版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1物理平安測評指導(dǎo)書1.1機(jī)房平安測評序號測評指標(biāo)測評項檢查方法預(yù)期結(jié)果物理位置的選擇a)物理位置的選擇a)通過訪談物理平安負(fù)責(zé)人,檢查機(jī)房,測評機(jī)房物理場所在位置上是否具有防震、防風(fēng)和防雨等多方面的平安防范能力。b)通過訪談物理平安負(fù)責(zé)人,檢查機(jī)房,測評機(jī)房物理場所在位置上是否具有防震、防風(fēng)和防雨等多方面的平安防范能力。訪談:詢問物理平安負(fù)責(zé)人,現(xiàn)有機(jī)房和辦公場地的環(huán)境條件是否具有根本的防震、防風(fēng)和防雨能力。檢查:檢查機(jī)房和辦公場地的設(shè)計/驗收文檔,查看機(jī)房和辦公場所的物理位置選擇是否符合要求。檢查:檢查機(jī)房場地是否防止設(shè)在建筑物的高層或地下室,以及用水設(shè)備的下層或隔壁;檢查機(jī)房場地是否防止設(shè)在強(qiáng)電場、強(qiáng)磁場、強(qiáng)震動源、強(qiáng)噪聲源、重度環(huán)境污染、易發(fā)生水災(zāi)、火災(zāi)、易遭受雷擊的地區(qū)。機(jī)房和辦公場地的設(shè)計/驗收文檔中有關(guān)于機(jī)房和辦公場所的物理位置選擇的內(nèi)容,并符合防震、防風(fēng)和防雨能力要求。1〕機(jī)房沒有在建筑物的高層或地下室,附近無用水設(shè)備;2〕機(jī)房附近無強(qiáng)電場、強(qiáng)磁場、強(qiáng)震動源、強(qiáng)噪聲源、重度環(huán)境污染,機(jī)房建筑地區(qū)不發(fā)生水災(zāi)、火災(zāi),不易遭受雷擊。物理訪問控制a)檢查機(jī)房出入口等過程,測評信息系統(tǒng)在物理訪問控制方面的平安防范能力。訪談:1〕詢問物理平安負(fù)責(zé)人,了解具有哪些控制機(jī)房進(jìn)出的能力,是否安排專人值守;2〕訪談機(jī)房值守人員,詢問是否認(rèn)真執(zhí)行有關(guān)機(jī)房出入的管理制度,是否對進(jìn)入機(jī)房的人員1〕有專人值守和電子門禁系統(tǒng);2〕出入機(jī)房需要登記,有相關(guān)記錄。11〕來訪人員進(jìn)入機(jī)房需經(jīng)過申請、審批流程并記錄;2〕進(jìn)入機(jī)房有機(jī)房管理人員檢查機(jī)房 訪談:詢問物理平安出入口等過負(fù)責(zé)人,了解是否有程,測評信關(guān)于機(jī)房來訪人員的息系統(tǒng)在物申請和審批流程,是理訪問控制否限制和監(jiān)控其活動方面的平安范圍。檢查:檢查防范能力。是否有來訪人員進(jìn)入機(jī)房的審批記錄。陪同并監(jiān)控和限制其活動范圍。c〕檢查機(jī)房出入口等過程,測評信息系統(tǒng)在物理訪問控制方面的平安防范能力。訪談:訪談物理平安負(fù)責(zé)人,是否對機(jī)房進(jìn)行了劃分區(qū)域管理,是否對各個區(qū)域都有專門的管理要求;檢查:檢查機(jī)房區(qū)域劃分是否合理,是否在機(jī)房重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域,是否對不同區(qū)域設(shè)置不同機(jī)房或同一機(jī)房的不同區(qū)域之間設(shè)置有效的物理隔離裝置〔如隔離墻等〕。1〕對機(jī)房進(jìn)行了劃分區(qū)域管理;2〕對各個區(qū)域都有專門的管理要求。檢查:重要區(qū)域電子門禁記錄。配置了電子門禁系統(tǒng),控制、鑒別、記錄進(jìn)入人員信息。主要設(shè)備都放置在機(jī)房內(nèi)。設(shè)備和主要部件是否進(jìn)行了固定和標(biāo)記。檢查:重要區(qū)域電子門禁記錄。配置了電子門禁系統(tǒng),控制、鑒別、記錄進(jìn)入人員信息。主要設(shè)備都放置在機(jī)房內(nèi)。設(shè)備和主要部件是否進(jìn)行了固定和標(biāo)記。d〕檢查機(jī)房出入口等過程,測評信息系統(tǒng)在物理訪問控制方面的平安防范能力。a〕 檢查機(jī)房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程,測評信息系統(tǒng)是否采取防盜竊和 必要的措施防破壞 預(yù)防設(shè)備、介質(zhì)等喪失和被破壞。b〕 檢查機(jī)房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程,訪談:訪談物理平安負(fù)責(zé)人,采取了哪些防止設(shè)備、介質(zhì)喪失的保護(hù)措施;檢查:檢查主要設(shè)備是否防止在機(jī)房內(nèi)或其他不易被盜竊和破壞的可控范圍內(nèi)。訪談:訪談機(jī)房維護(hù)人員,設(shè)備和主要部件是否進(jìn)行了固定和標(biāo)記;檢查:檢查主要設(shè)備或設(shè)備的主測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等喪失和被破壞。c〕檢查機(jī)房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程,測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等喪失和被破壞。要部件的固定情況,是否不易被移動或被搬走,是否設(shè)置了明顯的不易除去的標(biāo)記。訪談:訪談機(jī)房維護(hù)人員,了解通信線纜是否鋪設(shè)在隱蔽處;是否設(shè)置了冗余或并行的通信線路;檢查:檢查通信線纜鋪設(shè)是否在隱蔽處〔如鋪設(shè)在地下或管道中等〕。通信線纜鋪設(shè)在隱蔽處。d〕檢查機(jī)房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程,測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等喪失和被破壞。訪談:訪談資產(chǎn)管理人員,在介質(zhì)管理中,是否設(shè)置了分類標(biāo)識,是否存放在介質(zhì)庫或檔案室中;詢問對設(shè)備或存儲介質(zhì)攜帶出工作環(huán)境是否規(guī)定了審批程序、內(nèi)容加密、專人檢查等平安保護(hù)的措施;檢查:1〕檢查介質(zhì)的管理情況,查看介質(zhì)是否有正確的分類標(biāo)識,是否存放在介質(zhì)庫或資料室中并且進(jìn)行分類存放〔滿足磁介質(zhì)、紙介質(zhì)等的存放要求〕;2〕檢查有關(guān)設(shè)備或存儲介質(zhì)攜帶出工作環(huán)境的審批記錄,以及專人對內(nèi)容加密進(jìn)行檢查的記錄。介質(zhì)分類標(biāo)識,存儲在介質(zhì)庫或檔案室中。ee〕檢查機(jī)房內(nèi)的主要設(shè)備、介質(zhì)和檢查機(jī)房防盜報警設(shè)施是否正常運(yùn)行,并查看運(yùn)行和報警記機(jī)房防盜報警設(shè)施運(yùn)行正常,并且有運(yùn)行防盜報警設(shè)錄。和報警記錄施等過程,測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等喪失和被破壞。機(jī)房安裝了監(jiān)控攝像頭,監(jiān)控報警系統(tǒng)運(yùn)行正常。f〕檢查機(jī)房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)檢查機(jī)房的攝像、傳施等過程,感等監(jiān)控報警系統(tǒng)是測評信息系否正常運(yùn)行,并查看統(tǒng)是否采取運(yùn)行記錄、監(jiān)控記錄必要的措施和報警記錄。機(jī)房安裝了監(jiān)控攝像頭,監(jiān)控報警系統(tǒng)運(yùn)行正常。預(yù)防設(shè)備、介質(zhì)等喪失和被破壞。4防雷擊a〕檢查機(jī)房設(shè)計/驗收文檔,測評信息系統(tǒng)是否采取相應(yīng)的措施預(yù)防訪談:訪談物理平安負(fù)責(zé)人,機(jī)房建筑是否設(shè)置了避雷裝置,是否通過驗收或國家有關(guān)部門的技術(shù)檢測;詢問機(jī)房維護(hù)人員機(jī)房建筑避雷裝置是否有人定期進(jìn)行檢查和維護(hù);檢查:檢查機(jī)房是否有建筑防雷設(shè)計/驗收文檔,是否符合GB50057-1994?建筑物防雷設(shè)計標(biāo)準(zhǔn)?〔GB157?建筑物防雷設(shè)計標(biāo)準(zhǔn)?〕要求,如果是在雷電頻繁區(qū)域,是否裝設(shè)有浪涌電壓吸收裝置等。機(jī)房建筑設(shè)置避雷裝置;設(shè)置防雷保安器,防設(shè)置防雷保安器,防止感應(yīng)雷;b〕檢查機(jī)房 訪談并檢查: 訪談物設(shè)計/驗收 理平安負(fù)責(zé)人,同時文檔,測評檢查是否在電源和信信息系統(tǒng)是號線增加有資質(zhì)的避否采取相應(yīng)雷裝置以防止感應(yīng)雷c)檢查機(jī)房設(shè)計c)檢查機(jī)房設(shè)計/驗收文檔,測評信息系統(tǒng)是否采取相應(yīng)的措施預(yù)防機(jī)房設(shè)置交流電源地線。的措施預(yù)防擊雷擊訪談:詢問物理平安負(fù)責(zé)人,機(jī)房電腦系統(tǒng)接地是否設(shè)置了專用地線;檢查:檢查機(jī)房是否有機(jī)房接地設(shè)計/驗收文檔,查看是否有地線連接要求的描述,與實(shí)際情況是否一致。a)a)檢查機(jī)房防火方面的平安管理制度,檢查機(jī)房防火設(shè)備等過程,測評信息系統(tǒng)是否采取必要的措施防止火災(zāi)的發(fā)生。