006黎水林老師課件等級測評師培訓(xùn)網(wǎng)絡(luò)安全-外發(fā)006

006黎水林老師課件等級測評師培訓(xùn)網(wǎng)絡(luò)安全外發(fā)006006黎水林老師課件等級測評師培訓(xùn)網(wǎng)絡(luò)安全外發(fā)006006黎水林老師課件等級測評師培訓(xùn)網(wǎng)絡(luò)安全外發(fā)006內(nèi)容目錄前言檢查范圍檢查內(nèi)容現(xiàn)場測評步驟22021/1/5006黎水林老師課件等級測評師培訓(xùn)網(wǎng)絡(luò)安全外發(fā)00600內(nèi)容目錄前言檢查范圍檢查內(nèi)容現(xiàn)場測評步驟22021/1/5內(nèi)容目錄前言22021/1/5標準概述《信息安全等級保護管理辦法》（公通字[2007]43號）按照以下相關(guān)標準開展等級保護工作：《信息系統(tǒng)安全等級保護定級指南》（GB/T22240-2008）

《信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008）《信息系統(tǒng)安全等級保護測評要求》（GB/T28448-2012）《信息系統(tǒng)安全等級保護實施指南》（GB/T25058-2010）

．．．．．．

32021/1/5標準概述《信息安全等級保護管理辦法》（公通字[2007]43標準概述基本要求中網(wǎng)絡(luò)安全的控制點與要求項各級分布:級別控制點要求項第一級39第二級618第三級733第四級73242021/1/5標準概述基本要求中網(wǎng)絡(luò)安全的控制點與要求項各級分布:級別控制標準概述等級保護基本要求三級網(wǎng)絡(luò)安全方面涵蓋哪些內(nèi)容？共包含7個控制點33個要求項，涉及到網(wǎng)絡(luò)安全中的結(jié)構(gòu)安全、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、訪問控制、網(wǎng)絡(luò)設(shè)備防護等方面。52021/1/5標準概述等級保護基本要求三級網(wǎng)絡(luò)安全方面涵蓋哪些內(nèi)容？520內(nèi)容目錄前言檢查范圍檢查內(nèi)容

現(xiàn)場測評步驟62021/1/5內(nèi)容目錄前言62021/1/5檢查范圍理解標準：理解標準中涉及網(wǎng)絡(luò)部分的每項基本要求。明確目的：檢查的最終目的是判斷該信息系統(tǒng)的網(wǎng)絡(luò)安全綜合防護能力，如抗攻擊能力、防病毒能力等等，不是單一的設(shè)備檢查。分階段進行：共劃分為4個階段，測評準備、方案編制、現(xiàn)場測評、分析及報告編制。72021/1/5檢查范圍理解標準：理解標準中涉及網(wǎng)絡(luò)部分的每項基本要求。72檢查范圍確定檢查范圍，細化檢查項。通過前期調(diào)研獲取被測系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)拓撲、外連線路、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等信息。根據(jù)調(diào)研結(jié)果，進行初步分析判斷。明確邊界設(shè)備、核心設(shè)備及其他重要設(shè)備，確定檢查范圍。

82021/1/5檢查范圍確定檢查范圍，細化檢查項。82021/1/5檢查范圍注意事項考慮設(shè)備的重要程度可以采用抽取的方式。不能出現(xiàn)遺漏，避免出現(xiàn)脆弱點。最終需要在測評方案中與用戶明確檢查范圍－網(wǎng)絡(luò)設(shè)備、安全設(shè)備列表。92021/1/5檢查范圍注意事項92021/1/5102021/1/5102021/1/5內(nèi)容目錄前言檢查范圍檢查內(nèi)容現(xiàn)場測評步驟112021/1/5內(nèi)容目錄前言112021/1/5檢查內(nèi)容檢查內(nèi)容以等級保護基本要求三級為例，按照基本要求7個控制點33個要求項進行檢查。一、結(jié)構(gòu)安全（7項）二、訪問控制（8項）三、安全審計（4項）四、邊界完整性檢查（2項）五、入侵防范（2項）六、惡意代碼防范（2項）七、網(wǎng)絡(luò)設(shè)備防護（8項）122021/1/5檢查內(nèi)容檢查內(nèi)容以等級保護基本要求三級為例，按照基本要求7個檢查內(nèi)容一、結(jié)構(gòu)安全（７項）結(jié)構(gòu)安全是網(wǎng)絡(luò)安全測評檢查的重點，網(wǎng)絡(luò)結(jié)構(gòu)是否合理直接關(guān)系到信息系統(tǒng)的整體安全。條款解讀132021/1/5檢查內(nèi)容一、結(jié)構(gòu)安全（７項）132021/1/5結(jié)構(gòu)安全a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰

期需要；條款理解為了保證信息系統(tǒng)的高可用性，主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力應(yīng)具備冗余空間。檢查方法訪談網(wǎng)絡(luò)管理員，詢問主要網(wǎng)絡(luò)設(shè)備的性能及業(yè)務(wù)高峰流量。訪談網(wǎng)絡(luò)管理員，詢問采用何種手段對網(wǎng)絡(luò)設(shè)備進行監(jiān)控。142021/1/5結(jié)構(gòu)安全a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿結(jié)構(gòu)安全b)應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；條款理解對網(wǎng)絡(luò)各個部分進行分配帶寬，從而保證在業(yè)務(wù)高峰期業(yè)務(wù)服務(wù)的連續(xù)性。檢查方法詢問當(dāng)前網(wǎng)絡(luò)各部分的帶寬是否滿足業(yè)務(wù)高峰需要。如果無法滿足業(yè)務(wù)高峰期需要，則需進行帶寬分配。檢查主要網(wǎng)絡(luò)設(shè)備是否進行帶寬分配。152021/1/5結(jié)構(gòu)安全b)應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；15結(jié)構(gòu)安全c)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全的訪問路徑；條款理解靜態(tài)路由是指由網(wǎng)絡(luò)管理員手工配置的路由信息。動態(tài)路由是指路由器能夠自動地建立自己的路由表。路由器之間的路由信息交換是基于路由協(xié)議實現(xiàn)的，如OSPF路由協(xié)議是一種典型的鏈路狀態(tài)的路由協(xié)議。如果使用動態(tài)路由協(xié)議應(yīng)配置使用路由協(xié)議認證功能，保證網(wǎng)絡(luò)路由安全。162021/1/5結(jié)構(gòu)安全c)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全結(jié)構(gòu)安全檢查方法檢查邊界設(shè)備和主要網(wǎng)絡(luò)設(shè)備，查看是否進行了路由控制建立安全的訪問路徑。以CISCOIOS為例，輸入命令：showrunning-config

檢查配置文件中應(yīng)當(dāng)存在類似如下配置項：iproute93（靜態(tài)）routerospf100（動態(tài)）ipospfmessage-digest-key1md57XXXXXX（認證碼）172021/1/5結(jié)構(gòu)安全檢查方法172021/1/5結(jié)構(gòu)安全d)應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；條款理解為了便于網(wǎng)絡(luò)管理，應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。當(dāng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)發(fā)生改變時，應(yīng)及時更新。檢查方法檢查網(wǎng)絡(luò)拓撲圖，查看其與當(dāng)前運行情況是否一致。182021/1/5結(jié)構(gòu)安全d)應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；182結(jié)構(gòu)安全e)應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，

劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)

段分配地址段；條款理解根據(jù)實際情況和區(qū)域安全防護要求，應(yīng)在主要網(wǎng)絡(luò)設(shè)備上進行VLAN劃分或子網(wǎng)劃分。不同VLAN內(nèi)的報文在傳輸時是相互隔離的。如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設(shè)備實現(xiàn)。192021/1/5結(jié)構(gòu)安全e)應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要結(jié)構(gòu)安全f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要

網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；條款理解為了保證信息系統(tǒng)的安全，應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，防止來自外部信息系統(tǒng)的攻擊。在重要網(wǎng)段和其它網(wǎng)段之間配置安全策略進行訪問控制。檢查方法檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)，查看是否將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處，重要網(wǎng)段和其它網(wǎng)段之間是否配置安全策略進行訪問控制。202021/1/5結(jié)構(gòu)安全f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信結(jié)構(gòu)安全g)應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)

