等級保護測評指導書

-1 物理安全測評指導書1.1 機房安全測評序號測評指標測評項檢查方法預(yù)期結(jié)果1物理位置的選擇a)通過訪談物理安全負責人，檢查機房，測評機房物理場所在位置上是否具有防震、防風和防雨等多方面的安全防范能力。訪談： 詢問物理安全負責人，現(xiàn)有機房和辦公場地的環(huán)境條件是否具有基本的防震、防風和防雨能力。 檢查： 檢查機房和辦公場地的設(shè)計/驗收文檔，查看機房和辦公場所的物理位置選擇是否符合要求。機房和辦公場地的設(shè)計/驗收文檔中有關(guān)于機房和辦公場所的物理位置選擇的內(nèi)容,并符合防震、防風和防雨能力要求。b)通過訪談物理安全負責人，檢查機房，測評機房物理場所在位置上是否具有防震、防風和防雨等多方面的安全防范能力。檢查： 檢查機房場地是否避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁； 檢查機房場地是否避免設(shè)在強電場、強磁場、強震動源、強噪聲源、重度環(huán)境污染、易發(fā)生水災(zāi)、火災(zāi)、易遭受雷擊的地區(qū)。1）機房沒有在建筑物的高層或地下室，附近無用水設(shè)備； 2）機房附近無強電場、強磁場、強震動源、強噪聲源、重度環(huán)境污染，機房建筑地區(qū)不發(fā)生水災(zāi)、火災(zāi)，不易遭受雷擊。2物理訪問控制a)檢查機房出入口等過程，測評信息系統(tǒng)在物理訪問控制方面的安全防范能力。訪談： 1）詢問物理安全負責人，了解具有哪些控制機房進出的能力，是否安排專人值守； 2）訪談機房值守人員，詢問是否認真執(zhí)行有關(guān)機房出入的管理制度，是否對進入機房的人員記錄在案。1）有專人值守和電子門禁系統(tǒng)； 2）出入機房需要登記，有相關(guān)記錄。b)檢查機房出入口等過程，測評信息系統(tǒng)在物理訪問控制方面的安全防范能力。訪談： 詢問物理安全負責人，了解是否有關(guān)于機房來訪人員的申請和審批流程，是否限制和監(jiān)控其活動范圍。 檢查： 檢查是否有來訪人員進入機房的審批記錄。1）來訪人員進入機房需經(jīng)過申請、審批流程并記錄； 2）進入機房有機房管理人員陪同并監(jiān)控和限制其活動范圍。c)檢查機房出入口等過程，測評信息系統(tǒng)在物理訪問控制方面的安全防范能力。訪談： 訪談物理安全負責人，是否對機房進行了劃分區(qū)域管理，是否對各個區(qū)域都有專門的管理要求； 檢查： 檢查機房區(qū)域劃分是否合理，是否在機房重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域，是否對不同區(qū)域設(shè)置不同機房或同一機房的不同區(qū)域之間設(shè)置有效的物理隔離裝置（如隔離墻等）。1）對機房進行了劃分區(qū)域管理； 2）對各個區(qū)域都有專門的管理要求。d)檢查機房出入口等過程，測評信息系統(tǒng)在物理訪問控制方面的安全防范能力。檢查： 重要區(qū)域電子門禁記錄。配置了電子門禁系統(tǒng)，控制、鑒別、記錄進入人員信息。3防盜竊和防破壞a)檢查機房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程，測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等丟失和被破壞。訪談： 訪談物理安全負責人，采取了哪些防止設(shè)備、介質(zhì)丟失的保護措施； 檢查： 檢查主要設(shè)備是否防止在機房內(nèi)或其他不易被盜竊和破壞的可控范圍內(nèi)。主要設(shè)備都放置在機房內(nèi)。b)檢查機房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程，測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等丟失和被破壞。訪談： 訪談機房維護人員，設(shè)備和主要部件是否進行了固定和標記； 檢查： 檢查主要設(shè)備或設(shè)備的主要部件的固定情況，是否不易被移動或被搬走，是否設(shè)置了明顯的不易除去的標記。設(shè)備和主要部件是否進行了固定和標記。c)檢查機房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程，測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等丟失和被破壞。訪談： 訪談機房維護人員，了解通信線纜是否鋪設(shè)在隱蔽處；是否設(shè)置了冗余或并行的通信線路； 檢查： 檢查通信線纜鋪設(shè)是否在隱蔽處（如鋪設(shè)在地下或管道中等）。通信線纜鋪設(shè)在隱蔽處。d)檢查機房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程，測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等丟失和被破壞。訪談： 訪談資產(chǎn)管理人員，在介質(zhì)管理中，是否設(shè)置了分類標識，是否存放在介質(zhì)庫或檔案室中； 詢問對設(shè)備或存儲介質(zhì)攜帶出工作環(huán)境是否規(guī)定了審批程序、內(nèi)容加密、專人檢查等安全保護的措施； 檢查： 1）檢查介質(zhì)的管理情況，查看介質(zhì)是否有正確的分類標識，是否存放在介質(zhì)庫或資料室中并且進行分類存放（滿足磁介質(zhì)、紙介質(zhì)等的存放要求）； 2）檢查有關(guān)設(shè)備或存儲介質(zhì)攜帶出工作環(huán)境的審批記錄，以及專人對內(nèi)容加密進行檢查的記錄。介質(zhì)分類標識，存儲在介質(zhì)庫或檔案室中。e)檢查機房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程，測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等丟失和被破壞。檢查機房防盜報警設(shè)施是否正常運行，并查看運行和報警記錄。機房防盜報警設(shè)施運行正常，并且有運行和報警記錄。f)檢查機房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程，測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等丟失和被破壞。檢查機房的攝像、傳感等監(jiān)控報警系統(tǒng)是否正常運行，并查看運行記錄、監(jiān)控記錄和報警記錄。機房安裝了監(jiān)控攝像頭，監(jiān)控報警系統(tǒng)運行正常。