檢查機(jī)房是否設(shè)置了自動測火情〔如使用溫感、煙感探測器〕、自動報警、自動滅火的自動消防系統(tǒng),擺放位置是否合理,有效期是否合格;檢查自動消防系統(tǒng)是否正常工作,查看運(yùn)行記錄、報警記錄、定期檢查和維修記錄;1〕機(jī)房設(shè)置自動測火情〔如使用溫感、煙感探測器〕、自動報警、自動滅火的自動消防系統(tǒng),擺放位置合理,有效期合格;2〕自動消防系統(tǒng)有運(yùn)行記錄、報警記錄、定期檢查和維修記錄。b)檢查機(jī)房防火方面的平安管理制5防火5防火度,檢查機(jī)房防火設(shè)備等過程,測評信息系統(tǒng)是否采取必要的措施防止火災(zāi)的發(fā)生。檢查是否有機(jī)房以及相關(guān)房間的建筑材料的驗收文檔或消防檢查驗收文檔。機(jī)房及相關(guān)的工作房間和輔助房采用具有耐火等級的建筑材料。檢查機(jī)房防火方面的平安管理制 檢查是否有機(jī)房區(qū)域不同物理區(qū)域,中間有防火玻璃隔離。度,檢查機(jī) 隔離防火措施的驗收不同物理區(qū)域,中間有防火玻璃隔離。房防火設(shè)備文檔;檢查重要設(shè)備等過程,測 是否與其他設(shè)備隔離評信息系統(tǒng) 開。是否采取必要的措施防止火災(zāi)的發(fā)生。aa〕檢查機(jī)房及其除潮設(shè)備等過程,測評信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機(jī)房潮濕。檢查機(jī)房是否避開水源,與機(jī)房無關(guān)的給排水管道是否防止穿過機(jī)房;如果有與機(jī)房相關(guān)的給排水管道穿過主機(jī)房墻壁和樓板處,應(yīng)檢查是否有必要的保護(hù)措施,如設(shè)置套管等。機(jī)房避開了水源,空調(diào)給排水管道周圍有防水隔離帶。機(jī)房采用雙層玻璃,有窗簾,未發(fā)生過漏水和返潮事件機(jī)房采用雙層玻璃,有窗簾,未發(fā)生過漏水和返潮事件b〕檢查機(jī)房及其除潮設(shè)備等過程,測評信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機(jī)房潮濕。防水和防潮訪談:詢問機(jī)房維護(hù)人員,機(jī)房是否出現(xiàn)過漏水和返潮事件;檢查:檢查機(jī)房是否不存在屋頂和墻壁等出現(xiàn)過漏水、滲透和返潮現(xiàn)象,機(jī)房及其環(huán)境是否不存在明顯的漏水和返潮的威脅;檢查機(jī)房如果出現(xiàn)漏水、滲透和返潮現(xiàn)象是否能夠及時修復(fù)解決。c〕檢查機(jī)房及其除潮設(shè)備等過程,測評信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機(jī)房潮濕。訪談:訪談機(jī)房維護(hù)人員,如果出現(xiàn)機(jī)房水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透現(xiàn)象是否采取防范措施;檢查:檢查機(jī)房是否有濕度記錄,是否有除濕裝置并能夠正常運(yùn)行,是否有防止出現(xiàn)機(jī)房地下積水的轉(zhuǎn)移與滲透的措施,是否有防水防潮處理記錄和除濕裝置運(yùn)行記錄,與機(jī)房濕度記錄情況是否一致。機(jī)房有溫度、濕度記錄,運(yùn)轉(zhuǎn)正常。d〕檢查機(jī)房檢查:檢查機(jī)房是否及其除潮設(shè)有濕度記錄,是否有備等過程,對水敏感得檢測儀表機(jī)房空調(diào)有溫濕度控制功能,可以防止機(jī)房水蒸氣結(jié)露。測評信息系或元件對機(jī)房進(jìn)行防統(tǒng)是否采取水檢測和報警,并檢必要措施來查檢測儀表或元件是防止水災(zāi)和否能夠正常運(yùn)行。機(jī)房潮濕。aa〕檢查機(jī)房等過程,測評信息系統(tǒng)是否采取必要措施防止靜電的產(chǎn)生。檢查機(jī)房是否有平安接地,查看機(jī)房的相對濕度記錄是否符合GB2887中的規(guī)定,查看機(jī)房是否不存在明顯的靜電現(xiàn)象。機(jī)房機(jī)柜有效的接地,防止靜電現(xiàn)象發(fā)生。7防靜電7防靜電機(jī)房采用了防靜電地板。b〕檢查機(jī)房等過程,測檢查機(jī)房是否采用了評信息系統(tǒng)如防靜電地板、防靜是否采取必電工作臺、以及靜電要措施防止消除劑和靜電消除器靜電的產(chǎn)等措施。生。溫濕度控制機(jī)房檢查機(jī)房的溫濕度自動調(diào)節(jié)系統(tǒng),測評信息系統(tǒng)是否采取必要措施對機(jī)房內(nèi)的溫濕度進(jìn)行控制。訪談:訪談物理平安負(fù)責(zé)人,詢問機(jī)房是否配備了恒溫恒濕系統(tǒng),保證溫濕度能夠滿足電腦設(shè)備運(yùn)行的要求,是否在機(jī)房管理制度中規(guī)定了溫濕度控制的要求,是否有人負(fù)責(zé)此項工作;訪談機(jī)房維護(hù)人員,詢問是否認(rèn)期檢查和維護(hù)機(jī)房的溫濕度自動調(diào)節(jié)設(shè)施,詢問是否出現(xiàn)過溫濕度影響系統(tǒng)運(yùn)行的事件;檢查:檢查機(jī)房是否有溫濕度控制設(shè)計/驗收文檔,是否能夠滿足系統(tǒng)運(yùn)行需要,是否與當(dāng)前情況相符合;檢查恒溫恒濕系統(tǒng)是否能夠正常運(yùn)行,查看是否有溫濕度記錄、運(yùn)行記錄和維護(hù)機(jī)房空調(diào)有溫濕度控制功能,可以自動調(diào)節(jié),使機(jī)房溫濕度的變化處于允許范圍內(nèi)。機(jī)房溫度26攝氏度,濕度為44%。9電力供應(yīng)記錄,查看機(jī)房溫濕度是否滿足GB2887-89?計算站場地技術(shù)條件?的要求。a〕檢查機(jī)房供電線路、設(shè)備等過程,測評是否具備為信息系統(tǒng)提供一定電力供給的能力。訪談:訪談物理平安負(fù)責(zé)人,詢問電腦系統(tǒng)供電線路上是否設(shè)置了穩(wěn)壓器和過電壓防護(hù)設(shè)備;詢問機(jī)房維護(hù)人員是否對穩(wěn)壓器、過電壓防護(hù)設(shè)備等進(jìn)行定期檢查和維護(hù);檢查:1〕檢查機(jī)房是否有電力供應(yīng)平安設(shè)計/驗收文檔,查看文檔中是否標(biāo)明單獨(dú)為電腦系統(tǒng)供電,配備穩(wěn)壓器、過電壓防護(hù)設(shè)備等要求,查看與機(jī)房電力供應(yīng)實(shí)際情況是否一致;檢查機(jī)房,查看電腦系統(tǒng)供電線路上的穩(wěn)壓器和過電壓防護(hù)設(shè)備是否正常運(yùn)行,查看供電電壓是否正常;2〕檢查是否有穩(wěn)壓器、過電壓防護(hù)設(shè)備的檢查和維護(hù)記錄,是否符合系統(tǒng)正常運(yùn)行的要求。機(jī)房供電線路上配置了穩(wěn)壓器和過電壓防護(hù)設(shè)備。b〕檢查機(jī)房供電線路、設(shè)備等過程,測評是否具備為信息系統(tǒng)提供一定電力供給的能力。訪談:訪談物理平安負(fù)責(zé)人,詢問電腦系統(tǒng)供電線路上是否設(shè)置了短期備用電源設(shè)備〔如UPS,供電時間是否滿足系統(tǒng)最低電力供應(yīng)需求;詢問機(jī)房維護(hù)人員是否對短期備用電源設(shè)備進(jìn)行定期檢查和維護(hù);是否能夠控制電源穩(wěn)壓范圍滿足電腦系統(tǒng)運(yùn)行正常。檢查:檢查機(jī)房是否有電力供給平安設(shè)計/驗收文檔,查看文檔中是否標(biāo)明備用電源設(shè)備要求,查看與機(jī)房電力供應(yīng)實(shí)際情況是否一致;檢查機(jī)房,查看電腦系統(tǒng)供電線路上的短期備用電源設(shè)備是否正常運(yùn)行,查看供電電壓是否正常;檢查是否有短期備用電源設(shè)備的檢查和維護(hù)記錄,是否符合系統(tǒng)正常運(yùn)行的要求。設(shè)置冗余或并行的電力電纜線路為電腦系統(tǒng)供電,輸入電源采用雙路自動切換供電方式訪談:訪談物理平安負(fù)責(zé)人,詢問電腦系統(tǒng)供電線路上是否安裝了冗余或并行的電力電纜線路〔如雙路供電方式〕;詢問機(jī)房維護(hù)人員,冗余或并行的電力電纜線路〔如雙路供電方式〕c)檢查機(jī)房在雙路供電切換時是供電線路、否能夠?qū)﹄娔X系統(tǒng)正設(shè)備等過常供電;檢查:檢程,測評是查機(jī)房是否有電力供否具備為信給平安設(shè)計/驗收文息系統(tǒng)提供檔,查看文檔中是否一定電力供有冗余或并行電力電給的能力。纜線路要求,查看與機(jī)房電力供應(yīng)實(shí)際情況是否一致;檢查是否有冗余或并行電力電纜線路切換記錄,是否符合系統(tǒng)正常運(yùn)行的要求;測試安裝的冗余或并行電力電纜線路是否能夠進(jìn)行雙線路供電切換。設(shè)置冗余或并行的電力電纜線路為電腦系統(tǒng)供電,輸入電源采用雙路自動切換供電方式檢查機(jī)房訪談:訪談物理平安具備相應(yīng)的備用供電10電磁防護(hù)供電線路、負(fù)責(zé)人,詢問電腦系統(tǒng)設(shè)備等過供電線路上是否建立程,測評是了備用供電系統(tǒng)〔如否具備為信備用發(fā)電機(jī)〕;詢問息系統(tǒng)提供機(jī)房維護(hù)人員是否認(rèn)一定電力供期檢查備用供電系統(tǒng)給的能力?!踩鐐溆冒l(fā)電機(jī)〕,是否能夠在規(guī)定時間內(nèi)正常啟動和正常供電;檢查:檢查機(jī)房是否有電力供應(yīng)安全設(shè)計/驗收文檔,查看文檔中是否有備用供電系統(tǒng)要求,查看與機(jī)房電力供應(yīng)實(shí)際情況是否一致;檢查是否有備用供電系統(tǒng)運(yùn)行記錄,是否符合系統(tǒng)正常運(yùn)行的要求;測試備用供電系統(tǒng)是否能夠在規(guī)定時間內(nèi)正常啟動和正常供電。