GBT222392019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)二級等保2.0各要求控制點(diǎn)解讀及測評方法及預(yù)期證據(jù)

GBT22239-2019信息平安技術(shù)網(wǎng)絡(luò)平安等級保護(hù)二級等保2.0各要求控制點(diǎn)解讀及測評方法及預(yù)期證據(jù)平安物理環(huán)境控制點(diǎn)平安要求要求解讀測評方法預(yù)期結(jié)果或主要證據(jù)物理位置選擇a)機(jī)房場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)機(jī)房場地所在的建筑物要具有防震、防風(fēng)和防雨等的能力1)核查是否有建筑物抗震設(shè)防審批文檔

2)核查是否有雨水滲漏的痕跡

3)核查是否有可靈活開啟的窗戶，假設(shè)有窗戶，是否做了封閉、上鎖等防護(hù)措施

4)核查屋頂、墻體、門窗和地面等是否有破損開裂的情況1)機(jī)房具有驗(yàn)收文檔

2)天花板、窗臺下無水滲漏的現(xiàn)象

3)機(jī)房無窗戶，有窗戶且做了防護(hù)措施

4)現(xiàn)場觀測屋頂、墻體、門窗和地面等無開裂的情況b)機(jī)房場地應(yīng)防止設(shè)在建筑物的頂層或地下室，否則應(yīng)加強(qiáng)防水和防潮措施，機(jī)房場地要防止設(shè)置在建筑物的頂層或地下室。如果因?yàn)槟承┰驘o法防止時，設(shè)置在建筑物頂層或地下室的機(jī)房需要加強(qiáng)防水和防潮措施1)核查機(jī)房是否在頂層或地下室

2)假設(shè)是，核查機(jī)房是否采取了防水和防潮措施1)非建筑物頂層或地下室

2)在頂層或地下室的，做了嚴(yán)格的防水防潮措施物理訪問控制機(jī)房出入口應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員為防止非授權(quán)人員進(jìn)入機(jī)房，需要安裝電子門禁系統(tǒng)對機(jī)房及機(jī)房內(nèi)區(qū)域的出入人員實(shí)施訪問控制，防止由于非授權(quán)人員的擅自進(jìn)入，造成系統(tǒng)運(yùn)行中斷、設(shè)備喪失或損壞、數(shù)據(jù)被竊取或篡改，并可利用系統(tǒng)實(shí)現(xiàn)對人員進(jìn)入情況的記錄1)核查出入口是否配置電子門禁系統(tǒng)

2)核查電子門禁系統(tǒng)是否開啟并正常運(yùn)行

3)核查電子門禁系統(tǒng)是否可以鑒別、記錄進(jìn)入的人員信息1)機(jī)房出入口是配備電子門禁

2)電子門禁系統(tǒng)工作正常，可對進(jìn)出人員進(jìn)行鑒別防盜竊和防破壞a)應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)識對于安放在機(jī)房內(nèi)用于保障系統(tǒng)正常運(yùn)行的設(shè)備或主要部件需要進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記用于識別

1)核查機(jī)房內(nèi)設(shè)備或主要部件是否固定

2)核查機(jī)房內(nèi)設(shè)備或主要部件上是否設(shè)置了明顯且不易除去的標(biāo)記1)機(jī)房內(nèi)設(shè)備均放置在機(jī)柜或機(jī)架，并已固定

2)設(shè)備或主要部件均設(shè)置了不易除去的標(biāo)識、標(biāo)志，如使用粘貼方式則不能有翹起b)應(yīng)將通信線纜鋪設(shè)在隱蔽平安處機(jī)房內(nèi)通信線纜需要鋪設(shè)在隱蔽平安處，防止線纜受損核查機(jī)房內(nèi)通信線纜是否鋪設(shè)在隱蔽平安處機(jī)房通信線纜鋪設(shè)在線槽或橋架里c)應(yīng)設(shè)置機(jī)房防盜報警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)機(jī)房需要安裝防盜報警系統(tǒng)，或在安裝視頻監(jiān)控系統(tǒng)的同時安排專人進(jìn)行值守，防止盜竊和惡意破壞行為的發(fā)生1)核查是否配置防盜報警系統(tǒng)或?qū)Ｈ酥凳氐囊曨l監(jiān)控系統(tǒng)

2)核查防盜報警系統(tǒng)或視頻監(jiān)控系統(tǒng)是否開啟并正常運(yùn)行1)機(jī)房內(nèi)配置了防盜報警系統(tǒng)或?qū)Ｈ酥凳氐囊曨l監(jiān)控系統(tǒng)

2〕現(xiàn)場觀測時監(jiān)控系統(tǒng)正常工作防雷擊a)應(yīng)將各類機(jī)柜、設(shè)施和設(shè)備等通過接地系統(tǒng)平安接地在機(jī)房內(nèi)對機(jī)柜、各類設(shè)施和設(shè)備采取接地措施，防止雷擊對電子設(shè)備產(chǎn)生

損害核查機(jī)房內(nèi)機(jī)柜、設(shè)施和設(shè)備等是否進(jìn)行接地處理，通常黃綠色相間的電線為接地用線機(jī)房內(nèi)所有機(jī)柜、設(shè)施和設(shè)備等均已采取了接地的控制措施b)應(yīng)采取措施防止感應(yīng)雷，例如設(shè)置防雷保安器或過壓保護(hù)裝置等在機(jī)房內(nèi)安裝防雷保安器或過壓保護(hù)等裝置,防止感應(yīng)雷對電子設(shè)備產(chǎn)生損害1)核查機(jī)房內(nèi)是否設(shè)置防感應(yīng)雷措施

2)核查防雷裝置是否通過驗(yàn)收或國家有關(guān)部門的技術(shù)檢測1)機(jī)房內(nèi)設(shè)置了防感應(yīng)雷措施，如設(shè)置了防雷感應(yīng)器、防浪涌插座等

2)防雷裝置通過了國家有關(guān)部門的技術(shù)檢測防火

a)機(jī)房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng),能夠自動檢測火情、自動報警,并自動滅火機(jī)房內(nèi)需要設(shè)置火災(zāi)自動消防系統(tǒng)，可在發(fā)生火災(zāi)時進(jìn)行自動檢測、報警和滅火，如采用自動氣體消防系統(tǒng)、自動噴淋消防系統(tǒng)等1〕核查機(jī)房內(nèi)是否設(shè)置火災(zāi)自動消防系統(tǒng)

2)核查火災(zāi)自動消防系統(tǒng)是否可以自動檢測火情、自動報警并自動滅火

3)核查火災(zāi)自動消防系統(tǒng)是否通過驗(yàn)收或國家有關(guān)部門的技術(shù)檢測1)機(jī)房內(nèi)設(shè)置火災(zāi)自動消防系統(tǒng)

2)現(xiàn)場觀測時火災(zāi)自動消防系統(tǒng)工作正常b)機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級的建筑材料機(jī)房內(nèi)需要采用具有耐火等級的建筑材料，防止火災(zāi)的發(fā)生和火勢蔓延核查機(jī)房驗(yàn)收文檔是否明確所用建筑材料的耐火等級機(jī)房所有材料為耐火材料，如使用墻體、防火玻璃等，但使用金屬柵欄的不能算符合c〕應(yīng)對機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置隔離防火措施機(jī)房內(nèi)需要進(jìn)行區(qū)域劃分并設(shè)置隔離防火措施，防止水災(zāi)發(fā)生后火勢蔓延1)核查是否進(jìn)行了區(qū)域劃分

2)核查各區(qū)域間是否采取了防火隔離措施1)機(jī)房進(jìn)行了區(qū)域劃分，如過渡區(qū)、主機(jī)房

2)區(qū)域間部署了防火隔離裝置防水和防潮a〕應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透機(jī)房內(nèi)需要采取防滲漏措施，防止窗戶、屋頂和墻壁存在水滲透情況核查窗戶、屋頂和墻壁是否采取了防滲漏的措施機(jī)房采取了防雨水滲透的措施，如封鎖了窗戶并采取了防水、屋頂和墻壁均采取了防雨水滲透的措施b)應(yīng)采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透機(jī)房內(nèi)需要采取防結(jié)露和排水措施，防止水蒸氣結(jié)露和地面產(chǎn)生積水1)核查是否采取了防止水蒸氣結(jié)露的措施

2)核查是否采取了排水措施，防止地面產(chǎn)生積水1)機(jī)房內(nèi)配備了專用的精密空調(diào)來防止水蒸氣結(jié)露的控制措施

2)機(jī)房內(nèi)部署了漏水檢測裝置，可以對漏水進(jìn)行監(jiān)控報警c)應(yīng)安裝對水敏感的檢測儀表或元件，對機(jī)房進(jìn)行防水檢測和報警機(jī)房內(nèi)需要布設(shè)對水敏感的檢測裝置，對滲水、漏水情況進(jìn)行檢測和報警1)核查是否安裝了對水敏感的檢測裝置

2)核查防水檢測和報警裝置是否開啟并正常運(yùn)行1)機(jī)房內(nèi)部署了漏水檢測裝置，如漏水檢測繩等

2)檢測和報警工作正常防靜電a)應(yīng)采用防靜電地板或地面并采用必要的接地防靜電措施機(jī)房內(nèi)需要安裝防靜電地板或在地面采取必要的接地措施,防止靜電的產(chǎn)生1)核查是否安裝了防靜電地板

2)核查是否采用了防靜電接地措施1)機(jī)房部署了防靜電地板

2)機(jī)房采用了接地的防靜電措施b)應(yīng)采取措施防上靜電的產(chǎn)生，例如采用靜電消除器、佩戴防靜電手環(huán)等。機(jī)房內(nèi)需要配備靜電消除器E佩戴防靜電手環(huán)等消除靜電的設(shè)備。核查機(jī)房內(nèi)是否配備了靜電消除設(shè)備。機(jī)房配備了防靜電設(shè)備濕溫度控制應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)機(jī)房內(nèi)需要安裝溫、濕度自動調(diào)節(jié)裝置，如空調(diào)、除濕機(jī)、通風(fēng)機(jī)等，使機(jī)房內(nèi)溫、濕度的變化在適宜設(shè)備運(yùn)行所允許的范圍之內(nèi)。通常機(jī)房內(nèi)適宜的溫度范圍是18~27℃，空氣濕度范圍是35~75%1)核查機(jī)房內(nèi)是否配備了專用空調(diào)

