等級保護測評-網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全測評指導(dǎo)書網(wǎng)絡(luò)全局安全測評序號測評指標測評項檢查方法預(yù)期結(jié)果備注說明1結(jié)構(gòu)安全a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；1）訪談網(wǎng)絡(luò)管理員了解信息系統(tǒng)的業(yè)務(wù)高峰流量。2）檢查主要網(wǎng)絡(luò)設(shè)備處理能力，查看業(yè)務(wù)高峰期設(shè)備的CPU和內(nèi)存使用率。（以CISCO設(shè)備為例，輸入shprocessescpu，shprocessesmemory）1)業(yè)務(wù)高峰流量不超過設(shè)備處理能力。2）設(shè)備CPU和內(nèi)存使用率峰值不大于70%b)應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；1）訪談網(wǎng)絡(luò)管理員了解各通信鏈路帶寬、高峰流量。1）各通信鏈路高峰流量均不大于其帶寬的70%。c)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全的訪問路徑；1)檢查訪問路徑上的路由設(shè)備配置信息，查看是否啟用了路由協(xié)議認證及其控制策略（以CISCO設(shè)備為例，輸入showrun命令）有如下類似配置：1）Routerospf100area1authenticationmessage-digestinterfaceFastEthernet0/0ipospfmessage-digest-key1md5xxxx2）routereigrp100redistributeospf100metric1000010012551500route-mapciscod)應(yīng)繪制與當前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；1)查看網(wǎng)絡(luò)拓撲圖。1）網(wǎng)絡(luò)拓撲圖與當前運行情況一致。e)應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；1）訪談網(wǎng)絡(luò)管理員依據(jù)何種原則劃分不同的子網(wǎng)或網(wǎng)段。并檢查相關(guān)網(wǎng)絡(luò)設(shè)備配置信息，驗證劃分的子網(wǎng)或網(wǎng)段是否與訪談結(jié)果一致。1）根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段。f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；1）訪談網(wǎng)絡(luò)管理員并查看網(wǎng)絡(luò)拓撲圖重要網(wǎng)段是否部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)；2）訪談網(wǎng)絡(luò)管理員并查看網(wǎng)絡(luò)拓撲圖重要網(wǎng)段與其他網(wǎng)段之間是否采取可靠的技術(shù)隔離手段，如網(wǎng)閘、防火墻、ACL等。1）重要網(wǎng)段未部署在網(wǎng)絡(luò)邊界處。2）在重要網(wǎng)段與其他網(wǎng)段之間采取了網(wǎng)閘、防火墻或ACL等技術(shù)隔離手段。g)應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機。1）訪談網(wǎng)絡(luò)管理員了解配置QoS的具體設(shè)備（如防火墻、路由、交換設(shè)備或?qū)Ｓ脦捁芾碓O(shè)備），并檢查該設(shè)備的QoS配置情況。（以CISCO設(shè)備為例，輸入showrun命令）1）有如下類似配置：class-mapmatch-allvoicematchaccess-group100policy-mapvoice-policyclassvoicebandwidth60interfaceSerial1service-policyoutputvoice-policy2訪問控制a）應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；1）訪談網(wǎng)絡(luò)管理員并查看網(wǎng)絡(luò)拓撲圖，是否所有網(wǎng)絡(luò)邊界都有訪問控制措施。1）在網(wǎng)絡(luò)各個邊界處部署了訪問控制技術(shù)措施，如部署網(wǎng)閘、防火墻或ACL等。3邊界完整性檢查a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷；1）訪談網(wǎng)絡(luò)管理員是否部署終端管理軟件或采用網(wǎng)絡(luò)準入控制技術(shù)手段防止非授權(quán)設(shè)備接入內(nèi)部網(wǎng)絡(luò)，并進行驗證。2）檢查交換機配置信息，所有閑置端口是否關(guān)閉。（以CISCO設(shè)備為例，輸入showrun命令）1）終端均部署了終端管理軟件或交換機上啟用了網(wǎng)絡(luò)準入控制。2）交換機閑置端口均已關(guān)閉。應(yīng)存在如下類似配置：InterfaceFastEthernet0/1shutdownb)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷。1）訪談網(wǎng)絡(luò)管理員是否部署終端管理軟件或采取其它技術(shù)手段防止非法外聯(lián)行為，并進行驗證。1）部署了終端管理軟件或其它技術(shù)手段，限制終端設(shè)備相關(guān)端口的使用，如禁止雙網(wǎng)卡、USB接口、Modem、無線網(wǎng)絡(luò)等。4惡意代碼防范a)應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除；1）檢查是否在網(wǎng)絡(luò)邊界處部署惡意代碼防范技術(shù)措施，是否啟用了檢測和阻斷功能。1）網(wǎng)絡(luò)邊界處部署了惡意代碼防范設(shè)備并有相關(guān)檢測記錄。