a)檢查主要設(shè)備等過程,測評信息系統(tǒng)是否具備一定的電磁防護(hù)能力。檢查機(jī)房布線是否采用接地方式。系統(tǒng)機(jī)房布線采用接地方式。b)檢查主要設(shè)備等過程,測評信息系統(tǒng)是否具備一定的電磁防護(hù)能力。檢查機(jī)房布線是否做到電源線和通信線纜隔離。電源線和通信線纜隔離鋪設(shè)。c)c)檢查主要設(shè)備等過程,測評信息系統(tǒng)是否具備一定的檢查機(jī)房是否對關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。電磁防護(hù)能2網(wǎng)絡(luò)平安測評指導(dǎo)書2.1網(wǎng)絡(luò)全局平安測評序號測評指標(biāo)測評項檢查方法預(yù)期結(jié)果a)檢查網(wǎng)絡(luò)拓?fù)淝闆r、核查核心交換機(jī)、路由器,測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。訪談:詢問是否對主要網(wǎng)絡(luò)設(shè)備性能進(jìn)行監(jiān)控〔CPU內(nèi)存使用等〕。主要網(wǎng)絡(luò)設(shè)備的性能〔CPU內(nèi)存〕具備冗余空間,能夠滿足業(yè)務(wù)頂峰期需求。b)檢查網(wǎng)絡(luò)拓?fù)淝闆r、核查核心交換機(jī)、路由器,測評分析網(wǎng)絡(luò)架構(gòu)結(jié)構(gòu)平安與網(wǎng)段劃分、隔離等情況的合理性和有效性。訪談:詢問在業(yè)務(wù)高峰期內(nèi),帶寬是否滿足網(wǎng)絡(luò)各局部的需求,是否根據(jù)業(yè)務(wù)重要程度合理分配帶寬。檢查:檢查設(shè)備配置文件,查看是否對帶寬做了Qos參數(shù)配置。通過流量控制軟件或QOS已根據(jù)業(yè)務(wù)重要程度合理分配帶寬,在業(yè)務(wù)頂峰期時現(xiàn)有帶寬能夠滿足網(wǎng)絡(luò)各局部需求。11〕使用靜態(tài)路由協(xié)議,靜態(tài)路由采用最小匹配原那么進(jìn)行規(guī)劃;2丨使用OSP路由協(xié)議,動態(tài)路由采用加密算法,保障網(wǎng)絡(luò)中路由平安認(rèn)證。訪談:通過何種方式c)檢查網(wǎng)絡(luò) 在業(yè)務(wù)終端與業(yè)務(wù)服拓?fù)淝闆r、 務(wù)器之間建立訪問路核查核心交 徑,訪問路徑是否安換機(jī)、路由 全可靠。檢查:是器,測評分 否配置路由控制策略析網(wǎng)絡(luò)架構(gòu) 建立平安的訪問路與網(wǎng)段劃 徑。輸入命令:show分、隔離等 running-config如果情況的合理 使用靜態(tài)路由協(xié)議,性和有效 檢查配置文件中應(yīng)當(dāng)性。 存在類似如下配置項:iproutex.x.x.xx.x.x.xx.x.x.x如果使用OSPF路由協(xié)議,檢查配置文件中應(yīng)當(dāng)存在類似如下配置項:routerosp100ipospfauthenticationipospfmessagedigest-key1md57******檢查網(wǎng)絡(luò)拓?fù)淝闆r、核查核心交換機(jī)、路由器,測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。檢查網(wǎng)絡(luò)拓?fù)淝闆r、核查核心交換機(jī)、路由器,測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。檢查網(wǎng)絡(luò)拓?fù)淝闆r、核查核心交換機(jī)、路由器,測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效檢查:查看網(wǎng)絡(luò)拓?fù)鋱D與當(dāng)前運(yùn)行情況是否一致。檢查:是否進(jìn)行了子網(wǎng)劃分。輸入命令:showvlan檢查配置文件中是否出現(xiàn)類似如下配置項:vlan2nameinfo檢查:1〕查看網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),重要網(wǎng)段是否不在網(wǎng)絡(luò)邊界處;2〕重要網(wǎng)段和其他網(wǎng)段之間是否隔離部署。網(wǎng)絡(luò)拓?fù)鋱D與當(dāng)前運(yùn)行情況一致。1〕已根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,配置文件中存在如下配置項:Vlan2nameinfo;2〕按照方便管理和控制的原那么為各子網(wǎng)、網(wǎng)段分配地址段;1〕重要網(wǎng)段未部署在網(wǎng)絡(luò)邊界處;2〕重要網(wǎng)段和其他網(wǎng)段之間采取可靠的技術(shù)手段隔離部署。性。g)檢查網(wǎng)絡(luò)拓?fù)淝闆r、核查核心交換機(jī)、路由按照業(yè)務(wù)效勞的重要器,測評分檢查:是否按照業(yè)務(wù)次序制定了帶寬分配析網(wǎng)絡(luò)架構(gòu)效勞的重要次序配置優(yōu)先級別,在網(wǎng)絡(luò)發(fā)與網(wǎng)段劃了帶寬控制策略。生擁堵的時候優(yōu)先保分、隔離等護(hù)重要主機(jī)。情況的合理性和有效性。檢查邊界完整性檢查設(shè)備,接入邊界完整性檢查設(shè)備進(jìn)行測試等過程,測評分析信息系統(tǒng)私自聯(lián)到外部網(wǎng)絡(luò)的行邊界完整 為。性檢查 b)檢查邊界完整性檢查設(shè)備,接入邊界完整性檢查設(shè)備進(jìn)行測試等過程,測評分析信息系統(tǒng)私自聯(lián)到外部網(wǎng)絡(luò)的行為。a)測評分析信息系統(tǒng)對入侵防范攻擊行為的識別和處理情況。訪談:詢問如何檢查和阻斷“非法內(nèi)聯(lián)〞行為。檢查:是否有包括網(wǎng)絡(luò)接入控制、關(guān)閉網(wǎng)絡(luò)設(shè)備未使用端口、IP/MAC地址綁定等技術(shù)手段檢查和阻斷“非法內(nèi)聯(lián)〞。訪談:詢問如何檢查和阻斷“非法外聯(lián)〞行為。檢查:在網(wǎng)絡(luò)管理員配合下驗證有效性。訪談:訪談是否部署了包含入侵防范功能的設(shè)備。檢查:檢查設(shè)備是否能夠?qū)Χ丝趻呙枘抉R后門攻擊、拒絕效勞攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲1〕通過網(wǎng)絡(luò)接入控制對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對其進(jìn)行有效阻斷;2〕已關(guān)閉未使用的網(wǎng)絡(luò)端口,并通過IP/MAC地址綁定等技術(shù)手段檢查和阻斷“非法內(nèi)聯(lián)〞行為。通過桌面管理軟件能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對其進(jìn)行有效阻斷。部署了入侵防范功能設(shè)備,能夠?qū)Χ丝趻呙?、?qiáng)力攻擊、木馬后門攻擊、拒絕效勞攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等攻擊行為進(jìn)行檢測。攻擊等攻擊行為進(jìn)行檢測。檢查設(shè)備規(guī)那么庫更新程度;驗證監(jiān)控策略有效性。bb〕測評分析信息系統(tǒng)對攻擊行為的識別和處理情況。檢查:檢查設(shè)備的日志記錄,查看是否記錄了攻擊源IP、攻擊類型、攻擊目的和攻擊時間等信息,查看設(shè)備采用何種方式進(jìn)行報警。入侵防范系統(tǒng)能夠記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,并在發(fā)生嚴(yán)重入侵事件時提供報警。在網(wǎng)絡(luò)邊界處部署了惡意代碼防范系統(tǒng),對惡意代碼能夠進(jìn)行檢測和去除在網(wǎng)絡(luò)邊界處部署了惡意代碼防范系統(tǒng),對惡意代碼能夠進(jìn)行檢測和去除。惡意代碼防范系統(tǒng)定期升級惡意代碼庫。a〕檢查網(wǎng)絡(luò)防惡意代碼產(chǎn)品等過程,測評分析信息系統(tǒng)網(wǎng)絡(luò)邊界和核心網(wǎng)段對病毒等惡意代碼的防護(hù)惡意代碼 情況。防范 b〕檢查網(wǎng)絡(luò)防惡意代碼產(chǎn)品等過程,測評分析信息系統(tǒng)網(wǎng)絡(luò)邊界和核心網(wǎng)段對病毒等惡意代碼的防護(hù)情況。訪談:訪談是否部署了防惡意代碼產(chǎn)品。檢查:查看是否啟用了惡意代碼檢測及阻斷功能,并查看日志記錄中是否有相關(guān)阻斷信息。訪談:詢問是否進(jìn)行特征庫升級及具體的升級方式。檢查:登錄并查看相關(guān)設(shè)備的特征庫是否為最新版本。2.2思科防火墻平安測評序號測評指標(biāo)測評項 檢查方法預(yù)期結(jié)果防火墻啟用了訪問控制功能,根據(jù)需要配置了訪問控制列表。防火墻啟用了訪問控制功能,根據(jù)需要配置了訪問控制列表。a〕檢查防火墻等網(wǎng)絡(luò)訪訪問控制問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情檢查:檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和相關(guān)交換機(jī)配置,查看是否在交換機(jī)上啟用了訪問控制功能。