2)核查機(jī)房內(nèi)溫濕度是否在設(shè)備運(yùn)行所允許的范圍之內(nèi)1)機(jī)房內(nèi)配備了專用的精密空調(diào)

2)機(jī)房內(nèi)溫濕度設(shè)置在20-25,濕度為:40%-60%電力供給a)應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備機(jī)房供電線路上需要安裝電流穩(wěn)壓器和電壓過載保護(hù)裝置,防止電力波動對電子設(shè)備造成損害核查供電線路上是否配置了穩(wěn)壓器和過電壓防護(hù)設(shè)備1)機(jī)房的計算機(jī)系統(tǒng)供電線路上設(shè)置了穩(wěn)壓器和過電壓防護(hù)設(shè)備

2)現(xiàn)場觀測時穩(wěn)壓器和過電壓防護(hù)設(shè)備可正常工作b)應(yīng)提供短期的備用電力供給，至少滿足設(shè)備在斷電情況下的正常運(yùn)行要求機(jī)房供電需要配備不間斷電源(UPS)或備用供電系統(tǒng)，如備用發(fā)電機(jī)或使用第三方提供的備用供電效勞，防止電力中斷對設(shè)備運(yùn)轉(zhuǎn)和系統(tǒng)運(yùn)行造成損害1)核查是否配備不間斷電源(UPS)等備用供電系統(tǒng)

2)核查不間斷電源(UPS)等備用供電系統(tǒng)的運(yùn)行切換記錄和檢修維護(hù)記錄1)機(jī)房配備了UPS后備電源系統(tǒng)

2)UPS能夠滿足短期斷電時的供電要求c)應(yīng)設(shè)置冗余或并行的電力電纜線路為計算機(jī)系統(tǒng)供電機(jī)房供電需要使用冗余或并行的電力電纜線路，防止電力中斷對設(shè)備運(yùn)轉(zhuǎn)和系統(tǒng)運(yùn)行造成損害核查是否設(shè)置了冗余或并行的電力電纜線路為計算機(jī)系統(tǒng)供電為機(jī)房配備了冗余的供電線路，如市電雙路接入電磁防護(hù)a)電源線和通信線纜應(yīng)隔離鋪設(shè)，防止互相干擾機(jī)房內(nèi)電源線和通信線纜需要隔離鋪設(shè)在不同的管道或橋架內(nèi),防止電磁輻射和干擾對設(shè)備運(yùn)轉(zhuǎn)和系統(tǒng)運(yùn)行產(chǎn)生的影響核查機(jī)房內(nèi)電源線纜和通信線纜是否隔離鋪設(shè)機(jī)房內(nèi)電源線纜和通信線纜隔離鋪設(shè)，如通過線槽或橋架進(jìn)行了隔離b)應(yīng)對關(guān)鍵設(shè)備實(shí)施電磁屏蔽機(jī)房內(nèi)關(guān)鍵設(shè)備需要安放在電磁屏蔽機(jī)柜內(nèi)或電磁屏蔽區(qū)域內(nèi),防止電磁輻

射和干擾對設(shè)備運(yùn)轉(zhuǎn)和系統(tǒng)運(yùn)行產(chǎn)生的影響核查機(jī)房內(nèi)是否為關(guān)鍵設(shè)備配備了電磁屏蔽裝置為關(guān)鍵設(shè)備采取了電磁屏蔽措施，如配備了屏蔽機(jī)柜或屏蔽機(jī)房，關(guān)鍵設(shè)備

如加密機(jī)平安通信網(wǎng)絡(luò)控制點(diǎn)平安要求要求解讀測評方法預(yù)期結(jié)果或主要證據(jù)網(wǎng)絡(luò)架構(gòu)

a)應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)頂峰期需要為了保證主要網(wǎng)絡(luò)設(shè)備具備足夠處理能力，應(yīng)定期檢查設(shè)備資源占用情況，確保設(shè)備的業(yè)務(wù)處理能力具備冗余空間。1)應(yīng)訪談網(wǎng)絡(luò)管理員業(yè)務(wù)頂峰時期為何時，核查邊界設(shè)備和主要網(wǎng)絡(luò)設(shè)備的處理能力是否滿足業(yè)務(wù)頂峰期需要，詢問采用何種手段對主要網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)控。

以華為交換機(jī)為例，輸入命令"displaycpu-usage","displaymemory-usage"查看相關(guān)配置。一般來說，在業(yè)務(wù)頂峰期主要網(wǎng)絡(luò)設(shè)備的CPU內(nèi)存最大使用率不宜超過70%，也可以通過綜合網(wǎng)管系統(tǒng)查看主要網(wǎng)絡(luò)設(shè)備的CPU、內(nèi)存的使用情況

2)應(yīng)訪談或核查是否因設(shè)備處理能力缺乏而出現(xiàn)過宕機(jī)情況，可核查綜合網(wǎng)管系統(tǒng)告警日志或設(shè)備運(yùn)行時間等，或者訪談是否因設(shè)備處理能力缺乏而進(jìn)行設(shè)備升級。

以華為設(shè)備為例，輸入命令"displayversion〞，查看設(shè)備在線時長，如設(shè)備在線時間在近期有重啟可詢問原因

3)應(yīng)核查設(shè)備在一段時間內(nèi)的性能峰值，結(jié)合設(shè)備自身的承載性能，分析是否能夠滿足業(yè)務(wù)處理能力1)設(shè)備CPU和內(nèi)存使用率峰值不大于70%，通過命令核查相關(guān)使用情況：

<Huawei>displaycpu-usage

CPUUsageStat，Cycle:60(Second)

CPUUsage:3%Max:45%.

CPUUsageStat.Time:2?18-05-2616:58:16

CPUutilizationforfiveseconds:15%:oneminute:15%:fiveminutes:15%

<Huawei>displaymemory-usage

CPUutilizationforfiveseconds:15%:oneminute:15%:fiveminutes:15%

SystemTotalMemoryIs:75312648bytes

TotalMemoryUsedIs:45037704bytes

MemoryUsingPercentageIs:59%

2)未出現(xiàn)宕機(jī)情況，網(wǎng)管平臺未出現(xiàn)宕機(jī)告警日志，設(shè)備運(yùn)行時間較長:

<Huawei>displayversion

HuaweiVersatileRoutingPlatformSoftware

VRP(R)software,Version5.130(AR1200V200ROO3C0O

Copyright(C)2011-2012HUAWEITECHCo.,LTD

HuaweiAR1220Routeruptimeis0week,0day,0hour,1minute

MPU0(Master):uptimeis0week,0day,0hour,Iminute

3)業(yè)務(wù)頂峰流量不超過設(shè)備處理能力的70%b)應(yīng)保證網(wǎng)絡(luò)各個局部的帶寬滿足業(yè)務(wù)頂峰期需要為了保證業(yè)務(wù)效勞的連續(xù)性，應(yīng)保證網(wǎng)絡(luò)各個局部的帶寬滿足業(yè)務(wù)頂峰期需要。如果存在帶寬無法滿足業(yè)務(wù)頂峰期需要的情況，則需要在主要網(wǎng)絡(luò)設(shè)備上進(jìn)行帶寬配置，保證關(guān)鍵業(yè)務(wù)應(yīng)用的帶寬需求1)應(yīng)訪談管理員頂峰時段的流量使用情況，是否部署流量控制設(shè)備對關(guān)鍵業(yè)務(wù)系統(tǒng)的流量帶寬進(jìn)行控制，或在相關(guān)設(shè)備上啟用QoS配置，對網(wǎng)絡(luò)各個局部進(jìn)行帶寬分配，從而保證業(yè)務(wù)頂峰期業(yè)務(wù)效勞的連續(xù)性

2)應(yīng)該查綜合網(wǎng)管系統(tǒng)在業(yè)務(wù)商峰時段的帶寬占用情況，分析是否滿足業(yè)務(wù)需求。如果無法滿足業(yè)務(wù)高蜂期需要，則需要在主要網(wǎng)絡(luò)設(shè)備上進(jìn)行帶寬配置

3)測試驗(yàn)證網(wǎng)絡(luò)各個局部的帶寬是否滿足業(yè)務(wù)頂峰期需求1)在各個關(guān)鍵節(jié)點(diǎn)部署流量監(jiān)控系統(tǒng)，能夠監(jiān)測網(wǎng)絡(luò)中的實(shí)時流量，部署流量控制設(shè)備，在關(guān)鍵節(jié)點(diǎn)設(shè)備品置QoS策略，對關(guān)健業(yè)務(wù)系統(tǒng)的流量帶寬進(jìn)行控制

2)節(jié)點(diǎn)設(shè)備配置了流量監(jiān)管和流量整形策略;

流量監(jiān)管配置:

class-map：class-1

bandwidthpercent50

bandwidth5000(kbps〕maxthreshold64(packets)

class-map：class-2

bandwidthpercent15

bandwidth1500(kbps)maxthreshold64(packets)

流量整形配置:

trafficclassifierc1operatoror

if-matchacl3002

trafficbehaviorb1

remarklocal-precedenceaf3

trafficpolicyp1

classifierc1behaviorb1

interfacegigabitethernet3/0/0

traffic-policyp1inbound

3)各通信鏈路頂峰流量均不大其帶寬的70%c)應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址根據(jù)實(shí)際情況和區(qū)域平安防護(hù)要求，應(yīng)在主要網(wǎng)絡(luò)設(shè)備上進(jìn)行VLAN劃分。VLAN是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成不同子網(wǎng)從而實(shí)現(xiàn)虛擬工作組的新技術(shù)。不同VLAN內(nèi)的報文在傳輸時是相互隔離的,即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備實(shí)現(xiàn)應(yīng)訪談網(wǎng)絡(luò)管理員，是否依據(jù)部門的工作職能、等級保護(hù)對象的重要程度和應(yīng)用系統(tǒng)的級別等實(shí)際情況和區(qū)域平安防護(hù)要求劃分了不同的VLAN,并核查相關(guān)網(wǎng)絡(luò)設(shè)備配置信息，驗(yàn)證劃分的網(wǎng)絡(luò)區(qū)域是否與劃分原則一致。

以CiscoIOS為例，輸入命令“showvlanbrief〞,查看相關(guān)配置劃分不同的網(wǎng)絡(luò)區(qū)域，按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址，不同網(wǎng)絡(luò)區(qū)域之間應(yīng)采取邊界防護(hù)措施:

