网络安全测评主要涉及对象为网络互联设备、网络安全设备和网络拓扑结果等三大类对象,具 体为: 1)核心交换机、接入交换机、接入路由器和拨号接入路由器等网络互联设备; 2)入侵检查系统、防火墙等网络安全设备; 3)信息系统的整体网络拓扑结果。 序号类别 测评项 测评实施 预期结果 说明 1结 构 安全 a)应保证主要网络设备的业务处理 能力具备冗余空间,满足业务高峰 期需要;可访谈网络管理员,询问信息系统中的 边界和关键网络设备的性能以及目前业 务高峰流量情况; 1)访谈网络管理员了解 信息系统的业务 高峰流量。 2)检查主要网络设备处理能力, 查看业 务高峰期设备的CPU和内存使用率。 ( 以CISCO设 备 为 例 , 输 入 sh processes cpu ,sh processes memory)1) 业务高峰流量不超过设备处理能力。 2)设备CPU和内存使用率峰值不大于 70% b)应保证网络各个部分的带宽满足 业务高峰期需要;1)访谈网络管理员了解各 通信链路带宽、 高峰流量。 1)各通信链路高峰流量均不大于其带宽 的70%。 c)应绘制与当前运行情况相符的网 络拓扑结构图;1)查看网络拓扑图。 1)网络拓扑图与当前运行情况一致 。 d)应根据各部门的工作职能、重要性 和所涉及信息的重要程度等因素, 划分不同的子网或网段,并按照方 便管理和控制的原则为各子网、网段 分配地址段;生产网、互联网、办公1)访谈网络管理员依据何种原则 划分不 同的子网或网段。并检查相关网络设备配 置信息,验证划分的子网或网段是否 与 访谈结果一致。1)根据各部门的工作职能、 重要性和所涉 及信息的重要程度等因素,划分不同的子 网或网段。 第 1 页 共 7 页序号类别 测评项 测评实施 预期结果 说明 网之间都应实现有效隔离。 2访 问 控制a) 应在网络边界部署访问控制设 备,启用访问控制功能可访谈安全员,询问采取的网络访问控 制措施有哪些;询问访问控制策略的设 计原则是什么; 询问网络访问控制设备具备的访问控制 功能(如是基于状态的,还是基于包过 滤等); 1)访谈网络管理员并查看网络拓扑图, 是否所有网络边界都有访问控制措施。1)在网络各个边界处部署了访问控制技 术措施,如部署网闸、防火墙或 ACL等。 b)应能根据会话状态信息为数据流 提供明确的允许/拒绝访问的能力, 控制粒度为网段 级;应检查边界网络设备,查看其是否根据 会话状态信息(如包 括数据包的 源地址、 目的地址、 源端口号、 目的端口号、协议、 出入的接口、会话序 列号、发出信息的主 机名等信息,并应 支持地址通配符的使 用)对数据流 进行控制; c) 应按用户和系统之间的允许访问 规则,决定允许或拒绝用 户对受控 系统进行资源访问,控制 粒度为单 个用户;应测评边界网络设备,可通过 试图访问 未授权的资源,验证访问控制措施是否 能对未授权的访 问行为的控制(如可以使用 扫描工具探 测等) d) 应限制具有拨号访问 权限的用户 数量。N/A该设备无 拨 号 功 能。 3安 全a)应对网络系统中的网络设备运行状 1)检查防火墙是否 开启日志功能。1)防火墙设置 日志服务器,并使用 第 2 页 共 7 页序号类别 测评项 测评实施 预期结果 说明 审计况、网络流量、用 户行为等进行日志 记录;WebGUI方式: 进入[reports]->[system log]->[event] 选 择 时间级别进行 查 询 , [configuration]->[report settings]- >[syslog]是否设置 日志服务器。 命令方式: 输入“get config”命令,应存在如 下类 似配置: Set syslog config 1.1.1.1 port 1514 Set syslog config 1.1.1.1 log all Set syslog config 1.1.1.1 facilities local0 local0 Set syslog config 1.1.1.1 transport tcpSyslog方式或者SNMP方式将日志发送到 日志服务器。 b)审计记录应包括:事件的日期和时 间、 用户、事件类型、事件是否成功及 其他与审计相关的信息;保存时间不 少于一个月。1)查看防火墙系统 日志和策略日志情况。 通过输入如 下命令进行查看。 get event level notification 1)系统日志和策略日志的日志信息中包 含 事件的日期和时间、用户、事件类型、事件 是否成功及其他与审计相关的信息。开启实时 监测功能 会影响防 火墙的性 能 4边 界 完整 性 检 查a) 应能够对内部网络中 出现的内部 用户未通过准许私自联到外部网络 的行为进行检查。1)访谈网络管理员是否部署 终端管理软 件或采取其 它技术手段防止非法外联行 为,并进行验证。1)部署了 终端管理软件或其它技术手 段,限制终端设备相关 端口的使用,如 禁 止双网卡、USB接口、Modem、无线网络等。 