輸入命令showaccess-lists況等,測評檢查配置文件中是否分析信息系存在以下類似配置統(tǒng)對網(wǎng)絡(luò)區(qū)項:access-list域邊界相關(guān)100denyipanyany的網(wǎng)絡(luò)隔離access-group100in與訪問控制interfaceoutside能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查:輸入命令shourunning,檢查訪問控制列表的控制粒度是否為端口級,如access-list110permittcpanyhostx.x.x.xeqftp根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供了明確的訪問控制策略,控制粒度為端口級。檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安檢查:輸入命令shourunning,檢查訪問控制列表的控制粒度是否為端口級,如access-list110permittcpanyhostx.x.x.xeqftp根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供了明確的訪問控制策略,控制粒度為端口級。c)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安c)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評分析信息系檢查:檢查防火墻或IPS平安策略是否對重要數(shù)據(jù)流啟用應(yīng)用層協(xié)議檢測、過濾功防火墻或IPS開啟了重要數(shù)據(jù)流應(yīng)用層協(xié)議檢測、過濾功能,可以對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議進(jìn)行控制。統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。d〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情訪談:訪談系統(tǒng)管理況等,測評員,是否在會話處于分析信息系非活潑一定時間或會 1〕會話處于非活潑定時間或會話結(jié)束后,路由器會終止網(wǎng)絡(luò)連接;2〕路由器配置中存在會話超時相關(guān)配置。統(tǒng)對網(wǎng)絡(luò)區(qū)話結(jié)束后終止網(wǎng)絡(luò)連域邊界相關(guān)接;檢查:輸入命的網(wǎng)絡(luò)隔離令showrunning,查與訪問控制看配置中是否存在命能力;檢查令設(shè)定管理會話的超撥號接入路時時間:ssh由器,測評timeout10分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和定時間或會話結(jié)束后,路由器會終止網(wǎng)絡(luò)連接;2〕路由器配置中存在會話超時相關(guān)配置。ee〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制檢查:1〕在網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的防火墻是否配置了網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù);2〕是否有專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。1〕網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的防火墻配置了合理QOS策略,優(yōu)化了網(wǎng)絡(luò)最大流量數(shù);2〕通過專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。1〕通過防火墻配置命令進(jìn)行IP/MAC地址綁定防止地址欺騙;2〕通過專用軟件或設(shè)備進(jìn)行IP/MAC地址綁定防止地址欺騙。f)1〕通過防火墻配置命令進(jìn)行IP/MAC地址綁定防止地址欺騙;2〕通過專用軟件或設(shè)備進(jìn)行IP/MAC地址綁定防止地址欺騙。域邊界相關(guān) 地址欺騙,輸入命令的網(wǎng)絡(luò)隔離 showrunning,檢查與訪問控制配置文件中是否存在能力;檢查arp綁定配置:撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。g)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)1〕對單個遠(yuǎn)程撥號用戶或1〕對單個遠(yuǎn)程撥號用戶或VPN用戶訪問受控資源進(jìn)行了有效控制;2〕通過撥號或VPN等方式接入網(wǎng)絡(luò)時,采用了強(qiáng)認(rèn)證方式〔證書、KEY等〕。統(tǒng)對外暴露檢查:1〕是否針對平安漏洞情單個遠(yuǎn)程撥號用戶或況等,測評 VPN用戶訪問受控資分析信息系源進(jìn)行了有效控制;統(tǒng)對網(wǎng)絡(luò)區(qū) 2〕以撥號或VPN等方域邊界相關(guān)式接入網(wǎng)絡(luò)的,是否的網(wǎng)絡(luò)隔離采用強(qiáng)認(rèn)證方式。與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。h)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評分析信息系檢查:是否限制具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。限制了具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查:是否限制具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。限制了具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。2平安2平安審計a)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計情況等,測評分析信息系統(tǒng)審計配置和審計記錄保護(hù)情況。檢查:1〕網(wǎng)絡(luò)系統(tǒng)中的防火墻是否開啟日志記錄功能;輸入showlogging命令,檢查Sysloglogging進(jìn)程是否為enable狀態(tài);2〕是否對防火墻的運(yùn)行狀況、網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和記錄。1〕防火墻開啟了日志記錄功能,命令showlogging的輸出配置中顯示:Sysloglogging:enabled;2〕對防火墻的運(yùn)行狀況、網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和記錄〔巡檢記錄或第三方監(jiān)控軟件〕。b)b)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計情況等,測評分析信息系檢查:查看日志內(nèi)容,是否包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。日志內(nèi)容包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。統(tǒng)審計配置和審計記錄保護(hù)情況。檢查:查看如何實(shí)現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。定期對審計記錄數(shù)據(jù)進(jìn)行分析并生成紙質(zhì)或電子的審計報表。檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計情況等,測評分析信息系統(tǒng)審計配置和審計記錄保護(hù)情況。檢查:查看如何實(shí)現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。定期對審計記錄數(shù)據(jù)進(jìn)行分析并生成紙質(zhì)或電子的審計報表。網(wǎng)絡(luò)設(shè)備防護(hù)d)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計情況等,測評分析信息系統(tǒng)審計配置和審計記錄保護(hù)情況。檢查:檢查對審計記錄監(jiān)控和保護(hù)的措施。例如:通過專用日志效勞器或存儲設(shè)備對審計記錄進(jìn)行備份,并防止對審計記錄未預(yù)期的修改、刪除或覆蓋。檢查:輸入命令showrunning檢查配置文件中是否存在類似如下配置項:1〕輸入命令showrunning檢查配置文件中存在配置,把設(shè)備日志發(fā)送到平安的日志效勞器或第三方審計設(shè)備;2〕由專人對審計記錄進(jìn)行管理,防止審計記錄受到未預(yù)期的刪除、修改或覆蓋。a)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。訪談、檢查:1〕訪談設(shè)備管理員,詢問登錄設(shè)備的身份標(biāo)識和鑒別機(jī)制采用何種措施實(shí)現(xiàn);2〕登錄防火墻,查看是否提示輸入用戶口令,然后以正確口令登錄系統(tǒng),再以錯誤口令或空口令重新登錄,觀察是否成功。1〕防火墻使用口令鑒別機(jī)制對登錄用戶進(jìn)行身份標(biāo)識和鑒別;2〕登錄時提示輸入用戶名和口令;以錯誤口令或空口令登錄時提示登錄失敗,驗證了登錄控制功能的有效性;3〕防火墻中不存在密碼為空的用戶。