13、等级保护2.0之物联网安全测评指导书(三级)
等级保护2.0三级测评要求(含云安全扩展要求)
8. 1.2. 3 可信验证
8. 1.2.3. 1 测评单元(L3CNS1-08)
8.1.3.1. 1 测评单元(L3ABS1-01)
8. 1.3. 1 边界防护
8. 1.3. 1.2 测评单元(L3ABS1-02)
8.1.3.1.3 测评单元(L3ABS1-03)
测评领域
测评项
测评单元
8.1.1.1 物理位置选择
8.1.1.1 物理位置选择
8. 1. 1. 1.2 测评单元(L3PES1-02)
8. 1. 1.2 物理访问控制
8. 1. 1.2. 1 测评单元(L3PES1-03)
8. 1. 1.3. 1 测评单元(L3PES1-04)
8. 1. 1.3 防盗窃和防破坏
8. 1.4.4. 1 测评单元(L3CES1-17;
8.1.4 安全计算环境
8. 1.4.4.2 测评单元(L3CES1-18)
8.1.4.4 入侵防范
8. 1.4.4.3 测评单元(L3CES1-19)
8.1.4.4.4 测评单元(L3CES1-20)
8.1.4.4.5 测评单元(L3CES1-21)
8.1.4.7.2 测评单元(L3CES1-26)
8.1.4.8. 1 测评单元(L3CES1-27)
8.1.4.8 数据保密性
8.1.4.8.2 测评单元(L3CES1-28)
8. 1.4.2. 7 测评单元(L3CES1-11)
8. 1.4.3. 1 测评单元(L3CES1-12)
8.1.4.3 安全审计
8.1.4.3.2 测评单元(L3CES1-13)
8.1.4.3.3 测评单元(L3CES1-14)
信息安全等级保护测评指导书-三级
测评指导书(三级)目录第1章安全管理测评指导书 (4)1.1安全管理机构测评 (4)1.2安全管理制度测评 (9)1.3人员安全管理测评 (11)1.4系统建设管理测评 (14)1.5系统运维管理测评 (20)第2章物理安全测评指导书 (32)2.1物理安全测评 (32)第3章网络安全测评指导书 (44)3.1网络全局安全测评 (44)3.2路由器安全测评 (47)3.3交换机安全测评 (59)3.4防火墙安全测评 (67)3.5入侵检测/防御系统安全测评 (71)第4章操作系统安全测评指导书 (75)4.1WINDOWS操作系统安全测评 (75)4.2L INUX操作系统安全测评 (82)4.3S OLARIS操作系统安全测评 (92)4.4AIX操作系统安全测评 (101)第5章应用系统安全测评指导书 (109)5.1应用系统安全测评 (109)5.2IIS应用安全测评 (114)5.3A PACHE应用安全测评 (116)第6章数据库安全测评指导书 (120)6.1SQL S ERVER数据库安全测评 (120)第 2 页共135 页6.2O RACLE数据库安全测评 (124)6.3S YBASE数据库安全测评 (130)第 3 页共135 页第1章安全管理测评指导书1.1安全管理机构测评第 4 页共135 页第 5 页共135 页第 6 页共135 页第7 页共135 页第8 页共135 页1.2安全管理制度测评第9 页共135 页第10 页共135 页1.3人员安全管理测评第11 页共135 页第12 页共135 页第13 页共135 页1.4系统建设管理测评第14 页共135 页第15 页共135 页第16 页共135 页第17 页共135 页第18 页共135 页第19 页共135 页1.5系统运维管理测评第20 页共135 页第21 页共135 页第22 页共135 页第23 页共135 页第24 页共135 页第25 页共135 页第26 页共135 页第27 页共135 页第28 页共135 页第29 页共135 页第30 页共135 页第31 页共135 页第2章物理安全测评指导书2.1物理安全测评第32 页共135 页第33 页共135 页第34 页共135 页第35 页共135 页第36 页共135 页第37 页共135 页第38 页共135 页第39 页共135 页第40 页共135 页第41 页共135 页第42 页共135 页第43 页共135 页第3章网络安全测评指导书3.1网络全局安全测评第44 页共135 页第45 页共135 页第46 页共135 页3.2路由器安全测评思科路由器第47 页共135 页第48 页共135 页第49 页共135 页第50 页共135 页。
等级保护2.0第三级数据中心入侵防范设备类安全防护产品功能
等级保护2.0第三级数据中心入侵防范设备类安全防护产品功能指标参考1、入侵防御设备(至少具备4 项功能、支持3 种入侵防御技术、支持2 种抗拒绝服务技术。
)对网络数据流量进行深度检测、实时分析,并对网络中的攻击行为进行主动防御的专用设备。
①具备深层检测、内容识别、即时侦测、主动防御、无线攻击防御、抗拒绝服务、日志审计、身份认证等9项功能。
②支持攻击行为记录(包括攻击源IP、攻击类型、攻击目的、攻击时间等)、协议分析、模式识别、异常流量监视、统计阀值、实时阻断攻击等6 种入侵防御技术。
③支持流量检测与清洗(流量型DDoS 攻击防御、应用型DDoS 攻击防御、DoS 攻击防御、非法协议攻击防御、常用攻击工具防御等)、流量牵引和回注等2 种抗拒绝服务技术。
