隨著計算機技術(shù)和通信技術(shù)的發(fā)展和網(wǎng)絡應用的普及，網(wǎng)絡安全問題變得日益重要。認清網(wǎng)絡的脆弱性和潛在威脅，采取強有力的安全策略，是保障網(wǎng)絡安全的重要途徑。
通過對網(wǎng)絡系統(tǒng)全面、充分、有效的安全評測,能夠快速查出網(wǎng)絡上存在的安全隱患、網(wǎng)絡系統(tǒng)中存在的安全漏洞、網(wǎng)絡系統(tǒng)的抗攻擊能力等。根據(jù)網(wǎng)絡安全評估結(jié)果、 業(yè)務的安全需求、 安全策略和安全目標，提出合理的安全防護措施建議。
評測內(nèi)容描述
評測前提
（1）設備安裝的場區(qū)環(huán)境是安全的
（2）設備的質(zhì)量是可靠的
（3）外部運行環(huán)境是不安全的，內(nèi)部運行環(huán)境是相對安全的，系統(tǒng)管理員是可信任的。
依據(jù)和標準
（1）《計算機網(wǎng)絡安全管理》（內(nèi)部資料）
（2）ISO15408 《信息安全技術(shù)評估通用準則》
（3）GB 17859-1999 《計算機信息系統(tǒng)安全保護等級劃分準則》
（4）相關(guān)各方達成的協(xié)議
1.安全策略評估
1.1 評估內(nèi)容
根據(jù)網(wǎng)絡系統(tǒng)規(guī)劃和設計文檔、安全需求分析文檔、網(wǎng)絡安全風險評估文檔和安全目標評估網(wǎng)絡安全策略的有效性。
1.2 評估方法
采用專家分析的方法，主要評估安全策略是否滿足安全需求、是否能夠?qū)崿F(xiàn)安全目標、安全策略是否有效、是否容易實現(xiàn)、是否符合安全設計原則、各安全策略是否一致等。
1.3 評估結(jié)論
根據(jù)評估結(jié)果，描述安全策略的完整性、準確性和一致性。
2.網(wǎng)絡物理安全評估
2.1 評估項目
(1)網(wǎng)絡基礎設施、配電系統(tǒng)
(2)服務器、交換機、路由器、配線柜、主機房
(3)工作站、工作間
(4)記錄媒體
2.2 評估方法
采用專家分析法，主要評估2.1中各項對物理訪問控制（包括安全隔離、門禁控制、訪問權(quán)限和時限、訪問登記等）、安全防護措施（防盜、防水、防火、防震等）、備份（安全恢復中需要的重要部件的備份）等的要求是否實現(xiàn)、是否滿足安全需求。
2.3 評估結(jié)論
根據(jù)評估結(jié)果，描述網(wǎng)絡系統(tǒng)的物理安全情況。
3.網(wǎng)絡體系的安全性評測
3.1網(wǎng)絡隔離的安全性評測
3.1.1 評測項目
(1)網(wǎng)絡系統(tǒng)內(nèi)部與外部的隔離的安全性
(2)內(nèi)部虛網(wǎng)劃分和網(wǎng)段的劃分的安全性
(3)遠程連接(VPN、MODEM)的安全性
3.1.2 評測方法
主要采用偵聽工具，評測防火墻過濾和交換機、路由器實現(xiàn)虛網(wǎng)劃分的情況。
采用漏洞掃描軟件評測防火墻、交換機和路由其是否存在安全漏洞。
3.1.3 評測結(jié)論
根據(jù)評測結(jié)果，描述網(wǎng)絡隔離的安全性。
3.2網(wǎng)絡系統(tǒng)配置安全性評測
3.2.1 評測項目
(1)各網(wǎng)絡設備如路由器、交換機、HUB的網(wǎng)管代理是否修改了默認值
(2)是否有措施保證普通用戶不能遠程登錄路由器、交換機等網(wǎng)絡設備
(3)服務模式的設置
(4)開放的服務是否是必須的
(5)服務軟件版本的更新
(6)*作系統(tǒng)的漏洞
(7)設備的安全性。
3.2.2 評測方法和工具
(1) 采用漏洞掃描軟件，測試*作系統(tǒng)存在哪些漏洞；
(2) 檢查網(wǎng)絡系統(tǒng)采用的各設備是否采用了安全性得到認證的產(chǎn)品。
(3) 根據(jù)設計文檔，檢查網(wǎng)絡系統(tǒng)配置是否被更改和更改原因等是否滿足安全需求。
3.2.3 評估結(jié)論