10serveractive

20useractive

30testactive

99managementactived)應(yīng)防止將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段為了保證等級保護(hù)對象的平安，應(yīng)防止將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部等級保護(hù)對象，防止來自外部等級保護(hù)對象的攻擊。同時，應(yīng)在重要網(wǎng)段和其它網(wǎng)段之間配置平安策略進(jìn)行訪問控制1)應(yīng)核查網(wǎng)絡(luò)拓?fù)鋱D是否與實(shí)際網(wǎng)絡(luò)運(yùn)行環(huán)境一致

2)應(yīng)核查重要網(wǎng)絡(luò)區(qū)域是否未部署在網(wǎng)絡(luò)邊界處；網(wǎng)絡(luò)區(qū)域邊界處是否部署了平安防護(hù)措施

3)應(yīng)核查重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間，例如應(yīng)用系統(tǒng)區(qū)、數(shù)據(jù)庫系統(tǒng)區(qū)等重要網(wǎng)絡(luò)區(qū)域邊界是否采取可靠的技術(shù)隔離手段，是否部署了網(wǎng)閘、防火墻和設(shè)備訪問控制列表(ACL)等1)網(wǎng)絡(luò)拓?fù)鋱D與實(shí)際網(wǎng)絡(luò)運(yùn)行環(huán)境一致

2〕重要網(wǎng)絡(luò)區(qū)域未部署在網(wǎng)絡(luò)邊界處

3)在重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間部署了網(wǎng)閘、防火墻等平安設(shè)備實(shí)現(xiàn)了技術(shù)隔離e)應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計算設(shè)備的硬件冗余，保證系統(tǒng)的可用性本要求雖然放在“平安通信網(wǎng)絡(luò)〞分類中，實(shí)際是要求整個網(wǎng)絡(luò)架構(gòu)設(shè)計需要冗余。為了防止網(wǎng)絡(luò)設(shè)備或通信線路出現(xiàn)故障時引起系統(tǒng)中斷，應(yīng)采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以確保在通信線路或設(shè)備故障時提供備用方案，有效增強(qiáng)網(wǎng)絡(luò)的可靠性應(yīng)核查系統(tǒng)的出口路由器、核心交換機(jī)、平安設(shè)備等關(guān)鍵設(shè)備是否有硬件冗余和通信線路冗余，保證系統(tǒng)的高可用性采用HSRP、VRRP等冗余技術(shù)設(shè)計網(wǎng)絡(luò)架構(gòu)，確保在通信線路或設(shè)備故障時網(wǎng)絡(luò)不中斷，有效增強(qiáng)網(wǎng)絡(luò)的可靠性通信傳輸a)應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性為了防止數(shù)據(jù)在通信過程中被修改或破壞，應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性，這些數(shù)據(jù)包括鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等1)應(yīng)核查是否在數(shù)據(jù)傳輸過程中使用校驗(yàn)技術(shù)或密碼技術(shù)來保證其完整性

2)應(yīng)測試驗(yàn)證設(shè)備或組件是否保證通信過程中數(shù)據(jù)的完整性。例如使用FileChecksumIntegrityVerifier、SigCheck等工具對數(shù)據(jù)進(jìn)行完整性校驗(yàn)1)對鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息數(shù)據(jù)等采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性;

2)FileChecksumIntegrityVerifier計算數(shù)據(jù)的散列值，驗(yàn)證數(shù)據(jù)的完整性b)應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性根據(jù)實(shí)際情況和平安防護(hù)要求，為了防止信息被竊聽，應(yīng)采取技術(shù)手段對通信過程中的敏感信息字段或整個報文加密，可采用對稱加密、非對稱加密等方式實(shí)現(xiàn)數(shù)據(jù)的保密性1)應(yīng)核查是否在通信過程中采取保密措施，具體采用哪些技術(shù)措施

2)應(yīng)測試驗(yàn)證在通信過程中是否對敏感信息字段或整個報文進(jìn)行加密，可使用Sniffer、Wireshark等測試工具通過流量鏡像等方式抓取網(wǎng)絡(luò)中的數(shù)據(jù),驗(yàn)證數(shù)據(jù)是否加密1)對鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)，重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息數(shù)據(jù)等采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性

2)Sniffer.Wireshak可以監(jiān)視到信息的傳送，但是顯示的是加密報文可信驗(yàn)證可基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證，在檢測到其可信性受到破壞后進(jìn)行報警，并將驗(yàn)證結(jié)果形成審計記錄送至平安管理中心通信設(shè)備可能包括交換機(jī)、路由器或其他通信設(shè)備等，通過設(shè)備的啟動過程和運(yùn)行過程中對預(yù)裝軟件(包括系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、相關(guān)應(yīng)用程序和重要配置參數(shù))的完整性驗(yàn)證或檢測，確保對系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和關(guān)鍵應(yīng)用程序的篡改行為能被發(fā)現(xiàn)，并報警便于后續(xù)的處置動作1)應(yīng)核查是否基于可信根對設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和關(guān)鍵應(yīng)用程序等進(jìn)行可信驗(yàn)證

2)應(yīng)核查是否在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證

3)應(yīng)測試驗(yàn)證當(dāng)檢測到設(shè)備的可信性受到破壞后是否進(jìn)行報警

4)應(yīng)測試驗(yàn)證結(jié)果是否以審計記錄的形式送至平安管理中心

(2.3)1)通信設(shè)備、交換機(jī)、路由器或其他通信設(shè)備具有可信根芯片或硬件

2)啟動過程基于可信根對系統(tǒng)引導(dǎo)程序、系統(tǒng)程序，重要配置參數(shù)和關(guān)鍵應(yīng)用程序等進(jìn)行可信驗(yàn)證度量

3)在檢測到其可信性受到破壞后進(jìn)行報警，并將驗(yàn)證結(jié)果形成審計記錄送至平安管理中心

4)平安管理中心可以接收設(shè)備的驗(yàn)證結(jié)果記錄

(2.3)平安區(qū)域邊界控制點(diǎn)平安要求要求解讀測評方法預(yù)期結(jié)果或主要證據(jù)邊界防護(hù)a)應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信為了保障數(shù)據(jù)通過受控邊界，應(yīng)明確網(wǎng)絡(luò)邊界設(shè)備，并明確邊界設(shè)備物理端口，網(wǎng)絡(luò)外連鏈路僅能通過指定的設(shè)備端口進(jìn)行數(shù)據(jù)通信1)應(yīng)核查網(wǎng)絡(luò)拓?fù)鋱D與實(shí)際的網(wǎng)絡(luò)鏈路是否一致，是否明確了網(wǎng)絡(luò)邊界，且明確邊界設(shè)備端口。

2)應(yīng)核查路由配置信息及邊界設(shè)備配置信息，確認(rèn)是否指定物理端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信。

以CiscoI0S為例，輸入命令“router#showrunning-config〞，查看相關(guān)配置。

3)應(yīng)采用其他技術(shù)手段核查是否不存在其他未受控端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信,例如檢測無線訪問情況，可使用無線嗅探器、無線入侵檢測/防御系統(tǒng)、手持式無線信號檢測系統(tǒng)等相關(guān)工具進(jìn)行檢測

1)查看網(wǎng)絡(luò)拓?fù)鋱D，并比對實(shí)際的網(wǎng)絡(luò)鏈路，確認(rèn)網(wǎng)絡(luò)邊界設(shè)備及鏈路接入端口無誤

2)通過相關(guān)命令顯示設(shè)備端口、Vlan信息

interfaceIP-Address0K?MethodStatusProtocol

FastEehernet0/0YESmanualupup

FastEehernet0/1YESmanualupup

Vlan1unassignedYESmanualdowndown(administratively)

顯示路由信息IProute.192.168.12

3)通過網(wǎng)絡(luò)管理系統(tǒng)的自動拓?fù)浒l(fā)現(xiàn)功能，監(jiān)控是否存在非授權(quán)的網(wǎng)絡(luò)出口鏈路;通過無線嗅探器排查無線網(wǎng)絡(luò)的使用情況，確認(rèn)無非授權(quán)WiFi

b)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制設(shè)備的“非授權(quán)接入〞可能會破壞原有的邊界設(shè)計謀略，可以采用技術(shù)手段和管理措施對“非授權(quán)接入〞行為進(jìn)行檢查。技術(shù)手段包括部署內(nèi)網(wǎng)平安管理系統(tǒng)，關(guān)閉網(wǎng)絡(luò)設(shè)備未使用的端口，綁定IP/MAC地址等1)應(yīng)訪談網(wǎng)絡(luò)管理員，詢問采用何種技術(shù)手段或管理措施對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行管控，并在網(wǎng)絡(luò)管理員的配合下驗(yàn)證其有效性

2)應(yīng)核查所有路由器和交換機(jī)等設(shè)備閑置端口是否均已關(guān)閉。

以CiscoI0S為例，輸入命令"showipinterfacesbrief〞

3)如通過部署內(nèi)網(wǎng)平安管理系統(tǒng)實(shí)現(xiàn)系統(tǒng)準(zhǔn)入，應(yīng)檢查各終端設(shè)備是否統(tǒng)一進(jìn)行了部署，是否存在不可控特殊權(quán)限接入設(shè)備

4〕如果采用了IP/MAC地址綁定的方式進(jìn)行準(zhǔn)入控制，應(yīng)核查接入層網(wǎng)絡(luò)設(shè)備是否配置了IP/MAC地址綁定等措施以CiscoI0S為例，輸入命令"showiparp〞1)非使用的端口均已關(guān)閉，查看設(shè)備配置中是否存在如下類似配置：

InterfaceFastEthernet0/1shutdown

2)網(wǎng)絡(luò)中部署的終端管理系統(tǒng)已啟用，且各終端設(shè)備均已有效部署，無特權(quán)設(shè)備

3)IP/MAC地址綁定結(jié)果，查看設(shè)備配置中是否存在如下類似配置：

arp0000.e268.9890arpac)應(yīng)能夠?qū)?nèi)部用戶非授權(quán)連到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制內(nèi)網(wǎng)用戶設(shè)備上的外部連接端口的“非授權(quán)外聯(lián)“行為也可能破壞原有的過界設(shè)計謀略，可以通成內(nèi)網(wǎng)平安管理系統(tǒng)的非授權(quán)外聯(lián)管控功能或者防非法外聯(lián)系統(tǒng)實(shí)現(xiàn)“非授權(quán)外聯(lián)〞行為的控制，由于內(nèi)網(wǎng)平安管理系統(tǒng)可實(shí)現(xiàn)包括非授權(quán)外連管控在內(nèi)的眾多的管理功能，建議c采用該項(xiàng)措施。通過對用戶非授權(quán)建立網(wǎng)絡(luò)連接訪問非可信網(wǎng)絡(luò)的行為進(jìn)行管控，從而減少平安風(fēng)險的引入1)應(yīng)核查是否采用內(nèi)網(wǎng)平安管理系統(tǒng)或其它技術(shù)手段，對內(nèi)部用戶非授權(quán)連接到外部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查