b)應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新。1)查看防惡意代碼產(chǎn)品特征庫的更新情況。1）惡意代碼庫版本為最新。5入侵防范a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；1）檢查在網(wǎng)絡(luò)邊界處是否有對網(wǎng)絡(luò)攻擊進行檢測的相關(guān)措施。1）在網(wǎng)絡(luò)邊界處部署了IDS（IPS）系統(tǒng)，或UTM啟用了入侵檢測（保護）功能。b)當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應(yīng)提供報警。1）檢查網(wǎng)絡(luò)攻擊檢測日志。2）檢查采用何種報警方式。1）有網(wǎng)絡(luò)攻擊相關(guān)日志記錄。2）在發(fā)生嚴重事件時應(yīng)能夠提供監(jiān)控屏幕實時報警，最好有主動的聲、光、電、短信、郵件等形式的一種或多種報警方式。6備份與恢復(fù)c)應(yīng)采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)，避免關(guān)鍵節(jié)點存在單點故障；1）訪談管理員并查看網(wǎng)絡(luò)拓撲圖，系統(tǒng)是否采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)。1）系統(tǒng)采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)，關(guān)鍵節(jié)點不存在單點故障。d)應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。1）訪談管理員并查看網(wǎng)絡(luò)拓撲圖，系統(tǒng)是否有主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余。1）網(wǎng)絡(luò)設(shè)備、通信線路、數(shù)據(jù)處理系統(tǒng)具備硬件冗余。路由器安全測評1）思科路由器序號測評指標測評項檢查方法預(yù)期結(jié)果備注說明1安全審計a)對網(wǎng)絡(luò)設(shè)備進行日志記錄檢查：輸入命令showrunning，檢查配置文件中是否存在類似如下配置項：access-list100denyip.0.0.255anylog……loggingtrapdebuggingloggingX.X.X.Xloggingon存在類似如下配置：loggingtrapdebuggingloggingX.X.X.Xloggingonb)分析記錄數(shù)據(jù)，生成審計報表訪談：訪談并查看如何實現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。生成日志記錄的報表。c)審計記錄內(nèi)容檢查：查看是否啟用了審計功能啟用了日志功能。d)保護審計記錄。訪談：訪談是否避免了審計日志的未授權(quán)修改、刪除和破壞。檢查：輸入命令showlogging，檢查配置文件中是否存在類似如下配置項:loggingx.x.x.x有專門的日志服務(wù)器存放日志，對這臺服務(wù)器的訪問需經(jīng)過授權(quán)。2訪問控制a)應(yīng)啟用路由器的訪問控制功能檢查：檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)和相關(guān)路由器配置，查看是否在網(wǎng)絡(luò)邊界路由器上啟用了訪問控制功能。輸入命令showrunning-config，檢查配置文件中是否存在以下類似配置項：ipaccess-listextended111denyipx.x.x.055anylog存在類似如下配置：ipaccess-listextended111denyipx.x.x.055anylogb)提供訪問控制能力，關(guān)閉不需要服務(wù)檢查：輸入命令showipaccess-list檢查配置文件中是否存在類似如下配置項：ipaccess-listextended111denyipx.x.x.055anyloginterfacef0/0ipaccess-group111in流入流量過濾：過濾掉源地址IP不是公網(wǎng)IP的數(shù)據(jù)包；流出流量過濾：只允許源地址IP地址是公司內(nèi)部合法IP的數(shù)據(jù)包被轉(zhuǎn)發(fā)出去。關(guān)閉掉路由器的一些不需要的服務(wù)，如：nocdprun,nocdpenable，noservicetcp-small-servers，noserviceudp-small-servers，noipfinger，noservicefinger，noipbootpserver，noipsource-route，noipproxy-arp，noipdirected-broadcast，noipdomain-lookup等。存在類似如下配置：ipaccess-listextended111denyipx.x.x.055anyloginterfacef0/0ipaccess-group111in路由器一些不需要的服務(wù)都關(guān)閉。c)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)訪談：詢問網(wǎng)絡(luò)管理員，根據(jù)網(wǎng)絡(luò)現(xiàn)狀是否需要限制網(wǎng)絡(luò)最大流量及網(wǎng)絡(luò)連接數(shù)；檢查：檢查路由器配置，輸入命令showrunning-config如限制主機的最大連接數(shù)為200，則檢查配置文件中是否存在類似如下配置項：ipnattranslationmax-entrieshost200鑒于現(xiàn)在網(wǎng)絡(luò)應(yīng)用類型的復(fù)雜程度，推薦使用專用的帶寬管理設(shè)備來實現(xiàn)網(wǎng)絡(luò)流量的控制。