信息安全等级测评师培训
网络安全测评
公安部信息安全等级保护评估中心
于东升
1内容目录
1.前 言
2.检 查 范 围
3 .检 查 内 容
4 .现 场 测 评 步 骤
2标准概述
2007年43号文《信息安全等级保护管理办法》
按照以下相关标准开展等级保护工作:
《计算机信息系统安全保护等级划分准则》 (GB17859-1999)
《信息系统安全等级保护定级指南》 (GB/T22240-2008)
《信息系统安全等级保护基本要求》 (GB/T22239-2008)
《信息系统安全等级保护测评要求》 (报批稿)
《信息系统安全等级保护实施指南》 (报批稿)
.......
3标准概述
测评过程中重点依据《信息系统安全等级保护
基本要求》、《信息系统安全等级保护测评要
求》来进行。
4标准概述
基本要求中网络安全的控制点与要求项各级分布:
级别 控制点 要求项
第一级 3 9
第二级 6 18
第三级 7 33
第四级 7 32
5标准概述
等级保护基本要求三级网络安全方面涵盖哪些
内容?
共包含7个控制点33个要求项,涉及到网络安
全中的结构安全 、 、安全审计、 、边界完整性检查
、入侵防范、恶意代码防范、访问控制、设备
防护等方面。
6内容目录
1.前 言
2.检 查 范 围
3 .检 查 内 容
4. 现 场 测 评 步 骤
7检查范围
理解标准:理解标准中涉及网络部分的每项基
本要求。
明确目的:检查的最终目的是判断该信息系统
的网 网络安全综合防护能力, 如抗攻击能力、 、 防
病毒能力等等,不是单一的设备检查。
分阶段进行:共划分为4个阶段,测评准备、方
案编制、现场测评、分析及报告编制。
8检查范围
确定检查范围,细化检查项。
通过前期调研获取被测系统的网络结构拓扑、外连
线路、 、网络设备、 安全设备等信息。
根据调研结果,进行初步分析判断。
明确边界设备、核心设备及其他重要设备,确定检
查范围。
9检查范围
注意事项
考虑设备的重要程度可以采用抽取的方式。
不能出现遗漏, 避免出现脆弱点。
最终需要在测评方案中与用户明确检查范围-网络
设备、安全设备列表。
10Si
Si
Si
Si
11内容目录
1.前 言
2.检 查 范 围
3 .检 查 内 容
4 .现 场 测 评 步 骤
12检查内容
检查内容以等级保护基本要求三级为例,按照
基本要求7个控制点33个要求项进行检查。
一、结构安全 (7项)
二、访问控制 (8项)
三、安全审计 (4项)
13检查内容
四、边界完整性检查 (2项)
五、入侵防范 (2项)
六 、 恶意代码防范 (2项)
七、网络设备防护 (8项)
14检查内容
一、结构安全 (7项)
结构安全是网络安全测评检查的重点,网络结构是
否合理直接关系到信息系统的整体安全。
条款解读
a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰
期需要;
条款理解
为了保证信息系统的高可用性,主要网络设备的业务处理能力
应具备冗余空间。
检查方法
访谈网络管理员 ,询问主要网络设备的性能及业务高峰流量。
访谈网络管理员,询问采用何种手段对网络设备进行监控。
16结构安全
b)应保证网络各个部分的带宽满足业务高峰期需要;(保证接入网络和核心网络的带宽满足业务高峰期需要)
条款理解
对网络各个部分进行分配带宽,从而保证在业务高峰期业务服
务的连续性。
检查方法
询问当前网络各部分的带宽是否满足业务高峰需要。
如果无法满足业务高峰期需要, 则需进行带宽分配 。检查主要
网络设备是否进行带宽分配。
17结构安全
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
条款理解
静态路由是指由网络管理员手工配置的路由信息。动态路由是指
路由器能够自动地建立自己的路由表。
路由器之间的路由信息交换是基于路由协议实现的,如 OSPF路
由协议是一种典型的链路状态的路由协议。
如果使用动态路由协议应配置使用路由协议认证功能, 保证网络
路由安全。
18结构安全
检查方法
检查边界设备和主要网络设备,查看是否进行了路由控制建立
安全的访问路径。
以CISCO IOS为例,输入命令:show running-config
检查配置文件中应当存在类似如下配置项:
ip route 192.168.1.0 255.255.255.0 192.168.1.193 (静态)
router ospf 100 (动态)
ip ospf message-digest-key 1 md5 7 XXXXXX(认证码)
19结构安全
d)应绘制与当前运行情况相符的网络拓扑结构图;
条款理解
为了便于网络管理,应绘制与当前运行情况相符的网络拓扑结
构图。当网络拓扑结构发生改变时,应及时更新。
检查方法
检查网络拓扑图,查看其与当前运行情况是否一致。
e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,
划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网
段分配地址段;
条款理解
根据实际情况和区域安全防护要求,应在主要网络设备上进行
VLAN划分或子网划分。
不同VLAN内的报文在传输时是相互隔离的 。如果不同VLAN要
进行通信,则需要通过路由器或三层交换机等三层设备实现。
21结构安全
检查方法
访谈网络管理员,是否依据部门的工作职能、重要性和应用系
统的级别划分了不同的VLAN或子网。
以CISCO IOS为例,输入命令:show vlan
检查配置文件中应当存在类似如下配置项:
vlan 2 name info
int e0/2
vlan-membership static 2
22结构安全
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要
网段与其他网段之间采取可靠的技术隔离手段;
条款理解
为了保证信息系统的安全,应避免将重要网段部署在网络边界
处且直接连接外部信息系统,防止来自外部信息系统的攻击。
在重要网段和其它网段之间配置安全策略进行访问控制。
检查方法
检查网络拓扑结构,查看是否将重要网段部署在网络边界处,