2)應(yīng)核查是否限制終端設(shè)備相關(guān)端口的使用，如禁用雙網(wǎng)卡、USB接口、Modem、無線網(wǎng)絡(luò)等，防止內(nèi)部用戶非授權(quán)外連行為1)網(wǎng)絡(luò)中部署有終端平安管理系統(tǒng)，或非授權(quán)外聯(lián)管控系統(tǒng)

2)網(wǎng)絡(luò)中各類型終端設(shè)備均已正確部署了終端平安管理系統(tǒng)或外聯(lián)管控系統(tǒng)，并啟用了相關(guān)策略，如禁止更改網(wǎng)絡(luò)配置，禁用雙網(wǎng)卡、USB接口.、Mode、無線網(wǎng)絡(luò)等a)應(yīng)限制無線網(wǎng)絡(luò)的使用，保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)為了防止未經(jīng)授權(quán)的無線網(wǎng)絡(luò)接入行為，無線網(wǎng)絡(luò)應(yīng)單獨(dú)組網(wǎng)并通過無線接入網(wǎng)關(guān)等受控的邊界防護(hù)設(shè)備接入到內(nèi)部有線網(wǎng)絡(luò)。同時，應(yīng)部署無線網(wǎng)絡(luò)管控措施，對分非授權(quán)無線網(wǎng)絡(luò)進(jìn)行檢測、屏蔽1)應(yīng)訪談網(wǎng)絡(luò)管理員是否有授權(quán)的無線網(wǎng)絡(luò)，是否單獨(dú)組網(wǎng)后接入到有線網(wǎng)絡(luò)

2)應(yīng)核查無線網(wǎng)絡(luò)部署方式，是否部署無線接入網(wǎng)關(guān)，無線網(wǎng)絡(luò)控制器等設(shè)備。應(yīng)檢查該類型設(shè)備配置是否合理，如無線網(wǎng)絡(luò)設(shè)備信道使用是否合理，用戶口令是否具備足夠強(qiáng)度、是否使用WPA2加密方式等

3)應(yīng)核查網(wǎng)絡(luò)中是否部署了對非授權(quán)無線設(shè)備管控措施，能夠?qū)Ψ鞘跈?quán)無線設(shè)備進(jìn)行檢查、屏蔽。如使用無線嗅探器、無線入侵檢測/防御系統(tǒng)、手持式無線信號檢測系統(tǒng)等相關(guān)工具進(jìn)行檢測、限制1)授權(quán)的無限網(wǎng)絡(luò)通過無線接入網(wǎng)管，并通過防火墻等訪問控制設(shè)備接入到有限網(wǎng)絡(luò)。無線網(wǎng)絡(luò)使用了1信道，防止設(shè)備間互相干擾;使用WPA2進(jìn)行加密;且用戶密碼具備復(fù)雜度要求，如:口令長度8位以上，由數(shù)字、字母、大小寫及特殊字符組成

2)通過無線嗅探器未發(fā)現(xiàn)非授權(quán)無線設(shè)備訪問控制a)應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間部署網(wǎng)閘，防火墻、路由器、交換機(jī)和無線接入網(wǎng)關(guān)等提供訪問控制功能的設(shè)備或相關(guān)組件，想據(jù)訪問控制策略設(shè)置有效的訪問控制規(guī)則，訪問控制規(guī)測采用白名單機(jī)制1)應(yīng)核查在網(wǎng)絡(luò)邊界或區(qū)域之間是否部署訪問控制設(shè)備，是否啟用訪問控制策略

2)應(yīng)核查設(shè)備的訪問控制策略是否為白名單機(jī)制，僅允許授權(quán)的用戶訪問網(wǎng)絡(luò)資源，禁止其他所有的網(wǎng)絡(luò)訪問行為

3)應(yīng)該檢查配置的訪問控制策略是否實(shí)際應(yīng)用到相應(yīng)的接口的進(jìn)或出方向。

以CiscoI0S為例，輸入命令""Showrunning-config"，檢查配置文件中訪問控制策略設(shè)備訪問控制策略具體如下：

access-list100permittcp55host0eq3389

access-list100permittcp0.0.0.255host1eq3389

access-list100denyipanyany

interfaceGigabitEthernet1/1

ipaccess-group100inb)應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化根據(jù)實(shí)際業(yè)務(wù)需求配置訪問控制策略，僅開放業(yè)務(wù)必須的端口，禁止配置全通策略，保證邊界訪問控制設(shè)備平安策略的有效性。不同訪問控制策略之間的邏輯關(guān)系應(yīng)合理，訪問控制策略之間不存在相互沖突，重疊或包含的情況;同時，應(yīng)保障訪問控制規(guī)則數(shù)量最小化。1)應(yīng)訪談平安管理員訪問控制策略配置情況,核查相關(guān)平安設(shè)備的訪問控制策略與業(yè)務(wù)及管理需求的一致性，結(jié)合策略命中數(shù)分析策略是否有效

2)應(yīng)檢查訪問控制策略中是否已禁止了全通策略或端口、地址限制范圍過大的策略。

3)應(yīng)核查設(shè)備的不同訪問控制策略之間的邏輯關(guān)系是否合理。

以CiscoIOS為例，輸入命令〞showrunning-config“,檢查配置文件中訪問控制列表配置項(xiàng)1)訪問控制需求與策略保持一致

2)應(yīng)合理配置訪問控制策略的優(yōu)先級，如

access-list100permittcp192.168.255.255host0

access-list100denytcp192.168.1.00.0.0.255host0

上述訪問控制策略排列順序不合理,第二條策略應(yīng)在前面,否則不能被命中

3)應(yīng)禁用全通策略，如access-list100permittcpanyhostanyeqany

4)應(yīng)合并相互包含的策略，如:

access-list100permittcp.55host0

access-list100permittcp.55host0

第二條策略不起作用，可直接刪除c)應(yīng)對源地址、目的地址，源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)數(shù)據(jù)包進(jìn)出應(yīng)對網(wǎng)絡(luò)中網(wǎng)閘、防火墻、路由器、交換機(jī)和無線接入網(wǎng)關(guān)等提供訪問控制功能的設(shè)備或相關(guān)組件進(jìn)行檢查，訪問控制策略應(yīng)明確源地址、目的地址,源端口、目的端口和協(xié)議，以允許/拒絕數(shù)據(jù)包進(jìn)出應(yīng)核查設(shè)備中訪問控制策略是否明確設(shè)定了源地址、目的地址、源端口、目的端只和協(xié)議等相關(guān)配置參數(shù)。

以CisoIOS為例拒絕所有從到的ftp通信流量通過F0/0接口，輸入命令：〞showrunning-config“,檢查配置文件中訪問控制列表配置項(xiàng)檢查配置文件中是否存在類似如下配置項(xiàng)：

access-list101denytcp.55.55eq21

access-list101permitipanyany

interfacefastetnernet0/0

ipaccess-group101outd)應(yīng)能根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力防火墻能夠根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、協(xié)議類型、源端口、目標(biāo)端口等對數(shù)據(jù)包進(jìn)行控制，而且能夠記錄通過防火墻的連接狀態(tài)，直接對包里的數(shù)據(jù)進(jìn)行處理。防火墻還應(yīng)具有完備的狀態(tài)檢測表來追蹤連接會話狀態(tài)，并結(jié)合前后數(shù)據(jù)包的關(guān)系進(jìn)行綜合判斷，然后決定是否允許該數(shù)據(jù)包通過，通過連接狀態(tài)進(jìn)行更迅速更平安地過濾應(yīng)核查狀態(tài)檢測防火墻訪問控制策略中是否明確設(shè)定了源地址、目的地址、源端口、目的端口和協(xié)議

以CiscoIOS為例，輸入命令:showrunning0-config.檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng):

access-list101permittcp.55host00eq21

access-list101permittcp55host0eq80

access-list101denyipanyanye)應(yīng)對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制在網(wǎng)絡(luò)邊界采用下-代防火墻或相關(guān)平安組件,實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制1)應(yīng)核查在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處是否部署訪問控制設(shè)備

2)應(yīng)檢查訪問控制設(shè)備是否配置了相關(guān)策略，對應(yīng)用協(xié)議、應(yīng)用內(nèi)容進(jìn)行訪問控制，并對策略有效性進(jìn)行測試防火墻配置應(yīng)用訪問控制策略，從應(yīng)用協(xié)議、應(yīng)用內(nèi)容進(jìn)行訪問控制，對QQ聊天工具、優(yōu)酷視頻以及各、Web效勞、FTP效勞等進(jìn)行管控入侵防范a)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為要維護(hù)系統(tǒng)平安，必須進(jìn)行主動監(jiān)視，以檢查是否發(fā)生了入侵和攻擊。監(jiān)視入侵和平安事件既包括被動任務(wù)也也包括主動任務(wù)。很多入侵都是在發(fā)生攻擊之后，通過檢查日志文件才檢測到的。這種攻擊之后的檢測通常被稱為被動入侵檢測;只有通過檢查日志文件，攻擊才得以根據(jù)日志信息進(jìn)行復(fù)查和再現(xiàn)。其他入侵嘗試可以在攻擊發(fā)生的同時檢測到，這種方法稱為〞主動“入侵檢測，它會查找的攻擊模式或命令，并阻止這些命令的執(zhí)行。

完整的入侵防范應(yīng)首先實(shí)現(xiàn)對事件的特征分析功能，以發(fā)現(xiàn)潛在的攻擊行為，應(yīng)能發(fā)現(xiàn)目前主流的各種攻擊行為，如端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕效勞攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。

目前對入侵防范的實(shí)現(xiàn)主要是通過在網(wǎng)絡(luò)邊界部署包含入侵防范功能的平安設(shè)備，如抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊系統(tǒng)、入侵檢測系統(tǒng)(IDS)，入侵防御系統(tǒng)(IPS)、包含入侵防范模塊的多功能平安網(wǎng)關(guān)(UTM)等。