b)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)b)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。配置了合理的訪問控制列表限制對防火墻進(jìn)行登錄的管理員地址。檢查:輸入命令showrunning,查看配置文件里是否存在類似如下配置項限制管理員登錄地址:Sshx.x.x.xx.x.x.xinsidec)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。檢查:1〕檢查防火墻標(biāo)識是否唯一;2〕檢查同一防火墻的用戶標(biāo)識是否唯一;3〕檢查是否不存在多個人員共用一個賬號的現(xiàn)象。1〕防火墻標(biāo)識唯一;2〕同一防火墻的用戶標(biāo)識唯一;3〕不存在多個人員共用一個賬號的現(xiàn)象。d)檢查交換機(jī)、路由器訪談:訪談采用了何等網(wǎng)絡(luò)互聯(lián)種鑒別技術(shù)實(shí)現(xiàn)雙因設(shè)備以及防子鑒別,并在網(wǎng)絡(luò)管火墻等網(wǎng)絡(luò)理員的配合下驗證雙平安設(shè)備,因子鑒別的有效性。查看它們的用戶的認(rèn)證方式選擇兩種或兩種以上組合的鑒別技術(shù),只用一種技術(shù)無法認(rèn)證成功。平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。訪談、檢查:1〕訪談防火墻管理員,詢問用戶口令是否滿足復(fù)雜性要求;2〕檢查配置文件中口令是否加密存儲。1〕防火墻用戶口令長度不小于訪談、檢查:1〕訪談防火墻管理員,詢問用戶口令是否滿足復(fù)雜性要求;2〕檢查配置文件中口令是否加密存儲。1〕防火墻用戶口令長度不小于8位,由字母、數(shù)字和特殊字符構(gòu)成,并定期更換;2〕在配置文件中,口令為加密存儲。f)f)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時訪談:訪談設(shè)備管理員,防火墻是否設(shè)置了登錄失敗處理功能。檢查:在允許的情況下,根據(jù)使用的登錄失敗處理方式,采用如下測試方法進(jìn)行測試:a)以錯誤的口令登錄防火墻,觀察反響;b)當(dāng)網(wǎng)絡(luò)登錄連接超時時,觀察連接終端反應(yīng)。1〕以錯誤的口令登錄防火墻,嘗試次數(shù)超過閥值,防火墻自動斷開連接或鎖定一段時間;2〕正常登錄防火墻后不做任何操作,超過設(shè)定的超時時間后,登錄連接自動退出。等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。g)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。h)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。訪談:詢問設(shè)備管理員,是否采用了平安的遠(yuǎn)程管理方法。檢查:輸入命令showrunning查看配置文件中是否存在類似如下配置項:sshx.x.x.xx.x.x.xinside1〕使用SSH協(xié)議對防火墻進(jìn)行遠(yuǎn)程管理;2〕沒有采用明文的傳輸協(xié)議對防火墻進(jìn)行遠(yuǎn)程管理;3〕采用第三方管理工具保證遠(yuǎn)程管理的鑒別信息保密。訪談、檢查:1〕訪談設(shè)備管理員,是否實(shí)現(xiàn)了特權(quán)用戶的權(quán)限別離;2〕輸入命令showrunning,檢查配置文件中是否存在類似如下配置項:usernamecisco1privilege0password0ciscousernamecisco1privilege15password0cisco3〕檢查是否部署了日志效勞器對管理員的操作進(jìn)行審計記錄;4〕審計記錄是否有專人管理,非授權(quán)用戶是否無法進(jìn)行操作。1〕實(shí)現(xiàn)了防火墻特權(quán)用戶的權(quán)限別離,不同類型的賬號擁有不同權(quán)限;2〕部署了專用日志效勞器對管理員的操作進(jìn)行審計并記錄;4〕審計記錄有專人管理,非授權(quán)用戶無法進(jìn)行操作。2.3通用平安設(shè)備平安測評序號測評指標(biāo)測評項檢查方法預(yù)期結(jié)果1訪問控制a〕 檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露檢查:檢查網(wǎng)絡(luò)拓?fù)淦桨猜┒辞榻Y(jié)構(gòu)和相關(guān)交換機(jī)配況等,測評置,查看是否在交換分析信息系機(jī)上啟用了訪問控制統(tǒng)對網(wǎng)絡(luò)區(qū) 功能。輸入命令域邊界相關(guān) showaccess-lists的網(wǎng)絡(luò)隔離檢查配置文件中是否與訪問控制存在以下類似配置能力;檢查項:access-list撥號接入路 100denyipanyany由器,測評 access-group100in分析信息系interfaceoutside統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。b〕 檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評檢查:輸入命令分析信息系shourunning,檢查統(tǒng)對網(wǎng)絡(luò)區(qū)訪問控制列表的控制域邊界相關(guān)粒度是否為端口級,的網(wǎng)絡(luò)隔離如access-list110與訪問控制 permittcpanyhost能力;檢查 x.x.x.xeqftp撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性防火墻啟用了訪問控制功能,根據(jù)需要配置了訪問控制列表。根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供了明確的訪問控制策略,控制粒度為端口級。和平安性。c〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查:檢查防火墻或IPS平安策略是否對重要數(shù)據(jù)流啟用應(yīng)用層協(xié)議檢測、過濾功防火墻或IPS開啟了重要數(shù)據(jù)流應(yīng)用層協(xié)議檢測、過濾功能,可以對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議進(jìn)行控制。d〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露1〕會話處于非活潑一定時間或會話結(jié)束后,路由器會終止網(wǎng)絡(luò)連接;2〕路由器配置中存在會話超時相關(guān)配置。平安漏洞情訪談:訪談系統(tǒng)管理況等,測評員,是否在會話處于分析信息系非活潑一定時間或會統(tǒng)對網(wǎng)絡(luò)區(qū)話結(jié)束后終止網(wǎng)絡(luò)連域邊界相關(guān)接;檢查:輸入命的網(wǎng)絡(luò)隔離令showrunning,查與訪問控制看配置中是否存在命能力;檢查令設(shè)定管理會話的超撥號接入路時時間:1〕會話處于非活潑一定時間或會話結(jié)束后,路由器會終止網(wǎng)絡(luò)連接;2〕路由器配置中存在會話超時相關(guān)配置。統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。1〕網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的防火墻配置了e〕檢查防火檢查:11〕網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的防火墻配置了墻等網(wǎng)絡(luò)訪口和核心網(wǎng)絡(luò)處的防
問控制設(shè)火墻是否配置了網(wǎng)絡(luò)備,測試系最大流量數(shù)及網(wǎng)絡(luò)連統(tǒng)對外暴露接數(shù);2〕是否有專平安問控制設(shè)火墻是否配置了網(wǎng)絡(luò)備,測試系最大流量數(shù)及網(wǎng)絡(luò)連統(tǒng)對外暴露接數(shù);2〕是否有專平安漏洞情用的流量控制設(shè)備限況等,測評制網(wǎng)絡(luò)最大流量數(shù)及分析信息系網(wǎng)絡(luò)連接數(shù)。統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。合理QOS策略,優(yōu)化了網(wǎng)絡(luò)最大流量數(shù);2〕通過專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。域邊界相關(guān) 地址欺騙,輸入命令的網(wǎng)絡(luò)隔離 showrunning,檢查與訪問控制配置文件中是否存在能力;檢查arp綁定配置:撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。1〕通過防火墻配置命令進(jìn)行IP/MAC地址綁定防止地址欺騙;2〕通過專用軟件或設(shè)備進(jìn)行1〕通過防火墻配置命令進(jìn)行IP/MAC地址綁定防止地址欺騙;2〕通過專用軟件或設(shè)備進(jìn)行IP/MAC地址綁定防止地址欺騙。1〕對單個遠(yuǎn)程撥號用戶或VPN用戶訪問受控資源進(jìn)行了有效控制;2〕通過撥號或平安漏洞情式接入網(wǎng)絡(luò)的,是否況等,測評采用強(qiáng)認(rèn)證方式。分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。時,采用了強(qiáng)認(rèn)證方式〔證書、KEY等〕。