有專用的帶寬管理設(shè)備來實現(xiàn)網(wǎng)絡(luò)流量的控制或存在類似如下配置：ipnattranslationmax-entrieshost200d)重要網(wǎng)段防止地址欺騙檢查：輸入命令showiparp或showrun檢查配置文件中是否存在類似如下配置項：arp0000.e268.9980arpa存在類似如下配置:arp0000.e268.9980arpae)控制遠程撥號用戶對受控系統(tǒng)的資源訪問檢查：輸入命令showrunning-config檢查配置文件中是否有類似如下VPN相關(guān)配置項：cryptoisakmppolicy10hashmd5authenticationpre-sharecryptoisakmpkeyciscoaddressaccess-list100permittcphosthostcryptoipsectransform-settestah-md5-hmacesp-descryptomaptestmap10ipsec-isakmpsetpeersettracsform-settestmatchaddress100VPN和遠程用戶訪問受控資源需經(jīng)過認證，存在類似如左配置。f)限制具有撥號訪問權(quán)限的用戶數(shù)量。檢查：輸入命令showrunning-config檢查配置文件中是否存在類似如下配置項：encapsulationppppppauthenticationchapdialermapipnamerouterbroadcast7782001pppmultilinkdialeridle-timeout30dialerload-threshold128限制VPN和遠程撥號用戶的數(shù)量，存在類似如左配置。3網(wǎng)絡(luò)設(shè)備防護a)登錄用戶身份鑒別檢查：輸入命令showrunning-config1)查看配置文件，是否存在類似如下登錄口令設(shè)置：linevty04loginpassword******lineaux0loginpassword******linecon0loginpasswrod******2)使用enablesecret命令為特權(quán)用戶設(shè)置口令，如：enblesecret******3)如果設(shè)備啟用了AAA認證，查看配置文件中是否存在類似如下配置項：aaanew-modeltacacs-serverhostsigle-connecting或radius-serverhostsigle-connectingradius-serverkeysharedllivevty04aaaauthorizationlogin存在類似如下配置linevty04loginpassword******linecon0loginpasswrod******enblesecret******aaanew-modeltacacs-serverhost192.168.1.1sigle-connecting或radius-serverhost192.168.1.1sigle-connectingradius-serverkeysharedllivevty04aaaauthorizationloginb)登錄地址限制檢查：輸入命令showrunning-config查看配置文件里是否存在類似如下配置項：access-list3permitx.x.x.xlinevty04access-class3in存在類似如下配置：access-list3permitx.x.x.xlinevty04access-class3inc)用戶標識唯一檢查：輸入命令showrunning-config檢查配置文件是否存在類似如下配置項：usernameadminprivilege10passwordadminusernameuserprivilege1passworduser存在類似如下配置：usernameadminprivilege10passwordadminusernameuserprivilege1passworduserd)兩種或兩種以上身份鑒別技術(shù)訪談：訪談采用了何種鑒別技術(shù)實現(xiàn)雙因子鑒別，并在網(wǎng)絡(luò)管理員的配合下驗證雙因子鑒別的有效性。兩種認證方式同時作用鑒別身份。e)身份鑒別信息復(fù)雜訪談：詢問網(wǎng)絡(luò)管理員使用口令的組成、長度和更改周期等。檢查：輸入命令showrunning-config檢查配置文件中是否存在類似如下配置項：servicepassword-encryption口令組成滿足復(fù)雜性和長度要求并定期更新，存在類似如下配置：servicepassword-encryptionf)具有登錄失敗處理功能檢查：輸入命令showrunning-config檢查配置文件中是否存在類似如下配置項：linevty04exec-timeout50lineaux0exec-timeout50linecon0exec-timeout50存在類似如下配置：linevty04exec-timeout50linecon0exec-timeout50g)安全的遠程管理方法訪談：詢問是否采用安全的遠程管理方法。檢查：輸入命令showrunning-config查看配置文件中是否存在類似如下配置項：ipsshauthentication-reties3linevty04transportinputssh使用SSH或SSL等安全的遠程管理方法，存在類似如下配置：ipsshauthentication-reties3linevty04transportinputsshh)特權(quán)用戶權(quán)限分離檢查：輸入命令showrunning-config檢查配置文件中是否存在類似如下配置項：usernamerootprivilege10G00DpASSW0rdprivilegeexeclevel10sshprivilegeexeclevel10showlog存在類似如下配置：usernamerootprivilege10G00DpASSW0rdprivilegeexeclevel10sshprivilegeexeclevel10showlog4備份和恢復(fù)a)提供本地數(shù)據(jù)備份與恢復(fù)訪談：訪談設(shè)備配置文件備份策略。檢查：輸入命令showrunning-config檢查配置文件中是否存在類似如下配置項：ipftpusernamexxxipftppasswordxxx存在類似如下配置ipftpusernamexxxipftppasswordxxxb)提供異地數(shù)據(jù)備份功能c)冗余的網(wǎng)絡(luò)拓撲結(jié)構(gòu)檢查：查看網(wǎng)絡(luò)拓撲結(jié)構(gòu)看是否采用了冗余技術(shù)來避免關(guān)鍵節(jié)點存在單點障。