序号类别 测评项 测评实施 预期结果 说明 1结 构 安全a) 应保证主要网络设备和通信 线路冗余,主要网络设备业务处 理能力能满足业务高峰期需要的 1倍以上,双线路设计时,宜由 不同的服务商提供;1)访谈网络管理员了解 信息系统的 业务高峰流量。 2)检查主要网络设备处理能力, 查 看业务高峰期设备的CPU和内存使用 率。 ( 以CISCO设 备 为 例 , 输 入 sh processes cpu,sh processes memory)1) 业务高峰流量不超过设备处理能 力。 2)设备CPU和内存使用率峰值不大于 70% b)应保证网络各个部分的带宽满 足业务高峰期需要;1)访谈网络管理员了解各 通信链路 带宽、高峰流量。 1)各通信链路高峰流量均不大于其带 宽的70%。 c)应在业务终端与业务服务器之 间进行路由控制建立安全的访问 路径;可访谈网络管理员,询问网段划分情 况以及划分的原则;询问重要的网段 有哪些,对重要网段的保护措施有哪 些; 1)检查访问路径上的路由设备配置信 息,查看是否启用了路由协议认证及 其控制策略(以CISCO设备为例,输 入show run命令)有如下类似配置: 1) Router ospf 100 area 1 authentication message- digest interface FastEthernet0/0 ip ospf message-digest-key 1 md5 xxxx 2) router eigrp 100 redistribute ospf 100 metric 10000 100 1 255 1500 route-map c isco d)应绘制与当前运行情况相符的 网络拓扑结构图;1)查看网络拓扑图。 1)网络拓扑图与当前运行情况一致 。 第 1 页 共 11 页序号类别 测评项 测评实施 预期结果 说明 e)应根据各部门的工作职能、重 要性和所涉及信息的重要程度等 因素,划分不同的子网或网段, 并按照方便管理和控制的原则为 各子网、网段分配地址段 ,生产 网、互联网、办公网之间都应实 现有效隔离;可访谈网络管理员,询问网络设备上 的路由控制策略措施有哪些,这些策 略设计的目的是什么; 1)访谈网络管理员依据何种原则 划 分不同的子网或网段 。并检查相关网 络设备配置信息,验证划分的子网或 网段是否与访谈结果一致。1)根据各部门的工作职能、重要性和 所涉及信息的重要程度等因素,划分 不同的子网或网段。 f)应避免将重要网段部署在网络 边界处且直 接连接外部信息系 统,重要网段与其 他网段之间 采 取可靠的技术隔离手段;1)访谈网络管理员并查看网络拓扑 图重要网段是否部署在网络边界处且 直接连接外部信息系统; 2)访谈网络管理员并查看网络拓扑 图重要网段与其 他网段之间是否采取 可靠的技术隔离手段,如网闸、防火 墙、ACL等。1)重要网段 未部署在网络边界处。 2)在重要网段与其 他网段之间 采取了 网闸、防火墙或ACL等技术隔离手段。 g)应按照对业务服务的重要 次序 来指定带宽分配 优先级别,保证 在网络发生拥堵的时候优先保护 重要主机。1)访谈网络管理员了解配置 QoS的 具体设备(如防火墙、路由、 交换设 备或专用带宽管理设备),并检查 该 设备的QoS配置情况。(以CISCO设 备为例,输入show run命令)1)有如下类似配置: class-map match-a ll voice match access-group 100 policy-map voice-policy class voice bandwidth 60 interface Seria l1 service-policy output voice- policy 2访 问a)应在网络边界部署访问控制 1)访谈网络管理员并查看网络拓扑 1)在网络各个边界处部署了访问控制 第 2 页 共 11 页序号类别 测评项 测评实施 预期结果 说明 控制设备,启用访问控制 功能;图,是否所有网络边界都有访问控制 措施。技术措施,如部署网 闸、防火墙或ACL 等。 b)应能根据 会话状态信息为数据 流提供明 确的允许/拒绝访问的 能力,控制 粒度为端口级;1)检查访问控制策略 列表,查看是 否配置了明 确的允许/拒绝的访问能 力,控制 颗粒度为端口级。 输入“get config ”命令,应存在如 下类似配置: set policy id 1 form Trust to Untrust any any ftp permit 1)防火墙安全策略 具备源IP地址、目 标IP地址、允许/拒绝和应用服务端 口 号。 c应对进出网络的信息内 容进行 过滤, 实 现 对 应 用 层 HTTP、FTP、TELNET、SMTP、POP3等 协议命令 级的控制;1)检查防火墙安全策略是否对重要 数据流启用应用 层协议深层检测。1)防火墙安全策略配置并启用了 Deep Inspection。深度 检 测 包 括 http\smtp\pop3\ftp, 启用深度检测有可能 会影响防火墙的处理 性能。 