為了有效檢測，防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為，應(yīng)在網(wǎng)絡(luò)邊界、核心等關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署IPS等系統(tǒng)，或在防火墻、UTM啟用入侵防護(hù)功能1)應(yīng)核查相關(guān)系統(tǒng)或設(shè)備是否能夠檢測從外部發(fā)起的網(wǎng)絡(luò)玫擊行為

2)應(yīng)核查相關(guān)系統(tǒng)或設(shè)備的規(guī)則庫版本是否已經(jīng)更新到最新版本

3)應(yīng)核查相關(guān)系統(tǒng)或設(shè)備配置信息或平安策略是否能夠覆蓋網(wǎng)絡(luò)所有關(guān)鍵節(jié)點(diǎn)

4)應(yīng)測試驗(yàn)證相關(guān)系統(tǒng)或設(shè)備的平安策略是否有效1)相關(guān)系統(tǒng)或設(shè)備有檢測到外部發(fā)起攻擊行為的信息;

2)相關(guān)系統(tǒng)或設(shè)備的規(guī)則庫進(jìn)行了更新，更新時間與測評時間較為接近

3)配置信息、平安策略中制定的規(guī)則覆蓋系統(tǒng)關(guān)鍵節(jié)點(diǎn)的IP地址等

4)監(jiān)測到的攻擊日志信息與平安第略相符b)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)政擊行為為了有效檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為，應(yīng)在網(wǎng)絡(luò)邊界、核心等關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署IPS等系統(tǒng)，或在防火墻、UTM啟用入侵防護(hù)功能1)應(yīng)核查相關(guān)系統(tǒng)或設(shè)備是否能夠檢測到從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為

2)應(yīng)核查相關(guān)系統(tǒng)或設(shè)備的規(guī)則庫版本是否已經(jīng)更新到最新版本

3)應(yīng)核查相關(guān)系統(tǒng)或設(shè)備配置信息或平安策略是否能夠覆蓋網(wǎng)絡(luò)所有關(guān)鍵節(jié)點(diǎn)

4)應(yīng)測試驗(yàn)證相關(guān)系統(tǒng)或設(shè)備的平安策略是否有效1)相關(guān)系統(tǒng)或設(shè)備有檢測到外部發(fā)起攻擊行為的信息;

2)相關(guān)系統(tǒng)或設(shè)備的規(guī)則庫進(jìn)行了更新，更新時間與測評時間較為接近

3)配置信息、平安策略中制定的規(guī)則覆蓋系統(tǒng)關(guān)鍵節(jié)點(diǎn)的IP地址等

4)監(jiān)測到的攻擊日志信息與平安策略相符的c)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)政擊行為為了有效檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)功擊行為，應(yīng)在網(wǎng)絡(luò)邊界、核心等關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署IPS等系統(tǒng)，或在防火墻，UTM啟用入侵防護(hù)功能1)應(yīng)核查相關(guān)系統(tǒng)或設(shè)備是否能夠檢測到從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為

2)應(yīng)核查相關(guān)系統(tǒng)或設(shè)備的規(guī)則庫版本是否已經(jīng)更新到最新版本

3)應(yīng)核查相關(guān)系統(tǒng)或設(shè)備配置信息或平安策略是否能夠覆蓋網(wǎng)絡(luò)所有關(guān)鍵節(jié)點(diǎn)

4)應(yīng)測試驗(yàn)證相關(guān)系統(tǒng)或設(shè)備的平安策略是否有效1)相關(guān)系統(tǒng)或設(shè)備有檢測到內(nèi)部發(fā)起攻擊行為的信息

2)相關(guān)系統(tǒng)或設(shè)備的規(guī)則庫進(jìn)行了更新，更新時間與測評時間較為接近

3)配置信息、平安策略中制定的規(guī)則覆蓋系統(tǒng)關(guān)鍵節(jié)點(diǎn)的IP地址等

4)監(jiān)測到的攻擊日志信息與平安策略相符d)應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析部署網(wǎng)絡(luò)回溯系統(tǒng)或抗APT攻擊系統(tǒng)等實(shí)現(xiàn)對新型網(wǎng)絡(luò)攻擊行為進(jìn)行檢測和分析1)應(yīng)核查是否部署回溯系統(tǒng)或抗APT攻擊系統(tǒng)，實(shí)現(xiàn)對新型網(wǎng)絡(luò)攻擊行為進(jìn)行檢測和分析

2)應(yīng)核查相關(guān)系統(tǒng)或設(shè)備的的規(guī)則庫版本是否已經(jīng)更新到最新版本

3)應(yīng)測試驗(yàn)證是否對網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測和分析1)系統(tǒng)內(nèi)部署網(wǎng)絡(luò)回溯系統(tǒng)或抗APT攻擊系統(tǒng)，系統(tǒng)內(nèi)包含對新型網(wǎng)絡(luò)攻擊的檢測和分析功能

2)網(wǎng)絡(luò)回溯系統(tǒng)或抗APT攻擊系統(tǒng)的規(guī)則庫進(jìn)行了更新，更新時間與測評時間較為接近

3)經(jīng)測試驗(yàn)證系統(tǒng)可對網(wǎng)絡(luò)行為進(jìn)行分析，且能夠?qū)ξ粗滦途W(wǎng)絡(luò)攻擊檢測和分析e)當(dāng)檢測到攻擊行為時，記錄攻擊源P、攻擊類型、攻擊目標(biāo)、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警。為了保證系統(tǒng)受到攻擊時能夠及時準(zhǔn)確的記錄攻擊行為并進(jìn)行平安應(yīng)急響應(yīng)，當(dāng)檢測到攻擊行為時，應(yīng)對攻擊源IP、攻擊類型、攻擊目標(biāo)和攻擊時間等信息進(jìn)行日志記錄。通過這些日志記錄，可以對攻擊行為進(jìn)行審計分析。當(dāng)發(fā)生嚴(yán)重入侵事件時，應(yīng)能夠及時向有關(guān)人員報警，報警方式包括短信、郵件等。1)訪談網(wǎng)絡(luò)管理員和查看網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，查看在網(wǎng)絡(luò)邊界處是否部署了包含入侵防范功能的設(shè)備。如果部署了相應(yīng)設(shè)備，則檢查設(shè)備的日志記錄,查看是否記錄了攻擊源IP、攻擊類型、攻擊目的和攻擊時間等信息，查看設(shè)備采用何種方式進(jìn)行報警

2)應(yīng)測試驗(yàn)證相關(guān)系統(tǒng)或設(shè)備的報警策略是否有效1)相關(guān)具有入侵防范功能的設(shè)備日志記錄了攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時間等信息

2)設(shè)備的報警功能已開啟且處于正常使用狀態(tài)惡意代碼和垃圾郵件防范a)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對惡意代碼進(jìn)行檢測和去除,并維護(hù)惡意代碼防護(hù)機(jī)制的升級和更新計算機(jī)病毒、木馬和蠕蟲的泛濫使得防范惡意代碼的破壞顯得尤為重要。惡意代碼是指懷有惡意目的可執(zhí)行程序。目前惡意代碼主要都是通過網(wǎng)頁、郵件等網(wǎng)絡(luò)載體進(jìn)行傳播。因此在網(wǎng)絡(luò)邊界處部署防惡意代碼產(chǎn)品進(jìn)行惡意代碼防范是最為直接和高效的方法。

防惡意代碼產(chǎn)品目前生要包括防病毒網(wǎng)關(guān)，包含防病毒模塊的多功能平安網(wǎng)關(guān)等產(chǎn)品。其至少應(yīng)具備的功能包括:對惡意代碼的分析檢查能力，對惡意代碼的去除或阻斷能力，以及發(fā)現(xiàn)惡意代碼后記錄日志和審計，并包含對惡意代碼特征庫的升級和檢測系統(tǒng)的更新能力。

惡意代碼具有特征變化快的特點(diǎn)。因此對于惡意代碼檢測重要的特征庫更新，以及監(jiān)測系統(tǒng)自身的更新，都非常重要。

產(chǎn)品應(yīng)具備通過多種方式實(shí)現(xiàn)惡意代碼特征庫和檢測系統(tǒng)更新的能力。如自動遠(yuǎn)程更新，手動選程更新，手動本地更新等方1)應(yīng)訪談網(wǎng)絡(luò)管理員和檢查網(wǎng)絡(luò)拓結(jié)構(gòu)，查看在網(wǎng)絡(luò)邊界處是否部署了防惡意代碼產(chǎn)品。如果部署了相關(guān)產(chǎn)品，則查看是否啟用了惡意代碼檢測并查看白志記錄中是否有相關(guān)阻斷信息

2)應(yīng)訪談網(wǎng)絡(luò)管理員，是否對防惡意代碼產(chǎn)品的特征庫進(jìn)升級及具體的升級方式，并登錄相應(yīng)的防惡意代碼產(chǎn)品，核查其特征庫升級情況，當(dāng)前是否為最新版本

3)應(yīng)測試驗(yàn)證相關(guān)系統(tǒng)或設(shè)備的平安策略是否有效1)在網(wǎng)絡(luò)邊界處及部署防惡意代碼產(chǎn)品或組件，防惡意代碼的功能正常開啟且具有對惡意代碼檢測和去除的功能

2)防惡意代碼的特征庫進(jìn)行了開級，且升級時間與測評時間較為接近b)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對垃圾郵件進(jìn)行檢測和防護(hù)并維護(hù)垃圾郵件防護(hù)機(jī)制的升級和更新垃圾郵件是指電子郵件使用者事先未提出要求或同意接收的電子郵件,應(yīng)部署相應(yīng)設(shè)備或系統(tǒng)對垃圾郵件進(jìn)行識別和處理，包括部署透明的防垃圾郵件網(wǎng)關(guān)?；谵D(zhuǎn)發(fā)的防垃圾郵件系統(tǒng)、安裝于郵件效勞器的防垃圾郵件軟件，以及與郵件效勞器一體的防垃圾郵件的郵件效勞器等，并保證規(guī)則庫已經(jīng)更新到最新1)應(yīng)核查在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處是否部署了防垃圾郵件設(shè)備或系統(tǒng)

2)應(yīng)核查防垃圾郵件產(chǎn)品運(yùn)行是否正常，防垃投郵件規(guī)則庫是否已經(jīng)更新到最新。

3)應(yīng)測試驗(yàn)證相關(guān)系統(tǒng)或設(shè)備的平安策略是否有效1〕在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)處部署了防垃投郵件設(shè)備的產(chǎn)品或組件，防垃級郵件設(shè)備的功能正常開啟

