等級保護測評指導書_第1頁
等級保護測評指導書_第2頁
等級保護測評指導書_第3頁
等級保護測評指導書_第4頁
免費預(yù)覽已結(jié)束,剩余105頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

-1 物理安全測評指導書1.1 機房安全測評序號測評指標測評項檢查方法預(yù)期結(jié)果1物理位置的選擇a)通過訪談物理安全負責人,檢查機房,測評機房物理場所在位置上是否具有防震、防風和防雨等多方面的安全防范能力。訪談: 詢問物理安全負責人,現(xiàn)有機房和辦公場地的環(huán)境條件是否具有基本的防震、防風和防雨能力。 檢查: 檢查機房和辦公場地的設(shè)計/驗收文檔,查看機房和辦公場所的物理位置選擇是否符合要求。機房和辦公場地的設(shè)計/驗收文檔中有關(guān)于機房和辦公場所的物理位置選擇的內(nèi)容,并符合防震、防風和防雨能力要求。b)通過訪談物理安全負責人,檢查機房,測評機房物理場所在位置上是否具有防震、防風和防雨等多方面的安全防范能力。檢查: 檢查機房場地是否避免設(shè)在建筑物的高層或地下室,以及用水設(shè)備的下層或隔壁; 檢查機房場地是否避免設(shè)在強電場、強磁場、強震動源、強噪聲源、重度環(huán)境污染、易發(fā)生水災(zāi)、火災(zāi)、易遭受雷擊的地區(qū)。1)機房沒有在建筑物的高層或地下室,附近無用水設(shè)備; 2)機房附近無強電場、強磁場、強震動源、強噪聲源、重度環(huán)境污染,機房建筑地區(qū)不發(fā)生水災(zāi)、火災(zāi),不易遭受雷擊。2物理訪問控制a)檢查機房出入口等過程,測評信息系統(tǒng)在物理訪問控制方面的安全防范能力。訪談: 1)詢問物理安全負責人,了解具有哪些控制機房進出的能力,是否安排專人值守; 2)訪談機房值守人員,詢問是否認真執(zhí)行有關(guān)機房出入的管理制度,是否對進入機房的人員記錄在案。1)有專人值守和電子門禁系統(tǒng); 2)出入機房需要登記,有相關(guān)記錄。b)檢查機房出入口等過程,測評信息系統(tǒng)在物理訪問控制方面的安全防范能力。訪談: 詢問物理安全負責人,了解是否有關(guān)于機房來訪人員的申請和審批流程,是否限制和監(jiān)控其活動范圍。 檢查: 檢查是否有來訪人員進入機房的審批記錄。1)來訪人員進入機房需經(jīng)過申請、審批流程并記錄; 2)進入機房有機房管理人員陪同并監(jiān)控和限制其活動范圍。c)檢查機房出入口等過程,測評信息系統(tǒng)在物理訪問控制方面的安全防范能力。訪談: 訪談物理安全負責人,是否對機房進行了劃分區(qū)域管理,是否對各個區(qū)域都有專門的管理要求; 檢查: 檢查機房區(qū)域劃分是否合理,是否在機房重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域,是否對不同區(qū)域設(shè)置不同機房或同一機房的不同區(qū)域之間設(shè)置有效的物理隔離裝置(如隔離墻等)。1)對機房進行了劃分區(qū)域管理; 2)對各個區(qū)域都有專門的管理要求。d)檢查機房出入口等過程,測評信息系統(tǒng)在物理訪問控制方面的安全防范能力。檢查: 重要區(qū)域電子門禁記錄。配置了電子門禁系統(tǒng),控制、鑒別、記錄進入人員信息。3防盜竊和防破壞a)檢查機房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程,測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等丟失和被破壞。訪談: 訪談物理安全負責人,采取了哪些防止設(shè)備、介質(zhì)丟失的保護措施; 檢查: 檢查主要設(shè)備是否防止在機房內(nèi)或其他不易被盜竊和破壞的可控范圍內(nèi)。主要設(shè)備都放置在機房內(nèi)。b)檢查機房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程,測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等丟失和被破壞。訪談: 訪談機房維護人員,設(shè)備和主要部件是否進行了固定和標記; 檢查: 檢查主要設(shè)備或設(shè)備的主要部件的固定情況,是否不易被移動或被搬走,是否設(shè)置了明顯的不易除去的標記。設(shè)備和主要部件是否進行了固定和標記。c)檢查機房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程,測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等丟失和被破壞。訪談: 訪談機房維護人員,了解通信線纜是否鋪設(shè)在隱蔽處;是否設(shè)置了冗余或并行的通信線路; 檢查: 檢查通信線纜鋪設(shè)是否在隱蔽處(如鋪設(shè)在地下或管道中等)。通信線纜鋪設(shè)在隱蔽處。d)檢查機房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程,測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等丟失和被破壞。訪談: 訪談資產(chǎn)管理人員,在介質(zhì)管理中,是否設(shè)置了分類標識,是否存放在介質(zhì)庫或檔案室中; 詢問對設(shè)備或存儲介質(zhì)攜帶出工作環(huán)境是否規(guī)定了審批程序、內(nèi)容加密、專人檢查等安全保護的措施; 檢查: 1)檢查介質(zhì)的管理情況,查看介質(zhì)是否有正確的分類標識,是否存放在介質(zhì)庫或資料室中并且進行分類存放(滿足磁介質(zhì)、紙介質(zhì)等的存放要求); 2)檢查有關(guān)設(shè)備或存儲介質(zhì)攜帶出工作環(huán)境的審批記錄,以及專人對內(nèi)容加密進行檢查的記錄。介質(zhì)分類標識,存儲在介質(zhì)庫或檔案室中。e)檢查機房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程,測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等丟失和被破壞。檢查機房防盜報警設(shè)施是否正常運行,并查看運行和報警記錄。機房防盜報警設(shè)施運行正常,并且有運行和報警記錄。f)檢查機房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程,測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等丟失和被破壞。檢查機房的攝像、傳感等監(jiān)控報警系統(tǒng)是否正常運行,并查看運行記錄、監(jiān)控記錄和報警記錄。