网络安全-通用网络设备测评指导书-三级
9网络全局测评指导书-三级S3A3G3-1.0版
2)检查采用何种报警方式。
1)有网络攻击相关日志记录。
2)在发生严重事件时应能够提供监控屏幕实时报警,最好有主动的声、光、电、短信、邮件等形式的一种或多种报警方式。
6
备份与恢复
c)应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障;
1)访谈管理员并查看网络拓扑图,系统是否采用冗余技术设计网络拓扑结构。
2)检查主要网络设备处理能力,查看业务高峰期设备的CPU和内存使用率。
(以CISCO设备为例,输入sh processes cpu,sh processes memory)
1)业务高峰流量不超过设备处理能力。
2)设备CPU和内存使用率峰值不大于70%
b)应保证网络各个部分的带宽满足业务高峰期需要;
1)访谈网络管理员了解各通信链路带宽、高峰流量。
1)访谈网络管理员是否部署终端管理软件或采用网络准入控制技术手段防止非授权设备接入内部网络,并进行验证。
2)检查交换机配置信息,所有闲置端口是否关闭。(以CISCO设备为例,输入show run命令)
1)终端均部署了终端管理软件或交换机上启用了网络准入控制。
2)交换机闲置端口均已关闭。应存在如下类似配置:
2
访问控制
a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
1)访谈网络管理员并查看网络拓扑图,是否所有网络边界都有访问控制措施。
1)在网络各个边界处部署了访问控制技术措施,如部署网闸、防火墙或ACL等。
3
边界完整性检查
a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
1)重要网段未部署在网络边界处。
2)在重要网段与其他网段之间采取了网闸、防火墙或ACL等技术隔离手段。
网络安全---通用网络设备测评指导书---三级---1.0版
编号:
测评指导书
《信息系统安全等级保护基本要求》
基础网络安全-通用网络设备-第三级
V1.0
天融信信息安全等保中心
1、测评对象
对象名称及IP地址
பைடு நூலகம்备注(测评地点及环境等)
2、入场确认
序号
确认内容
1
测评对象中的关键数据已备份。如果没有备份则不进行测评
2
测评对象工作正常。如工作异常则不进行测评。
开始时间
确认签字
3、离场确认
序号
确认内容
1
测评工作未对测评对象造成不良影响,测评对象工作正常.
结束时间
确认签字
信息安全等级保护测评指导书-三级
测评指导书(三级)目录第1章安全管理测评指导书 (4)1.1安全管理机构测评 (4)1.2安全管理制度测评 (9)1.3人员安全管理测评 (11)1.4系统建设管理测评 (14)1.5系统运维管理测评 (20)第2章物理安全测评指导书 (32)2.1物理安全测评 (32)第3章网络安全测评指导书 (44)3.1网络全局安全测评 (44)3.2路由器安全测评 (47)3.3交换机安全测评 (59)3.4防火墙安全测评 (67)3.5入侵检测/防御系统安全测评 (71)第4章操作系统安全测评指导书 (75)4.1WINDOWS操作系统安全测评 (75)4.2L INUX操作系统安全测评 (82)4.3S OLARIS操作系统安全测评 (92)4.4AIX操作系统安全测评 (101)第5章应用系统安全测评指导书 (109)5.1应用系统安全测评 (109)5.2IIS应用安全测评 (114)5.3A PACHE应用安全测评 (116)第6章数据库安全测评指导书 (120)6.1SQL S ERVER数据库安全测评 (120)第 2 页共135 页6.2O RACLE数据库安全测评 (124)6.3S YBASE数据库安全测评 (130)第 3 页共135 页第1章安全管理测评指导书1.1安全管理机构测评第 4 页共135 页第 5 页共135 页第 6 页共135 页第7 页共135 页第8 页共135 页1.2安全管理制度测评第9 页共135 页第10 页共135 页1.3人员安全管理测评第11 页共135 页第12 页共135 页第13 页共135 页1.4系统建设管理测评第14 页共135 页第15 页共135 页第16 页共135 页第17 页共135 页第18 页共135 页第19 页共135 页1.5系统运维管理测评第20 页共135 页第21 页共135 页第22 页共135 页第23 页共135 页第24 页共135 页第25 页共135 页第26 页共135 页第27 页共135 页第28 页共135 