發(fā)生擁堵的時候優(yōu)先保護重要主機。條款理解為了保證重要業(yè)務(wù)服務(wù)的連續(xù)性，應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，從而保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機。檢查方法訪談網(wǎng)絡(luò)管理員，依據(jù)實際應(yīng)用系統(tǒng)狀況，是否進行了帶寬優(yōu)先級分配。212021/1/5結(jié)構(gòu)安全g)應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別結(jié)構(gòu)安全以CISCOIOS為例，檢查配置文件中是否存在類似如下配置項：policy-mapbarclassvoiceprioritypercent10classdatabandwidthpercent30classvideobandwidthpercent20222021/1/5結(jié)構(gòu)安全以CISCOIOS為例，檢查配置文件中是否存在類似訪問控制二、訪問控制（8項）訪問控制是網(wǎng)絡(luò)測評檢查中的核心部分，涉及到大部分網(wǎng)絡(luò)設(shè)備、安全設(shè)備。條款解讀232021/1/5訪問控制二、訪問控制（8項）232021/1/5訪問控制a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；條款理解在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,防御來自其他網(wǎng)絡(luò)的攻擊，保護內(nèi)部網(wǎng)絡(luò)的安全。檢查方法檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)，查看是否在網(wǎng)絡(luò)邊界處部署了訪問控制設(shè)備，是否啟用了訪問控制功能。242021/1/5訪問控制a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；訪問控制b)應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，

控制粒度為端口級；條款理解在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,對進出網(wǎng)絡(luò)的流量進行過濾，保護內(nèi)部網(wǎng)絡(luò)的安全。配置的訪問控制列表應(yīng)有明確的源/目的地址、源/目的、協(xié)議及服務(wù)等。252021/1/5訪問控制b)應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問控制以防火墻檢查為例，應(yīng)有明確的訪問控制策略，如下圖所示：策略說明允許INTERNET服務(wù)器訪問前置專用服務(wù)器策略設(shè)置源地址目的地址端口協(xié)議策略2318080TCP允許211.138.235。66189708971TCP允許26262021/1/5訪問控制以防火墻檢查為例，應(yīng)有明確的訪問控制策略，如下圖所示訪問控制c)應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；條款理解對于一些常用的應(yīng)用層協(xié)議，能夠在訪問控制設(shè)備上實現(xiàn)應(yīng)用層協(xié)議命令級的控制和內(nèi)容檢查，從而增強訪問控制粒度。檢查方法該測評項一般在防火墻、入侵防御系統(tǒng)上檢查。首先查看防火墻、入侵防御系統(tǒng)是否具有該功能，然后登錄設(shè)備查看是否啟用了相應(yīng)的功能。272021/1/5訪問控制c)應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HT訪問控制以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：282021/1/5訪問控制以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：282021/1/訪問控制d)應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；條款理解當(dāng)惡意用戶進行網(wǎng)絡(luò)攻擊時，有時會發(fā)起大量會話連接，建立會話后長時間保持狀態(tài)連接從而占用大量網(wǎng)絡(luò)資源，最終將網(wǎng)絡(luò)資源耗盡的情況。應(yīng)在會話終止或長時間無響應(yīng)的情況下終止網(wǎng)絡(luò)連接，釋放被占用網(wǎng)絡(luò)資源，保證業(yè)務(wù)可以被正常訪問。292021/1/5訪問控制d)應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連訪問控制檢查方法該測評項一般在防火墻上檢查。登錄防火墻，查看是否設(shè)置了會話連接超時，設(shè)置的超時時間是多少，判斷是否合理。302021/1/5訪問控制檢查方法302021/1/5訪問控制以天融信防火墻為例，如下圖所示：312021/1/5訪問控制以天融信防火墻為例，如下圖所示：312021/1/5訪問控制e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；條款理解可根據(jù)IP地址、端口、協(xié)議來限制應(yīng)用數(shù)據(jù)流的最大流量，還可以根據(jù)IP地址來限制網(wǎng)絡(luò)連接數(shù)，從而保證業(yè)務(wù)帶寬不被占用，業(yè)務(wù)系統(tǒng)可以對外正常提供業(yè)務(wù)。檢查方法該測評項一般在防火墻上檢查。訪談系統(tǒng)管理員，依據(jù)實際網(wǎng)絡(luò)狀況是否需要限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。登錄設(shè)備查看是否設(shè)置了最大流量數(shù)和連接數(shù)，并做好記錄。322021/1/5訪問控制e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；322021/訪問控制以天融信防火墻為例，如下圖所示：332021/1/5訪問控制以天融信防火墻為例，如下圖所示：332021/1/5訪問控制f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；條款理解地址欺騙在網(wǎng)絡(luò)安全中比較重要的一個問題,這里的地址,可以是MAC地址,也可以是IP地址。在關(guān)鍵設(shè)備上，采用IP/MAC地址綁定方式防止地址欺騙。檢查方法以CISCOIOS為例，輸入showiparp