機房安裝了監(jiān)控攝像頭,監(jiān)控報警系統(tǒng)運行正常。4防雷擊a)檢查機房設(shè)計/驗收文檔,測評信息系統(tǒng)是否采取相應(yīng)的措施預(yù)防雷擊。訪談: 訪談物理安全負責人,機房建筑是否設(shè)置了避雷裝置,是否通過驗收或國家有關(guān)部門的技術(shù)檢測;詢問機房維護人員機房建筑避雷裝置是否有人定期進行檢查和維護; 檢查: 檢查機房是否有建筑防雷設(shè)計/驗收文檔,是否符合GB 50057-1994建筑物防雷設(shè)計規(guī)范(GB157建筑物防雷設(shè)計規(guī)范 )要求,如果是在雷電頻繁區(qū)域,是否裝設(shè)有浪涌電壓吸收裝置等。機房建筑設(shè)置避雷裝置;b)檢查機房設(shè)計/驗收文檔,測評信息系統(tǒng)是否采取相應(yīng)的措施預(yù)防雷擊。訪談并檢查: 訪談物理安全負責人,同時檢查是否在電源和信號線增加有資質(zhì)的避雷裝置以避免感應(yīng)雷擊。設(shè)置防雷保安器,防止感應(yīng)雷;c)檢查機房設(shè)計/驗收文檔,測評信息系統(tǒng)是否采取相應(yīng)的措施預(yù)防雷擊。訪談: 詢問物理安全負責人,機房計算機系統(tǒng)接地是否設(shè)置了專用地線; 檢查: 檢查機房是否有機房接地設(shè)計/驗收文檔,查看是否有地線連接要求的描述,與實際情況是否一致。機房設(shè)置交流電源地線。5防火a)檢查機房防火方面的安全管理制度,檢查機房防火設(shè)備等過程,測評信息系統(tǒng)是否采取必要的措施防止火災(zāi)的發(fā)生。檢查機房是否設(shè)置了自動測火情(如使用溫感、煙感探測器)、自動報警、自動滅火的自動消防系統(tǒng),擺放位置是否合理,有效期是否合格; 檢查自動消防系統(tǒng)是否正常工作,查看運行記錄、報警記錄、定期檢查和維修記錄;1)機房設(shè)置自動測火情(如使用溫感、煙感探測器)、自動報警、自動滅火的自動消防系統(tǒng),擺放位置合理,有效期合格; 2)自動消防系統(tǒng)有運行記錄、報警記錄、定期檢查和維修記錄。b)檢查機房防火方面的安全管理制度,檢查機房防火設(shè)備等過程,測評信息系統(tǒng)是否采取必要的措施防止火災(zāi)的發(fā)生。檢查是否有機房以及相關(guān)房間的建筑材料的驗收文檔或消防檢查驗收文檔。機房及相關(guān)的工作房間和輔助房采用具有耐火等級的建筑材料。c)檢查機房防火方面的安全管理制度,檢查機房防火設(shè)備等過程,測評信息系統(tǒng)是否采取必要的措施防止火災(zāi)的發(fā)生。檢查是否有機房區(qū)域隔離防火措施的驗收文檔; 檢查重要設(shè)備是否與其他設(shè)備隔離開。不同物理區(qū)域,中間有防火玻璃隔離。6防水和防潮a)檢查機房及其除潮設(shè)備等過程,測評信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機房潮濕。檢查機房是否避開水源,與機房無關(guān)的給排水管道是否避免穿過機房;如果有與機房相關(guān)的給排水管道穿過主機房墻壁和樓板處,應(yīng)檢查是否有必要的保護措施,如設(shè)置套管等。機房避開了水源,空調(diào)給排水管道周圍有防水隔離帶。b)檢查機房及其除潮設(shè)備等過程,測評信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機房潮濕。訪談: 詢問機房維護人員,機房是否出現(xiàn)過漏水和返潮事件; 檢查: 檢查機房是否不存在屋頂和墻壁等出現(xiàn)過漏水、滲透和返潮現(xiàn)象,機房及其環(huán)境是否不存在明顯的漏水和返潮的威脅; 檢查機房如果出現(xiàn)漏水、滲透和返潮現(xiàn)象是否能夠及時修復(fù)解決。機房采用雙層玻璃,有窗簾,未發(fā)生過漏水和返潮事件c)檢查機房及其除潮設(shè)備等過程,測評信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機房潮濕。訪談: 訪談機房維護人員,如果出現(xiàn)機房水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透現(xiàn)象是否采取防范措施; 檢查: 檢查機房是否有濕度記錄,是否有除濕裝置并能夠正常運行,是否有防止出現(xiàn)機房地下積水的轉(zhuǎn)移與滲透的措施,是否有防水防潮處理記錄和除濕裝置運行記錄,與機房濕度記錄情況是否一致。機房有溫度、濕度記錄,運轉(zhuǎn)正常。d)檢查機房及其除潮設(shè)備等過程,測評信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機房潮濕。檢查: 檢查機房是否有濕度記錄,是否有對水敏感得檢測儀表或元件對機房進行防水檢測和報警,并檢查檢測儀表或元件是否能夠正常運行。機房空調(diào)有溫濕度控制功能,可以防止機房水蒸氣結(jié)露。7防靜電a)檢查機房等過程,測評信息系統(tǒng)是否采取必要措施防止靜電的產(chǎn)生。檢查機房是否有安全接地,查看機房的相對濕度記錄是否符合GB2887中的規(guī)定,查看機房是否不存在明顯的靜電現(xiàn)象。機房機柜有效的接地,防止靜電現(xiàn)象發(fā)生。b)檢查機房等過程,測評信息系統(tǒng)是否采取必要措施防止靜電的產(chǎn)生。檢查機房是否采用了如防靜電地板、防靜電工作臺、以及靜電消除劑和靜電消除器等措施。機房采用了防靜電地板。8溫濕度控制機房檢查機房的溫濕度自動調(diào)節(jié)系統(tǒng),測評信息系統(tǒng)是否采取必要措施對機房內(nèi)的溫濕度進行控制。訪談: 訪談物理安全負責人,詢問機房是否配備了恒溫恒濕系統(tǒng),保證溫濕度能夠滿足計算機設(shè)備運行的要求,是否在機房管理制度中規(guī)定了溫濕度控制的要求,是否有人負責此項工作; 訪談機房維護人員,詢問是否定期檢查和維護機房的溫濕度自動調(diào)節(jié)設(shè)施,詢問是否出現(xiàn)過溫濕度影響系統(tǒng)運行的事件; 檢查: 檢查機房是否有溫濕度控制設(shè)計/驗收文檔,是否能夠滿足系統(tǒng)運行需要,是否與當前情況相符合; 檢查恒溫恒濕系統(tǒng)是否能夠正常運行,查看是否有溫濕度記錄、運行記錄和維護記錄,查看機房溫濕度是否滿足GB 2887-89計算站場地技術(shù)條件的要求。機房空調(diào)有溫濕度控制功能,可以自動調(diào)節(jié),使機房溫濕度的變化處于允許范圍內(nèi)。機房溫度26攝氏度,濕度為44%。9電力供應(yīng)a)檢查機房供電線路、設(shè)備等過程,測評是否具備為信息系統(tǒng)提供一定電力供應(yīng)的能力。