4防雷擊a)檢查機房設(shè)計/驗收文檔，測評信息系統(tǒng)是否采取相應(yīng)的措施預(yù)防雷擊。訪談： 訪談物理安全負責人，機房建筑是否設(shè)置了避雷裝置，是否通過驗收或國家有關(guān)部門的技術(shù)檢測；詢問機房維護人員機房建筑避雷裝置是否有人定期進行檢查和維護； 檢查： 檢查機房是否有建筑防雷設(shè)計/驗收文檔，是否符合GB 50057-1994建筑物防雷設(shè)計規(guī)范（GB157建筑物防雷設(shè)計規(guī)范 ）要求，如果是在雷電頻繁區(qū)域，是否裝設(shè)有浪涌電壓吸收裝置等。機房建筑設(shè)置避雷裝置；b)檢查機房設(shè)計/驗收文檔，測評信息系統(tǒng)是否采取相應(yīng)的措施預(yù)防雷擊。訪談并檢查： 訪談物理安全負責人，同時檢查是否在電源和信號線增加有資質(zhì)的避雷裝置以避免感應(yīng)雷擊。設(shè)置防雷保安器，防止感應(yīng)雷；c)檢查機房設(shè)計/驗收文檔，測評信息系統(tǒng)是否采取相應(yīng)的措施預(yù)防雷擊。訪談： 詢問物理安全負責人，機房計算機系統(tǒng)接地是否設(shè)置了專用地線； 檢查： 檢查機房是否有機房接地設(shè)計/驗收文檔，查看是否有地線連接要求的描述，與實際情況是否一致。機房設(shè)置交流電源地線。5防火a)檢查機房防火方面的安全管理制度，檢查機房防火設(shè)備等過程，測評信息系統(tǒng)是否采取必要的措施防止火災(zāi)的發(fā)生。檢查機房是否設(shè)置了自動測火情（如使用溫感、煙感探測器）、自動報警、自動滅火的自動消防系統(tǒng)，擺放位置是否合理，有效期是否合格； 檢查自動消防系統(tǒng)是否正常工作，查看運行記錄、報警記錄、定期檢查和維修記錄；1）機房設(shè)置自動測火情（如使用溫感、煙感探測器）、自動報警、自動滅火的自動消防系統(tǒng)，擺放位置合理，有效期合格； 2）自動消防系統(tǒng)有運行記錄、報警記錄、定期檢查和維修記錄。b)檢查機房防火方面的安全管理制度，檢查機房防火設(shè)備等過程，測評信息系統(tǒng)是否采取必要的措施防止火災(zāi)的發(fā)生。檢查是否有機房以及相關(guān)房間的建筑材料的驗收文檔或消防檢查驗收文檔。機房及相關(guān)的工作房間和輔助房采用具有耐火等級的建筑材料。c)檢查機房防火方面的安全管理制度，檢查機房防火設(shè)備等過程，測評信息系統(tǒng)是否采取必要的措施防止火災(zāi)的發(fā)生。檢查是否有機房區(qū)域隔離防火措施的驗收文檔； 檢查重要設(shè)備是否與其他設(shè)備隔離開。不同物理區(qū)域，中間有防火玻璃隔離。6防水和防潮a)檢查機房及其除潮設(shè)備等過程，測評信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機房潮濕。檢查機房是否避開水源，與機房無關(guān)的給排水管道是否避免穿過機房；如果有與機房相關(guān)的給排水管道穿過主機房墻壁和樓板處，應(yīng)檢查是否有必要的保護措施，如設(shè)置套管等。機房避開了水源，空調(diào)給排水管道周圍有防水隔離帶。b)檢查機房及其除潮設(shè)備等過程，測評信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機房潮濕。訪談： 詢問機房維護人員，機房是否出現(xiàn)過漏水和返潮事件； 檢查： 檢查機房是否不存在屋頂和墻壁等出現(xiàn)過漏水、滲透和返潮現(xiàn)象，機房及其環(huán)境是否不存在明顯的漏水和返潮的威脅； 檢查機房如果出現(xiàn)漏水、滲透和返潮現(xiàn)象是否能夠及時修復(fù)解決。機房采用雙層玻璃，有窗簾，未發(fā)生過漏水和返潮事件c)檢查機房及其除潮設(shè)備等過程，測評信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機房潮濕。訪談： 訪談機房維護人員，如果出現(xiàn)機房水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透現(xiàn)象是否采取防范措施； 檢查： 檢查機房是否有濕度記錄，是否有除濕裝置并能夠正常運行，是否有防止出現(xiàn)機房地下積水的轉(zhuǎn)移與滲透的措施，是否有防水防潮處理記錄和除濕裝置運行記錄，與機房濕度記錄情況是否一致。機房有溫度、濕度記錄，運轉(zhuǎn)正常。d)檢查機房及其除潮設(shè)備等過程，測評信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機房潮濕。檢查： 檢查機房是否有濕度記錄，是否有對水敏感得檢測儀表或元件對機房進行防水檢測和報警，并檢查檢測儀表或元件是否能夠正常運行。機房空調(diào)有溫濕度控制功能，可以防止機房水蒸氣結(jié)露。7防靜電a)檢查機房等過程，測評信息系統(tǒng)是否采取必要措施防止靜電的產(chǎn)生。檢查機房是否有安全接地，查看機房的相對濕度記錄是否符合GB2887中的規(guī)定，查看機房是否不存在明顯的靜電現(xiàn)象。機房機柜有效的接地，防止靜電現(xiàn)象發(fā)生。b)檢查機房等過程，測評信息系統(tǒng)是否采取必要措施防止靜電的產(chǎn)生。檢查機房是否采用了如防靜電地板、防靜電工作臺、以及靜電消除劑和靜電消除器等措施。機房采用了防靜電地板。8溫濕度控制機房檢查機房的溫濕度自動調(diào)節(jié)系統(tǒng)，測評信息系統(tǒng)是否采取必要措施對機房內(nèi)的溫濕度進行控制。訪談： 訪談物理安全負責人，詢問機房是否配備了恒溫恒濕系統(tǒng)，保證溫濕度能夠滿足計算機設(shè)備運行的要求，是否在機房管理制度中規(guī)定了溫濕度控制的要求，是否有人負責此項工作； 訪談機房維護人員，詢問是否定期檢查和維護機房的溫濕度自動調(diào)節(jié)設(shè)施，詢問是否出現(xiàn)過溫濕度影響系統(tǒng)運行的事件； 檢查： 檢查機房是否有溫濕度控制設(shè)計/驗收文檔，是否能夠滿足系統(tǒng)運行需要，是否與當前情況相符合； 檢查恒溫恒濕系統(tǒng)是否能夠正常運行，查看是否有溫濕度記錄、運行記錄和維護記錄，查看機房溫濕度是否滿足GB 2887-89計算站場地技術(shù)條件的要求。機房空調(diào)有溫濕度控制功能，可以自動調(diào)節(jié)，使機房溫濕度的變化處于允許范圍內(nèi)。機房溫度26攝氏度，濕度為44%。9電力供應(yīng)a)檢查機房供電線路、設(shè)備等過程，測評是否具備為信息系統(tǒng)提供一定電力供應(yīng)的能力。