h)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查:是否限制具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。限制了具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。2平安2平安審計a)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計情況等,測評分析信息系統(tǒng)審計配置檢查:1〕網(wǎng)絡(luò)系統(tǒng)中的防火墻是否開啟日志記錄功能;輸入showlogging命令,檢查Sysloglogging進(jìn)程是否為enable狀態(tài);2〕是否對防火墻的運(yùn)行狀況、網(wǎng)絡(luò)1〕防火墻開啟了日志記錄功能,命令showlogging的輸出配置中顯示:Sysloglogging:enabled;2〕對防火墻的運(yùn)行狀況、網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和記錄〔巡檢記錄保護(hù)情況。錄。b)b)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計情況等,測評分析信息系統(tǒng)審計配置和審計記錄保護(hù)情況。檢查:查看日志內(nèi)容,是否包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。日志內(nèi)容包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。檢查:查看如何實(shí)現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。定期對審計記錄數(shù)據(jù)進(jìn)行分析并生成紙質(zhì)或電子的審計報表。c)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計情況等,測評分析信息系統(tǒng)審計配置和審計記錄保護(hù)情況。檢查:查看如何實(shí)現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。定期對審計記錄數(shù)據(jù)進(jìn)行分析并生成紙質(zhì)或電子的審計報表。d)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計情況等,測評分析信息系統(tǒng)審計配置和審計記錄保護(hù)情況。a)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)網(wǎng)絡(luò)設(shè)備 設(shè)備以及防防護(hù) 火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情檢查:檢查對審計記錄監(jiān)控和保護(hù)的措施。例如:通過專用日志效勞器或存儲設(shè)備對審計記錄進(jìn)行備份,并防止對審計記錄未預(yù)期的修改、刪除或覆蓋。檢查:輸入命令showrunning檢查配置文件中是否存在類似如下配置項:訪談、檢查:1〕訪談設(shè)備管理員,詢問登錄設(shè)備的身份標(biāo)識和鑒別機(jī)制采用何種措施實(shí)現(xiàn);2〕登錄防火墻,查看是否提示輸入用戶口令,然后以正確口令登錄系1〕輸入命令showrunning檢查配置文件中存在配置,把設(shè)備日志發(fā)送到平安的日志效勞器或第三方審計設(shè)備;2〕由專人對審計記錄進(jìn)行管理,防止審計記錄受到未預(yù)期的刪除、修改或覆蓋。1〕防火墻使用口令鑒別機(jī)制對登錄用戶進(jìn)行身份標(biāo)識和鑒別;2〕登錄時提示輸入用戶名和口令;以錯誤口令或空口令登錄時提示登錄失敗,驗證了登錄控制功能的有況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。統(tǒng),再以錯誤口令或空口令重新登錄,觀察是否成功。效性;3〕防火墻中不存在密碼為空的用戶。b)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。檢查:輸入命令showrunning,查看配置文件里是否存在類似如下配置項限制管理員登錄地址:.x.xinside配置了合理的訪問控制列表限制對防火墻進(jìn)行登錄的管理員地址。c)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)檢查:1〕檢查防火墻標(biāo)識是否唯一;2〕檢查同一防火墻的用戶標(biāo)識是否唯一;3〕檢查是否不存在多個人員共用一個賬號的現(xiàn)象。1〕防火墻標(biāo)識唯一;2〕同一防火墻的用戶標(biāo)識唯一;3〕不存在多個人員共用一個賬號的現(xiàn)象。絡(luò)設(shè)備自身的平安防范情況。d)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。訪談:訪談采用了何種鑒別技術(shù)實(shí)現(xiàn)雙因子鑒別,并在網(wǎng)絡(luò)管理員的配合下驗證雙因子鑒別的有效性。用戶的認(rèn)證方式選擇兩種或兩種以上組合的鑒別技術(shù),只用一種技術(shù)無法認(rèn)證成功。e)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。訪談、檢查:1〕訪談防火墻管理員,詢問用戶口令是否滿足復(fù)雜性要求;2〕檢查配置文件中口令是否加密存儲。1〕防火墻用戶口令長度不小于8位,由字母、數(shù)字和特殊字符構(gòu)成,并定期更換;2〕在配置文件中,口令為加密存儲。f)檢查交換訪談:訪談設(shè)備管理機(jī)、路由器員,防火墻是否設(shè)置等網(wǎng)絡(luò)互聯(lián)了登錄失敗處理功1〕以錯誤的口令登錄防火墻,嘗試次數(shù)超過閥值,防火墻自動設(shè)備以及防能。檢查:在允許斷開連接或鎖定一段火墻等網(wǎng)絡(luò)火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。的情況下,根據(jù)使用的登錄失敗處理方式,采用如下測試方法進(jìn)行測試:a)以錯誤的口令登錄防火墻,觀察反響;b)當(dāng)網(wǎng)絡(luò)登錄連接超時時,觀察連接終端反應(yīng)。時間;2〕正常登錄防火墻后不做任何操作,超過設(shè)定的超時時間后,登錄連接自動退出。g)g)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。訪談:詢問設(shè)備管理員,是否采用了平安的遠(yuǎn)程管理方法。檢查:輸入命令showrunning查看配置文件中是否存在類似如下配置項:sshx.x.x.xx.x.x.xinside1〕使用SSH協(xié)議對防火墻進(jìn)行遠(yuǎn)程管理;2〕沒有采用明文的傳輸協(xié)議對防火墻進(jìn)行遠(yuǎn)程管理;3〕采用第三方管理工具保證遠(yuǎn)程管理的鑒別信息保密。11〕實(shí)現(xiàn)了防火墻特權(quán)用戶的權(quán)限別離,不同類型的賬號擁有不同權(quán)限;2〕部署了專用日志效勞器對管理員的操作進(jìn)行審計并記錄;4〕審計記錄有專人管理,非授權(quán)用戶無法進(jìn)行操作。h)檢查交換訪談、檢查:1〕訪機(jī)、路由器談設(shè)備管理員,是否等網(wǎng)絡(luò)互聯(lián)實(shí)現(xiàn)了特權(quán)用戶的權(quán)設(shè)備以及防限別離;2〕輸入命火墻等網(wǎng)絡(luò)令showrunning,平安設(shè)備,檢查配置文件中是否查看它們的存在類似如下配置平安配置情項:username況,包括身cisco1privilege0份鑒別、登password0cisco錄失敗處usernamecisco1
理、限制非privilege15法登錄和登password0cisco錄連接超時3〕檢查是否部署了日等,考察網(wǎng)志效勞器對管理員的絡(luò)設(shè)備自身操作進(jìn)行審計記錄;的平安防范4〕審計記錄是否有專情況。人管理,非授權(quán)用戶是否無法進(jìn)行操作。2.4思科路由器平安測評預(yù)期結(jié)果序號測評指標(biāo)測評項檢查方法預(yù)期結(jié)果a〕檢查防火a〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評訪問控制分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查:檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和相關(guān)路由器配置,查看是否在路由器上啟用了訪問控制功能。輸入命令showaccess-lists檢查配置文件中是否存在以下類似配置項:路由器啟用了訪問控制功能,根據(jù)需要配置了訪問控制列表。根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供了明確的訪問控制策略,控制粒度為端口級。根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供了明確的訪問控制策略,控制粒度為端口級。b〕檢查防火墻等網(wǎng)絡(luò)訪 檢查:輸入命令問控制設(shè) shourunning,檢查備,測試系 訪問控制列表的控制統(tǒng)對外暴露 粒度是否為端口級,平安漏洞情 例如:access-list況等,測評 101permitudpany分析信息系 統(tǒng)對網(wǎng)絡(luò)區(qū) 55eq21域邊界相關(guān)