拓撲結(jié)構(gòu)冗余。d)提供硬件冗余。檢查：查看主要路由器是否有硬件冗余。設(shè)備硬件冗余。2）華為路由器序號測評指標測評項檢查方法預(yù)期結(jié)果備注說明1安全審計a)對網(wǎng)絡(luò)設(shè)備進行日志記錄檢查：輸入命令displaycurrent-configuration檢查配置文件中是否存在類似如下配置項：aclnumberXXrule5permitsourceX.X.X.Xinfo-centerloghostX.X.X.Xinfo-centerenable存在類似如下配置：info-centerloghostX.X.X.Xinfo-centerenableb)分析記錄數(shù)據(jù)，生成審計報表訪談：訪談并查看如何實現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。生成日志記錄的報表。c)審計記錄內(nèi)容檢查：查看是否啟用了審計功能啟用了日志功能。d)保護審計記錄。訪談：訪談是否避免了審計日志的未授權(quán)修改、刪除和破壞。檢查：輸入命令showlogging，檢查配置文件中是否存在類似如下配置項:info-centerloghostX.X.X.X有專門的日志服務(wù)器存放日志，對這臺服務(wù)器的訪問需經(jīng)過授權(quán)。2訪問控制a)應(yīng)啟用路由器的訪問控制功能檢查：檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)和相關(guān)路由器配置，查看是否在網(wǎng)絡(luò)邊界路由器上啟用了訪問控制功能。輸入命令displaycurrent-configuration檢查配置文件中是否存在以下類似配置項：aclnumber2000rule5permitsourceX.X.X.X存在類似如左配置b)提供訪問控制能力，關(guān)閉不需要服務(wù)檢查：輸入命令displaycurrent-configuration檢查配置文件中是否存在類似如下配置項：aclnumber2000rule5denysourceX.X.X.Xinterfacef0/0ipaccess-group111in流入流量過濾：過濾掉源地址IP不是公網(wǎng)IP的數(shù)據(jù)包；流出流量過濾：只允許源地址IP地址是公司內(nèi)部合法IP的數(shù)據(jù)包被轉(zhuǎn)發(fā)出去。關(guān)閉掉路由器的一些不需要的服務(wù)，如：noipfinger，noservicefinger，noipbootpserver，noipsource-route，noipproxy-arp，noipdirected-broadcast，noipdomain-lookup等。存在類似配置，路由器一些不需要的服務(wù)都關(guān)閉。c)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)訪談：詢問網(wǎng)絡(luò)管理員，根據(jù)網(wǎng)絡(luò)現(xiàn)狀是否需要限制網(wǎng)絡(luò)最大流量及網(wǎng)絡(luò)連接數(shù)；檢查：檢查路由器配置，輸入命令displaycurrent-configuration，如限制主機的最大連接數(shù)為200，則檢查配置文件中是否存在類似如下配置項：aclnumber2000rule0permitsourceconnection-limitpolicy0limit0acl2000per-sourceamount101natconnection-limit-policy0鑒于現(xiàn)在網(wǎng)絡(luò)應(yīng)用類型的復(fù)雜程度，推薦使用專用的帶寬管理設(shè)備來實現(xiàn)網(wǎng)絡(luò)流量的控制。有專用的帶寬管理設(shè)備來實現(xiàn)網(wǎng)絡(luò)流量的控制或存在類似如左配置。d)重要網(wǎng)段防止地址欺騙檢查：輸入命令displayiparp或displaycurrent-configuration，檢查配置文件中是否存在類似如下配置項：arpstatic0000-00-00-00-00存在類似如下配置：arp0000.e268.9980arpae)控制遠程撥號用戶對受控系統(tǒng)的資源訪問檢查：輸入命令displaycurrent-configuration檢查配置文件中是否有類似如下VPN相關(guān)配置項：cryptoisakmppolicy10hashmd5authenticationpre-sharecryptoisakmpkeyciscoaddressaccess-list100permittcphosthostcryptoipsectransform-settestah-md5-hmacesp-descryptomaptestmap10ipsec-isakmpsetpeersettracsform-settestmatchaddress100VPN和遠程用戶訪問受控資源需經(jīng)過認證，存在類似如左配置。f)限制具有撥號訪問權(quán)限的用戶數(shù)量。檢查：輸入命令displaycurrent-configuration檢查配置文件中是否存在類似如下配置項：encapsulationppppppauthenticationchapdialermapipnamerouterbroadcast7782001pppmultilinkdialeridle-timeout30dialerload-threshold128限制VPN和遠程撥號用戶的數(shù)量，存在類似如左配置。3網(wǎng)絡(luò)設(shè)備防護a)登錄用戶身份鑒別檢查：輸入命令displaycurrent-configuration1)查看配置文件，是否存在類似如下登錄口令設(shè)置：user-interfacevty04authentication-modeschemeuserprivilegelevel3lineaux0authentication-modepasswordsetauthenticationpasswordcipherxxxlinecon0authentication-modepasswordsetauthenticationpasswordcipher******2)使用cipher命令為特權(quán)用戶設(shè)置口令如superpasswordlevel3cipher******3)如果設(shè)備啟用了radius認證，查看配置文件中是否存在類似如下配置項：User-interfacevty04authentication-modeschemeradiusschemexxxprimaryauthenticationxxxxkeyauthentication***存在類似如左配置。