重要网段和其它网 段之间 是否配置安 全策略进行访问控制。
23结构安全
g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络
发生拥堵的时候优先保护重要主机。
条款理解
为了保证重要业务服务的连续性,应按照对业务服务的重要次
序来指定带宽分配优先级别,从而保证在网络发生拥堵的时候
优先保护重要主机。
检查方法
访谈网络管理员,依据实际应用系统状况,是否进行了带宽优
先级分配。
24结构安全
以CISCO IOS为例,检查配置文件中是否存在类似如下配置
项:
policy-map bar
class voice
priority percent 10
class data
bandwidth percent 30
class video
bandwidth percent 20
25访问控制
二、访问控制 (8项)
访问控制是网络测评检查中的核心部分,涉及到大
部分网络设备 、 、安全设备。
条款解读
26访问控制
a)应在网络边界部署访问控制设备,启用访问控制功能;
条款理解
在网络边界部署访问控制设备,防御来自其他网络的攻击,保护
内部网络的安全。
检查方法
检查网络拓扑结构,查看是否在网络边界处部署了访问控制设
备, 是否启用了访问控制功能。
27访问控制
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,
控制粒度为端口级;(控制粒度为网段级)
条款理解
在网络边界部署访问控制设备,对进出网络的流量进行过滤,保
护内部网络的安全。
配置的访问控制列表应有明确的源/目的地址、源/目的、协议
及服务等。
28访问控制
检查方法
以CISCO IOS为例,输入命令:show ip access-list
检查配置文件中应当存在类似如下配置项:
ip access-list extended 111
deny ip x.x.x.0 0.0.0.255 any log
interface eth 0/0
ip access -group 111 in
29访问控制
以防火墙检查为例,应有明确的访问控制策略,如下图所示:
策略说明 允许INTERNET服务器访问前置专用服务器
源地址 目的地址 端口 协议 策略
策略设置
211.138.236.123 172.16.2.11 8080 TCP 允许
211.138.235。66 172.16.2.11 8970
8971
TCP 允许
30访问控制
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、
TELNET、SMTP、POP3等协议命令级的控制;
条款理解
对于一些常用的应用层协议,能够在访问控制设备上实现应用
层协议命令级的控制和内容检查,从而增强访问控制粒度。
检查方法
该测评项一 般在防火墙、 入侵防御系统上检查。
首先查看防火墙、入侵防御系统是否具有该功能,然后登录设
备查 看是否启 用了相应的 功能。
31访问控制
以联想网域防火墙为例,如下图所示:
32访问控制
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;
条款理解
当恶意用户进行网络攻击时,有时会发起大量会话连接,建立
会话后长时间保持状态连接从而占用大量网络资源,最终将网
络资源耗尽的情况。
应在会话终止或长时间无响应的情况下终止网络连接,释放被
占用网络资源, 保证业务可以被正常访问。
33访问控制
检查方法
该测评项一般在防火墙上检查。
登录防火墙,查看是否设置了会话连接超时,设置的超时时间
是多少,判断是否合理。
34访问控制
以天融信防火墙为例,如下图所示:
35访问控制
e)应限制网络最大流量数及网络连接数;
条款理解
可根据IP地址、端口、协议来限制应用数据流的最大流量,还
可以根据IP地址来限制网络连接数,从而保证业务带宽不被占
用,业务系统可以对外正常提供业务。
检查方法
该测评项 一般在防火墙上检查。 访谈系统管理员 ,依据实际网
络状况是否需要限制网络最大流量数及网络连接数。
登录设备查看 是否设置了最大流量 数 和连接数 ,并 做好记录。
36访问控制
以天融信防火墙为例,如下图所示:
37访问控制
f)重要网段应采取技术手段防止地址欺骗;
条款理解
地址欺骗在网络安全中比较重要的一个问题,这里的地址,可以是
MAC地址,也可以是IP地址。在关键设备上,采用IP/MAC地址
绑定方式防止地址欺骗。
检查方法
以CISCO IOS为例, 输入 sh ow ip arp
检查配置文件中应当存在类似如下配置项:
arp 10.10.10.1 0000.e268.9980 arpa
38访问控制
以联想网域防火墙为例,如下图所示:
39访问控制
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系
统进行资源访问,控制粒度为单个用户;
条款理解
对于远程拨号用户,应在相关设备上提供用户认证功能。
通过配置用户、用户组,并结合访问控制规则可以实现对认证
成功的用户允许访问受控资源。
检查方法
登录相关设备查看是否对拨号用户进行身份认证,是否配置访
问控制 规则对认证成功 的 用户允许访问 受控资源。
40访问控制
h)应限制具有拨号访问权限的用户数量。
条款理解
应限制通过远程采用拨号方式或通过其他方式连入系统内部的
用户数量。
检查方法
询问系统管理员,是否有远程拨号用户,采用什么方式接入系
统部, 采用何种方式进行身份认证, 具体用户数量有多少。
41安全审计
三、安全审计 (4项)
安全审计要对相关事件进行日志记录,还要求对形
成的记录能够分析 、 形成报表。
条款解读
42安全审计
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日
志记录;
条款理解
为了对网络设备的运行状况、网络流量、管理记录等进行检测
和记录,需要启用系统日志功能。系统日志信息通常输出至各
种管理端口、内部缓存或者日志服务器。
检查方法
检查测评对象,查看是否启用了日志记录,日志记录是本地保
存, 还是转发到日志服务器。 记录日志服务器的地址。
43安全审计