訪談： 訪談物理安全負責人,詢問計算機系統(tǒng)供電線路上是否設(shè)置了穩(wěn)壓器和過電壓防護設(shè)備； 詢問機房維護人員是否對穩(wěn)壓器、過電壓防護設(shè)備等進行定期檢查和維護； 檢查： 1）檢查機房是否有電力供應(yīng)安全設(shè)計/驗收文檔，查看文檔中是否標明單獨為計算機系統(tǒng)供電，配備穩(wěn)壓器、過電壓防護設(shè)備等要求，查看與機房電力供應(yīng)實際情況是否一致； 檢查機房，查看計算機系統(tǒng)供電線路上的穩(wěn)壓器和過電壓防護設(shè)備是否正常運行，查看供電電壓是否正常； 2）檢查是否有穩(wěn)壓器、過電壓防護設(shè)備的檢查和維護記錄，是否符合系統(tǒng)正常運行的要求。機房供電線路上配置了穩(wěn)壓器和過電壓防護設(shè)備。b)檢查機房供電線路、設(shè)備等過程，測評是否具備為信息系統(tǒng)提供一定電力供應(yīng)的能力。訪談： 訪談物理安全負責人,詢問計算機系統(tǒng)供電線路上是否設(shè)置了短期備用電源設(shè)備（如UPS），供電時間是否滿足系統(tǒng)最低電力供應(yīng)需求； 詢問機房維護人員是否對短期備用電源設(shè)備進行定期檢查和維護；是否能夠控制電源穩(wěn)壓范圍滿足計算機系統(tǒng)運行正常。 檢查： 檢查機房是否有電力供應(yīng)安全設(shè)計/驗收文檔，查看文檔中是否標明備用電源設(shè)備要求，查看與機房電力供應(yīng)實際情況是否一致； 檢查機房，查看計算機系統(tǒng)供電線路上的短期備用電源設(shè)備是否正常運行，查看供電電壓是否正常； 檢查是否有短期備用電源設(shè)備的檢查和維護記錄，是否符合系統(tǒng)正常運行的要求。c)檢查機房供電線路、設(shè)備等過程，測評是否具備為信息系統(tǒng)提供一定電力供應(yīng)的能力。訪談： 訪談物理安全負責人,詢問計算機系統(tǒng)供電線路上是否安裝了冗余或并行的電力電纜線路（如雙路供電方式）； 詢問機房維護人員，冗余或并行的電力電纜線路（如雙路供電方式）在雙路供電切換時是否能夠?qū)τ嬎銠C系統(tǒng)正常供電； 檢查： 檢查機房是否有電力供應(yīng)安全設(shè)計/驗收文檔，查看文檔中是否有冗余或并行電力電纜線路要求，查看與機房電力供應(yīng)實際情況是否一致； 檢查是否有冗余或并行電力電纜線路切換記錄，是否符合系統(tǒng)正常運行的要求； 測試安裝的冗余或并行電力電纜線路是否能夠進行雙線路供電切換。設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電，輸入電源采用雙路自動切換供電方式d)檢查機房供電線路、設(shè)備等過程，測評是否具備為信息系統(tǒng)提供一定電力供應(yīng)的能力。訪談： 訪談物理安全負責人,詢問計算機系統(tǒng)供電線路上是否建立了備用供電系統(tǒng)（如備用發(fā)電機）； 詢問機房維護人員是否定期檢查備用供電系統(tǒng)（如備用發(fā)電機），是否能夠在規(guī)定時間內(nèi)正常啟動和正常供電； 檢查： 檢查機房是否有電力供應(yīng)安全設(shè)計/驗收文檔，查看文檔中是否有備用供電系統(tǒng)要求，查看與機房電力供應(yīng)實際情況是否一致； 檢查是否有備用供電系統(tǒng)運行記錄，是否符合系統(tǒng)正常運行的要求； 測試備用供電系統(tǒng)是否能夠在規(guī)定時間內(nèi)正常啟動和正常供電。具備相應(yīng)的備用供電系統(tǒng)。10電磁防護a)檢查主要設(shè)備等過程，測評信息系統(tǒng)是否具備一定的電磁防護能力。檢查機房布線是否采用接地方式。機房布線采用接地方式。b)檢查主要設(shè)備等過程，測評信息系統(tǒng)是否具備一定的電磁防護能力。檢查機房布線是否做到電源線和通信線纜隔離。電源線和通信線纜隔離鋪設(shè)。c)檢查主要設(shè)備等過程，測評信息系統(tǒng)是否具備一定的電磁防護能力。檢查機房是否對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽。關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽。2 網(wǎng)絡(luò)安全測評指導書2.1 網(wǎng)絡(luò)全局安全測評序號測評指標測評項檢查方法預(yù)期結(jié)果1結(jié)構(gòu)安全a)檢查網(wǎng)絡(luò)拓撲情況、核查核心交換機、路由器，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。訪談： 詢問是否對主要網(wǎng)絡(luò)設(shè)備性能進行監(jiān)控（CPU、內(nèi)存使用等）。主要網(wǎng)絡(luò)設(shè)備的性能（CPU、內(nèi)存）具備冗余空間，能夠滿足業(yè)務(wù)高峰期需求。b)檢查網(wǎng)絡(luò)拓撲情況、核查核心交換機、路由器，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。訪談： 詢問在業(yè)務(wù)高峰期內(nèi)，帶寬是否滿足網(wǎng)絡(luò)各部分的需求，是否根據(jù)業(yè)務(wù)重要程度合理分配帶寬。 檢查： 檢查設(shè)備配置文件，查看是否對帶寬做了Qos參數(shù)配置。通過流量控制軟件或QOS，已根據(jù)業(yè)務(wù)重要程度合理分配帶寬，在業(yè)務(wù)高峰期時現(xiàn)有帶寬能夠滿足網(wǎng)絡(luò)各部分需求。c)檢查網(wǎng)絡(luò)拓撲情況、核查核心交換機、路由器，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。訪談： 通過何種方式在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立訪問路徑，訪問路徑是否安全可靠。 檢查： 是否配置路由控制策略建立安全的訪問路徑。 輸入命令：show running-config 如果使用靜態(tài)路由協(xié)議，檢查配置文件中應(yīng)當存在類似如下配置項： ip route x.x.x.x x.x.x.x x.x.x.x 如果使用OSPF路由協(xié)議，檢查配置文件中應(yīng)當存在類似如下配置項： router osp 100 ip ospf authentication ip ospf message-digest-key 1 md5 7 *1）使用靜態(tài)路由協(xié)議，靜態(tài)路由采用最小匹配原則進行規(guī)劃； 2）使用OSPF路由協(xié)議，動態(tài)路由采用加密算法，保障網(wǎng)絡(luò)中路由安全認證。