訪談: 訪談物理安全負責人,詢問計算機系統(tǒng)供電線路上是否設(shè)置了穩(wěn)壓器和過電壓防護設(shè)備; 詢問機房維護人員是否對穩(wěn)壓器、過電壓防護設(shè)備等進行定期檢查和維護; 檢查: 1)檢查機房是否有電力供應(yīng)安全設(shè)計/驗收文檔,查看文檔中是否標明單獨為計算機系統(tǒng)供電,配備穩(wěn)壓器、過電壓防護設(shè)備等要求,查看與機房電力供應(yīng)實際情況是否一致; 檢查機房,查看計算機系統(tǒng)供電線路上的穩(wěn)壓器和過電壓防護設(shè)備是否正常運行,查看供電電壓是否正常; 2)檢查是否有穩(wěn)壓器、過電壓防護設(shè)備的檢查和維護記錄,是否符合系統(tǒng)正常運行的要求。機房供電線路上配置了穩(wěn)壓器和過電壓防護設(shè)備。b)檢查機房供電線路、設(shè)備等過程,測評是否具備為信息系統(tǒng)提供一定電力供應(yīng)的能力。訪談: 訪談物理安全負責人,詢問計算機系統(tǒng)供電線路上是否設(shè)置了短期備用電源設(shè)備(如UPS),供電時間是否滿足系統(tǒng)最低電力供應(yīng)需求; 詢問機房維護人員是否對短期備用電源設(shè)備進行定期檢查和維護;是否能夠控制電源穩(wěn)壓范圍滿足計算機系統(tǒng)運行正常。 檢查: 檢查機房是否有電力供應(yīng)安全設(shè)計/驗收文檔,查看文檔中是否標明備用電源設(shè)備要求,查看與機房電力供應(yīng)實際情況是否一致; 檢查機房,查看計算機系統(tǒng)供電線路上的短期備用電源設(shè)備是否正常運行,查看供電電壓是否正常; 檢查是否有短期備用電源設(shè)備的檢查和維護記錄,是否符合系統(tǒng)正常運行的要求。c)檢查機房供電線路、設(shè)備等過程,測評是否具備為信息系統(tǒng)提供一定電力供應(yīng)的能力。訪談: 訪談物理安全負責人,詢問計算機系統(tǒng)供電線路上是否安裝了冗余或并行的電力電纜線路(如雙路供電方式); 詢問機房維護人員,冗余或并行的電力電纜線路(如雙路供電方式)在雙路供電切換時是否能夠?qū)τ嬎銠C系統(tǒng)正常供電; 檢查: 檢查機房是否有電力供應(yīng)安全設(shè)計/驗收文檔,查看文檔中是否有冗余或并行電力電纜線路要求,查看與機房電力供應(yīng)實際情況是否一致; 檢查是否有冗余或并行電力電纜線路切換記錄,是否符合系統(tǒng)正常運行的要求; 測試安裝的冗余或并行電力電纜線路是否能夠進行雙線路供電切換。設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電,輸入電源采用雙路自動切換供電方式d)檢查機房供電線路、設(shè)備等過程,測評是否具備為信息系統(tǒng)提供一定電力供應(yīng)的能力。訪談: 訪談物理安全負責人,詢問計算機系統(tǒng)供電線路上是否建立了備用供電系統(tǒng)(如備用發(fā)電機); 詢問機房維護人員是否定期檢查備用供電系統(tǒng)(如備用發(fā)電機),是否能夠在規(guī)定時間內(nèi)正常啟動和正常供電; 檢查: 檢查機房是否有電力供應(yīng)安全設(shè)計/驗收文檔,查看文檔中是否有備用供電系統(tǒng)要求,查看與機房電力供應(yīng)實際情況是否一致; 檢查是否有備用供電系統(tǒng)運行記錄,是否符合系統(tǒng)正常運行的要求; 測試備用供電系統(tǒng)是否能夠在規(guī)定時間內(nèi)正常啟動和正常供電。具備相應(yīng)的備用供電系統(tǒng)。10電磁防護a)檢查主要設(shè)備等過程,測評信息系統(tǒng)是否具備一定的電磁防護能力。檢查機房布線是否采用接地方式。機房布線采用接地方式。b)檢查主要設(shè)備等過程,測評信息系統(tǒng)是否具備一定的電磁防護能力。檢查機房布線是否做到電源線和通信線纜隔離。電源線和通信線纜隔離鋪設(shè)。c)檢查主要設(shè)備等過程,測評信息系統(tǒng)是否具備一定的電磁防護能力。檢查機房是否對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽。關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽。2 網(wǎng)絡(luò)安全測評指導書2.1 網(wǎng)絡(luò)全局安全測評序號測評指標測評項檢查方法預(yù)期結(jié)果1結(jié)構(gòu)安全a)檢查網(wǎng)絡(luò)拓撲情況、核查核心交換機、路由器,測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。訪談: 詢問是否對主要網(wǎng)絡(luò)設(shè)備性能進行監(jiān)控(CPU、內(nèi)存使用等)。主要網(wǎng)絡(luò)設(shè)備的性能(CPU、內(nèi)存)具備冗余空間,能夠滿足業(yè)務(wù)高峰期需求。b)檢查網(wǎng)絡(luò)拓撲情況、核查核心交換機、路由器,測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。訪談: 詢問在業(yè)務(wù)高峰期內(nèi),帶寬是否滿足網(wǎng)絡(luò)各部分的需求,是否根據(jù)業(yè)務(wù)重要程度合理分配帶寬。 檢查: 檢查設(shè)備配置文件,查看是否對帶寬做了Qos參數(shù)配置。通過流量控制軟件或QOS,已根據(jù)業(yè)務(wù)重要程度合理分配帶寬,在業(yè)務(wù)高峰期時現(xiàn)有帶寬能夠滿足網(wǎng)絡(luò)各部分需求。c)檢查網(wǎng)絡(luò)拓撲情況、核查核心交換機、路由器,測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。訪談: 通過何種方式在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立訪問路徑,訪問路徑是否安全可靠。 檢查: 是否配置路由控制策略建立安全的訪問路徑。 輸入命令:show running-config 如果使用靜態(tài)路由協(xié)議,檢查配置文件中應(yīng)當存在類似如下配置項: ip route x.x.x.x x.x.x.x x.x.x.x 如果使用OSPF路由協(xié)議,檢查配置文件中應(yīng)當存在類似如下配置項: router osp 100 ip ospf authentication ip ospf message-digest-key 1 md5 7 *1)使用靜態(tài)路由協(xié)議,靜態(tài)路由采用最小匹配原則進行規(guī)劃; 2)使用OSPF路由協(xié)議,動態(tài)路由采用加密算法,保障網(wǎng)絡(luò)中路由安全認證。