b)登錄地址限制檢查：輸入命令displaycurrent-configuration查看配置文件里是否存在類似如下配置項：aclnumber2000rule0permitsourcex.x.x.xuser-interfacevty04access-class2000inbound存在類似配置c)用戶標識唯一檢查：輸入命令displaycurrent-configuration檢查配置文件是否存在類似如下配置項local-userxxxservice-typetelnetlevel3passwordcipher***存在類似配置d)兩種或兩種以上身份鑒別技術(shù)訪談：訪談采用了何種鑒別技術(shù)實現(xiàn)雙因子鑒別，并在網(wǎng)絡(luò)管理員的配合下驗證雙因子鑒別的有效性。兩種認證方式同時作用鑒別身份。e)身份鑒別信息復(fù)雜訪談：詢問網(wǎng)絡(luò)管理員使用口令的組成、長度和更改周期等。檢查：輸入命令displaycurrent-configuration檢查配置文件中是否存在類似如下配置項：superpasswordlevel3cipher******口令組成滿足復(fù)雜性和長度要求并定期更新，存在類似如下配置：superpasswordlevel3cipher******f)具有登錄失敗處理功能檢查：輸入命令displaycurrent-configuration檢查配置文件中是否存在類似如下配置項：user-interfacevty04idle-timeout50user-interfaceaux0idle-timeout50user-interfacecon0idle-timeout50存在類似配置g)安全的遠程管理方法訪談：詢問是否采用安全的遠程管理方法。檢查：輸入命令displaycurrent-configuration查看配置文件中是否存在類似如下配置項user-interfacevty04protocolinboundssh使用SSH或SSL等安全的遠程管理方法，存在類似如下配置：user-interfacevty04protocolinboundsshh)特權(quán)用戶權(quán)限分離檢查：輸入命令displaycurrent-configuration檢查配置文件中是否存在類似如下配置項：superpasswordlevel3cipher***存在類似配置4備份和恢復(fù)a)提供本地數(shù)據(jù)備份與恢復(fù)訪談：訪談設(shè)備配置文件備份策略。訪談b)提供異地數(shù)據(jù)備份功能c)冗余的網(wǎng)絡(luò)拓撲結(jié)構(gòu)檢查：查看網(wǎng)絡(luò)拓撲結(jié)構(gòu)，看是否采用了冗余技術(shù)來避免關(guān)鍵節(jié)點存在單點障。拓撲結(jié)構(gòu)冗余。d)提供硬件冗余。檢查：查看主要路由器是否有硬件冗余。設(shè)備硬件冗余。交換機安全測評1）華為交換機序號測評指標測評項檢查方法預(yù)期結(jié)果備注說明1安全審計a)對網(wǎng)絡(luò)設(shè)備進行日志記錄檢查：輸入命令displaycurrent-configuration檢查配置文件中是否存在類似如下配置項：logging-hostx.x.x.x存在類似如下配置：logging-hostx.x.x.xb)審計記錄內(nèi)容檢查：查看是否啟用了審計功能生成日志記錄的報表。c)分析記錄數(shù)據(jù)生成審計報表訪談：訪談并查看如何實現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。啟用了日志功能。d)保護審計記錄。訪談：訪談是否避免了審計日志的未授權(quán)修改、刪除和破壞。檢查：輸入命令displaycurrent-configuration檢查配置文件中是否存在類似如下配置項：logging-hostx.x.x.x有專門的日志服務(wù)器存放日志，對這臺服務(wù)器的訪問需經(jīng)過授權(quán)。2訪問控制a)啟用訪問控制功能檢查：檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)和相關(guān)交換機配置，查看是否在交換機上啟用了訪問控制功能。輸入命令displaycurrent-configuration檢查配置文件中是否存在以下類似配置項：aclnametestbasicrule1denysourcex.x.x.x存在類似如下配置：aclnametestbasicrule1denysourcex.x.x.xb)提供訪問控制能力檢查：輸入命令displaycurrent-configuration檢查配置文件中是否存在類似如下配置項：aclnametestbasicrule1denysourcex.x.x.xpacket-filterip-grouptest存在類似如下配置aclnametestbasicrule1denysourcex.x.x.xpacket-filterip-grouptestc)限制網(wǎng)絡(luò)最大流量數(shù)訪談：詢問網(wǎng)絡(luò)管理員，根據(jù)網(wǎng)絡(luò)現(xiàn)狀是否需要限制網(wǎng)絡(luò)最大流量。