页第29 页共135 页第30 页共135 页第31 页共135 页第2章物理安全测评指导书2.1物理安全测评第32 页共135 页第33 页共135 页第34 页共135 页第35 页共135 页第36 页共135 页第37 页共135 页第38 页共135 页第39 页共135 页第40 页共135 页第41 页共135 页第42 页共135 页第43 页共135 页第3章网络安全测评指导书3.1网络全局安全测评第44 页共135 页第45 页共135 页第46 页共135 页3.2路由器安全测评思科路由器第47 页共135 页第48 页共135 页第49 页共135 页第50 页共135 页。
Windows2022年测评指导书三级S3A3G3.0版
序号类别测评项a)应对登录操作系统和数据库系统的用户进展身份标识和鉴别;b)操作系统和数据库系统治理用户身份鉴别信息应具有不易被冒用的特点,口令应有简单度要求并定期更换;c)应启用登录失败处理功能,可采测评实施1〕查看登录是否需要密码1〕依次开放[开头]->〔[掌握面板] ->〕[治理工具]->[本地安全策略]->[账户策略]->[密码策略],查看以下项的状况:a)简单性要求、b)长度最小值、c)最长存留期、d)最短存留期、e)强制密码历史。
1〕依次开放[开头]->〔[掌握面板] ->〕[治理工具]->[本地安全策略]->[账户预期结果1〕用户需要输入用户名和密码才能登录。
a)简单性要求已启用;b)长度最小值至少为 8 位;c)最长存留期不为 0;d)最短存留期不为 0;e)强制密码历史至少记住 3 个密码以上。
a)设置了“复位账户锁定计数器”说明是否必需输入密码才能登录。
全部的项只要不为默认的 0 或未启用就可以。
取完毕会话、限制非法登录次数和1 身份自动退出等措施;鉴别d) 当对效劳器进展远程治理时,应策略]->[账户锁定策略];2〕查看以下项的状况:a)复位账户锁定计数器、b)账户锁定时间和 c)账户锁定阈值。
1〕访谈治理员在进展远程治理时如何时间;全部的项只要不为默认b)设置了“账户锁定时间”;的0或未启用就可以。
c)设置了“账户锁定阈值”。
1)假设是本地治理或KVM 等硬件治理方式,此要求默认满足;实行必要措施,防止鉴别信息在网络传输过程中被窃听;e) 为操作系统和数据库的不同用防止鉴别信息在网络传输过程中被窃听。
1 〕依次开放[ 开始]->([ 掌握面2)假设承受远程治理,则需承受带加密治理的远程治理方式,如启用了加密功能的 3389 远程治理桌面或修改远程登录端口。
关注远程治理方式及传输协议。
Windows Server 2022 默户安排不同的用户名,确保用户名具有唯一性;板 ]->)[ 管理工具 ]->[ 计算机管 1〕无多人共用同一个账号的情理]->[本地用户和组]->[用户];查看况。
02 网络安全(三级)-华为路由器交换机
三级
f) 重要网段应采取技 术手段防止地址欺骗;
h)应限制具有拨号访问 权限的用户数量;
企标
i)应设置接入网络设备 端口控制
针对服务器接入层SW,为防
止地址欺骗,重要网段应采
取网络层地址与数据链路层
1、应检查安全策略是否严 1、应检查安全策略是否严格
格控制用户对有敏感标记重 控制用户对有敏感标记重要
证□是 □否
(5) 是否配置了对登录用户进行身 (1) 是否对网络设备管理员登录地
址进行限制
5
□是 □否
备注
(1) 网络设备用户的标识是否唯一 □是 □否
3
(1) 是否修改SNMP通信字符串
□是 □否
(2) 本地用户口令策略
□长度不少于8位字符
□数字
□字母
5
□特殊字符
□定期修改,修改周期___________
3
安全 审计
b) 审计记录应包括: 事件的日期和时间、用 户、事件类型、事件是 否成功及其他与审计相 关的信息;
使用display currentconfiguration或display logbuffer 命令查看配置中 是否包括相关事件,日期等 记录;
c) 应能够根据记录数 三级 据进行分析,并生成审
序 号
指标 名称
弱点 名
标注
测评项
测评实施过程 测评说明
操作说明
a) 应能根据会话状态信 1、 应检查边界网络设备, 限制大量的使用ICMP数据
二级 息为数据流提供明确的 查看其是否根据会话状态信 包,防止DoS攻击,如防火墙
增强 允许/拒绝访问的能力, 息对数据流进行控制,控制 有此项设置,则视为满足测
三级-设备和计算安全
址范围对通过网络进行管理的管理
终端进行限制;
应能发现可能存在的漏洞,并在经
过充分测试评估后,及时修补漏洞。
应能够检测到对重要节点进行入侵