的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。c)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查:檢查防火墻或IPS平安策略是否對重要數(shù)據(jù)流啟用應(yīng)用層協(xié)議檢測、過濾功防火墻或IPS開啟了重要數(shù)據(jù)流應(yīng)用層協(xié)議檢測、過濾功能,可以對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議進(jìn)行控制。d)d)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查訪談:訪談系統(tǒng)管理員,是否在會話處于非活潑一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接;檢查:輸入命令showrunning,查看配置中是否存在命令設(shè)定管理會話的超時時間:linevty04exec-timeoutxx1〕會話處于非活潑一定時間或會話結(jié)束后,路由器會終止網(wǎng)絡(luò)連接;2〕路由器配置中存在會話超時相關(guān)配置。撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查:1檢查:1〕在網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的網(wǎng)絡(luò)設(shè)備是否配置了網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù);2〕是否有專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。1〕網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的網(wǎng)絡(luò)設(shè)備配置了合理QOSfi略,優(yōu)化了網(wǎng)絡(luò)最大流量數(shù);2〕通過專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。e)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。f)f)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離檢查:是否通過IP/MAC綁定手段防止地址欺騙,輸入命令showrunning,檢查配置文件中是否存在arp綁定配置:.x1〕通過網(wǎng)絡(luò)設(shè)備配置命令進(jìn)行IP/MAC地址綁定防止地址欺騙;2〕通過專用軟件或設(shè)備進(jìn)行IP/MAC地址綁定防止地址欺騙。與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。g〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查:1〕是否針對單個遠(yuǎn)程撥號用戶或VPN用戶訪問受控資源進(jìn)行了有效控制;2〕以撥號或VPN等方式接入網(wǎng)絡(luò)的,是否采用強(qiáng)認(rèn)證方式。1〕對單個遠(yuǎn)程撥號用戶或VPN用戶訪問受控資源進(jìn)行了有效控制;2〕通過撥號或VPN等方式接入網(wǎng)絡(luò)時,采用了強(qiáng)認(rèn)證方式〔證書、KEY等〕。h〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性檢查:是否限制具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。限制了具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。和平安性。a)a)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計情況等,測評分析信息系統(tǒng)審計配置和審計記錄保護(hù)情況。檢查:1〕網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備是否開啟日志記錄功能;輸入showlogging命令,檢查Sysloglogging進(jìn)程是否為enable狀態(tài);2〕是否對網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和記錄。1〕網(wǎng)絡(luò)設(shè)備開啟了日志記錄功能,命令showlogging的輸出配置中顯示:Sysloglogging:enabled2 〕對網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和記錄〔巡檢記錄或第三方監(jiān)控軟件〕。b)b)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計情況等,測評分析信息系統(tǒng)審計配置檢查:查看日志內(nèi)容,是否包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。日志內(nèi)容包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。2平安審計和審計記錄保護(hù)情況。c)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計情況等,測評分析信息系檢查:查看如何實(shí)現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。定期對審計記錄數(shù)據(jù)進(jìn)行分析并生成紙質(zhì)或電子的審計報表。統(tǒng)審計配置和審計記錄保護(hù)情況。d)d)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計情況等,測評分析信息系統(tǒng)審計配置和審計記錄保護(hù)情況。檢查:檢查對審計記錄監(jiān)控和保護(hù)的措施。例如:通過專用日志效勞器或存儲設(shè)備對審計記錄進(jìn)行備份,并防止對審計記錄未預(yù)期的修改、刪除或覆蓋。檢查:輸入命令showrunning檢查配置文件中是否存在類似如1〕輸入命令showrunning檢查配置文件中是否存在類似如下配置項:,把設(shè)備日志發(fā)送到平安的日志效勞器或第三方審計設(shè)備;2〕由專人對審計記錄進(jìn)行管理,防止審計記錄受到未預(yù)期的刪除、修改或配置項:a)a)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。訪談、檢查:1〕訪談設(shè)備管理員,詢問登錄設(shè)備的身份標(biāo)識和鑒別機(jī)制采用何種措施實(shí)現(xiàn);2〕登錄網(wǎng)絡(luò)設(shè)備,查看是否提示輸入用戶口令,然后以正確口令登錄系統(tǒng),再以錯誤口令或空口令重新登錄,觀察是否成功。1〕網(wǎng)絡(luò)設(shè)備使用口令鑒別機(jī)制對登錄用戶進(jìn)行身份標(biāo)識和鑒別;2〕登錄時提示輸入用戶名和口令;以錯誤口令或空口令登錄時提示登錄失敗,驗證了登錄控制功能的有效性;3〕網(wǎng)絡(luò)設(shè)備中不存在密碼為空的用戶。網(wǎng)絡(luò)設(shè)備防護(hù)b)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。檢查:輸入命令showrunning,查看配置文件里是否存在類似如下配置項限制管理員登錄地址:access-list1permitx.x.x.xlinevty04accessclass1in配置了合理的訪問控制列表限制對網(wǎng)絡(luò)設(shè)備進(jìn)行登錄的管理員地址。c)c)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備,檢查:1〕檢查網(wǎng)絡(luò)設(shè)備標(biāo)識是否唯一;2〕檢查同一網(wǎng)絡(luò)設(shè)備的用戶標(biāo)識是否唯一;3〕檢查是否不存在多個人員共用一1〕網(wǎng)絡(luò)設(shè)備標(biāo)識唯一;2〕同一網(wǎng)絡(luò)設(shè)備的用戶標(biāo)識唯一;3〕不存在多個人員共用一個賬號的現(xiàn)象。查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。個賬號的現(xiàn)象d)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。訪談:訪談采用了何種鑒別技術(shù)實(shí)現(xiàn)雙因子鑒別,并在網(wǎng)絡(luò)管理員的配合下驗證雙因子鑒別的有效性。用戶的認(rèn)證方式選擇兩種或兩種以上組合的鑒別技術(shù),只用一種技術(shù)無法認(rèn)證成功。e)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)e)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登訪談、檢查:1〕訪談網(wǎng)絡(luò)設(shè)備管理員,詢問用戶口令是否滿足復(fù)雜性要求;2〕檢查配置文件中口令是否加密存儲。1〕網(wǎng)絡(luò)設(shè)備用戶口令長度不小于8位,由字母、數(shù)字和特殊字符構(gòu)成,并定期更換;2〕在配置文件中,口令為加密存儲。錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。f)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)f)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。