以联想网域防火墙为例,如下图所示:
44安全审计
b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成
功及其他与审计相关的信息;
条款理解
日志审计内容需要记录时间、类型、用户、事件类型、事件是
否成功等相关信息。
检查方法
登录测评对象或日志服务器, 查看日志记录是否包含了事件的
日期和时间、用户、事件类型、事件是否成功等信息。
45安全审计
c)应能够根据记录数据进行分析,并生成审计报表;
条款理解
为了便于管理员对能够及时准确地了解网络设备运行状况和发
现网络入侵行为,需要对审计记录数据进行分析和生成报表。
检查方法
访谈并查看网络管理员采用了什么手段实现了审计记录数据的
分析和报表生成。
46安全审计
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
条款理解
审计记录能够帮助管理人员及时发现系统运行状况和网络攻击
行为,因此需要对审计记录实施技术上和管理上的保护,防止
未授权修改、删除和破坏。
检查方法
访谈网络设备管理员采用了何种手段避免了审计日志的未授权
修改、删除和破坏。如可以设置专门的日志服务器来接收路由
器等网 络设 备发送 出的报 警信息。
47安全审计
以联想网域防火墙为例,如下图所示:
48边界完整性检查
四、边界完整性检查 (2项)
边界完整性检查主要检查在全网中对网络的连接状
态进行监控, 发现非法接入 、非法外联时能够准确
定位并能及时报警和阻断。
条款解读
49边界完整性检查
a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置
,并对其进行有效阻断;
条款理解
可以采用技术手段和管理措施对“非法接入”行为进行检查。技术
手段包括网络接入控制、I P/MAC地址绑定。
检查方法
访谈网络管理员, 询问采用何种技术手段或管理措施对“非法接入
”进行检查,对于技术手段,在网络管理员配合下验证其有效性。
50ARP方式:
边界完整性检查
以联想网域防火墙为例,如下图所示:
51边界完整性检查
以联想网域防火墙为例,如下图所示:
52边界完整性检查
b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出
位置,并对其进行有效阻断。(应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查)
条款理解
可以采用技术手段和管理措施对“非法外联”行为进行检查。
技术手段可以采取部署桌面管理系统或其他技术措施控制。
检查方法
访问网络管理员, 询问采用了何种技术手段或管理措施对“非
法外联”行为进行检查,对于技术手段,在网络管理员配合下
验证其有效性。
53边界完整性检查
以联想网域防火墙为例,如下图所示:
54入侵防范
五、入侵防范 (2项)
对入侵事件不仅能够检测,并能发出报警,对于入
侵防御系统要求定期更新特征库 ,发现入侵后能够
报警并阻断。
条款解读
55入侵防范
a)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门
攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击
等;
条款理解
要维护系统安全,必须在网络边界处对常见的网络攻击行为进
行监视,以便及时发现攻击行为。
检查方法
检查网络拓扑结构,查看在网络边界处是否部署了包含入侵防
范功 能的设 备。 登录相应 设备 ,查 看是否启 用了检测功能 。
56入侵防范
以联想网域防火墙为例,如下图所示:
57入侵防范
b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击
时间,在发生严重入侵事件时应提供报警。
条款理解
当检测到攻击行为时,应对攻击信息进行日志记录。在发生严
重入侵事件时应能通过短信、邮件等向有关人员报警。
检查方法
查看在网络边界处是否部署了包含入侵防范功能的设备。
如果部署了相应设备,则检查设备的日志记录是否完备,是否 提供了 报警功 能。
58恶意代码防范
六、恶意代码防范 (2项)
恶意代码防范是综合性的多层次的,在网络边界处
需要对恶意代码进行防范。
条款解读
59恶意代码防范
a)应在网络边界处对恶意代码进行检测和清除;
条款理解
计算机病毒、木马和蠕虫的泛滥使得防范恶意代码的破坏显得 尤为重要。在网络边界处部署防恶意代码产品进行恶意代码防 范是最为直接和高效的办法。
检查方法
检查网络拓扑结构, 查看在网络边界处是否部署了防恶意代码 产品。如果部署了相关产品,则查看是否启用了恶意代码检测 及阻断功能, 并查看 日志记 录中是 否有相 关 阻断信息。 60恶意代码防范
以联想网域防火墙为例,如下图所示:
61恶意代码防范
b)应维护恶意代码库的升级和检测系统的更新。
条款理解
恶意代码具有特征变化快,特征变化快的特点。因此对于恶意 代码检测重要的特征库更新,以及监测系统自身的更新,都非 常重要。
检查方法
访谈网络管理员, 询问是否对防恶意代码产品的特征库进行升 级及具体是升级方式。登录相应的防恶意代码产品,查看其特 征库、 系统软件 升级情况 ,查看 当前 是否为 最新 版本。 62网络设备防护
七、网络设备防护 (8项)
网络设备的防护主要是对用户登录前后的行为进行
控制, ,对网络设备的权限进行管理。
条款解读
63网络设备防护
a)应对登录网络设备的用户进行身份鉴别;
条款理解
对于网络设备,可以采用CON、AUX、VTY等方式登录。 对于安全设备,可以采用WEB、GUI、命令行等方式登录。 检查方法
检查测评对象采用何种方式进行登录,是否对登录用户的身份 进行鉴别, 是否修改了默认的用户名及密码。
64网络设备防护
以CISCO IOS为例, 检查配置文件中应当存在类似如下配置项: line vty 0 4
login
password xxxxxxx
line aux 0
l ogin
password xxxxxxx
line con 0
login
password xxxxxxx
65网络设备防护
b)应对网络设备的管理员登录地址进行限制;