的行为,并在发生严重入侵事件时
提供报警。
恶意代码
防范
应米用免受恶意代码攻击的技术措 施或采用可信计算技术建立从系统 到应用的信任链,实现系统运行过 程中重要程序或文件完整性检测, 并在检测到破坏后进行恢复。
1、测评记录
对象名称及IP地址
备注
2、入场确认
序号
确认内容
1
测评对象中的关键数据已备份。如果没有备份则不进行核查。
2
测评对象工作正常。如工作异常则不进行核查。
开始时间确认签字
3、离场确认
序号
确认内容
1
测评工作未对测评对象造成不良影响,测评对象工作பைடு நூலகம்常。
结束时间
确认签字
4、测评记录
测评要求
结果记录
符合情况
级或进程级,客体为文件、数据库
表级;
应对敏感信息资源设置安全标记,
并控制主体对有安全标记信息资源
的访问。
安全审计
应启用安全审计功能,审计覆盖到
每个用户,对重要的用户行为和重
要安全事件进行审计;
审计记录应包括事件的日期和时 间、用户、事件类型、事件是否成 功及其他与审计相关的信息;
应对审计记录进行保护, 定期备份,
应对登录的用户进行身份标识和鉴 另h身份标识具有唯一性,身份鉴 别信息具有复杂度要求并定期更
换;
应具有登录失败处理功能,配置并 启用结束会话、限制非法登录次数 和当登录连接超时自动退出等相关 措施;
(三级)网络全局测评指导书zw - 副本
输入命令:show running-config
例如,检查配置文件中应当存在类似如下配置项:
policy-map bar
class voice
priority percent 10
class data
bandwidth percent 30
经检查边界和主要网络设备,依据业务服务的重要次序配置了对带宽进行控制的策略。
2.一般采用上网行为管理设备。
3.关闭未使用的端口。
经访谈网络管理员,采用了xxx技术手段对非授权设备私自联到内部网络的行为进行检查。
b)应能够对内部用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
访谈网络管理员,询问采用了何种技术手段或管理措施对“非法外联”行为进行检查。如果采用技术手段,则询问采用了何种技术手段,并在网络管理员的配合下验证其有效性。
华为:displaycpu-usage\dis memory-usage
H3C:dis cpu ……….
经访谈网络管理员,采用xxx手段对主要网络设备进行运行状态监控。边界设备和主要网络设备的性能能够满足目前业务高峰流量情况。
b)应保证网络各个部分的带宽满足业务高峰期需要;
访谈网络管理员,询问上网服务的高峰流量?
思科:ip route 30.1.1.0 255.255.255.0 1.1.1.1
华为:ip route-static 10.1.1.0 255.255.255.0 192.168.100.3
如果使用OSPF路由协议,检查配置文件中应当存在类似如下配置项:
route ospf 100
ip ospf authentication
等保三级测评和安全设备
等保三级测评和安全设备“等保三级测评”和“安全设备”是如今网络安全领域的两个大热话题,搞不好,你就得给自己的企业装上一层“铁布衫”来抵挡来自四面八方的网络攻击。
讲到这里,有些人可能会觉得,哎,这跟我有什么关系?我又不是做大数据、云计算的,不关我的事。
其实啊,谁都知道,现在的互联网时代,不管你是卖蛋糕的还是修自行车的,网上的安全问题都和你息息相关。
不信?你就想想看,要是有个黑客趁你不注意,偷偷把你网站上的数据弄走了,或者捣乱了你的系统,客户的信任还会在吗?说到“等保三级测评”,这可是国家网络安全等级保护制度中的一环。
简单来说,就是为了保护信息系统不被攻击、篡改、泄露,搞了这么一个“等级划分”,根据你的安全防护情况分成五个等级。
我们常听到的“等保三级”就是其中的一个关键等级,标志着你的企业在网络安全方面已经做了不少的工作,但同时,还是有很多细节要注意。
你想啊,三级这个等级并不是说你已经无敌了,而是说你已经做到了某种程度的防护。
就像你去打游戏,打到第三关,算是过了一个大坎,但后面还有更难的敌人等着呢。
那“等保三级测评”到底做些什么呢?好比你家装修,不是随便找个人就能做的,得找个专业的验收团队来检查一遍,看看你家墙面是不是刷得结实,电线是否安全,水管有没有漏水。
等保三级测评就像这种验收工作,专门检查你企业在网络上的防护能力。
它会从技术、管理、物理安全等多方面入手,确保你公司的网络信息不容易被黑客攻破。
要是这项测评没通过,企业就得继续补漏洞,修补墙壁,确保信息安全。
有些人可能会想,哎呀,不就是个测评吗,做出来有什么难的。