d)檢查網(wǎng)絡(luò)拓撲情況、核查核心交換機、路由器,測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。檢查: 查看網(wǎng)絡(luò)拓撲圖與當前運行情況是否一致。網(wǎng)絡(luò)拓撲圖與當前運行情況一致。e)檢查網(wǎng)絡(luò)拓撲情況、核查核心交換機、路由器,測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。檢查: 是否進行了子網(wǎng)劃分。 輸入命令:show vlan 檢查配置文件中是否出現(xiàn)類似如下配置項: vlan 2 name info1)已根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,配置文件中存在如下配置項:Vlan 2 name info; 2)按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段;f)檢查網(wǎng)絡(luò)拓撲情況、核查核心交換機、路由器,測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。檢查: 1)查看網(wǎng)絡(luò)拓撲結(jié)構(gòu),重要網(wǎng)段是否不在網(wǎng)絡(luò)邊界處; 2)重要網(wǎng)段和其他網(wǎng)段之間是否隔離部署。1)重要網(wǎng)段未部署在網(wǎng)絡(luò)邊界處; 2)重要網(wǎng)段和其他網(wǎng)段之間采取可靠的技術(shù)手段隔離部署。g)檢查網(wǎng)絡(luò)拓撲情況、核查核心交換機、路由器,測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。檢查: 是否按照業(yè)務(wù)服務(wù)的重要次序配置了帶寬控制策略。按照業(yè)務(wù)服務(wù)的重要次序制定了帶寬分配優(yōu)先級別,在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機。2邊界完整性檢查a)檢查邊界完整性檢查設(shè)備,接入邊界完整性檢查設(shè)備進行測試等過程,測評分析信息系統(tǒng)私自聯(lián)到外部網(wǎng)絡(luò)的行為。訪談: 詢問如何檢查和阻斷“非法內(nèi)聯(lián)”行為。 檢查: 是否有包括網(wǎng)絡(luò)接入控制、關(guān)閉網(wǎng)絡(luò)設(shè)備未使用端口、IP/MAC地址綁定等技術(shù)手段檢查和阻斷“非法內(nèi)聯(lián)”。1)通過網(wǎng)絡(luò)接入控制對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查,準確定出位置,并對其進行有效阻斷; 2)已關(guān)閉未使用的網(wǎng)絡(luò)端口,并通過IP/MAC地址綁定等技術(shù)手段檢查和阻斷“非法內(nèi)聯(lián)”行為。b)檢查邊界完整性檢查設(shè)備,接入邊界完整性檢查設(shè)備進行測試等過程,測評分析信息系統(tǒng)私自聯(lián)到外部網(wǎng)絡(luò)的行為。訪談: 詢問如何檢查和阻斷“非法外聯(lián)”行為。 檢查: 在網(wǎng)絡(luò)管理員配合下驗證有效性。通過桌面管理軟件能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查,準確定出位置,并對其進行有效阻斷。3入侵防范a)測評分析信息系統(tǒng)對攻擊行為的識別和處理情況。訪談: 訪談是否部署了包含入侵防范功能的設(shè)備。 檢查: 檢查設(shè)備是否能夠?qū)Χ丝趻呙枘抉R后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等攻擊行為進行檢測。 檢查設(shè)備規(guī)則庫更新程度;驗證監(jiān)控策略有效性。部署了入侵防范功能設(shè)備,能夠?qū)Χ丝趻呙琛娏?、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等攻擊行為進行檢測。b)測評分析信息系統(tǒng)對攻擊行為的識別和處理情況。檢查: 檢查設(shè)備的日志記錄,查看是否記錄了攻擊源IP、攻擊類型、攻擊目的和攻擊時間等信息,查看設(shè)備采用何種方式進行報警。入侵防范系統(tǒng)能夠記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,并在發(fā)生嚴重入侵事件時提供報警。4惡意代碼防范a)檢查網(wǎng)絡(luò)防惡意代碼產(chǎn)品等過程,測評分析信息系統(tǒng)網(wǎng)絡(luò)邊界和核心網(wǎng)段對病毒等惡意代碼的防護情況。訪談: 訪談是否部署了防惡意代碼產(chǎn)品。 檢查: 查看是否啟用了惡意代碼檢測及阻斷功能,并查看日志記錄中是否有相關(guān)阻斷信息。在網(wǎng)絡(luò)邊界處部署了惡意代碼防范系統(tǒng),對惡意代碼能夠進行檢測和清除。b)檢查網(wǎng)絡(luò)防惡意代碼產(chǎn)品等過程,測評分析信息系統(tǒng)網(wǎng)絡(luò)邊界和核心網(wǎng)段對病毒等惡意代碼的防護情況。訪談: 詢問是否進行特征庫升級及具體的升級方式。 檢查: 登錄并查看相關(guān)設(shè)備的特征庫是否為最新版本。惡意代碼防范系統(tǒng)定期升級惡意代碼庫。2.2 思科防火墻安全測評序號測評指標測評項檢查方法預(yù)期結(jié)果1訪問控制a)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露安全漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查: 檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)和相關(guān)交換機配置,查看是否在交換機上啟用了訪問控制功能。 輸入命令 show access-lists 檢查配置文件中是否存在以下類似配置項: access-list 100 deny ip any any access-group 100 in interface outside防火墻啟用了訪問控制功能,根據(jù)需要配置了訪問控制列表。b)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露安全漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查: 輸入命令shou running, 檢查訪問控制列表的控制粒度是否為端口級,如access-list 110 permit tcp any host x.x.x.x eq ftp根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供了明確的訪問控制策略,控制粒度為端口級。