条款理解
为了保证安全,需要对访问网络设备的登录地址进行限制,避 免未授权的访问。
检查方法
以CISCO IOS为例,输入命令:show running-config
access-list 3 permit x. x .x .x log
access-list 3 deny any
line vty 0 4
access-class 3 in
66网络设备防护
以联想网域防火墙为例,如下图所示:
67网络设备防护
c)网络设备用户的标识应唯一;
条款理解
不允许在网络设备上配置用户名相同的用户,要防止多人共用 一个帐户,实行分帐户管理,每名管理员设置一个单独的帐户 ,避免出现问题后不能及时进行追查。
检查方法
登录网络设备, 查看设置的用户是否有相同用户名 。询问网络 管理员,是否为每个管理员设置了单独的账户。
68网络设备防护
d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进 行身份鉴别;
条款理解
采用双因子鉴别是防止身份欺骗的有效方法,双因子鉴别不仅 要求访问者知道 一些鉴别信息,还需要访问者拥有鉴别特征, 例如采用令牌、智能卡等。
检查方法
访谈网络设备管理员,询问采用了何种鉴别技术实现了双因子 鉴别 ,并在管理 员的配 合下验证双因子鉴别 的有效性。
69网络设备防护
以联想网域防火墙为例,如下图所示:
70网络设备防护
e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期 更换;
条款理解
为避免身份鉴别信息被冒用,可以通过采用令牌、认证服务器 等措施,加强身份鉴别信息的保护。如果仅仅基于口令的身份 鉴别,应当保证口令复杂度和定期更改的要求。
检查方法
询问网络管理员对身份鉴别所采取的具体措施,使用口令的组 成 、长度和 更改周 期等。
71网络设备防护
以联想网域防火墙为例,如下图所示:
72网络设备防护
f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当 网络登录连接超时自动退出等措施;
条款理解
应对登录失败进行处理,避免系统遭受恶意的攻击。
检查方法
以CISCO IOS为例,输入命令:show running-config
检查配置文件中应当存在类似如下配置项:
line vty 0 4
exec-timeout 5 0
73网络设备防护
以联想网域防火墙为例,如下图所示:
74网络设备防护
g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络 传输过程中被窃听;
条款理解
对网络设备进行管理时,应采用SSH、HTTPS等加密协议,防 止鉴别信息被窃听。
检查方法
以CISCO IOS为例 ,输入命令 :sh ow runni ng-config 检查配置文件中应当存在类似如下配置项:
li ne vt y 0 4
transport input ssh
75网络设备防护
h)应实现设备特权用户的权限分离。
条款理解
应根据实际需要为用户分配完成其任务的最小权限。
检查方法
登录设备 ,查看有多少管理员账户, 每个管理员账户是否仅分 配完成其任务的最小权限。一般应该有三类账户:普通账户, 审计账户、 配置更改账户。
76网络设备防护
以联想网域防火墙为例,如下图所示:
77内容目录
1.前 言
2.检 查 范 围
3 .检 查 内 容
4 .现 场 测 评 步 骤
78现场测评步骤
现场网络测评步骤:
1、网络全局性测评
2 、网络设备、 安全设备测评
3、测评结果汇总整理
79现场测评步骤
1、网络全局性测评
结构安全
边界完整性检查
入侵防范
恶意代码防范
80现场测评步骤
2、网络设备、安全设备测评
访问控制
安全审计
网络设备防护
备份与恢复
81现场测评步骤
a)应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备 份介质场外存放;
条款理解
应制定完备的设备配置数据备份与恢复策略,定期对设备策略 进行备份,并且备份介质要场外存放。
应能对路由器配置进行维护,可以方便地进行诸如查看保存配 置和运行配置 、上传和下载系统配置文件(即 一次性导入和导 出系统所有配置)等维护操作,还可以恢复出厂默认配置,以 方便用户重新配置设备。
82现场测评步骤
检查方法
现场访谈并查看用户采用何种方式对设备配置文件进行备份及 具体的备份策略。
输入命令:show running-config
如果采用F TP服务器保存配置文件,则检查配置文件中应当存 在类似如下配置项:
ip ftp username login_ name
ip ftp password login_password
83现场测评步骤
b)应提供异地数据备份功能,利用通信网络将关键数据定时批量传送 至备用场地;
条款理解
此处提出的数据是指路由器策略配置文件,可以通过采用数据 同步方式,将路由器的策略文件备份到异地的服务器上。 检查方法
现场访谈并查看用户是否采用了异地同步服务器等方式, 进行 异地数据备份。
84现场测评步骤
c)应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障; 条款理解
为了避免网络设备或线路出现故障时引起数据通信中断,应为 关键设备提供双机热备功能,以确保在通信线路或设备故障时 提供备用方案,有效增强网络的可靠性。
检查方法
查看是否采用冗余技术设计网络拓扑结构, 避免关键节点存在 单点故障。
85现场测评步骤
d)应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证 系统的高可用性。
条款理解
为了避免网络设备或线路出现故障时引起数据通信中断,应为 关键设备提供双机热备功能,以确保在通信线路或设备故障时 提供备用方案,有效增强网络的可靠性。
检查方法
查看是否采用冗余技术设计,具体采用的备份设备、备份线路 、备份方式等。
86现场测评步骤
3、测评结果汇总整理
对全局性检查结果和各单项检查结果进行汇总。
核对检查结果 ,记录内容真实有效 ,勿有遗漏。
87信息安全等级测评师培训
谢 谢 !