可真到了实际操作时,你就会发现,啊呀,这可比想象的要复杂得多。
你得弄清楚自己的网络架构,知道哪些数据是核心,哪些是次要。
然后,做防火墙、入侵检测、数据加密,光是这些步骤就够你头疼一阵子。
更不要提,随时都得考虑到可能出现的各种安全威胁,像病毒、木马、勒索软件这些东西,你得像医生给病人诊断一样,分析、排查、解决。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
编号:测评指导书《信息系统安全等级保护基本要求》基础网络安全-通用网络设备-第三级V1.0f天融信丿TOPSEC天融信信息安全等保中心1、测评对象序号类别测评项测评实施预期结果符合情况a)应在网络边界部署访问控制设备,启用访问控制功能;检查:检查网络拓扑结构和相关交换机配置,查看是否在交换机上启用了访问控制功能。
输入命令show access-lists检查配置文件中是否存在以下类似配置项ip access-list 1 deny x.x.x.x交换机启用了访问控制功能,根据需要配置了访问控制列表。
b)访问控制设备应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;检查:输入命令shou running,检查访问控制列表的控制粒度是否为端口级,女口access-list 101 permit udp any192.168.10.0 0.0.0.255 eq 21根据会话状态信息为数据流提供了明确的访问控制策略,控制粒度为端口级。
1访问控制C)应对进岀网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;检查:检查防火墙或IPS安全策略是否对重要数据流启用应用层协议检测、过滤功能。
防火墙或IPS开启了重要数据流应用层协议检测、过滤功能,可以对应用层HTTP、FTP、TELNET、SMTP、POP3等协议进行控制。
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;访谈:访谈系统管理员,是否在会话处于非活跃一定时间或会话结束后终止网络连接;检查:输入命令show running,查看配置中是否存在命令设定管理会话的超时时间:line vty 0 4exec-timeout x x1)会话处于非活跃一定时间或会话结束后,交换机会终止网络连接;2)交换机配置中存在会话超时相关配置。
e)应限制网络最大流量数及网络连接数;检查:1)在网络岀口和核心网络处的交换机是否配置了网络最大流量数及网络连接数;2)是否有专用的流量控制设备限制网络最大流量数及网络连接数。
1)网络岀口和核心网络处的交换机配置了合理QOS策略,优化了网络最大流量数;2)通过专用的流量控制设备限制网络最大流量数及网络连接数。
序号类别测评项测评实施预期结果符合情况f)重要网段应采取技术手段防止地址欺骗;检查:是否通过IP/MAC绑定手段防止地址欺骗,输入命令show running,检查配置文件中是否存在arp绑定配置:arp x.x.x.x x.x.x.x1)通过配置命令进行IP/MAC 地址绑定防止地址欺骗;2)通过专用软件或设备进行IP/MAC地址绑定防止地址欺骗。
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;检查:1)是否针对单个远程拨号用户或VPN用户访问受控资源进行了有效控制;2)以拨号或VPN等方式接入网络的,是否采用强认证方式。
1)对单个远程拨号用户或VPN用户访问受控资源进行了有效控制;2)通过拨号或VPN等方式接入网络时,采用了强认证方式(证书、KEY等)。
h)应限制具有拨号访问权限的用户数量。
检查:是否限制具有远程访问权限的用户数量。
限制了具有远程访问权限的用户数量。
2安全审计a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;检查:1)网络系统中的交换机是否开启日志记录功能;输入show logging 命令,检查Syslog logging 进程是否为enable状态;2)是否对交换机的运行状况、网络流量进行监控和记录。
1)交换机开启了日志记录功能,命令show logging的输岀配置中显示:Syslog loggi ng:e nabled2)对交换机的运行状况、网络流量进行监控和记录(巡检记录或第三方监控软件)。
b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;检查:查看日志内容,是否包括事件的日期和时间、设备管理员操作行为、事件类型等信息。