有專用的帶寬管理設(shè)備來實現(xiàn)網(wǎng)絡(luò)流量的控制或有相關(guān)QOS配置d)重要網(wǎng)段防止地址欺騙檢查：輸入命令displaycurrent-configuration檢查配置文件中是否存在類似如下配置項：arpstatic0000.e268.9980存在類似如下配置：arpstatic0000.e268.99803網(wǎng)絡(luò)設(shè)備防護a)登錄用戶身份鑒別檢查：輸入命令displaycurrent-configuration1)查看配置文件，是否存在類似如下登錄口令設(shè)置：user-interfacevty04userprivilegelevel3setauthenticationpasswordciper******2)如果設(shè)備啟用了AAA認證，查看配置文件中是否存在類似如下配置項：radiusschemeradius1primaryauthenticationprimaryaccounting存在類似如下配置：1)user-interfacevty04userprivilegelevel3setauthenticationpasswordciper******2)radiusschemeradius1primaryauthenticationprimaryaccountingb)登錄地址限制檢查：輸入命令displaycurrent-configuration查看配置文件里是否存在類似如下配置項：user-interfacevty04acl2000inbound存在類似如下配置：user-interfacevty04acl2000inboundc)用戶標識唯一檢查：輸入命令displaycurrent-configuration檢查配置文件是否存在類似如下配置項：local-useruser1passwordcipherO`WE!$@=MA4<1!!level1local-useruser2passwordcipherO`WE!$@=MA4<1!!level3存在類似配置d)兩種或兩種以上身份鑒別技術(shù)訪談：訪談采用了何種鑒別技術(shù)實現(xiàn)雙因子鑒別，并在網(wǎng)絡(luò)管理員的配合下驗證雙因子鑒別的有效性。兩種認證方式同時作用鑒別身份。e)身份鑒別信息復(fù)雜訪談：詢問網(wǎng)絡(luò)管理員使用口令的組成、長度和更改周期等。檢查：輸入命令displaycurrent-configuration檢查配置文件中是否存在類似如下配置項：passwordcipherO`WE!$@=MA4<1!!口令組成滿足復(fù)雜性和長度要求并定期更新；密碼密文顯示，舉例如下：passwordcipherO`WE!$@=MA4<1!!f)具有登錄失敗處理功能檢查：輸入命令displaycurrent-configuration檢查配置文件中是否存在類似如下配置項：user-interfacevty04idle-timeout50存在類似如下配置：user-interfacevty04idle-timeout50g)安全的遠程管理方法訪談：詢問是否采用安全的遠程管理方法。檢查：輸入命令displaycurrent-configuration查看配置文件中是否存在類似如下配置項：user-interfacevty04protocolinboundssh使用SSH或SSL等安全的遠程管理方法，存在類似如下配置：user-interfacevty04protocolinboundsshh)特權(quán)用戶權(quán)限分離。檢查：輸入命令displaycurrent-configuration檢查配置文件中是否存在類似如下配置項：local-useruser1level1local-useruser2level3存在多個不同權(quán)限用戶，做到權(quán)限分離，如下配置：local-useruser1level1local-useruser2level34備份和恢復(fù)a)提供本地數(shù)據(jù)備份與恢復(fù)訪談：訪談設(shè)備配置文件備份策略。檢查：是否定期備份配置文件和設(shè)備軟件。定期備份配置文件和設(shè)備軟件b)提供異地數(shù)據(jù)備份功能訪談：現(xiàn)場訪談并查看用戶是否采用了異地備份。使用了異地備份功能。c)冗余的網(wǎng)絡(luò)拓撲結(jié)構(gòu)檢查：查看網(wǎng)絡(luò)拓撲結(jié)構(gòu)，看是否采用了冗余技術(shù)來避免關(guān)鍵節(jié)點存在單點故障。拓撲結(jié)構(gòu)冗余。d)提供硬件冗余。檢查：查看主要交換機是否有硬件冗余。設(shè)備硬件冗余。2）思科交換機序號測評指標測評項檢查方法預(yù)期結(jié)果備注說明1安全審計a)對網(wǎng)絡(luò)設(shè)備進行日志記錄檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項：access-list100denyip.0.0.255anylog……loggingtrapdebuggingloggingX.X.X.Xloggingon存在類似如下配置：loggingtrapdebuggingloggingX.X.X.Xloggingonb)審計記錄內(nèi)容檢查：查看是否啟用了審計功能生成日志記錄的報表。c)分析記錄數(shù)據(jù)生成審計報表訪談：訪談并查看如何實現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。啟用了日志功能。d)保護審計記錄。訪談：訪談是否避免了審計日志的未授權(quán)修改、刪除和破壞。檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項：loggingx.x.x.x有專門的日志服務(wù)器存放日志，對這臺服務(wù)器的訪問需經(jīng)過授權(quán)。2訪問控制a)啟用訪問控制功能檢查：檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)和相關(guān)交換機配置，查看是否在交換機上啟用了訪問控制功能。輸入命令showrunning-config檢查配置文件中是否存在以下類似配置項：ipaccess-listextended111denyipx.x.x.055anylog存在類似如下配置：ipaccess-listextended111denyipx.x.x.055anylogb)提供訪問控制能力關(guān)閉不需要服務(wù)檢查：輸入命令showipaccess-list檢查配置文件中是否存在類似如下配置項：ipaccess-listextended111denyipx.x.x.055anyloginterfacef0/0ipaccess-group111in關(guān)閉掉交換機默認開啟的一些實際使用中不需要的服務(wù)：如nocdprun，nocdpenable，noservicetcp-small-servers，noserviceudp-small-servers，noipfinger，noservicefinger，noipbootpserver，noipsource-oute，noipproxy-arp，noipdirected-roadcast，noipdomain-lookup等。