2、入侵检测设备(满足其中三级要求)通过对网络上的数据包作为数据源,监听所保护网络内的所有数据包并进行分析,从而发现异常行为的入侵检测系统。
参照《信息安全技术网络入侵检测系统技术要求和测评方法》[GBT20275-2013]将网络入侵检测系统技术要求分为一级、二级、三级。
3、网络准入控制设备(推荐要求)屏蔽不安全的设备和人员接入网络,规范用户接入网络行为的专用设备。
①具备网络准入身份认证、合规性健康检查、终端接入管理(包括:PC、移动终端等)、用户管理、准入规则管理、高可用性、日志审计等7 项功能。
②支持pap、chap、md5、tls、peap 等5 种网络准入身份认证方法。
4、防病毒网关设备(至少具备5 项功能。
支持4 种病毒过滤方法。
)病毒防御网关化的专业设备。
①具备病毒过滤、内容过滤、反垃圾邮件、日志审计、身份认证、高可用等6 项功能。
②支持流杀毒、文件型杀毒、常用协议端口病毒扫描、IPv4和IPv6 双协议栈的病毒过滤、病毒隔离等5 种病毒过滤方法。
5、网络安全入侵防范(推荐要求)①在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等;②当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
等级保护2.0 三级-Linux 测评指导书V1.0
知识星球:网络安全等级保护交流
文件中的 SELINUX 参数的设定
1.1.3 安全审计
测评项: a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全 事件进行审计; 测评方法: 1)以 root 身份登录进入 Linux, 查看服务进程 2)若运行了安全审计服务,则查看安全审计的守护进程是否正常 # ps -ef|grep auditd 3)若未开启系统安全审计功能,则确认是否部署了第三方安全审计工具 4)以 root 身份登录进入 Linux 查看安全事件配置: #gerep“@priv-ops" /etc/audit/filter.conf .... more/etc/audit/audit.rules ..... 测评项: b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他 与审计相关的信息; 测评方法: 1)以有相应权限的身份登录进入 Linux,使用命令"ausearch-ts today ”,其 中,-ts 指定时间后的 log,或命令"tail -20 /var/log/audit/audit.log“查 看审计日志 测评项: c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; 测评方法: 1)访谈审计记录的存储、备份和保护的措施,是否将操作系统日志定时发送 到日志服务器上等,并使用 sylog 方式或 smp 方式将日志发送到日志服务器。 2)如果部署了日志服务器,登录日志服务器查看操作系统的日志是否在收集的
知识星球:网络安全等级保护交流
范围内 测评项: d) 应对审计进程进行保护,防止未经授权的中断。 测评方法: 1)访谈对审计进程监控和保护的措施 2)测试使用非安全审计员中断审计进程,查看审计进程的访问权限是否设置合 理。 3)查看是否有第三方系统对被测操作系统的审计进程进行监控和保护
等保2.0测评项基本要求(物联网安全扩展要求二级 三级对比)
通信的目标地址,以避免对 通信的目标地址,以避免对
陌生地址的攻击行为。
陌生地址的攻击行为。
a) 应保证只有授权的用户
可以对感知节点设备上的软
件应用进行配置或变更;
感知节点 设备安全
b) 应具有对其连接的网关 节点设备(包括读卡器)进 行身份标识和鉴别的能力;
c) 应具有对其连接的其他
感知节点设备(包括路由节
感知节点 署、携带、维修、丢失和报 署、携带、维修、丢失和报
管理 废等过程作出明确规定,并 废等过程作出明确规定,并
进行全程管理;
进行全程管理;
c) 应加强对感知节点设备
、网关节点设备部署环境的
保密性管理,包括负责检查
和维护的人员调离工作岗位
应立即交还相关检查工具和
检查维护记录等。
20
7
知节点设备、网关节点设备 知节点设备、网关节点设备
的部署环境,对可能影响感 的部署环境,对可能影响感
知节点设备、网关节点设备 知节点设备、网关节点设备
正常工作的环境异常进行记 正常工作的环境异常进行记
b) 应对感知节点设备、网 b) 应对感知节点设备、网
关节点设备入库、存储、部 关节点设备入库、存储、部
安全 物理 环境
安全 区域 边界
安全 计算 环境
三级要求
二级要求
a) 感知节点设备所处的物 a) 感知节点设备所处的物
理环境应不对感知节点设备 理环境应不对感知节点设备
造成物理破坏,如挤压、强 造成物理破坏,如挤压、强
b) 感知节点设备在工物理环境应能正确反 态所处物理环境应能正确反
a) 应能够鉴别数据的新鲜
抗数据重 性,避免历史数据的重放攻
放
11、等级保护2.0之云计算安全测评指导书(三级)
当远程管理云计算平台中设备时,
8.2.4.1 身份鉴别 管理终端和云计算平台之间应建立
1
双向身份验证机制。
a) 应保证当虚拟机迁移时,访问 控制策略随其迁移;