日志内容包括事件的日期和时间、设备管理员操作行为、事件类型等信息。
c)应能够根据记录数据进行分析,并生成审计报表;检查:查看如何实现审计记录数据的分析和报表生成。
定期对审计记录数据进行分析并生成纸质或电子的审计报表。
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
检查:1)检查对审计记录监控和保护的措施。
例女口:通过专用日志服务器或存储设备对审计记录进行备份,并避免对审计记录未预期的修改、删除或覆盖;1)设置了交换机日志服务器地址,交换机日志发送到安全的日志服务器或第三方审计设备;2、由专人对审计记录进行管理,避免审计记录受到未预期的删除、修改序号类别测评项测评实施预期结果符合情况2)输入命令show running检查配置文件中是否存在类似如下配置项loggi ng x.x.x.x或覆盖。
3网络设备防护a)应对登录网络设备的用户进行身份鉴别;访谈、检查:1 )访谈设备管理员,询问登录设备的身份标识和鉴别机制采用何种措施实现;2)登录交换机,查看是否提示输入用户口令,然后以正确口令登录系统,再以错误口令或空口令重新登录,观察是否成功。
1)交换机使用口令鉴别机制对登录用户进行身份标识和鉴别;2)登录时提示输入用户名和口令;以错误口令或空口令登录时提示登录失败,验证了登录控制功能的有效性;3)交换机中不存在密码为空的用户。
b)应对网络设备的管理员登录地址进行限制;检查:输入命令show running,查看配置文件里是否存在类似如下配置项限制管理员登录地址:access-list 1 permit x.x.x.xline vty 0 4access-class 1 in配置了合理的访问控制列表限制对交换机进行登录的管理员地址。
c)网络设备用户的标识应唯一;检查:1)检查交换机标识是否唯一;2)检查同一交换机的用户标识是否唯一;3)检查是否不存在多个人员共用一个账号的现象。
1)交换机标识唯一;2)同一交换机的用户标识唯一;3)不存在多个人员共用一个账号的现象。
d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;访谈:访谈采用了何种鉴别技术实现双因子鉴别,并在网络管理员的配合下验证双因子鉴别的有效性。
用户的认证方式选择两种或两种以上组合的鉴别技术,只用一种技术无法认证成功。
e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;访谈、检查:1)访谈交换机管理员,询问用户口令是否满足复杂性要求;2 )检查配置文件中口令是否加密存储。
1)交换机用户口令长度不小于8位,由字母、数字和特殊字符构成,并定期更换;f)应具有登录失败处理功能,可采取结束访谈:访谈设备管理员,交换机是否设置了登录失1)以错误的口令登录交换机,尝试次数超过阀值,交换机自动断开连接序号类别测评项测评实施预期结果符合情况会话、限制非法登录次数和当网络登录连接超时自动退出等措施;败处理功能。
检查:在允许的情况下,根据使用的登录失败处理方式,采用如下测试方法进行测试:a)以错误的口令登录交换机,观察反应;b)当网络登录连接超时时,观察连接终端反或锁定一段时间;2)正常登录交换机后不做任何操作,超过设定的超时时间后,登录连接自动退出。
g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;访谈:询问设备管理员,是否采用了安全的远程管理方法。
检查:输入命令show running查看配置文件中是否存在类似如下配置项:line vty 0 4transport in put ssh1)使用SSH协议对交换机进行远程管理;2)没有采用明文的传输协议对交换机进行远程管理;3)采用第三方管理工具保证远程管理的鉴别信息保密。
h)应实现设备特权用户的权限分离。
访谈、检查:1 )访谈设备管理员,是否实现了特权用户的权限分离;2)输入命令show running,检查配置文件中是否存在类似如下配置项:user name cisco1 privilege 0 password 0 ciscouser name cisco1 privilege 15 password 0 cisco3)检查是否部署了日志服务器对管理员的操作进行审计记录;4)审计记录是否有专人管理,非授权用户是否无法进行操作。
1)实现了交换机特权用户的权限分离,不同类型的账号拥有不同权限;2)部署了专用日志服务器对管理员的操作进行审计并记录;3)审计记录有专人管理,非授权用户无法进行操作。