檢查配置文件中應(yīng)當(dāng)存在類似如下配置項：

arp0000.e268.9980arpa342021/1/5訪問控制f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；342021訪問控制以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：352021/1/5訪問控制以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：352021/1/H3C設(shè)備<SwitchA>system-view[SwitchA]dhcp-snooping[SwitchA]vlan10[SwitchA-vlan10]portEthernet1/0/1toEthernet1/0/4[SwitchA-vlan10]arpdetectionenable[SwitchA]interfaceEthernet1/0/4[SwitchA-Ethernet1/0/4]ipsourcestaticbindingip-address0mac-address000d-85c7-4e00[SwitchA-Ethernet1/0/4]quit362021/1/5H3C設(shè)備<SwitchA>system-view362訪問控制g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系

統(tǒng)進行資源訪問，控制粒度為單個用戶；條款理解對于遠程撥號用戶，應(yīng)在相關(guān)設(shè)備上提供用戶認證功能。通過配置用戶、用戶組，并結(jié)合訪問控制規(guī)則可以實現(xiàn)對認證成功的用戶允許訪問受控資源。檢查方法登錄相關(guān)設(shè)備查看是否對撥號用戶進行身份認證，是否配置訪問控制規(guī)則對認證成功的用戶允許訪問受控資源。372021/1/5訪問控制g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕訪問控制h)應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。條款理解應(yīng)限制通過遠程采用撥號方式或通過其他方式連入系統(tǒng)內(nèi)部的用戶數(shù)量。檢查方法詢問系統(tǒng)管理員，是否有遠程撥號用戶，采用什么方式接入系統(tǒng)部，采用何種方式進行身份認證，具體用戶數(shù)量有多少。382021/1/5訪問控制h)應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。382021/安全審計三、安全審計（4項）安全審計要對相關(guān)事件進行日志記錄，還要求對形成的記錄能夠分析、形成報表。條款解讀392021/1/5安全審計三、安全審計（4項）392021/1/5安全審計a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；條款理解為了對網(wǎng)絡(luò)設(shè)備的運行狀況、網(wǎng)絡(luò)流量、管理記錄等進行檢測和記錄，需要啟用系統(tǒng)日志功能。系統(tǒng)日志信息通常輸出至各種管理端口、內(nèi)部緩存或者日志服務(wù)器。檢查方法檢查測評對象，查看是否啟用了日志記錄，日志記錄是本地保存，還是轉(zhuǎn)發(fā)到日志服務(wù)器。記錄日志服務(wù)器的地址。402021/1/5安全審計a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶安全審計以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：412021/1/5安全審計以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：412021/1/安全審計b)審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；條款理解日志審計內(nèi)容需要記錄時間、類型、用戶、事件類型、事件是否成功等相關(guān)信息。檢查方法登錄測評對象或日志服務(wù)器，查看日志記錄是否包含了事件的日期和時間、用戶、事件類型、事件是否成功等信息。422021/1/5安全審計b)審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型安全審計c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；條款理解為了便于管理員對能夠及時準確地了解網(wǎng)絡(luò)設(shè)備運行狀況和發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為，需要對審計記錄數(shù)據(jù)進行分析和生成報表。檢查方法訪談并查看網(wǎng)絡(luò)管理員采用了什么手段實現(xiàn)了審計記錄數(shù)據(jù)的分析和報表生成。432021/1/5安全審計c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；43安全審計d)應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋等。條款理解審計記錄能夠幫助管理人員及時發(fā)現(xiàn)系統(tǒng)運行狀況和網(wǎng)絡(luò)攻擊行為，因此需要對審計記錄實施技術(shù)上和管理上的保護，防止未授權(quán)修改、刪除和破壞。檢查方法訪談網(wǎng)絡(luò)設(shè)備管理員采用了何種手段避免了審計日志的未授權(quán)修改、刪除和破壞。如可以設(shè)置專門的日志服務(wù)器來接收路由器等網(wǎng)絡(luò)設(shè)備發(fā)送出的報警信息。442021/1/5安全審計d)應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改安全審計以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：452021/1/5安全審計以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：452021/1/H3C設(shè)備#使以太網(wǎng)交換機向IP地址為