d)檢查網(wǎng)絡(luò)拓撲情況、核查核心交換機、路由器，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。檢查： 查看網(wǎng)絡(luò)拓撲圖與當前運行情況是否一致。網(wǎng)絡(luò)拓撲圖與當前運行情況一致。e)檢查網(wǎng)絡(luò)拓撲情況、核查核心交換機、路由器，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。檢查： 是否進行了子網(wǎng)劃分。 輸入命令：show vlan 檢查配置文件中是否出現(xiàn)類似如下配置項： vlan 2 name info1）已根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，配置文件中存在如下配置項：Vlan 2 name info； 2）按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；f)檢查網(wǎng)絡(luò)拓撲情況、核查核心交換機、路由器，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。檢查： 1）查看網(wǎng)絡(luò)拓撲結(jié)構(gòu)，重要網(wǎng)段是否不在網(wǎng)絡(luò)邊界處； 2）重要網(wǎng)段和其他網(wǎng)段之間是否隔離部署。1）重要網(wǎng)段未部署在網(wǎng)絡(luò)邊界處； 2）重要網(wǎng)段和其他網(wǎng)段之間采取可靠的技術(shù)手段隔離部署。g)檢查網(wǎng)絡(luò)拓撲情況、核查核心交換機、路由器，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。檢查： 是否按照業(yè)務(wù)服務(wù)的重要次序配置了帶寬控制策略。按照業(yè)務(wù)服務(wù)的重要次序制定了帶寬分配優(yōu)先級別，在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機。2邊界完整性檢查a)檢查邊界完整性檢查設(shè)備,接入邊界完整性檢查設(shè)備進行測試等過程，測評分析信息系統(tǒng)私自聯(lián)到外部網(wǎng)絡(luò)的行為。訪談： 詢問如何檢查和阻斷“非法內(nèi)聯(lián)”行為。 檢查： 是否有包括網(wǎng)絡(luò)接入控制、關(guān)閉網(wǎng)絡(luò)設(shè)備未使用端口、IP/MAC地址綁定等技術(shù)手段檢查和阻斷“非法內(nèi)聯(lián)”。1）通過網(wǎng)絡(luò)接入控制對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷； 2）已關(guān)閉未使用的網(wǎng)絡(luò)端口，并通過IP/MAC地址綁定等技術(shù)手段檢查和阻斷“非法內(nèi)聯(lián)”行為。b)檢查邊界完整性檢查設(shè)備,接入邊界完整性檢查設(shè)備進行測試等過程，測評分析信息系統(tǒng)私自聯(lián)到外部網(wǎng)絡(luò)的行為。訪談： 詢問如何檢查和阻斷“非法外聯(lián)”行為。 檢查： 在網(wǎng)絡(luò)管理員配合下驗證有效性。通過桌面管理軟件能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷。3入侵防范a)測評分析信息系統(tǒng)對攻擊行為的識別和處理情況。訪談： 訪談是否部署了包含入侵防范功能的設(shè)備。 檢查： 檢查設(shè)備是否能夠?qū)Χ丝趻呙枘抉R后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等攻擊行為進行檢測。 檢查設(shè)備規(guī)則庫更新程度；驗證監(jiān)控策略有效性。部署了入侵防范功能設(shè)備，能夠?qū)Χ丝趻呙琛娏?、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等攻擊行為進行檢測。b)測評分析信息系統(tǒng)對攻擊行為的識別和處理情況。檢查： 檢查設(shè)備的日志記錄，查看是否記錄了攻擊源IP、攻擊類型、攻擊目的和攻擊時間等信息，查看設(shè)備采用何種方式進行報警。入侵防范系統(tǒng)能夠記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，并在發(fā)生嚴重入侵事件時提供報警。4惡意代碼防范a)檢查網(wǎng)絡(luò)防惡意代碼產(chǎn)品等過程，測評分析信息系統(tǒng)網(wǎng)絡(luò)邊界和核心網(wǎng)段對病毒等惡意代碼的防護情況。訪談： 訪談是否部署了防惡意代碼產(chǎn)品。 檢查： 查看是否啟用了惡意代碼檢測及阻斷功能，并查看日志記錄中是否有相關(guān)阻斷信息。在網(wǎng)絡(luò)邊界處部署了惡意代碼防范系統(tǒng)，對惡意代碼能夠進行檢測和清除。b)檢查網(wǎng)絡(luò)防惡意代碼產(chǎn)品等過程，測評分析信息系統(tǒng)網(wǎng)絡(luò)邊界和核心網(wǎng)段對病毒等惡意代碼的防護情況。訪談： 詢問是否進行特征庫升級及具體的升級方式。 檢查： 登錄并查看相關(guān)設(shè)備的特征庫是否為最新版本。惡意代碼防范系統(tǒng)定期升級惡意代碼庫。2.2 思科防火墻安全測評序號測評指標測評項檢查方法預(yù)期結(jié)果1訪問控制a)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露安全漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查： 檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)和相關(guān)交換機配置，查看是否在交換機上啟用了訪問控制功能。 輸入命令 show access-lists 檢查配置文件中是否存在以下類似配置項： access-list 100 deny ip any any access-group 100 in interface outside防火墻啟用了訪問控制功能，根據(jù)需要配置了訪問控制列表。b)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露安全漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查： 輸入命令shou running， 檢查訪問控制列表的控制粒度是否為端口級，如access-list 110 permit tcp any host x.x.x.x eq ftp根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供了明確的訪問控制策略，控制粒度為端口級。