c)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露安全漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查: 檢查防火墻或IPS安全策略是否對重要數(shù)據(jù)流啟用應(yīng)用層協(xié)議檢測、過濾功能。防火墻或IPS開啟了重要數(shù)據(jù)流應(yīng)用層協(xié)議檢測、過濾功能,可以對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議進行控制。d)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露安全漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。訪談: 訪談系統(tǒng)管理員,是否在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接; 檢查: 輸入命令show running,查看配置中是否存在命令設(shè)定管理會話的超時時間: ssh timeout 101)會話處于非活躍一定時間或會話結(jié)束后,路由器會終止網(wǎng)絡(luò)連接; 2)路由器配置中存在會話超時相關(guān)配置。e)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露安全漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查: 1)在網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的防火墻是否配置了網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù); 2)是否有專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。1)網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的防火墻配置了合理QOS策略,優(yōu)化了網(wǎng)絡(luò)最大流量數(shù); 2)通過專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。f)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露安全漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查: 1、是否通過IP/MAC綁定手段防止地址欺騙, 輸入命令 show running, 檢查配置文件中是否存在arp綁定配置: arp inside x.x.x.x x.x.x.x1)通過防火墻配置命令進行IP/MAC地址綁定防止地址欺騙; 2)通過專用軟件或設(shè)備進行IP/MAC地址綁定防止地址欺騙。g)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露安全漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查: 1)是否針對單個遠程撥號用戶或VPN用戶訪問受控資源進行了有效控制; 2)以撥號或VPN等方式接入網(wǎng)絡(luò)的,是否采用強認證方式。1)對單個遠程撥號用戶或VPN用戶訪問受控資源進行了有效控制; 2)通過撥號或VPN等方式接入網(wǎng)絡(luò)時,采用了強認證方式(證書、KEY等)。h)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露安全漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查: 是否限制具有遠程訪問權(quán)限的用戶數(shù)量。限制了具有遠程訪問權(quán)限的用戶數(shù)量。2安全審計a)檢查核心交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計情況等,測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查: 1)網(wǎng)絡(luò)系統(tǒng)中的防火墻是否開啟日志記錄功能; 輸入show logging命令,檢查Syslog logging進程是否為enable狀態(tài); 2)是否對防火墻的運行狀況、網(wǎng)絡(luò)流量進行監(jiān)控和記錄。1)防火墻開啟了日志記錄功能,命令show logging的輸出配置中顯示: Syslog logging:enabled; 2)對防火墻的運行狀況、網(wǎng)絡(luò)流量進行監(jiān)控和記錄(巡檢記錄或第三方監(jiān)控軟件)。b)檢查核心交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計情況等,測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查: 查看日志內(nèi)容,是否包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。日志內(nèi)容包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。c)檢查核心交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計情況等,測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查: 查看如何實現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。定期對審計記錄數(shù)據(jù)進行分析并生成紙質(zhì)或電子的審計報表。d)檢查核心交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計情況等,測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查: 檢查對審計記錄監(jiān)控和保護的措施。例如:通過專用日志服務(wù)器或存儲設(shè)備對審計記錄進行備份,并避免對審計記錄未預(yù)期的修改、刪除或覆蓋。 檢查: 輸入命令show running 檢查配置文件中是否存在類似如下配置項: syslog host x.x.x.x1)輸入命令show running 檢查配置文件中存在配置syslog host x.x.x.x,把設(shè)備日志發(fā)送到安全的日志服務(wù)器或第三方審計設(shè)備; 2)由專人對審計記錄進行管理,避免審計記錄受到未預(yù)期的刪除、修改或覆蓋。