信息技术安全评估准则（GB/T 18336-2015）
　　2）信息安全技术 路由器安全技术要求（GB/T 18018-2019）
　　3）信息安全技术 路由器安全评估准则（GB/T 20011-2005）
　　4）信息安全技术 服务器安全技术要求（GB/T 21028-2007）
　　5）信息安全技术 服务器安全测评要求（GB/T 25063-2010）
　　6）信息安全技术 网络交换机安全技术要求（GB/T 21050-2019）
　　7）信息安全技术 数据库管理系统安全评估准则（GB/T 20009-2019）
　　8）信息安全技术 数据库系统安全技术要求（GB/T 20273-2019）
　　9）信息安全技术 操作系统安全评估准则（GB/T 20008-2005）
　　10）信息安全技术 操作系统安全技术要求（GB/T 20272-2019）
　　11）信息安全技术 网络入侵检测系统技术要求和测试评价方法（GB/T 20275-2013）
　　12）信息安全技术 网络和终端隔离产品测试评价方法（GB/T 20277-2015）
　　13）信息安全技术 网络脆弱性产品测试评价方法（GB/T 20280-2006）
　　14）信息安全技术 防火墙安全技术要求和测试评价方法（GB/T 20281-2020）（于2020年11月1日开始实施）
　　15）信息安全技术 Web应用防火墙安全技术要求与测试评价方法（GB/T 32917-2016）
　　16）信息安全技术 信息系统安全审计产品技术要求和测试评价方法（GB/T 20945-2013）
　　17）信息安全技术 网络型入侵防御产品技术要求和测试评价方法（GB/T 2845-2012）
　　18）信息安全技术 数据备份与恢复产品技术要求与测试评价方法（GB/T 29765-2013）
　　19）信息安全技术 信息系统安全管理平台技术要求和测试评价方法（GB/T 34990-2017）
　　20）信息安全技术 移动终端安全保护技术要求（GB/T 35278-2017）
　　3. 信息安全风险评估标准
　　1）信息安全技术 信息安全风险评估规范（GB/T 20984-2007）
　　2）信息安全技术 信息安全风险评估实施指南（GB/T 31509-2015）
　　3）信息安全技术 信息安全风险处理实施指南(GB/T 33132-2016)
　　4. 密码应用安全
　　1）安全芯片密码检测准则（GM/T 0008-2012）
　　2）可信计算可信密码模块符合性检测规范（GM/T 0013-2012）
　　3）密码模块安全技术要求（GM/T 0028-2014）
　　4）服务密码机技术规范（GM/T 0030-2014）
　　5）基于角色的授权管理与访问控制技术规范（GM/T 0032-2014）
　　6）证书认证系统检测规范（GM/T 0037-2014）
　　7）密码模块安全检测要求（GM/T 0039-2015）
　　8）数字证书互操作检测规范（GM/T 0043-2015）
　　9）金融数据密码机检测规范（GM/T 0046-2016）
　　5. 工业控制系统信息安全防护能力评估
　　1）工业控制系统信息安全防护指南（工信部信软【2016】338号）
　　2）工业控制系统安全防护能力评估工作管理办法（工信部信软【2016】338号）