g)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。訪談:訪談設(shè)備管理員,網(wǎng)絡(luò)設(shè)備是否設(shè)置了登錄失敗處理功能。檢查:在允許的情況下,根據(jù)使用的登錄失敗處理方式,采用如下測試方法進(jìn)行測試:a)以錯誤的口令登錄網(wǎng)絡(luò)設(shè)備,觀察反響;b)當(dāng)網(wǎng)絡(luò)登錄連接超時時,觀察連接終端反應(yīng)。訪談:詢問設(shè)備管理員,是否采用了平安的遠(yuǎn)程管理方法。檢查:輸入命令showrunning查看配置文件中是否存在類似如下配置項:linevty04transportinputssh1〕以錯誤的口令登錄網(wǎng)絡(luò)設(shè)備,嘗試次數(shù)超過閥值,網(wǎng)絡(luò)設(shè)備自動斷開連接或鎖定一段時間;2〕正常登錄網(wǎng)絡(luò)設(shè)備后不做任何操作,超過設(shè)定的超時時間后,登錄連接自動退出。1〕使用SSH協(xié)議對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理;2〕沒有采用明文的傳輸協(xié)議對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理;3〕采用第三方管理工具保證遠(yuǎn)程管理的鑒別信息保密。h)檢查交換機(jī)、路由器訪談、檢查:1〕訪談設(shè)備管理員,是否1〕實(shí)現(xiàn)了網(wǎng)絡(luò)設(shè)備特權(quán)用戶的權(quán)限別離,等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備,查看它們的平安配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。實(shí)現(xiàn)了特權(quán)用戶的權(quán)限別離;2〕輸入命令showrunning,檢查配置文件中是否存在類似如下配置項:usernamecisco1privilege0password0ciscousernamecisco1privilege15password0cisco3〕檢查是否部署了日志效勞器對管理員的操作進(jìn)行審計記錄;4〕審計記錄是否有專人管理,非授權(quán)用戶是否無法進(jìn)行操作。不同類型的賬號擁有不同權(quán)限;2〕部署了專用日志效勞器對管理員的操作進(jìn)行審計并記錄;3〕審計記錄有專人管理,非授權(quán)用戶無法進(jìn)行操作。2.5思科交換機(jī)平安測評預(yù)期結(jié)果序號測評指標(biāo)測評項檢查方法預(yù)期結(jié)果交換機(jī)啟用了訪問控制功能,根據(jù)需要配置了訪問控制列表。交換機(jī)啟用了訪問控制功能,根據(jù)需要配置了訪問控制列表。a〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)訪問控制的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查:檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和相關(guān)交換機(jī)配置,查看是否在交換機(jī)上啟用了訪問控制功能。輸入命令showaccess-lists檢查配置文件中是否存在以下類似配置項shourunning,檢查訪問控制列表的控制粒度是否為端口級,如shourunning,檢查訪問控制列表的控制粒度是否為端口級,如access-list101permitudpany55eq21數(shù)據(jù)流提供了明確的訪問控制策略,控制粒度為端口級。墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。c)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安c)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路檢查:檢查防火墻或IPS平安策略是否對重要數(shù)據(jù)流啟用應(yīng)用層協(xié)議檢測、過濾功1〕會話處于非活潑一定時間或會話結(jié)束后,交換時機(jī)終止網(wǎng)防火墻或IPS開啟了重要數(shù)據(jù)流應(yīng)用層協(xié)議檢測、過濾功能,可以對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議進(jìn)行控制。由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。d)檢查防火訪談:訪談系統(tǒng)管理墻等網(wǎng)絡(luò)訪員,是否在會話處于問控制設(shè)非活潑一定時間或會備,測試系話結(jié)束后終止網(wǎng)絡(luò)連絡(luò)連接;2〕交換機(jī)統(tǒng)對外暴露平安漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。接;檢查:輸入命令showrunning,查看配置中是否存在命令設(shè)定管理會話的超時時間:linevty04exec-timeoutxx配置中存在會話超時相關(guān)配置。e)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查:1〕在網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的交換機(jī)是否配置了網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù);2〕是否有專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。1〕網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的交換機(jī)配置了合理QOS策略,優(yōu)化了網(wǎng)絡(luò)最大流量數(shù);2〕通過專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。f)f)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評檢查:是否通過IP/MAC綁定手段防止地址欺騙,輸入命令showrunning,檢查配置文件中是否存在arp綁定配置:1〕通過配置命令進(jìn)行IP/MAC地址綁定防止地址欺騙;2〕通過專用軟件或設(shè)備進(jìn)行IP/MAC地址綁定防止地址欺騙。分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。g〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查:1〕是否針對單個遠(yuǎn)程撥號用戶或VPN用戶訪問受控資源進(jìn)行了有效控制;2〕以撥號或VPN等方式接入網(wǎng)絡(luò)的,是否采用強(qiáng)認(rèn)證方式。1〕對單個遠(yuǎn)程撥號用戶或VPN用戶訪問受控資源進(jìn)行了有效控制;2〕通過撥號或VPN等方式接入網(wǎng)絡(luò)時,采用了強(qiáng)認(rèn)證方式〔證書、KEY等〕。h〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露平安漏洞情況等,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)檢查:是否限制具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。限制了具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。的網(wǎng)絡(luò)隔離與訪問控制能力;檢查撥號接入路由器,測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。a)a)檢查核心交換機(jī)、路由
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年教育咨詢服務(wù)與人才交流合同
- 2024年文化合作:藝術(shù)品投資合同范本
- 2024年技術(shù)出口與進(jìn)口法律指南
- 專題16種群密度和群落物種豐富度的取樣調(diào)查-2023年高考生物畢業(yè)班二輪熱點(diǎn)題型歸納與變式演練(原卷版)
- 有關(guān)教師實(shí)習(xí)個人工作總結(jié)3000字
- 2024年工程建設(shè)合同的復(fù)雜屬性描述
- DB4106T 81-2022 農(nóng)產(chǎn)品檢驗檢測報告編制規(guī)范
- 2024小學(xué)四年級新學(xué)期班務(wù)工作計劃(3篇)
- 2024年房產(chǎn)按揭借款抵押合同樣本
- 2024年文員創(chuàng)始人合同
- 鏡頭的角度和方位課件
- 污水處理常用藥劑簡介知識講解課件
- 五年級上冊英語課件-Unit 1《My future》第1課時牛津上海版(三起) (共28張PPT)
- 光交接箱施工規(guī)范方案
- 氣溫和降水學(xué)案
- 普及人民代表大會制度知識競賽試題庫(1000題和答案)
- 國家電網(wǎng)公司施工項目部標(biāo)準(zhǔn)化管理手冊(2021年版)線路工程分冊
- 《汽車低壓線束設(shè)計規(guī)范》
- 工程項目增加簽證單
- 被一部電影感動記韓國電影《鳴梁海戰(zhàn)》觀后感
- 六年級數(shù)學(xué)上冊教案-《百分?jǐn)?shù)》青島版
評論
0/150
提交評論