3網(wǎng)絡(luò)設(shè)備防護a)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備,查看它們的安全配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談、檢查: 1)訪談設(shè)備管理員,詢問登錄設(shè)備的身份標識和鑒別機制采用何種措施實現(xiàn); 2)登錄防火墻,查看是否提示輸入用戶口令,然后以正確口令登錄系統(tǒng),再以錯誤口令或空口令重新登錄,觀察是否成功。1)防火墻使用口令鑒別機制對登錄用戶進行身份標識和鑒別; 2)登錄時提示輸入用戶名和口令;以錯誤口令或空口令登錄時提示登錄失敗,驗證了登錄控制功能的有效性; 3)防火墻中不存在密碼為空的用戶。b)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備,查看它們的安全配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。檢查: 輸入命令 show running, 查看配置文件里是否存在類似如下配置項限制管理員登錄地址: Ssh x.x.x.x x.x.x.x inside配置了合理的訪問控制列表限制對防火墻進行登錄的管理員地址。c)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備,查看它們的安全配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。檢查: 1)檢查防火墻標識是否唯一; 2)檢查同一防火墻的用戶標識是否唯一; 3)檢查是否不存在多個人員共用一個賬號的現(xiàn)象。1)防火墻標識唯一; 2)同一防火墻的用戶標識唯一; 3)不存在多個人員共用一個賬號的現(xiàn)象。d)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備,查看它們的安全配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談: 訪談采用了何種鑒別技術(shù)實現(xiàn)雙因子鑒別,并在網(wǎng)絡(luò)管理員的配合下驗證雙因子鑒別的有效性。用戶的認證方式選擇兩種或兩種以上組合的鑒別技術(shù),只用一種技術(shù)無法認證成功。e)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備,查看它們的安全配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談、檢查: 1)訪談防火墻管理員,詢問用戶口令是否滿足復(fù)雜性要求; 2)檢查配置文件中口令是否加密存儲。1)防火墻用戶口令長度不小于8位,由字母、數(shù)字和特殊字符構(gòu)成,并定期更換; 2)在配置文件中,口令為加密存儲。f)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備,查看它們的安全配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談: 訪談設(shè)備管理員,防火墻是否設(shè)置了登錄失敗處理功能。 檢查: 在允許的情況下,根據(jù)使用的登錄失敗處理方式,采用如下測試方法進行測試: a)以錯誤的口令登錄防火墻,觀察反應(yīng); b)當網(wǎng)絡(luò)登錄連接超時時,觀察連接終端反應(yīng)。1)以錯誤的口令登錄防火墻,嘗試次數(shù)超過閥值,防火墻自動斷開連接或鎖定一段時間; 2)正常登錄防火墻后不做任何操作,超過設(shè)定的超時時間后,登錄連接自動退出。g)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備,查看它們的安全配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談: 詢問設(shè)備管理員,是否采用了安全的遠程管理方法。 檢查: 輸入命令show running 查看配置文件中是否存在類似如下配置項: ssh x.x.x.x x.x.x.x inside1)使用SSH協(xié)議對防火墻進行遠程管理; 2)沒有采用明文的傳輸協(xié)議對防火墻進行遠程管理; 3)采用第三方管理工具保證遠程管理的鑒別信息保密。h)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備,查看它們的安全配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談、檢查: 1)訪談設(shè)備管理員,是否實現(xiàn)了特權(quán)用戶的權(quán)限分離; 2)輸入命令show running, 檢查配置文件中是否存在類似如下配置項: username cisco1 privilege 0 password 0 cisco username cisco1 privilege 15 password 0 cisco 3)檢查是否部署了日志服務(wù)器對管理員的操作進行審計記錄; 4)審計記錄是否有專人管理,非授權(quán)用戶是否無法進行操作。1)實現(xiàn)了防火墻特權(quán)用戶的權(quán)限分離,不同類型的賬號擁有不同權(quán)限; 2)部署了專用日志服務(wù)器對管理員的操作進行審計并記錄; 4)審計記錄有專人管理,非授權(quán)用戶無法進行操作。2.3 通用安全設(shè)備安全測評序號測評指標測評項檢查方法預(yù)期結(jié)果1訪問控制a)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露安全漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查: 檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)和相關(guān)交換機配置,查看是否在交換機上啟用了訪問控制功能。 輸入命令 show access-lists 檢查配置文件中是否存在以下類似配置項: access-list 100 deny ip any any access-group 100 in interface outside防火墻啟用了訪問控制功能,根據(jù)需要配置了訪問控制列表。