c)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露安全漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查： 檢查防火墻或IPS安全策略是否對重要數(shù)據(jù)流啟用應(yīng)用層協(xié)議檢測、過濾功能。防火墻或IPS開啟了重要數(shù)據(jù)流應(yīng)用層協(xié)議檢測、過濾功能，可以對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議進行控制。d)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露安全漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。訪談： 訪談系統(tǒng)管理員，是否在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接； 檢查： 輸入命令show running，查看配置中是否存在命令設(shè)定管理會話的超時時間： ssh timeout 101）會話處于非活躍一定時間或會話結(jié)束后，路由器會終止網(wǎng)絡(luò)連接； 2）路由器配置中存在會話超時相關(guān)配置。e)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露安全漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查： 1）在網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的防火墻是否配置了網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)； 2）是否有專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。1）網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的防火墻配置了合理QOS策略，優(yōu)化了網(wǎng)絡(luò)最大流量數(shù)； 2）通過專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。f)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露安全漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查： 1、是否通過IP/MAC綁定手段防止地址欺騙， 輸入命令 show running， 檢查配置文件中是否存在arp綁定配置： arp inside x.x.x.x x.x.x.x1）通過防火墻配置命令進行IP/MAC地址綁定防止地址欺騙； 2）通過專用軟件或設(shè)備進行IP/MAC地址綁定防止地址欺騙。g)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露安全漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查： 1）是否針對單個遠程撥號用戶或VPN用戶訪問受控資源進行了有效控制； 2）以撥號或VPN等方式接入網(wǎng)絡(luò)的，是否采用強認證方式。1）對單個遠程撥號用戶或VPN用戶訪問受控資源進行了有效控制； 2）通過撥號或VPN等方式接入網(wǎng)絡(luò)時，采用了強認證方式（證書、KEY等）。h)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露安全漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查： 是否限制具有遠程訪問權(quán)限的用戶數(shù)量。限制了具有遠程訪問權(quán)限的用戶數(shù)量。2安全審計a)檢查核心交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計情況等，測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查： 1）網(wǎng)絡(luò)系統(tǒng)中的防火墻是否開啟日志記錄功能； 輸入show logging命令，檢查Syslog logging進程是否為enable狀態(tài)； 2）是否對防火墻的運行狀況、網(wǎng)絡(luò)流量進行監(jiān)控和記錄。1）防火墻開啟了日志記錄功能，命令show logging的輸出配置中顯示： Syslog logging:enabled； 2）對防火墻的運行狀況、網(wǎng)絡(luò)流量進行監(jiān)控和記錄（巡檢記錄或第三方監(jiān)控軟件）。b)檢查核心交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計情況等，測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查： 查看日志內(nèi)容，是否包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。日志內(nèi)容包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。c)檢查核心交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計情況等，測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查： 查看如何實現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。定期對審計記錄數(shù)據(jù)進行分析并生成紙質(zhì)或電子的審計報表。d)檢查核心交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計情況等，測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查： 檢查對審計記錄監(jiān)控和保護的措施。例如：通過專用日志服務(wù)器或存儲設(shè)備對審計記錄進行備份，并避免對審計記錄未預(yù)期的修改、刪除或覆蓋。 