88
信息安全等级测评师培训
网络安全测评
公安部信息安全等级保护评估中心
于东升
1内容目录
1.前 言
2.检 查 范 围
3 .检 查 内 容
4 .现 场 测 评 步 骤
2标准概述
2007年43号文《信息安全等级保护管理办法》
按照以下相关标准开展等级保护工作:
《计算机信息系统安全保护等级划分准则》 (GB17859-1999)
《信息系统安全等级保护定级指南》 (GB/T22240-2008)
《信息系统安全等级保护基本要求》 (GB/T22239-2008)
《信息系统安全等级保护测评要求》 (报批稿)
《信息系统安全等级保护实施指南》 (报批稿)
.......
3标准概述
测评过程中重点依据《信息系统安全等级保护
基本要求》、《信息系统安全等级保护测评要
求》来进行。
4标准概述
基本要求中网络安全的控制点与要求项各级分布:
级别 控制点 要求项
第一级 3 9
第二级 6 18
第三级 7 33
第四级 7 32
5标准概述
等级保护基本要求三级网络安全方面涵盖哪些
内容?
共包含7个控制点33个要求项,涉及到网络安
全中的结构安全 、 、安全审计、 、边界完整性检查
、入侵防范、恶意代码防范、访问控制、设备
防护等方面。
6内容目录
1.前 言
2.检 查 范 围
3 .检 查 内 容
4. 现 场 测 评 步 骤
7检查范围
理解标准:理解标准中涉及网络部分的每项基
本要求。
明确目的:检查的最终目的是判断该信息系统
的网 网络安全综合防护能力, 如抗攻击能力、 、 防
病毒能力等等,不是单一的设备检查。
分阶段进行:共划分为4个阶段,测评准备、方
案编制、现场测评、分析及报告编制。
8检查范围
确定检查范围,细化检查项。
通过前期调研获取被测系统的网络结构拓扑、外连
线路、 、网络设备、 安全设备等信息。
根据调研结果,进行初步分析判断。
明确边界设备、核心设备及其他重要设备,确定检
查范围。
9检查范围
注意事项
考虑设备的重要程度可以采用抽取的方式。
不能出现遗漏, 避免出现脆弱点。
最终需要在测评方案中与用户明确检查范围-网络
设备、安全设备列表。
10Si
Si
Si
Si
11内容目录
1.前 言
2.检 查 范 围
3 .检 查 内 容
4 .现 场 测 评 步 骤
12检查内容
检查内容以等级保护基本要求三级为例,按照
基本要求7个控制点33个要求项进行检查。
一、结构安全 (7项)
二、访问控制 (8项)
三、安全审计 (4项)
13检查内容
四、边界完整性检查 (2项)
五、入侵防范 (2项)
六 、 恶意代码防范 (2项)
七、网络设备防护 (8项)
14检查内容
一、结构安全 (7项)
结构安全是网络安全测评检查的重点,网络结构是
否合理直接关系到信息系统的整体安全。
条款解读
a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰
期需要;
条款理解
为了保证信息系统的高可用性,主要网络设备的业务处理能力
应具备冗余空间。
检查方法
访谈网络管理员 ,询问主要网络设备的性能及业务高峰流量。
访谈网络管理员,询问采用何种手段对网络设备进行监控。
16结构安全
b)应保证网络各个部分的带宽满足业务高峰期需要;(保证接入网络和核心网络的带宽满足业务高峰期需要)
条款理解
对网络各个部分进行分配带宽,从而保证在业务高峰期业务服
务的连续性。
检查方法
询问当前网络各部分的带宽是否满足业务高峰需要。
如果无法满足业务高峰期需要, 则需进行带宽分配 。检查主要
网络设备是否进行带宽分配。
17结构安全
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
条款理解
静态路由是指由网络管理员手工配置的路由信息。动态路由是指
路由器能够自动地建立自己的路由表。
路由器之间的路由信息交换是基于路由协议实现的,如 OSPF路
由协议是一种典型的链路状态的路由协议。
如果使用动态路由协议应配置使用路由协议认证功能, 保证网络
路由安全。
18结构安全
检查方法
检查边界设备和主要网络设备,查看是否进行了路由控制建立
安全的访问路径。
以CISCO IOS为例,输入命令:show running-config
检查配置文件中应当存在类似如下配置项:
ip route 192.168.1.0 255.255.255.0 192.168.1.193 (静态)
router ospf 100 (动态)
ip ospf message-digest-key 1 md5 7 XXXXXX(认证码)
19结构安全
d)应绘制与当前运行情况相符的网络拓扑结构图;
条款理解
为了便于网络管理,应绘制与当前运行情况相符的网络拓扑结
构图。当网络拓扑结构发生改变时,应及时更新。
检查方法
检查网络拓扑图,查看其与当前运行情况是否一致。
e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,
划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网
段分配地址段;
条款理解
根据实际情况和区域安全防护要求,应在主要网络设备上进行
VLAN划分或子网划分。
不同VLAN内的报文在传输时是相互隔离的 。如果不同VLAN要
进行通信,则需要通过路由器或三层交换机等三层设备实现。
21结构安全
检查方法
访谈网络管理员,是否依据部门的工作职能、重要性和应用系
统的级别划分了不同的VLAN或子网。
以CISCO IOS为例,输入命令:show vlan
检查配置文件中应当存在类似如下配置项:
vlan 2 name info
int e0/2
vlan-membership static 2
22结构安全
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要
网段与其他网段之间采取可靠的技术隔离手段;
条款理解
为了保证信息系统的安全,应避免将重要网段部署在网络边界
处且直接连接外部信息系统,防止来自外部信息系统的攻击。
在重要网段和其它网段之间配置安全策略进行访问控制。
检查方法
检查网络拓扑结构,查看是否将重要网段部署在网络边界处,