b)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露安全漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查: 輸入命令shou running, 檢查訪問控制列表的控制粒度是否為端口級,如access-list 110 permit tcp any host x.x.x.x eq ftp根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供了明確的訪問控制策略,控制粒度為端口級。c)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露安全漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查: 檢查防火墻或IPS安全策略是否對重要數(shù)據(jù)流啟用應(yīng)用層協(xié)議檢測、過濾功能。防火墻或IPS開啟了重要數(shù)據(jù)流應(yīng)用層協(xié)議檢測、過濾功能,可以對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議進行控制。d)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露安全漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。訪談: 訪談系統(tǒng)管理員,是否在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接; 檢查: 輸入命令show running,查看配置中是否存在命令設(shè)定管理會話的超時時間: ssh timeout 101)會話處于非活躍一定時間或會話結(jié)束后,路由器會終止網(wǎng)絡(luò)連接; 2)路由器配置中存在會話超時相關(guān)配置。e)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露安全漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查: 1)在網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的防火墻是否配置了網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù); 2)是否有專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。1)網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的防火墻配置了合理QOS策略,優(yōu)化了網(wǎng)絡(luò)最大流量數(shù); 2)通過專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。f)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露安全漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查: 1、是否通過IP/MAC綁定手段防止地址欺騙, 輸入命令 show running, 檢查配置文件中是否存在arp綁定配置: arp inside x.x.x.x x.x.x.x1)通過防火墻配置命令進行IP/MAC地址綁定防止地址欺騙; 2)通過專用軟件或設(shè)備進行IP/MAC地址綁定防止地址欺騙。g)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露安全漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查: 1)是否針對單個遠程撥號用戶或VPN用戶訪問受控資源進行了有效控制; 2)以撥號或VPN等方式接入網(wǎng)絡(luò)的,是否采用強認證方式。1)對單個遠程撥號用戶或VPN用戶訪問受控資源進行了有效控制; 2)通過撥號或VPN等方式接入網(wǎng)絡(luò)時,采用了強認證方式(證書、KEY等)。h)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露安全漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查: 是否限制具有遠程訪問權(quán)限的用戶數(shù)量。限制了具有遠程訪問權(quán)限的用戶數(shù)量。2安全審計a)檢查核心交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計情況等,測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查: 1)網(wǎng)絡(luò)系統(tǒng)中的防火墻是否開啟日志記錄功能; 輸入show logging命令,檢查Syslog logging進程是否為enable狀態(tài); 2)是否對防火墻的運行狀況、網(wǎng)絡(luò)流量進行監(jiān)控和記錄。1)防火墻開啟了日志記錄功能,命令show logging的輸出配置中顯示: Syslog logging:enabled; 2)對防火墻的運行狀況、網(wǎng)絡(luò)流量進行監(jiān)控和記錄(巡檢記錄或第三方監(jiān)控軟件)。b)檢查核心交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計情況等,測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查: 查看日志內(nèi)容,是否包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。日志內(nèi)容包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。c)檢查核心交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計情況等,測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查: 查看如何實現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。定期對審計記錄數(shù)據(jù)進行分析并生成紙質(zhì)或電子的審計報表。d)檢查核心交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計情況等,測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查: 檢查對審計記錄監(jiān)控和保護的措施。例如:通過專用日志服務(wù)器或存儲設(shè)備對審計記錄進行備份,并避免對審計記錄未預(yù)期的修改、刪除或覆蓋。 