2)防垃報郵件防護(hù)機(jī)制的進(jìn)行了升級和更新，且升級時間與測評時間較為接近

3)測試結(jié)果顯示系統(tǒng)或設(shè)備能夠?qū)]件成功的阻斷平安審計a)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行平安審計，審計覆蓋到每個用戶，對重要的用戶行為和重要平安事件進(jìn)行審計為了對重要用戶行為和重要平安事件進(jìn)行審計,需要在網(wǎng)絡(luò)邊界部署相關(guān)系統(tǒng)，啟用重要網(wǎng)絡(luò)節(jié)點(diǎn)日志功能，將系統(tǒng)日志信息輸出至各種管理端口、內(nèi)部緩存或者日志效勞器1)核查是否部署了綜合平安審計系統(tǒng)或類似功能的系統(tǒng)平臺

2)核查平安審計范圍是否覆蓋到每個用戶并對重要的用戶行為和重要平安事件進(jìn)行了審計1)在網(wǎng)絡(luò)邊界處、重要網(wǎng)絡(luò)節(jié)點(diǎn)處部界了審計設(shè)備

2〕審計的范圍能夠覆蓋到每個用戶，且審計記錄包合了重要的用戶行為和重要平安事件b)審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息審計記錄包含內(nèi)容是否全面將直接影響審計的有效性，網(wǎng)絡(luò)邊界處和重要網(wǎng)絡(luò)節(jié)點(diǎn)的日志審計內(nèi)容應(yīng)記錄事件的時間、類型、用戶、事件類型、事件是否成功等必要信息核查審計記錄信意是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。

-般來說，對于主流路由器和交換機(jī)設(shè)備，可以實(shí)現(xiàn)對系統(tǒng)錯誤、網(wǎng)絡(luò)和接口的變化、登錄失敗、ACL匹配等進(jìn)行審計，審計內(nèi)容向括了時間、類型、用戶等相關(guān)信息。因此，只要這些路由器和交換機(jī)設(shè)備啟用審計功能就能符合該項(xiàng)要求。但對于防火墻等平安設(shè)備來說，由于其訪同控制策略命中日志需要手動啟用，因此應(yīng)重點(diǎn)核查其訪問控制策命中日志是否啟用審計記錄包含了事件的日期和時間、用戶、事件類型、事件是否成功等信息c)應(yīng)對審計記錄進(jìn)行保護(hù)，定期備份，防止受到未預(yù)期的刪除、修改或覆蓋審計記錄能夠幫助管理人員及時發(fā)現(xiàn)系統(tǒng)運(yùn)行狀況和網(wǎng)絡(luò)攻擊行為，因此需要對審計記錄實(shí)施技術(shù)上和管理上的保護(hù)，防止未授權(quán)修改、刪除和破壞?？梢栽O(shè)置專門的日志效勞器來接收設(shè)備發(fā)送出的報警信息。非授權(quán)用戶(審計員除外)無權(quán)刪除本地和日志效勞器上的審計記錄1)核查是否采取了技術(shù)措施對審計記錄進(jìn)行保護(hù)

2)核查審計記錄的備份機(jī)制和備份策略是否合理1)審計系統(tǒng)開啟了日志外發(fā)功能，日志轉(zhuǎn)發(fā)至日志效勞器

2)審計記錄存儲超過6個月以上d)應(yīng)能對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計和數(shù)據(jù)分析對于遠(yuǎn)程訪問用戶，應(yīng)在相關(guān)設(shè)備上提供用戶認(rèn)證功能。通過配置用戶、用戶組，并結(jié)合訪問控制規(guī)則可以實(shí)現(xiàn)對認(rèn)證成功的用戶允許訪問受控資源。此外，還需對內(nèi)部用戶訪問互聯(lián)網(wǎng)的行為進(jìn)行審計分析核查是否對遠(yuǎn)程訪問用戶及互聯(lián)風(fēng)訪問用戶行為單獨(dú)進(jìn)行審計分析，并核查審計分析的記錄是否包含了用于管理遠(yuǎn)程訪同行為、訪問互聯(lián)網(wǎng)用戶行為必要的信息在網(wǎng)絡(luò)邊界處的審計系統(tǒng)對遠(yuǎn)程訪問的用戶行為進(jìn)行了審計,審計系統(tǒng)對訪問互聯(lián)網(wǎng)的行為進(jìn)行了單獨(dú)的審計可信驗(yàn)證可甚于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證，在檢測到其可信性受到破壞后進(jìn)行報警，并將驗(yàn)證結(jié)果形成審計記錄送至平安管理中心邊界設(shè)備可能包括網(wǎng)閘、防火墻、交換機(jī)、路由器或其他邊界防護(hù)設(shè)備等，通過設(shè)備的啟動過程和運(yùn)行過程中對預(yù)裝軟件(包括系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、相關(guān)應(yīng)用程序和重要配置參數(shù))的完整性驗(yàn)證或檢測，確保對系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和關(guān)鍵應(yīng)用程序的篡改行為能被發(fā)現(xiàn)，并報警便于后續(xù)的處置動作1)應(yīng)核查是否基于可信根對設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和關(guān)鍵應(yīng)用程序等進(jìn)行可信驗(yàn)證

2)應(yīng)核查是否應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證3)應(yīng)測試驗(yàn)證當(dāng)檢測到設(shè)備的可信性受到破壞后是否進(jìn)行報警

4)應(yīng)測試驗(yàn)證結(jié)果是否以審計記錄形式送至平安管理中心

(3.6)1)邊界設(shè)備〔網(wǎng)閘、防火墻、交換機(jī)、路由器或其他邊界防護(hù)設(shè)備〕具有可信根芯片或硬件

2)啟動過程基于可信根對系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和關(guān)鍵應(yīng)用程序等進(jìn)行可信驗(yàn)證度量

3)在檢測到其可信性受到破壞后進(jìn)行報警，并將驗(yàn)證結(jié)果形成審計記錄送至平安管理中心

4)平安管理中心可以接收設(shè)備的驗(yàn)證結(jié)果記錄

(3.6)平安計算環(huán)境控制點(diǎn)平安要求要求解讀測評方法預(yù)期結(jié)果或主要證據(jù)身份鑒別a)應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)識具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換一般來說，用戶登錄路由器的方式包話:利用控制臺端口(Console)通過串口進(jìn)行本地登錄連接。利用輔助端口(AUX)通過Modem進(jìn)行遠(yuǎn)程撥號連接登錄或者利用虛擬終端〔VTY〕通過TCP/IP網(wǎng)絡(luò)進(jìn)行TelnetT登錄等。無論是哪一種登錄方式，都需要對用戶身份進(jìn)行鑒別，口令是路由器用來防止非受權(quán)訪問的常用手段，是路由器本身平安的一局部，因此需要加強(qiáng)對路由器口令的管理,包括口令的設(shè)置和存儲，最好的口令存儲方法是保存在TACACS+或RADIUS認(rèn)證效勞器上。管理員應(yīng)當(dāng)依據(jù)需要為路由器相應(yīng)的端口加上身份簽別最根本的平安控制。

路由器不允許配置用戶名相同的用戶，同時要防止多人共用一個賬戶，實(shí)行分賬戶管理，每名管理員設(shè)置一個單獨(dú)的賬戶，防止出現(xiàn)問題后不能及時進(jìn)行追查。

為防止身份鑒別信息被冒用，可以通過采用今牌、認(rèn)證效勞器等措施，加強(qiáng)身份鑒別信息的保護(hù)。如果僅僅基于口令的身份鑒別，應(yīng)當(dāng)保證口令復(fù)雜度和定期更改的要求。

使用“servicepassword-encryption"命令對存儲在配置文件中的所有口令和類似數(shù)據(jù)進(jìn)行加密，防止通過讀取配置文件而獲取口令的明文1)應(yīng)核查用戶在登錄時是否采用了身份簽別措施

2)應(yīng)核查用戶列表，測試用戶身份標(biāo)識是否具有唯一性

以華為路由器為例，輸入“displaycurrent-configuration"命令

3)應(yīng)核查用戶配置信息或訪談系統(tǒng)管理員，核查是否不存在空口令用戶

4)應(yīng)核查用戶鑒別信息是否具有復(fù)雜度要求并定期更換1、

a、路由器使用口令鑒別機(jī)制對登錄用戶進(jìn)行身份標(biāo)識和鑒別

b、登錄時提示輸入用戶名和口令:以錯誤口令或空口令登錄時提示登錄失敗，驗(yàn)證了登錄控制功能的有效性

C、路由器中不存在密碼為空的用戶

2、

Cisco:輸入showrun命令，存在如下類似用戶列表配置:

usernameadminprivilege15password0xxxxxxxxx

usernameauditprivilege10password0xxxxxxxxx

或啟用AAA效勞器進(jìn)行身份認(rèn)證

aaanew-model

aaaauthenticationlogindefaultgrouptacacs+localenable

aaaauthenticationenabledefaultgrouptacacs+enable

華為/H3C:輸入displaycurrent-configuration命令，存在如下類似用戶列表配置:

local-usernetadminpasswordirreversible-cipherxxxxxx

或啟用AAA效勞器進(jìn)行身份認(rèn)證

hwtacacsschemexxxxx

primaryauthenticationxxxxx

primaryauthorizationxxxxx

primaryaccountingxxxxx

keyauthenticationcipherxxxxx

keyauthorizationcipherxxxxx

keyaccountingcipherxxxxx

3、

Cisco:輸入showrun命今，存在如下類似配置:

usernameadminprivilege15password0xxxxxxxxx

usermameauditprivilege10password0xxxxxxxxx

華為/H3C:輸入diplaycurrent-configuration命令,查看是否存在如下類似配置:

local-usernetadminpasswordirreversible-cipherxxxxx

4、

口今組成:應(yīng)由數(shù)字、字母、特殊字符組成

口今長度:應(yīng)大于8位

口令更換周期:口今一般三個月?lián)Q一次

H3C:輸入displaypassward-control,查看是否存在如下配置：

passward-controlaging90

passward-controllength8

passward-controlhistory10

passward-controlcompositiontype-number3type-length4

H3C:輸入diplaypassword-control命令,查看是否存在如下配置:

password-controlaging90

password-controllength8

password-controlhistory10

password-controlcompositiontype-number3typelength4b)應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自動退出等相關(guān)措施可以通過配置結(jié)束會話、限制管理員的最大登錄失敗次數(shù)、網(wǎng)絡(luò)連接超時自動退出等多種措施實(shí)現(xiàn)登錄失敗處理功能。例如，可以利用“exec-timeout"命令.配置VTY的超時。防止一個空閑的任務(wù)一直占用VTY，從而防止惡意的攻擊或遠(yuǎn)端系統(tǒng)的意外崩潰導(dǎo)致的資源獨(dú)占。設(shè)置管理員最大登錄失敗次數(shù)，一旦該管理員的登錄失敗次數(shù)超過設(shè)定數(shù)值，系統(tǒng)將對其進(jìn)行登錄鎖定，從而防止非法用戶通過暴力破解的方式登錄到路由器1)應(yīng)核查是否配置并啟用了登錄失敗處理功能:如果網(wǎng)絡(luò)中部署堡壘主機(jī)，先核查堡壘主機(jī)是否具有登錄失敗處理功能，如果沒有部署堡壘主機(jī)，則設(shè)置默認(rèn)登錄失敗3次，退出登錄界面