存在類似如下配置：ipaccess-listextended111denyipx.x.x.055anyloginterfacef0/0ipaccess-group111in交換機一些不需要的服務(wù)都關(guān)閉。c)限制網(wǎng)絡(luò)最大流量數(shù)訪談：詢問網(wǎng)絡(luò)管理員，根據(jù)網(wǎng)絡(luò)現(xiàn)狀是否需要限制網(wǎng)絡(luò)最大流量。有專用的帶寬管理設(shè)備來實現(xiàn)網(wǎng)絡(luò)流量的控制或有相關(guān)QOS配置d)重要網(wǎng)段防止地址欺騙檢查：輸入命令showiparp或showrun檢查配置文件中是否存在類似如下配置項：arp0000.e268.9980arpa存在類似如下配置：arp0000.e268.9980arpa3網(wǎng)絡(luò)設(shè)備防護a)登錄用戶身份鑒別檢查：輸入命令showrunning-config1)查看配置文件，是否存在類似如下登錄口令設(shè)置：linevty04loginpassword******linecon0loginpasswrod******2)使用enablesecret命令為特權(quán)用戶設(shè)置口令，如：enblesecret******3)如果設(shè)備啟用了AAA認證，查看配置文件中是否存在類似如下配置項：aaanew-modeltacacs-serverhostsigle-connecting或radius-serverhostsigle-connectingradius-serverkeysharedllivevty04aaaauthorizationlogin存在類似配置b)登錄地址限制檢查：輸入命令showrunning-config查看配置文件里是否存在類似如下配置項：access-list3permitx.x.x.xlinevty04access-class3in存在類似如下配置：access-list3permitx.x.x.xlinevty04access-class3inc)用戶標識唯一檢查：輸入命令showrunning-config檢查配置文件是否存在類似如下配置項：usernameadminprivilege10passwordadminusernameuserprivilege1passworduser存在類似如下配置：usernameadminprivilege10passwordadminusernameuserprivilege1passwordd)兩種或兩種以上身份鑒別技術(shù)訪談：訪談采用了何種鑒別技術(shù)實現(xiàn)雙因子鑒別，并在網(wǎng)絡(luò)管理員的配合下驗證雙因子鑒別的有效性。兩種認證方式同時作用鑒別身份。e)身份鑒別信息復(fù)雜訪談：詢問網(wǎng)絡(luò)管理員使用口令的組成、長度和更改周期等。檢查：輸入命令showrunning-config檢查配置文件中是否存在類似如下配置項：servicepassword-encryption口令組成滿足復(fù)雜性和長度要求并定期更新，存在類似如下配置：servicepassword-encryptionf)具有登錄失敗處理功能檢查：輸入命令showrunning-config檢查配置文件中是否存在類似如下配置項：linevty04exec-timeout50linecon0exec-timeout50存在類似如下配置：linevty04exec-timeout50linecon0exec-timeout50g)安全的遠程管理方法訪談：詢問是否采用安全的遠程管理方法。檢查：輸入命令showrunning-config查看配置文件中是否存在類似如下配置項：ipsshauthentication-reties3linevty04transportinputssh使用SSH或SSL等安全的遠程管理方法，存在類似如下配置：ipsshauthentication-reties3linevty04transportinputsshh)特權(quán)用戶權(quán)限分離。檢查：輸入命令showrunning-config檢查配置文件中是否存在類似如下配置項：usernamerootprivilege10G00DpASSW0rdprivilegeexeclevel10sshprivilegeexeclevel10showlog存在類似如下配置：usernamerootprivilege10G00DpASSW0rdprivilegeexeclevel10sshprivilegeexeclevel10showlog4備份和恢復(fù)a)提供本地數(shù)據(jù)備份與恢復(fù)訪談：訪談設(shè)備配置文件備份策略。檢查：是否定期備份配置文件和設(shè)備軟件。定期備份配置文件和設(shè)備軟件b)提供異地數(shù)據(jù)備份功能訪談：現(xiàn)場訪談并查看用戶是否采用了異地備份。使用了異地備份功能。c)冗余的網(wǎng)絡(luò)拓撲結(jié)構(gòu)檢查：查看網(wǎng)絡(luò)拓撲結(jié)構(gòu)，看是否采用了冗余技術(shù)來避免關(guān)鍵節(jié)點存在單點故障。拓撲結(jié)構(gòu)冗余。d)提供硬件冗余。檢查：查看主要交換機是否有硬件冗余。設(shè)備硬件冗余。防火墻安全測評PIX525防火墻序號測評指標測評項檢查方法預(yù)期結(jié)果備注說明1安全審計a)對網(wǎng)絡(luò)設(shè)備進行日志記錄檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項：loggingenableloggingtrapxxxlogginghostx.x.x.x存在類似如下配置：loggingenableloggingtrapxxxlogginghostx.x.x.xb)分析記錄數(shù)據(jù)，生成審計報表訪談：訪談并查看如何實現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。生成日志記錄的報表。