檢查： 輸入命令show running 檢查配置文件中是否存在類似如下配置項： syslog host x.x.x.x1）輸入命令show running 檢查配置文件中存在配置syslog host x.x.x.x，把設(shè)備日志發(fā)送到安全的日志服務(wù)器或第三方審計設(shè)備； 2）由專人對審計記錄進行管理，避免審計記錄受到未預(yù)期的刪除、修改或覆蓋。3網(wǎng)絡(luò)設(shè)備防護a)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們的安全配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談、檢查： 1）訪談設(shè)備管理員，詢問登錄設(shè)備的身份標識和鑒別機制采用何種措施實現(xiàn)； 2）登錄防火墻，查看是否提示輸入用戶口令，然后以正確口令登錄系統(tǒng)，再以錯誤口令或空口令重新登錄，觀察是否成功。1）防火墻使用口令鑒別機制對登錄用戶進行身份標識和鑒別； 2）登錄時提示輸入用戶名和口令；以錯誤口令或空口令登錄時提示登錄失敗，驗證了登錄控制功能的有效性； 3）防火墻中不存在密碼為空的用戶。b)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們的安全配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。檢查： 輸入命令 show running， 查看配置文件里是否存在類似如下配置項限制管理員登錄地址： Ssh x.x.x.x x.x.x.x inside配置了合理的訪問控制列表限制對防火墻進行登錄的管理員地址。c)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們的安全配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。檢查： 1）檢查防火墻標識是否唯一； 2）檢查同一防火墻的用戶標識是否唯一； 3）檢查是否不存在多個人員共用一個賬號的現(xiàn)象。1）防火墻標識唯一； 2）同一防火墻的用戶標識唯一； 3）不存在多個人員共用一個賬號的現(xiàn)象。d)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們的安全配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談： 訪談采用了何種鑒別技術(shù)實現(xiàn)雙因子鑒別，并在網(wǎng)絡(luò)管理員的配合下驗證雙因子鑒別的有效性。用戶的認證方式選擇兩種或兩種以上組合的鑒別技術(shù)，只用一種技術(shù)無法認證成功。e)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們的安全配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談、檢查： 1）訪談防火墻管理員,詢問用戶口令是否滿足復(fù)雜性要求； 2）檢查配置文件中口令是否加密存儲。1）防火墻用戶口令長度不小于8位，由字母、數(shù)字和特殊字符構(gòu)成，并定期更換； 2）在配置文件中，口令為加密存儲。f)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們的安全配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談： 訪談設(shè)備管理員，防火墻是否設(shè)置了登錄失敗處理功能。 檢查： 在允許的情況下，根據(jù)使用的登錄失敗處理方式，采用如下測試方法進行測試： a)以錯誤的口令登錄防火墻，觀察反應(yīng)； b)當網(wǎng)絡(luò)登錄連接超時時，觀察連接終端反應(yīng)。1）以錯誤的口令登錄防火墻，嘗試次數(shù)超過閥值，防火墻自動斷開連接或鎖定一段時間； 2）正常登錄防火墻后不做任何操作，超過設(shè)定的超時時間后，登錄連接自動退出。g)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們的安全配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談： 詢問設(shè)備管理員，是否采用了安全的遠程管理方法。 檢查： 輸入命令show running 查看配置文件中是否存在類似如下配置項: ssh x.x.x.x x.x.x.x inside1）使用SSH協(xié)議對防火墻進行遠程管理； 2）沒有采用明文的傳輸協(xié)議對防火墻進行遠程管理； 3）采用第三方管理工具保證遠程管理的鑒別信息保密。h)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們的安全配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談、檢查： 1）訪談設(shè)備管理員，是否實現(xiàn)了特權(quán)用戶的權(quán)限分離； 2）輸入命令show running， 檢查配置文件中是否存在類似如下配置項： username cisco1 privilege 0 password 0 cisco username cisco1 privilege 15 password 0 cisco 3）檢查是否部署了日志服務(wù)器對管理員的操作進行審計記錄； 4）審計記錄是否有專人管理，非授權(quán)用戶是否無法進行操作。1）實現(xiàn)了防火墻特權(quán)用戶的權(quán)限分離，不同類型的賬號擁有不同權(quán)限； 2）部署了專用日志服務(wù)器對管理員的操作進行審計并記錄； 4）審計記錄有專人管理，非授權(quán)用戶無法進行操作。2.3 通用安全設(shè)備安全測評序號測評指標測評項檢查方法預(yù)期結(jié)果1訪問控制a)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露安全漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查： 檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)和相關(guān)交換機配置，查看是否在交換機上啟用了訪問控制功能。 輸入命令 show access-lists 檢查配置文件中是否存在以下類似配置項： access-list 100 deny ip any any access-group 100 in interface outside防火墻啟用了訪問控制功能，根據(jù)需要配置了訪問控制列表。