檢查: 輸入命令show running 檢查配置文件中是否存在類似如下配置項: syslog host x.x.x.x1)輸入命令show running 檢查配置文件中存在配置syslog host x.x.x.x,把設(shè)備日志發(fā)送到安全的日志服務(wù)器或第三方審計設(shè)備; 2)由專人對審計記錄進行管理,避免審計記錄受到未預(yù)期的刪除、修改或覆蓋。3網(wǎng)絡(luò)設(shè)備防護a)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備,查看它們的安全配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談、檢查: 1)訪談設(shè)備管理員,詢問登錄設(shè)備的身份標識和鑒別機制采用何種措施實現(xiàn); 2)登錄防火墻,查看是否提示輸入用戶口令,然后以正確口令登錄系統(tǒng),再以錯誤口令或空口令重新登錄,觀察是否成功。1)防火墻使用口令鑒別機制對登錄用戶進行身份標識和鑒別; 2)登錄時提示輸入用戶名和口令;以錯誤口令或空口令登錄時提示登錄失敗,驗證了登錄控制功能的有效性; 3)防火墻中不存在密碼為空的用戶。b)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備,查看它們的安全配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。檢查: 輸入命令 show running, 查看配置文件里是否存在類似如下配置項限制管理員登錄地址: Ssh x.x.x.x x.x.x.x inside配置了合理的訪問控制列表限制對防火墻進行登錄的管理員地址。c)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備,查看它們的安全配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。檢查: 1)檢查防火墻標識是否唯一; 2)檢查同一防火墻的用戶標識是否唯一; 3)檢查是否不存在多個人員共用一個賬號的現(xiàn)象。1)防火墻標識唯一; 2)同一防火墻的用戶標識唯一; 3)不存在多個人員共用一個賬號的現(xiàn)象。d)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備,查看它們的安全配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談: 訪談采用了何種鑒別技術(shù)實現(xiàn)雙因子鑒別,并在網(wǎng)絡(luò)管理員的配合下驗證雙因子鑒別的有效性。用戶的認證方式選擇兩種或兩種以上組合的鑒別技術(shù),只用一種技術(shù)無法認證成功。e)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備,查看它們的安全配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談、檢查: 1)訪談防火墻管理員,詢問用戶口令是否滿足復(fù)雜性要求; 2)檢查配置文件中口令是否加密存儲。1)防火墻用戶口令長度不小于8位,由字母、數(shù)字和特殊字符構(gòu)成,并定期更換; 2)在配置文件中,口令為加密存儲。f)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備,查看它們的安全配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談: 訪談設(shè)備管理員,防火墻是否設(shè)置了登錄失敗處理功能。 檢查: 在允許的情況下,根據(jù)使用的登錄失敗處理方式,采用如下測試方法進行測試: a)以錯誤的口令登錄防火墻,觀察反應(yīng); b)當網(wǎng)絡(luò)登錄連接超時時,觀察連接終端反應(yīng)。1)以錯誤的口令登錄防火墻,嘗試次數(shù)超過閥值,防火墻自動斷開連接或鎖定一段時間; 2)正常登錄防火墻后不做任何操作,超過設(shè)定的超時時間后,登錄連接自動退出。g)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備,查看它們的安全配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談: 詢問設(shè)備管理員,是否采用了安全的遠程管理方法。 檢查: 輸入命令show running 查看配置文件中是否存在類似如下配置項: ssh x.x.x.x x.x.x.x inside1)使用SSH協(xié)議對防火墻進行遠程管理; 2)沒有采用明文的傳輸協(xié)議對防火墻進行遠程管理; 3)采用第三方管理工具保證遠程管理的鑒別信息保密。h)檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備,查看它們的安全配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。訪談、檢查: 1)訪談設(shè)備管理員,是否實現(xiàn)了特權(quán)用戶的權(quán)限分離; 2)輸入命令show running, 檢查配置文件中是否存在類似如下配置項: username cisco1 privilege 0 password 0 cisco username cisco1 privilege 15 password 0 cisco 3)檢查是否部署了日志服務(wù)器對管理員的操作進行審計記錄; 4)審計記錄是否有專人管理,非授權(quán)用戶是否無法進行操作。1)實現(xiàn)了防火墻特權(quán)用戶的權(quán)限分離,不同類型的賬號擁有不同權(quán)限; 2)部署了專用日志服務(wù)器對管理員的操作進行審計并記錄; 4)審計記錄有專人管理,非授權(quán)用戶無法進行操作。2.4 思科路由器安全測評序號測評指標測評項檢查方法預(yù)期結(jié)果1訪問控制a)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露安全漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)則的合理性和安全性。檢查: 檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)和相關(guān)路由器配置,查看是否在路由器上啟用了訪問控制功能。 輸入命令 show access-lists 檢查配置文件中是否存在以下類似配置項: ip access-list 1 deny x.x.x.x路由器啟用了訪問控制功能,根據(jù)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論