c)審計記錄內(nèi)容檢查：查看是否啟用了審計功能啟用了日志功能。d)保護審計記錄。訪談：訪談是否避免了審計日志的未授權(quán)修改、刪除和破壞。檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項：logginghostx.x.x.x有專門的日志服務(wù)器存放日志，對這臺服務(wù)器的訪問需經(jīng)過授權(quán)。2訪問控制a)啟用訪問控制功能檢查：檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)和防火墻配置，查看是否在防火墻上啟用了訪問控制功能。輸入命令showrunning-config檢查配置文件中是否存在以下類似配置項：access-list115denytcpanyanyeq135access-list115denyudpanyanyeq135存在類似如下配置：access-list115denytcpanyanyeq135access-list115denyudpanyanyeq135b)提供訪問控制能力檢查：登錄到防火墻上，查看相關(guān)訪問控制策略，分析其可用性和有效性。防火墻配置了合理的訪問控制策略。c)內(nèi)容過濾檢查：在showrunning輸出配置中檢查對HTTP、FTP、TELNET、SMTP、POP3協(xié)議的內(nèi)容過濾配置。存在類似如下配置：access-listoutpermittcpanyhost2eqwwwaccess-listoutpermittcpanyhost2eq25d)會話控制檢查檢查：輸入命令showrunning-config檢查配置文件中是否存在以下類似配置項：timeoutxlate3:00:00timeoutconn1:00:00half-closed存在類似如下配置：timeoutxlate3:00:00timeoutconn1:00:00half-closede)流量數(shù)及連接數(shù)控制檢查：輸入命令showrunning-config檢查配置文件中是否存在以下類似配置項：nat(inside)1500存在類似如下配置：nat(inside)1500f)重要網(wǎng)段防止地址欺騙檢查：輸入命令showrunning-config檢查配置文件中是否存在以下類似配置項：arpinsidex.x.x.xxxxx.xxxx.xxxx存在類似如下配置：arpinsidex.x.x.xxxxx.xxxx.xxxxg)用戶對受控系統(tǒng)資源訪問控制檢查：是否有遠程VPN訪問用戶，遠程用戶訪問收控資源有無控制對遠程VPN訪問用戶限制了訪問范圍，如：access-list110permitiph)限制具有撥號訪問權(quán)限的用戶數(shù)量。檢查：當有遠程VPN訪問用戶時，限制可訪問的用戶數(shù)量。存在類似如下配置：vpngrouptestvpn-simultaneous-logins303網(wǎng)絡(luò)設(shè)備防護a)登錄用戶身份鑒別檢查：輸入命令showrunning-config檢查配置文件中是否存在以下類似配置項：usernameciscopassword******或aaa-server3araduisaaa-server3ahostx.x.x.xcisco存在類似如下配置：usernameciscopassword******或aaa-server3araduisaaa-server3ahostx.x.x.xciscob)登錄地址限制檢查：輸入命令showrunning-config檢查配置文件中是否存在以下類似配置項：telnetx.x.x.xx.x.x.xinside存在類似如下配置：telnetx.x.x.xx.x.x.xinsidec)用戶標識唯一檢查：輸入命令showrunning-config檢查配置文件中是否存在以下類似配置項：usernameciscopassword******usernamepixpassword******帳號專用，不存在混用現(xiàn)象，存在類似如下配置：usernameciscopassword******usernamepixpassword******d)兩種或兩種以上身份鑒別技術(shù)檢查：查看用戶的認證方式是否選擇兩種或兩種以上組合的鑒別技術(shù)。用戶的認證方式選擇兩種或兩種以上組合的鑒別技術(shù)，只用一種技術(shù)無法認證成功。e)身份鑒別信息訪談：詢問管理員對身份鑒別所采取的具體措施，使用口令的長度以及復(fù)雜度等?？诹顫M足復(fù)雜性和長度要求，并定期修改。f)具有登錄失敗處理功能檢查：輸入命令showrunning-config檢查配置文件中是否存在以下類似配置項：telnettimeout10sshtimeout10存在類似如下配置：telnettimeout10sshtimeout10g)安全的遠程管理方法檢查：輸入命令showrunning-config檢查配置文件中是否存在以下類似配置項：sshx.x.x.xx.x.x.xoutside不使用Telnet，使用SSH進行遠程管理，存在類似如下配置：sshx.x.x.xx.x.x.xoutsideh)特權(quán)用戶權(quán)限分離。檢查：輸入命令showrunning-config檢查配置文件中是否存在以下類似配置項：usernameciscopassword******privilege15usernameguestpassword******privilege2存在不同權(quán)限用戶，類似如下配置usernameciscopassword******privilege15usernameguestpassword******privilege24備份和恢復(fù)a)提供本地數(shù)據(jù)備份與恢復(fù)訪談：訪談設(shè)備配置文件備份策略。檢查：是否定期備份配置文件和設(shè)備軟件，是否有異地備份機制。定期備份配置文件和設(shè)備軟件b)提供異地數(shù)據(jù)備份功能訪談：現(xiàn)場訪談并查看用戶是否采用了異地備份。使用了異地備份功能。c)冗余的網(wǎng)絡(luò)拓撲結(jié)構(gòu)檢查：查看網(wǎng)絡(luò)拓撲結(jié)構(gòu)，判斷是否采用了冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)。拓撲結(jié)構(gòu)冗余。d)提供硬件冗余。