2)應(yīng)核查是否配置并啟用了限制非法登錄到達(dá)一定次數(shù)后實(shí)現(xiàn)賬戶鎖定功能

3)應(yīng)核查是否配置并啟用了遠(yuǎn)程登錄連接超時并自動退出功能

以華為路由器為例，設(shè)置超時時間為5分鐘，輸入"displaycurrent-configuration〞命令，在VTY下查看是否存在如下類似配置:

linevty04

access-list101in

transportinputssh

idle-timeout51.網(wǎng)絡(luò)設(shè)備默認(rèn)啟用登錄失敗處理功能。

2.堡壘機(jī)設(shè)置限制非法登錄到達(dá)一定次數(shù)后實(shí)現(xiàn)賬戶鎖定功能或

a、H3C:輸入displaypassword-control

存在如下配置：password-controllogin-attempt3exceedlocktime360

b、Cisco華為路由器連續(xù)d登錄5次鎖定10分鐘

3、堡壘機(jī)啟用選程登錄連接超時并自動退出功能

或

Ciso路由器:輸入showrun命今，存在如下類似配置:

exec-timcout20

華為/H3C路由器:

輸入displaycurrent-configuration命令,存在如下類似配置

idle-timeout20c)當(dāng)進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施、防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時，為防止口令傳輸過程中別竊取，不應(yīng)當(dāng)使用明文傳送的Telnet效勞，而應(yīng)當(dāng)采用SSH、ITTPS等加密協(xié)議等方式進(jìn)行交互式管理應(yīng)核查是否采用加密等平安方式對系統(tǒng)進(jìn)行遠(yuǎn)程管理，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。如果網(wǎng)絡(luò)中部署堡壘主機(jī)，先核查堡壘主機(jī)采用何種措施在進(jìn)行遠(yuǎn)程登錄時，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽，如SSH等方式Cisco：輸入showrun命令，存在如下類似配置:

Router1#configureterminal

Router1(config)#hostnameRouter1

Router1(config#ipdomainnamenetRouterl(config)#cryptokeygeneratersa

.........

Howmanybitsinthemodulus[512]:1024

Router1(config)#ipsshtime-out120

Router1(config)#ipsshauthentcation-retries4

Router1(config)#linevty04

Router1(config)#transportinputsh

華為H3C:輸入diSplaycurent-configuration命令，存在如下類似配置:

local-usertestpasswordcipher456%&ET

service-typesshlevel3

sshusertestauthenticationtypepassword

User-interfacevty04

Protocolinboundsshd)應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)采用雙因子鑒別是防止欺騙的有效方法，雙因子鑒別不僅要求訪問者知道一些鑒別信息，還需要訪問者擁有鑒別特征，例如采用令牌、智能卡等應(yīng)核查系統(tǒng)是否采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶身份進(jìn)行鑒別除口令之外，采用了另外一種鑒別機(jī)制，此機(jī)制采用了密碼技術(shù)，如調(diào)用了密碼機(jī)或采取SM1-SM4等算法訪問控制a)應(yīng)對登錄的用戶分配賬戶和權(quán)限為了確保交換機(jī)的平安，需要對登錄的用戶分配賬戶，并合理配置賬戶權(quán)限。例如，相關(guān)管理人員具有與職位相對應(yīng)的賬戶和權(quán)限1)應(yīng)訪談網(wǎng)絡(luò)管理員、平安管理員、系統(tǒng)管理員或核查用戶賬戶和權(quán)限設(shè)置情況

2)應(yīng)核查是否已禁用或限制匿名、默認(rèn)賬戶的訪問權(quán)限1、相關(guān)管理人員具有與職位相對應(yīng)的賬戶和權(quán)限

2、網(wǎng)絡(luò)設(shè)備中已禁用或限制匿名、默認(rèn)賬戶的訪問權(quán)限b)應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默伙口令對于路由器的默認(rèn)賬戶，由于他們的某些權(quán)限與實(shí)際要求可能存在差異，從而造成平安隱患，因此這些默認(rèn)賬戶應(yīng)被禁用，并且應(yīng)不存在默認(rèn)賬戶admin.huawei及默認(rèn)口令1、使用默認(rèn)賬戶和默認(rèn)口令無法登錄路由器

2、Cisco路由器不存在默認(rèn)賬戶cisco.Cisco

華為H3C交換機(jī)不存在默認(rèn)賬戶admin,huaweic)應(yīng)及時刪除或停用多余的、過期的賬戶，防止共享賬戶的存在路由器中如果存在多余的、過期的賬戶，可能會被攻擊者利用其進(jìn)行非法操作的風(fēng)險，因此應(yīng)及時清理路由器中的賬戶，刪除或停用多余的賬戶1〕應(yīng)核查是否不存在多余的或過期的賬戶，管理員用戶與賬戶之間是否一一對應(yīng)

2)應(yīng)核查并測試多余的、過期的賬戶是否被刪除或停用

思科:輸入showrun命令，查看每條如下類似命令所配置的用戶名是否確實(shí)必要：

usernameXXXXXXXXprivilegexxpasswordXXXXXXXX

華為/H3C:輸入displaycurrent-configuration命令，查看每條如下類似命令所配置的用戶名是否確實(shí)必要：

local-userxxxxxprivilegelevelx1、Ciso:輸入showrun命令，查看每條如下類似命令所配置的用戶名是否確實(shí)必要：

usernameXXXXXXXXprivilegexxpasswordXXXXXXXX

華為/H3C:輸入displaycurrent-configuration命令，查看每條如下類似命令所配置的用戶名是否確實(shí)必要：

local-userxxxxxprivilegelevelx

或

local-userxxxxx

passwordprivilegexxxxxxx

servicetypexxxxx

levelx

2、網(wǎng)絡(luò)管理員、平安管理員和系統(tǒng)管理員不同用戶采用不同賬戶登錄系統(tǒng)d)應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限別離根據(jù)管理用戶的角色對權(quán)限進(jìn)行細(xì)致的劃分，有利于各崗位細(xì)致協(xié)調(diào)工作，同時僅授予管理用戶所需的最小權(quán)限，防止出現(xiàn)權(quán)限的漏洞使得一些高級用戶擁有過大的權(quán)限。例如，進(jìn)行角色劃分，分為網(wǎng)絡(luò)管理員、平安管理員、系統(tǒng)管理員三個角色，并設(shè)置對應(yīng)的權(quán)限1)應(yīng)核查是否進(jìn)行角色劃分，如劃分為網(wǎng)絡(luò)管理員，平安管理員、系統(tǒng)管理員等角色

2)應(yīng)核查訪問控制策略，查看管理用戶的權(quán)限是否已進(jìn)行別離

3)應(yīng)核查管理用中權(quán)限是否為其工作任務(wù)所需的最小權(quán)1、訪談管理員，進(jìn)行角色劃分，分為網(wǎng)絡(luò)管理員，平安管理員、系統(tǒng)管理員三個角色，并設(shè)置對應(yīng)的權(quán)限

2、Cisco路由器:輸showrun命令，存在如下類似配置:

usernameadminprivilege15password0xxxxxxxx

usermameauditprivilege10password0xxxxxxxx

usernameoperatorprivilege7password0xxxxxxxx

華為/H3C交換機(jī);輸入displaycurrent-configuration命令,存在如下類似配置:

local-useruserl

service-typetelnet

userpriviledelevel2

#

local-useruser2

service-typeftp

userpriviledelevel3

3.網(wǎng)絡(luò)管理員、平安管理員、系統(tǒng)管理員對應(yīng)的賬戶為其工作任務(wù)所需的最小權(quán)限d)應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則訪問控制策略由授權(quán)主體進(jìn)行配置，它規(guī)定了主體可以對客體進(jìn)行的操作，訪問控制粒度要求主體為用戶級或進(jìn)程級，客體為文件、數(shù)據(jù)庫表級此項(xiàng)不適合，條款主要針對主機(jī)和數(shù)據(jù)庫的測評，網(wǎng)絡(luò)設(shè)備主要用戶為運(yùn)維管理人員，無其他用戶此項(xiàng)不適合，條款主要針對主機(jī)和數(shù)據(jù)庫的測評，網(wǎng)絡(luò)設(shè)備主要用戶為運(yùn)維管理人員，無其他用戶e)訪問控制的粒度應(yīng)到達(dá)主體為用戶級或進(jìn)程級，客體為文件、數(shù)據(jù)庫表級訪問控制策略由授權(quán)主體進(jìn)行配置，它規(guī)定了主體可以對客體進(jìn)行的操作、訪問控制粒度要求主體為用戶級或進(jìn)程級，客體為文件、數(shù)據(jù)庫表統(tǒng)，此項(xiàng)不適合，條款主要針對主機(jī)和數(shù)據(jù)庫的測評，網(wǎng)絡(luò)設(shè)備主要用戶為運(yùn)維管理人員，無其他用戶此項(xiàng)不適合，條款主要針對主機(jī)和數(shù)據(jù)庫的測評，網(wǎng)絡(luò)設(shè)備主要用戶為運(yùn)維管理人員，無其他用戶f)應(yīng)對重要主體和客體設(shè)置平安標(biāo)記，并控制主體對有平安標(biāo)記信息資源的訪問敏感標(biāo)記是強(qiáng)制訪問控制的依據(jù)，主客體都有,它存在的形式無所謂，可能是整形的數(shù)字，也可能是字母，總之它表示主客體的平安級別。敏感標(biāo)記由平安管理員進(jìn)行設(shè)置，通過對重要信息資源設(shè)置敏感標(biāo)記，決定主體以何種權(quán)限對客體進(jìn)行操作，實(shí)現(xiàn)強(qiáng)制訪問控制。此項(xiàng)不適合此項(xiàng)不適合平安審計a)應(yīng)啟用平安審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要平安事件進(jìn)行審計為了對網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量、管理記錄等進(jìn)行檢測和記錄，需要啟用系統(tǒng)日志功能。系統(tǒng)日志中的每個信息都被分配了一個嚴(yán)重級別，并伴隨一些指示性問題或事件的描述信息。