根據(jù)評估結(jié)果，描述網(wǎng)絡系統(tǒng)配置的安全情況。
3.4網(wǎng)絡防護能力評測
3.4.1 評測內(nèi)容
主要對拒絕服務、電子欺騙、網(wǎng)絡偵聽、入侵等攻擊形式是否采取了相應的防護措施及防護措施是否有效。
3.4.2 評測方法
主要采用模擬攻擊、漏洞掃描軟件，評測網(wǎng)絡防護能力。
3.4.3 評測結(jié)論
根據(jù)評測結(jié)果，描述網(wǎng)絡防護能力。
3.5 服務的安全性評測
3.5.1 評測項目
(1) 服務隔離的安全性
根據(jù)信息敏感級別要求是否實現(xiàn)了不同服務的隔離。
(2) 服務的脆弱性分析
主要測試系統(tǒng)開放的服務（DNS、FTP、E-Mail、HTTP等）是否存在安全漏洞。
3.5.2 評測方法
(1)采用漏洞掃描軟件，測試網(wǎng)絡系統(tǒng)開放的服務是否存在安全漏洞；
(2)模擬各服務的實現(xiàn)條件，檢測服務的運行情況。
3.5.3 評測結(jié)論
根據(jù)評測結(jié)果，描述服務的安全性。
3.6 應用系統(tǒng)的安全性評估
3.6.1 評估項目
主要評估應用程序是否存在安全漏洞；應用系統(tǒng)的訪問授權(quán)、訪問控制等防護措施的安全性 。
3.6.2 評估方法
主要采用專家分析和模擬測試的方法。
3.6.3 評估結(jié)論
根據(jù)評估結(jié)果，描述應用程序的安全性。
4.安全服務的評測
4.1 評測項目
(1)認證
(2)授權(quán)
(3)數(shù)據(jù)機密性、完整性、可用性
(4)邏輯訪問控制
4.2 評測方法
采用工具截獲數(shù)據(jù)包，分析上述各項是否滿足安全需求。
4.3 評測結(jié)論
根據(jù)評測結(jié)果，描述安全服務的充分性和有效性。
5. 病毒防護安全性評估
5.1 評估項目
主要檢測服務器、工作站和網(wǎng)絡系統(tǒng)是否配備了有效的病毒清測軟件及病毒清查的執(zhí)行情況。
5.2 評估方法
專家分析和模擬評測。
5.3 評估結(jié)論
根據(jù)評估結(jié)果，描述對病毒防范的情況。
6.審計的安全性評測
6.1 評測項目
(1)審計數(shù)據(jù)的生成方式的安全性
(2)審計數(shù)據(jù)是否充分。
(3)審計數(shù)據(jù)的存儲是否安全
(4)審計數(shù)據(jù)的訪問及防更改的安全性
6.2 評測方法
主要采用專家分析和模擬測試。
6.3 評測結(jié)論
根據(jù)評測結(jié)果描述審計的安全性。
7. 備份的安全性評估
7.1 評估項目
(1)備份方式的有效性
(2)備份的充分性
(3)備份存儲的安全性
(4)備份的訪問控制
7.2 評估方法
采用專家分析的方法，根據(jù)系統(tǒng)的安全需求、業(yè)務的連續(xù)性計劃，評估備份的安全性。
7.3 評估結(jié)論
根據(jù)評估結(jié)果，描述備份系統(tǒng)的安全性。
8.緊急事件響應評估
8.1 評估項目
(1)是否有緊急事件響應程序及響應程序是否有效
(2)平時的準備情況(備份和演練)
8.2 評估方法
模擬緊急事件響應條件，檢測響應程序是否能夠有序、有效處理安全事件。
8.3 評估結(jié)論
根據(jù)評估結(jié)果，描述緊急事件響應程序的充分性、有效性。
9.安全組織和管理評估
9.1 評估項目
(1)是否建立了安全組織機構(gòu)、安全機構(gòu)的設置是否合理
(2)是否有網(wǎng)絡管理條例，明確規(guī)定網(wǎng)絡應用目的、應用范圍、應用要求、違反懲罰規(guī)定、用戶入網(wǎng)審批程序等。
(3)是否明確指定了每個介入網(wǎng)絡人員的安全責任
(4)是否有合適的信息處理設施授權(quán)程序
(5)是否實施了網(wǎng)絡配置管理
(6)是否規(guī)定了各作業(yè)的合理*作規(guī)程
(7)是否有明確詳實的人員安全性的規(guī)?貧?br /> (8)是否有詳實、有效的安全事件響應程序