重要网段和其它网 段之间 是否配置安 全策略进行访问控制。
23结构安全
g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络
发生拥堵的时候优先保护重要主机。
条款理解
为了保证重要业务服务的连续性,应按照对业务服务的重要次
序来指定带宽分配优先级别,从而保证在网络发生拥堵的时候
优先保护重要主机。
检查方法
访谈网络管理员,依据实际应用系统状况,是否进行了带宽优
先级分配。
24结构安全
以CISCO IOS为例,检查配置文件中是否存在类似如下配置
项:
policy-map bar
class voice
priority percent 10
class data
bandwidth percent 30
class video
bandwidth percent 20
25访问控制
二、访问控制 (8项)
访问控制是网络测评检查中的核心部分,涉及到大
部分网络设备 、 、安全设备。
条款解读
26访问控制
a)应在网络边界部署访问控制设备,启用访问控制功能;
条款理解
在网络边界部署访问控制设备,防御来自其他网络的攻击,保护
内部网络的安全。
检查方法
检查网络拓扑结构,查看是否在网络边界处部署了访问控制设
备, 是否启用了访问控制功能。
27访问控制
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,
控制粒度为端口级;(控制粒度为网段级)
条款理解
在网络边界部署访问控制设备,对进出网络的流量进行过滤,保
护内部网络的安全。
配置的访问控制列表应有明确的源/目的地址、源/目的、协议
及服务等。
28访问控制
检查方法
以CISCO IOS为例,输入命令:show ip access-list
检查配置文件中应当存在类似如下配置项:
ip access-list extended 111
deny ip x.x.x.0 0.0.0.255 any log
interface eth 0/0
ip access -group 111 in
29访问控制
以防火墙检查为例,应有明确的访问控制策略,如下图所示:
策略说明 允许INTERNET服务器访问前置专用服务器
源地址 目的地址 端口 协议 策略
策略设置
211.138.236.123 172.16.2.11 8080 TCP 允许
211.138.235。66 172.16.2.11 8970
8971
TCP 允许
30访问控制
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、
TELNET、SMTP、POP3等协议命令级的控制;
条款理解
对于一些常用的应用层协议,能够在访问控制设备上实现应用
层协议命令级的控制和内容检查,从而增强访问控制粒度。
检查方法
该测评项一 般在防火墙、 入侵防御系统上检查。
首先查看防火墙、入侵防御系统是否具有该功能,然后登录设
备查 看是否启 用了相应的 功能。
31访问控制
以联想网域防火墙为例,如下图所示:
32访问控制
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;
条款理解
当恶意用户进行网络攻击时,有时会发起大量会话连接,建立
会话后长时间保持状态连接从而占用大量网络资源,最终将网
络资源耗尽的情况。
应在会话终止或长时间无响应的情况下终止网络连接,释放被
占用网络资源, 保证业务可以被正常访问。
33访问控制
检查方法
该测评项一般在防火墙上检查。
登录防火墙,查看是否设置了会话连接超时,设置的超时时间
是多少,判断是否合理。
34访问控制
以天融信防火墙为例,如下图所示:
35访问控制
e)应限制网络最大流量数及网络连接数;
条款理解
可根据IP地址、端口、协议来限制应用数据流的最大流量,还
可以根据IP地址来限制网络连接数,从而保证业务带宽不被占
用,业务系统可以对外正常提供业务。
检查方法
该测评项 一般在防火墙上检查。 访谈系统管理员 ,依据实际网
络状况是否需要限制网络最大流量数及网络连接数。
登录设备查看 是否设置了最大流量 数 和连接数 ,并 做好记录。
36访问控制
以天融信防火墙为例,如下图所示:
37访问控制
f)重要网段应采取技术手段防止地址欺骗;
条款理解
地址欺骗在网络安全中比较重要的一个问题,这里的地址,可以是
MAC地址,也可以是IP地址。在关键设备上,采用IP/MAC地址
绑定方式防止地址欺骗。
检查方法
以CISCO IOS为例, 输入 sh ow ip arp
检查配置文件中应当存在类似如下配置项:
arp 10.10.10.1 0000.e268.9980 arpa
38访问控制
以联想网域防火墙为例,如下图所示:
39访问控制
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系
统进行资源访问,控制粒度为单个用户;
条款理解
对于远程拨号用户,应在相关设备上提供用户认证功能。
通过配置用户、用户组,并结合访问控制规则可以实现对认证
成功的用户允许访问受控资源。
检查方法
登录相关设备查看是否对拨号用户进行身份认证,是否配置访
问控制 规则对认证成功 的 用户允许访问 受控资源。
40访问控制
h)应限制具有拨号访问权限的用户数量。
条款理解
应限制通过远程采用拨号方式或通过其他方式连入系统内部的
用户数量。
检查方法
询问系统管理员,是否有远程拨号用户,采用什么方式接入系
统部, 采用何种方式进行身份认证, 具体用户数量有多少。
41安全审计
三、安全审计 (4项)
安全审计要对相关事件进行日志记录,还要求对形
成的记录能够分析 、 形成报表。
条款解读
42安全审计
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日
志记录;
条款理解
为了对网络设备的运行状况、网络流量、管理记录等进行检测
和记录,需要启用系统日志功能。系统日志信息通常输出至各
种管理端口、内部缓存或者日志服务器。
检查方法
检查测评对象,查看是否启用了日志记录,日志记录是本地保
存, 还是转发到日志服务器。 记录日志服务器的地址。
43安全审计