交換機(jī)的系統(tǒng)日志信息通常輸出至各種管理端口、內(nèi)部緩存或者日志效勞器,在缺省情況下，控制臺端口上的日志功能處于啟用狀態(tài)1〕應(yīng)核查是否開啟了平安審計功能；網(wǎng)絡(luò)設(shè)備設(shè)置日志效勞器IP地址，并使用syslog方式或者SMP方式將日志發(fā)送到日志效勞器

2)應(yīng)核查平安審計范圍是否覆蓋到每個用戶

3)應(yīng)核查是否對重要的用戶行為和重要平安事件進(jìn)行審計Cisco:網(wǎng)絡(luò)設(shè)備設(shè)置日志效勞器，并使用syslog方式或者SMP方式將日志發(fā)送到日志效勞器，

通過輸入'showrun〞命令,存在如下類似配置：

loggingon

loggingtrapdebugging

loggingfacilityIocal6

loggingx.x.x.x

Servicetimestampslogdatetime

華為/H3C:網(wǎng)絡(luò)設(shè)備設(shè)置日志效勞器，并使用Syslog方式或者SNMP方式將日志發(fā)送到日志效勞器，

通過輸入〞displaycurrent-configuration“命令，存在如下類似配置：

Info-centerenable

Info-centerloghostsourcevlan-interface3

Info-centerloghostfacilitylocal1

Info-centersourcedefaultchannel2loglevelwarning

Snmp-agent

snmp-agenttrapenablestandardauthentication

snmp-agenttarget-hosttrapaddressudp-domainparamssecuritynamepublicb)審計記錄應(yīng)包括事件的日期和時間，用戶、事件類型，事件是否成功及其他與審計相關(guān)的信息對于交換機(jī)設(shè)備，日志審計內(nèi)容需要記錄時間、類型、用戶、事件類型、事件是否成功等相關(guān)信息應(yīng)核查審計記錄信息是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息日志信息中包含事件的日期和時間用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息c)應(yīng)對審計記錄進(jìn)行保護(hù)，定期備份，防止受到未預(yù)期的刪除、修改或覆蓋等審計記錄能修幫助管理人員及時發(fā)現(xiàn)系統(tǒng)運(yùn)行狀況和網(wǎng)絡(luò)攻擊行為，因此需要對審計記錄實(shí)施技術(shù)上和管理上的保護(hù)，歷正未授權(quán)修改、刪除和破壞訪談審計記錄的存儲、備份和保護(hù)的措施，是否將交換機(jī)日志定時發(fā)送到日志效勞器上等，并使用syslog方式或SNMP方式將日志發(fā)送到日志效勞器。

如果部署了日志效勞器,登錄日志效勞器查看被測交換機(jī)的日志是否在收集的范圍內(nèi)網(wǎng)絡(luò)設(shè)備的日志信息定期轉(zhuǎn)發(fā)至日志效勞器，日志效勞器上可查看到半年前的審計記錄

d)應(yīng)對審計進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷保護(hù)好審計進(jìn)程，當(dāng)平安事件發(fā)生時能夠及時記錄事件發(fā)生的詳細(xì)內(nèi)容,非審計員的其他賬戶不能中斷審計進(jìn)程應(yīng)測試通過非審計員的其他賬戶來中斷審計進(jìn)程，驗(yàn)證審計進(jìn)程是否受到保護(hù)非審計員的其他賬戶來不能中斷審計進(jìn)程入侵防范a)應(yīng)遵循最小安裝的原則僅安裝需要的組件和應(yīng)用程序遵循最小安裝原則，僅安裝需要的組件和應(yīng)用程序，能夠極大的降低遭受攻擊的可能性。及時更新系統(tǒng)補(bǔ)丁，防止遭受由于系統(tǒng)漏洞帶來的風(fēng)險此項(xiàng)不適合，該項(xiàng)要求一般在效勞器上實(shí)現(xiàn)此項(xiàng)不適合，該項(xiàng)要求一般在效勞器上實(shí)現(xiàn)b)應(yīng)關(guān)閉不需要的系統(tǒng)效勞、默認(rèn)共享和高危端口關(guān)閉不需要的系統(tǒng)效勞、默認(rèn)共享和高危端口，可以有效降低系統(tǒng)遭受攻擊的可能性1〕應(yīng)訪談系統(tǒng)管理員是否認(rèn)期對系統(tǒng)效勞進(jìn)行梳理，關(guān)閉了非必要的系統(tǒng)效勞和默認(rèn)共享

2)應(yīng)核查是否不存在非必要的高危端口Cisco:輸入showrun命令。根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境參考已經(jīng)關(guān)閉不必要效勞:

noservicetcp-small-servers

noserviceudp-smal-servers.

nocdprun

nocdpenable

noipfinger

noservicefinger

noipbootpserver

noipsource-route

noipproxy-arp

noipdirected-broadcast

noipdomain-lookup

華為/H3C:輸入diplaycurrent-configuration命令，根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境參考已經(jīng)關(guān)閉不必要效勞,例如：

pshutdownc)應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制為了保證平安，需要對通過VTY訪問網(wǎng)絡(luò)設(shè)備的登錄地址進(jìn)行限制，防止未授權(quán)的訪問，可以利用ipaccess-class限制訪問VTY的IP地址范圍。同時，由于VTYs的數(shù)目有一定的限制，當(dāng)所有的VTYs用完，就不能再建立遠(yuǎn)程的網(wǎng)絡(luò)連接了。這就有可能被利用進(jìn)行Dos(拒絕效勞攻擊)應(yīng)核查配置文件是否對終端接入范圍進(jìn)行限制。如果網(wǎng)絡(luò)中部署堡壘主機(jī)應(yīng)先核查堡壘機(jī)是否限制管理終端地址范圍，同時核查網(wǎng)絡(luò)設(shè)備上是否僅配置位壘機(jī)的遠(yuǎn)程管理地址，否則登錄設(shè)備進(jìn)行核查:

Cisco路由器和路由器:輸入showrun命令;

華為/H3C路由器和路由器:輸入diplaycurrent-configuration命令堡壘機(jī)限制終端接入范圍。

或

Cisco路由器存在加不類似配置:

accesspermit0

access-list3denyanylog

linevty04

access-class3in

或

ipauthlocal

noaccess-list10

access-list10permit

access-list10denyany

ipaccess-class10

ipserver

華為/H3C:檢查配置信息中存在類似如下配置信息:

aclnumber2001

rule10permitsource.55

user-interfacevty04

acl2001inbound

authentication-modescheme

userprivilegelevel1d)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求本條款要求應(yīng)用系統(tǒng)應(yīng)對數(shù)據(jù)的有效性進(jìn)行驗(yàn)證，主要驗(yàn)證那些通過人機(jī)接口(如程序的界面)輸入或通過通信接口輸入的數(shù)據(jù)格式或長度是否符合系統(tǒng)設(shè)定要求，防止個別用戶輸入畸形數(shù)據(jù)而導(dǎo)致系統(tǒng)出錯(如SQL注入攻擊等),人而影響系統(tǒng)的正常使用甚至危害系統(tǒng)的平安此項(xiàng)不適合，該項(xiàng)要求一般在應(yīng)用層面上核查此項(xiàng)不適合，該項(xiàng)要求一般在應(yīng)用層面上核查e)應(yīng)能發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過充分測試評估后，及時修補(bǔ)漏洞核查漏掃修補(bǔ)報告，管理員定期進(jìn)行漏洞掃描。發(fā)現(xiàn)漏洞在經(jīng)過充分測試評估后及時修補(bǔ)漏洞1)應(yīng)進(jìn)行漏洞掃描，核查是否不存在高風(fēng)險漏洞

2)應(yīng)訪談系統(tǒng)管理員，核查是否在經(jīng)過充分測試評估后及時修補(bǔ)漏洞管理員定期進(jìn)行漏洞掃描，發(fā)現(xiàn)漏洞，在經(jīng)過充分測試評估后及時修補(bǔ)漏洞h)應(yīng)能夠檢測到對重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時提供報警要維護(hù)系統(tǒng)平安，必須進(jìn)行主動監(jiān)視，一般是在網(wǎng)絡(luò)邊界、核心等重要節(jié)點(diǎn)處部署IDS.IPS等系統(tǒng)，或在防火墻、UTM房用入侵檢測功能，以檢查息是否發(fā)生了入侵和攻擊此項(xiàng)不適合，該項(xiàng)要求一般在入侵防護(hù)系統(tǒng)上實(shí)現(xiàn)此項(xiàng)不適合，該項(xiàng)要求一般在入侵防護(hù)系統(tǒng)上實(shí)現(xiàn)惡意代碼防范應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗(yàn)證機(jī)制及時識別入侵和病毒行為，并將其有效阻斷無論是Windows主機(jī)還是Linux主機(jī)，都面臨木馬、蠕蟲等病毒的破壞。因此一般的主機(jī)為防范病毒，均會安裝反病毒軟件，或者采用可信驗(yàn)證機(jī)制對系統(tǒng)程序、應(yīng)用程序等進(jìn)行可信執(zhí)行驗(yàn)證此項(xiàng)不適合，該項(xiàng)要求一般在效勞器上實(shí)現(xiàn)此項(xiàng)不適合，該項(xiàng)要求一般在效勞器上實(shí)現(xiàn)可信驗(yàn)證可基于可信根對計算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證，在檢測到其可信性受到破壞后進(jìn)行報警，并將驗(yàn)證結(jié)果形成審計記錄送至平安管理中心設(shè)備應(yīng)作為通信設(shè)備或邊界設(shè)備對待參見2.3和3.6可信驗(yàn)證參見2.3和3.6可信強(qiáng)證身份鑒別a)應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)識具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換一般來說，用戶登錄交換機(jī)的方式包話:利用控制臺端口(Console)通過串口進(jìn)行本地