b)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露安全漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查： 輸入命令shou running， 檢查訪問控制列表的控制粒度是否為端口級，如access-list 110 permit tcp any host x.x.x.x eq ftp根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供了明確的訪問控制策略，控制粒度為端口級。c)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露安全漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查： 檢查防火墻或IPS安全策略是否對重要數(shù)據(jù)流啟用應(yīng)用層協(xié)議檢測、過濾功能。防火墻或IPS開啟了重要數(shù)據(jù)流應(yīng)用層協(xié)議檢測、過濾功能，可以對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議進行控制。d)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露安全漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。訪談： 訪談系統(tǒng)管理員，是否在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接； 檢查： 輸入命令show running，查看配置中是否存在命令設(shè)定管理會話的超時時間： ssh timeout 101）會話處于非活躍一定時間或會話結(jié)束后，路由器會終止網(wǎng)絡(luò)連接； 2）路由器配置中存在會話超時相關(guān)配置。e)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露安全漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查： 1）在網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的防火墻是否配置了網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)； 2）是否有專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。1）網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的防火墻配置了合理QOS策略，優(yōu)化了網(wǎng)絡(luò)最大流量數(shù)； 2）通過專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。f)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露安全漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查： 1、是否通過IP/MAC綁定手段防止地址欺騙， 輸入命令 show running， 檢查配置文件中是否存在arp綁定配置： arp inside x.x.x.x x.x.x.x1）通過防火墻配置命令進行IP/MAC地址綁定防止地址欺騙； 2）通過專用軟件或設(shè)備進行IP/MAC地址綁定防止地址欺騙。g)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露安全漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查： 1）是否針對單個遠程撥號用戶或VPN用戶訪問受控資源進行了有效控制； 2）以撥號或VPN等方式接入網(wǎng)絡(luò)的，是否采用強認證方式。1）對單個遠程撥號用戶或VPN用戶訪問受控資源進行了有效控制； 2）通過撥號或VPN等方式接入網(wǎng)絡(luò)時，采用了強認證方式（證書、KEY等）。h)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露安全漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查： 是否限制具有遠程訪問權(quán)限的用戶數(shù)量。限制了具有遠程訪問權(quán)限的用戶數(shù)量。2安全審計a)檢查核心交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計情況等，測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查： 1）網(wǎng)絡(luò)系統(tǒng)中的防火墻是否開啟日志記錄功能； 輸入show logging命令，檢查Syslog logging進程是否為enable狀態(tài)； 2）是否對防火墻的運行狀況、網(wǎng)絡(luò)流量進行監(jiān)控和記錄。1）防火墻開啟了日志記錄功能，命令show logging的輸出配置中顯示： Syslog logging:enabled； 2）對防火墻的運行狀況、網(wǎng)絡(luò)流量進行監(jiān)控和記錄（巡檢記錄或第三方監(jiān)控軟件）。b)檢查核心交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計情況等，測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查： 查看日志內(nèi)容，是否包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。日志內(nèi)容包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。c)檢查核心交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計情況等，測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查： 查看如何實現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。定期對審計記錄數(shù)據(jù)進行分析并生成紙質(zhì)或電子的審計報表。d)檢查核心交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計情況等，測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查： 檢查對審計記錄監(jiān)控和保護的措施。