以联想网域防火墙为例,如下图所示:
44安全审计
b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成
功及其他与审计相关的信息;
条款理解
日志审计内容需要记录时间、类型、用户、事件类型、事件是
否成功等相关信息。
检查方法
登录测评对象或日志服务器, 查看日志记录是否包含了事件的
日期和时间、用户、事件类型、事件是否成功等信息。
45安全审计
c)应能够根据记录数据进行分析,并生成审计报表;
条款理解
为了便于管理员对能够及时准确地了解网络设备运行状况和发
现网络入侵行为,需要对审计记录数据进行分析和生成报表。
检查方法
访谈并查看网络管理员采用了什么手段实现了审计记录数据的
分析和报表生成。
46安全审计
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
条款理解
审计记录能够帮助管理人员及时发现系统运行状况和网络攻击
行为,因此需要对审计记录实施技术上和管理上的保护,防止
未授权修改、删除和破坏。
检查方法
访谈网络设备管理员采用了何种手段避免了审计日志的未授权
修改、删除和破坏。如可以设置专门的日志服务器来接收路由
器等网 络设 备发送 出的报 警信息。
47安全审计
以联想网域防火墙为例,如下图所示:
48边界完整性检查
四、边界完整性检查 (2项)
边界完整性检查主要检查在全网中对网络的连接状
态进行监控, 发现非法接入 、非法外联时能够准确
定位并能及时报警和阻断。
条款解读
49边界完整性检查
a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置
,并对其进行有效阻断;
条款理解
可以采用技术手段和管理措施对“非法接入”行为进行检查。技术
手段包括网络接入控制、I P/MAC地址绑定。
检查方法
访谈网络管理员, 询问采用何种技术手段或管理措施对“非法接入
”进行检查,对于技术手段,在网络管理员配合下验证其有效性。
50ARP方式:
边界完整性检查
以联想网域防火墙为例,如下图所示:
51边界完整性检查
以联想网域防火墙为例,如下图所示:
52边界完整性检查
b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出
位置,并对其进行有效阻断。(应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查)
条款理解
可以采用技术手段和管理措施对“非法外联”行为进行检查。
技术手段可以采取部署桌面管理系统或其他技术措施控制。
检查方法
访问网络管理员, 询问采用了何种技术手段或管理措施对“非
法外联”行为进行检查,对于技术手段,在网络管理员配合下
验证其有效性。
53边界完整性检查
以联想网域防火墙为例,如下图所示:
54入侵防范
五、入侵防范 (2项)
对入侵事件不仅能够检测,并能发出报警,对于入
侵防御系统要求定期更新特征库 ,发现入侵后能够
报警并阻断。
条款解读
55入侵防范
a)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门
攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击
等;
条款理解
要维护系统安全,必须在网络边界处对常见的网络攻击行为进
行监视,以便及时发现攻击行为。
检查方法
检查网络拓扑结构,查看在网络边界处是否部署了包含入侵防
范功 能的设 备。 登录相应 设备 ,查 看是否启 用了检测功能 。
56入侵防范
以联想网域防火墙为例,如下图所示:
57入侵防范
b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击
时间,在发生严重入侵事件时应提供报警。
条款理解
当检测到攻击行为时,应对攻击信息进行日志记录。在发生严
重入侵事件时应能通过短信、邮件等向有关人员报警。
检查方法
查看在网络边界处是否部署了包含入侵防范功能的设备。
如果部署了相应设备,则检查设备的日志记录是否完备,是否 提供了 报警功 能。
58恶意代码防范
六、恶意代码防范 (2项)
恶意代码防范是综合性的多层次的,在网络边界处
需要对恶意代码进行防范。
条款解读
59恶意代码防范
a)应在网络边界处对恶意代码进行检测和清除;
条款理解
计算机病毒、木马和蠕虫的泛滥使得防范恶意代码的破坏显得 尤为重要。在网络边界处部署防恶意代码产品进行恶意代码防 范是最为直接和高效的办法。
检查方法
检查网络拓扑结构, 查看在网络边界处是否部署了防恶意代码 产品。如果部署了相关产品,则查看是否启用了恶意代码检测 及阻断功能, 并查看 日志记 录中是 否有相 关 阻断信息。 60恶意代码防范
以联想网域防火墙为例,如下图所示:
61恶意代码防范
b)应维护恶意代码库的升级和检测系统的更新。
条款理解
恶意代码具有特征变化快,特征变化快的特点。因此对于恶意 代码检测重要的特征库更新,以及监测系统自身的更新,都非 常重要。
检查方法
访谈网络管理员, 询问是否对防恶意代码产品的特征库进行升 级及具体是升级方式。登录相应的防恶意代码产品,查看其特 征库、 系统软件 升级情况 ,查看 当前 是否为 最新 版本。 62网络设备防护
七、网络设备防护 (8项)
网络设备的防护主要是对用户登录前后的行为进行
控制, ,对网络设备的权限进行管理。
条款解读
63网络设备防护
a)应对登录网络设备的用户进行身份鉴别;
条款理解
对于网络设备,可以采用CON、AUX、VTY等方式登录。 对于安全设备,可以采用WEB、GUI、命令行等方式登录。 检查方法
检查测评对象采用何种方式进行登录,是否对登录用户的身份 进行鉴别, 是否修改了默认的用户名及密码。
64网络设备防护
以CISCO IOS为例, 检查配置文件中应当存在类似如下配置项: line vty 0 4
login
password xxxxxxx
line aux 0
l ogin
password xxxxxxx
line con 0
login
password xxxxxxx
65网络设备防护
b)应对网络设备的管理员登录地址进行限制;