5入 侵应在网络边界处 监视以下攻击行1)检查在网络边界处是否有对网络 攻击1)在网络边界处部署了 IDS(IPS)系 第 3 页 共 7 页序号类别 测评项 测评实施 预期结果 说明 防范为:端口扫描、强力攻击、木马后门 攻击、拒绝服务攻击、缓冲区溢出攻 击、IP碎片攻击和网络蠕虫攻击等。进行检测的相关措施。统,或UTM启用了入侵检测(保 护)功 能。 6网 络 设 备 防护a)应对登陆网络设备的用 户进行身份 鉴别1)检查登录认证方式。a) 可访谈网络管 理员,是否对网络设备 进行AAA认证或其 他认证方式,若有登录AAA服务器,查看 用户与管理员 身份、权限是否匹配; 1)管理员 登录防火墙时进行身份鉴别。默认配置 即符合要 求。关注 是否修改 了默认配 置。 b)应对网络设备的管理员 登录地址进 行限制应测评边界和重要网络设备的安全设置, 验证鉴别失败处理措施采用 错误密码登录 网络设备数 次,观察是否结束会话、限制 非法登录次数),对网络设备的管理员 登 录地址进行限制(如使用 任意地址登录, 观察网络设备的 动作等)等功能是否有效 1)检查是否配置 特定IP地址并且只能从 该IP地址进行管理。 WebUI管理方式: 进入WebUI管理界面,[configuration] -> [admin] -> [permitted IPs],查看 管理IP地址配置情况。 或命令行方式: 通过命令行输入“get config”命令,存 在如下类似配置。1)配置了管理员 登录IP地址。 第 4 页 共 7 页序号类别 测评项 测评实施 预期结果 说明 MGT口设置管理地址和管理方 式: Set interface mgt ip 10.0.0.2/24 数据口设置管理地址和管理方 式: Set interface ethernet1 manage-ip 1.1.1.2 限制管理主机地址: Set admin manager-ip 172.16.40.0 255.255.255.0 c)网络设备用 户的标识必须唯一1)通过命令行输入“get config”命 令,存在如 下类似配置。 set admin user Roger pass word 2bd21wG7 privilege read-only set admin user Sm ith pass word 3MAb99j2 privilege all 根据上述类似配置访谈网络管理员了解防 火墙设备各 账户的使用情况。1)不同的管理员均分配了不同的 登录账 户,无共用账户。 d)身份鉴别信息应具有不 易被冒用的 特点,口令应有复杂度要求并定期更 换;应访谈网络管理员,询问网络设备的 口令 策略是什么; 1)访谈网络管理员 登录账户的口令长度、 口令更改周期和口令复杂度。通过 命令行 输入“get config”命令,存在如 下类似 配置: Set admin password res trict length xx如网络设备的 口令策略为口令长度6位以 上,口令复杂(如规定字符应混有大、小 写字母、数字和特殊字符),口令生命周 期,新旧口令的替换要求(规定替换的字 符数量)或为了便于 记忆使用了令牌则 b)满足测评要 求; 口令长度6以上,规定了更改周期,口令 组成包括数字、字母和特殊字符等,非默 第 5 页 共 7 页序号类别 测评项 测评实施 预期结果 说明 认用户名和密码。 e)应具有登录失败处理功能,可采取 结束会话、限制非法登录次数和当网 络登录连接超时自动退出等措施。应检查边界和重要网络设备 上的安全设 置,查看其是否有对 鉴别失败采取相应的 措施的设置;查看其是否有 限制非法登录 次数的功能 1)通过命令行输入“get config”命 令,查看是否存在如 下类似配置,包 括登 录尝试次数、登录失败锁定时间及登录超 时时间等。(默认登录尝试次数为3次;登 录失败锁定时间为1分钟) set admin access a ttempts 3 set admin access lock-on-failure 1 set admin auth timeout 31)有登录失败次数限制,最好不超过5 次;有登录失败锁定时间设置; 登录超时 时间不为0。 f)当对网络设备 进行远程管理时,应 采取必要措施防 止鉴别信息在网络 传 输过程中 被窃听应检查边界和重要网络设备 上的安全设 置,查看是否对主要网络设备的管理员 登 录地址进行

pdf文档 网络安全测评指导书-二级-1.0版

安全文档 > 检查表 > 文档预览
中文文档 7 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共7页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
网络安全测评指导书-二级-1.0版 第 1 页 网络安全测评指导书-二级-1.0版 第 2 页 网络安全测评指导书-二级-1.0版 第 3 页
下载文档到电脑,方便使用
本文档由 思安2023-06-03 14:19:15上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。