0.4
8.2.4.2 访问控制
b) 应允许云服务客户设置不同虚 拟机之间的访问控制策略。
0.4
a) 应能检测虚拟机之间的资源隔 离失效,并进行告警;
1
控制。
8.2.7 安全运维 管理
8.2.7.1
云计算环境管 理
云计算平台的运维地点应位于中国 境内,境外对境内云计算平台实施 运维操作应遵循国家相关规定。
1
符合程度
得分
测评对象
测评方法及步骤
1、应访谈机房管理员云计算服务器、存储
机房管理员、 办公场地、机 房和平台建设
方案
设备、网络设备、云管理平台、信息系统等 运行业务和承载数据的软硬件是否均位于中 国境内; 2、应核查云计算平台建设方案,云计算服 务器、存储设备、网络设备、云管理平台、
1
8.2.4.3 入侵防范 b) 应能检测非授权新建虚拟机或 者重新启用虚拟机,并进行告警;
1
c) 应能够检测恶意代码感染及在 虚拟机间蔓延的情况,并进行告警
1
a) 应针对重要业务系统提供加固
的操作系统镜像或操作系统安全加 0.4
固服务;
b) 应提供虚拟机镜像、快照完整
8.2.4.4 镜像和快照保 性校验功能,防止虚拟机镜像被恶
的职责划分,收集各自控制部分的
1
审计数据并实现各自的集中审计;
d) 应根据云服务商和云服务客户
的职责划分,实现各自控制部分, 包括虚拟化网络、虚拟机、虚拟化
1
等级保护三级操作系统安全测评指导书
主机资源监视
对资源使用情况进行监视和记录。
资源报警阀值 特定进程监控 主机账户监控
系统资源达到一定阀值,能够报警。 对重要进程进行监控,对非法进程提供报 警。 对主机账户进行监控和提供告警。
7
入侵防范
访谈,手工检查: 1.访谈并查看入侵检测的措施,如经常通过如下命令查看入侵的重要线索,涉及命 令 主机 IDS #who /etc/security/failedlogin; 2.查看是否开启了防火墙、TCP SYN 保护机制等设置; 3.是否具备 rootkit 检查工具,定期进行 rootkit 检查; 4.询问是否有第三方入侵检测系统,如 IDS,是否开启报警功能。 访谈,核查: 重要程序完整性检测并恢 访谈是否使用一些文件完整性检查工具对重要文件的完整性进行检查,是否对重要 复 的配置文件进行备份。查看备份演示。 系统最小安装并更新
序号
测评指标
测评项
检测方法 手工检查: 在 root 权限下,查看文件权限是否满足以下要求: /etc/filesystems 权限为 664, /etc/hosts 权限为 664, /etc/inittab 权限为 600, /etc/vfs 权限为 644, /etc/security/failedlogin 权限为 644, /etc/security/audit/hosts 权限为 660,记录权限存在问题的目录或文件。
对用户管理启用一定安全策略。
登陆失败处理
对用户登录进行限制。
鉴别警示功能
存在警告性 banner 信息。
对相连设备进行身份标识 访谈: 和鉴别 询问管理员是否使用证书等方式对设备身份进行鉴别。
采取技术手段对相连 设备进行身份鉴别。
远程管理加密
等级保护测评指导书
1物理安全测评指导书1.1机房安全测评序号测评指标测评项检查方法预期结果1物理位置的选择a)通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。
访谈:询问物理安全负责人,现有机房和办公场地的环境条件是否具有基本的防震、防风和防雨能力。
检查:检查机房和办公场地的设计/验收文档,查看机房和办公场所的物理位置选择是否符合要求。
机房和办公场地的设计/验收文档中有关于机房和办公场所的物理位置选择的内容,并符合防震、防风和防雨能力要求。
b)通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。
检查:检查机房场地是否避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;检查机房场地是否避免设在强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生水灾、火灾、易遭受雷击的地区。
1)机房没有在建筑物的高层或地下室,附近无用水设备; 2)机房附近无强电场、强磁场、强震动源、强噪声源、重度环境污染,机房建筑地区不发生水灾、火灾,不易遭受雷击。
2物理访问控制a)检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。
访谈: 1)询问物理安全负责人,了解具有哪些控制机房进出的能力,是否安排专人值守; 2)访谈机房值守人员,询问是否认真执行有关机房出入的管理制度,是否对进入机房的人员记录在案。
1)有专人值守和电子门禁系统; 2)出入机房需要登记,有相关记录。
b)检查机房出入口等过程,测评信息系统在物访谈:询问物理安全负责人,了解是否有关于机房来访人员的申请和审批流程,是1)来访人员进入机房需经过申请、审批流程并记录; 2)进入机房有机房管理人员理访问控制方面的安全防范能力。
否限制和监控其活动范围。
检查:检查是否有来访人员进入机房的审批记录。
陪同并监控和限制其活动范围。
c)检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。