d应在会话处于非活跃一定时间 或会话结束后终止网络连接;1)检查访问控制策略 列表,查看是 否配置了明 确的允许/拒绝的访问能 力,控制 颗粒度为端口级。 输入“get config ”命令,应存在如 下类似配置: set policy id 1 form Trust to Untrust any any ftp permit 1)防火墙安全策略 具备源IP地址、目 标IP地址、允许/拒绝和应用服务端 口 号。 e应限制网络最大流量数及网络 连接数;1)访谈系统管理员,是否在 会话处 于非活跃一定时间或会话结束后终止 网络连接;1)防火墙能够根据业务需要在 没有数 据传输一段时间 后终止网络会话连接。 第 3 页 共 11 页序号类别 测评项 测评实施 预期结果 说明 f重要网段应 采取技术手段防止 地址欺骗;1)访谈系统管理员并检查 防火墙配 置,是否 限制网络最大流量数及网络 连接数。 输入“get config ”命令,应存在如 下类似配置: set zone dm z screen limit- session source-ip-based 1 set zone dm z screen limit- session source-ip-based set zone trust screen limit- session source-ip-based 80 set zone trust screen limit- session source-ip-based set zone untrust screen limit- session destination-ip-based 4000(依据业务需 求设定此值) set zone untrust screen limit- session destination-ip-based set flow aging low-watermark 70 set flow aging high-watermark 80 set flow aging ear ly-ageout 41)防火墙配置并启用 基于源IP地址和 基于目标IP地址的抗攻击设置。 g应按用户和系统之间的 允许访 问规则,决定允许或拒绝用户对 受控系统进行 资源访问,控制 粒N/A 该功能一般由接入交 换机实现。 第 4 页 共 11 页序号类别 测评项 测评实施 预期结果 说明 度为单个用户; h应限制具有拨号访问权限的用 户数量。N/A 该设备无拨号功能。 3安 全 审计 a)应对网络系统 中的网络设备运 行状况、网络流量、 用 户行为等进 行日志记录;1)检查防火墙是否开启日志功能。 WebGUI方式: 进 入[reports]->[system log]- >[event]选择时间级别进行查询, [configuration]->[report settings ]->[syslog]是否设置 日志 服务器。 命令方式: 输入“get config ”命令,应存在如 下类似配置: Set syslog config 1 .1.1.1 port 1514 Set syslog config 1 .1.1.1 log all Set sys log config 1 .1.1.1 facilities local0 local0 Set sys log config 1 .1.1.1 transport tcp1)防火墙设置日志服务器,并使用 Syslog方式或者SNMP方式将日志发送 到日志服务器。 b)审计记录应包括:事件的日期 和时间、用 户、事件类型、事件是1)查看防火墙系统日志和策略日志 情况。通过输入如下命令进行查看。1)系统日志和策略日志的日志信息中 包含事件的日期和时间、用 户、事件类开启实时监测功能会 影响防火墙的性能 第 5 页 共 11 页序号类别 测评项 测评实施 预期结果 说明 否成功及其他与审计相关的信 息;get event level notification 型、事件是否成功及其他与审计相关的 信息。 c)应能够根据记录数据进行分 析,并生成审计报表;1)访谈网络管理员 采用了什么 手段 实现了审计记录数据的分析和报表生 成。 输入“get config ”命令,应存在如 下类似配置: Set webtrends h

pdf文档 网络安全测评指导书-三级S3A3G3-1.0版

安全文档 > 检查表 > 文档预览
中文文档 11 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共11页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
网络安全测评指导书-三级S3A3G3-1.0版 第 1 页 网络安全测评指导书-三级S3A3G3-1.0版 第 2 页 网络安全测评指导书-三级S3A3G3-1.0版 第 3 页
下载文档到电脑,方便使用
本文档由 思安2023-06-03 14:19:15上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。