条款理解
为了保证安全,需要对访问网络设备的登录地址进行限制,避 免未授权的访问。
检查方法
以CISCO IOS为例,输入命令:show running-config
access-list 3 permit x. x .x .x log
access-list 3 deny any
line vty 0 4
access-class 3 in
66网络设备防护
以联想网域防火墙为例,如下图所示:
67网络设备防护
c)网络设备用户的标识应唯一;
条款理解
不允许在网络设备上配置用户名相同的用户,要防止多人共用 一个帐户,实行分帐户管理,每名管理员设置一个单独的帐户 ,避免出现问题后不能及时进行追查。
检查方法
登录网络设备, 查看设置的用户是否有相同用户名 。询问网络 管理员,是否为每个管理员设置了单独的账户。
68网络设备防护
d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进 行身份鉴别;
条款理解
采用双因子鉴别是防止身份欺骗的有效方法,双因子鉴别不仅 要求访问者知道 一些鉴别信息,还需要访问者拥有鉴别特征, 例如采用令牌、智能卡等。
检查方法
访谈网络设备管理员,询问采用了何种鉴别技术实现了双因子 鉴别 ,并在管理 员的配 合下验证双因子鉴别 的有效性。
69网络设备防护
以联想网域防火墙为例,如下图所示:
70网络设备防护
e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期 更换;
条款理解
为避免身份鉴别信息被冒用,可以通过采用令牌、认证服务器 等措施,加强身份鉴别信息的保护。如果仅仅基于口令的身份 鉴别,应当保证口令复杂度和定期更改的要求。
检查方法
询问网络管理员对身份鉴别所采取的具体措施,使用口令的组 成 、长度和 更改周 期等。
71网络设备防护
以联想网域防火墙为例,如下图所示:
72网络设备防护
f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当 网络登录连接超时自动退出等措施;
条款理解
应对登录失败进行处理,避免系统遭受恶意的攻击。
检查方法
以CISCO IOS为例,输入命令:show running-config
检查配置文件中应当存在类似如下配置项:
line vty 0 4
exec-timeout 5 0
73网络设备防护
以联想网域防火墙为例,如下图所示:
74网络设备防护
g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络 传输过程中被窃听;
条款理解
对网络设备进行管理时,应采用SSH、HTTPS等加密协议,防 止鉴别信息被窃听。
检查方法
以CISCO IOS为例 ,输入命令 :sh ow runni ng-config 检查配置文件中应当存在类似如下配置项:
li ne vt y 0 4
transport input ssh
75网络设备防护
h)应实现设备特权用户的权限分离。
条款理解
应根据实际需要为用户分配完成其任务的最小权限。
检查方法
登录设备 ,查看有多少管理员账户, 每个管理员账户是否仅分 配完成其任务的最小权限。一般应该有三类账户:普通账户, 审计账户、 配置更改账户。
76网络设备防护
以联想网域防火墙为例,如下图所示:
77内容目录
1.前 言
2.检 查 范 围
3 .检 查 内 容
4 .现 场 测 评 步 骤
78现场测评步骤
现场网络测评步骤:
1、网络全局性测评
2 、网络设备、 安全设备测评
3、测评结果汇总整理
79现场测评步骤
1、网络全局性测评
结构安全
边界完整性检查
入侵防范
恶意代码防范
80现场测评步骤
2、网络设备、安全设备测评
访问控制
安全审计
网络设备防护
备份与恢复
81现场测评步骤
a)应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备 份介质场外存放;
条款理解
应制定完备的设备配置数据备份与恢复策略,定期对设备策略 进行备份,并且备份介质要场外存放。
应能对路由器配置进行维护,可以方便地进行诸如查看保存配 置和运行配置 、上传和下载系统配置文件(即 一次性导入和导 出系统所有配置)等维护操作,还可以恢复出厂默认配置,以 方便用户重新配置设备。
82现场测评步骤
检查方法
现场访谈并查看用户采用何种方式对设备配置文件进行备份及 具体的备份策略。
输入命令:show running-config
如果采用F TP服务器保存配置文件,则检查配置文件中应当存 在类似如下配置项:
ip ftp username login_ name
ip ftp password login_password
83现场测评步骤
b)应提供异地数据备份功能,利用通信网络将关键数据定时批量传送 至备用场地;
条款理解
此处提出的数据是指路由器策略配置文件,可以通过采用数据 同步方式,将路由器的策略文件备份到异地的服务器上。 检查方法
现场访谈并查看用户是否采用了异地同步服务器等方式, 进行 异地数据备份。
84现场测评步骤
c)应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障; 条款理解
为了避免网络设备或线路出现故障时引起数据通信中断,应为 关键设备提供双机热备功能,以确保在通信线路或设备故障时 提供备用方案,有效增强网络的可靠性。
检查方法
查看是否采用冗余技术设计网络拓扑结构, 避免关键节点存在 单点故障。
85现场测评步骤
d)应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证 系统的高可用性。
条款理解
为了避免网络设备或线路出现故障时引起数据通信中断,应为 关键设备提供双机热备功能,以确保在通信线路或设备故障时 提供备用方案,有效增强网络的可靠性。
检查方法
查看是否采用冗余技术设计,具体采用的备份设备、备份线路 、备份方式等。
86现场测评步骤
3、测评结果汇总整理
对全局性检查结果和各单项检查结果进行汇总。
核对检查结果 ,记录内容真实有效 ,勿有遗漏。
87信息安全等级测评师培训
谢 谢 !
88