例如：通過專用日志服務(wù)器或存儲設(shè)備對審計記錄進行備份，并避免對審計記錄未預(yù)期的修改、刪除或覆蓋。 檢查： 輸入命令show running 檢查配置文件中是否存在類似如下配置項： syslog host x.x.x.x1）輸入命令show running 檢查配置文件中存在配置syslog host x.x.x.x，把設(shè)備日志發(fā)送到安全的日志服務(wù)器或第三方審計設(shè)備； 2）由專人對審計記錄進行管理，避免審計記錄受到未預(yù)期的刪除、修改或覆蓋。3網(wǎng)絡(luò)設(shè)備防護a)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們的安全配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談、檢查： 1）訪談設(shè)備管理員，詢問登錄設(shè)備的身份標識和鑒別機制采用何種措施實現(xiàn)； 2）登錄防火墻，查看是否提示輸入用戶口令，然后以正確口令登錄系統(tǒng)，再以錯誤口令或空口令重新登錄，觀察是否成功。1）防火墻使用口令鑒別機制對登錄用戶進行身份標識和鑒別； 2）登錄時提示輸入用戶名和口令；以錯誤口令或空口令登錄時提示登錄失敗，驗證了登錄控制功能的有效性； 3）防火墻中不存在密碼為空的用戶。b)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們的安全配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。檢查： 輸入命令 show running， 查看配置文件里是否存在類似如下配置項限制管理員登錄地址： Ssh x.x.x.x x.x.x.x inside配置了合理的訪問控制列表限制對防火墻進行登錄的管理員地址。c)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們的安全配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。檢查： 1）檢查防火墻標識是否唯一； 2）檢查同一防火墻的用戶標識是否唯一； 3）檢查是否不存在多個人員共用一個賬號的現(xiàn)象。1）防火墻標識唯一； 2）同一防火墻的用戶標識唯一； 3）不存在多個人員共用一個賬號的現(xiàn)象。d)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們的安全配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談： 訪談采用了何種鑒別技術(shù)實現(xiàn)雙因子鑒別，并在網(wǎng)絡(luò)管理員的配合下驗證雙因子鑒別的有效性。用戶的認證方式選擇兩種或兩種以上組合的鑒別技術(shù)，只用一種技術(shù)無法認證成功。e)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們的安全配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談、檢查： 1）訪談防火墻管理員,詢問用戶口令是否滿足復(fù)雜性要求； 2）檢查配置文件中口令是否加密存儲。1）防火墻用戶口令長度不小于8位，由字母、數(shù)字和特殊字符構(gòu)成，并定期更換； 2）在配置文件中，口令為加密存儲。f)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們的安全配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談： 訪談設(shè)備管理員，防火墻是否設(shè)置了登錄失敗處理功能。 檢查： 在允許的情況下，根據(jù)使用的登錄失敗處理方式，采用如下測試方法進行測試： a)以錯誤的口令登錄防火墻，觀察反應(yīng)； b)當網(wǎng)絡(luò)登錄連接超時時，觀察連接終端反應(yīng)。1）以錯誤的口令登錄防火墻，嘗試次數(shù)超過閥值，防火墻自動斷開連接或鎖定一段時間； 2）正常登錄防火墻后不做任何操作，超過設(shè)定的超時時間后，登錄連接自動退出。g)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們的安全配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談： 詢問設(shè)備管理員，是否采用了安全的遠程管理方法。 檢查： 輸入命令show running 查看配置文件中是否存在類似如下配置項: ssh x.x.x.x x.x.x.x inside1）使用SSH協(xié)議對防火墻進行遠程管理； 2）沒有采用明文的傳輸協(xié)議對防火墻進行遠程管理； 3）采用第三方管理工具保證遠程管理的鑒別信息保密。h)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們的安全配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談、檢查： 1）訪談設(shè)備管理員，是否實現(xiàn)了特權(quán)用戶的權(quán)限分離； 2）輸入命令show running， 檢查配置文件中是否存在類似如下配置項： username cisco1 privilege 0 password 0 cisco username cisco1 privilege 15 password 0 cisco 3）檢查是否部署了日志服務(wù)器對管理員的操作進行審計記錄； 4）審計記錄是否有專人管理，非授權(quán)用戶是否無法進行操作。1）實現(xiàn)了防火墻特權(quán)用戶的權(quán)限分離，不同類型的賬號擁有不同權(quán)限； 2）部署了專用日志服務(wù)器對管理員的操作進行審計并記錄； 4）審計記錄有專人管理，非授權(quán)用戶無法進行操作。2.4 思科路由器安全測評序號測評指標測評項檢查方法預(yù)期結(jié)果1訪問控制a)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露安全漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查： 檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)和相關(guān)路由器配置，查看是否在路由器上啟用了訪問控制功能。 輸入命令 show access-lists 檢查配置文件中是否存在以下類似配置項： ip access-list 1 deny x.x.x.x路由器啟用了訪問控制功能，根據(jù)