的UNIX工作站發(fā)送日志信息。<H3C>system-viewSystemView:returntoUserViewwithCtrl+Z.[H3C]info-centerloghost

#啟動信息中心功能。<H3C>system-viewSystemView:returntoUserViewwithCtrl+Z.[H3C]info-centerenable%informationcenterisenabled462021/1/5H3C設(shè)備#使以太網(wǎng)交換機向IP地址為202.38.邊界完整性檢查四、邊界完整性檢查（2項）邊界完整性檢查主要檢查在全網(wǎng)中對網(wǎng)絡(luò)的連接狀態(tài)進行監(jiān)控，發(fā)現(xiàn)非法接入、非法外聯(lián)時能夠準確定位并能及時報警和阻斷。條款解讀472021/1/5邊界完整性檢查四、邊界完整性檢查（2項）472021/1/邊界完整性檢查a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷；條款理解可以采用技術(shù)手段和管理措施對“非法接入”行為進行檢查。技術(shù)手段包括網(wǎng)絡(luò)接入控制、關(guān)閉未使用的端口、IP/MAC地址綁定。檢查方法訪談網(wǎng)絡(luò)管理員，詢問采用何種技術(shù)手段或管理措施對“非法接入”進行檢查，對于技術(shù)手段，在網(wǎng)絡(luò)管理員配合下驗證其有效性。482021/1/5邊界完整性檢查a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進邊界完整性檢查以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：492021/1/5邊界完整性檢查以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：492021邊界完整性檢查b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準確定出

位置，并對其進行有效阻斷。條款理解可以采用技術(shù)手段和管理措施對“非法外聯(lián)”行為進行檢查。技術(shù)手段可以采取部署桌面管理系統(tǒng)或其他技術(shù)措施控制。檢查方法訪問網(wǎng)絡(luò)管理員，詢問采用了何種技術(shù)手段或管理措施對“非法外聯(lián)”行為進行檢查，對于技術(shù)手段，在網(wǎng)絡(luò)管理員配合下驗證其有效性。502021/1/5邊界完整性檢查b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為邊界完整性檢查以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：512021/1/5邊界完整性檢查以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：512021終端管控系統(tǒng)522021/1/5終端管控系統(tǒng)522021/1/5終端管控軟件532021/1/5終端管控軟件532021/1/5入侵防范五、入侵防范（2項）對入侵事件不僅能夠檢測，并能發(fā)出報警，對于入侵防御系統(tǒng)要求定期更新特征庫，發(fā)現(xiàn)入侵后能夠報警并阻斷。條款解讀542021/1/5入侵防范五、入侵防范（2項）542021/1/5入侵防范a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門

攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊

等；條款理解要維護系統(tǒng)安全，必須在網(wǎng)絡(luò)邊界處對常見的網(wǎng)絡(luò)攻擊行為進行監(jiān)視，以便及時發(fā)現(xiàn)攻擊行為。檢查方法檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)，查看在網(wǎng)絡(luò)邊界處是否部署了包含入侵防范功能的設(shè)備。登錄相應(yīng)設(shè)備，查看是否啟用了檢測功能。552021/1/5入侵防范a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻入侵防范以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：562021/1/5入侵防范以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：562021/1/入侵防范b)當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊

時間，在發(fā)生嚴重入侵事件時應(yīng)提供報警。條款理解當(dāng)檢測到攻擊行為時，應(yīng)對攻擊信息進行日志記錄。在發(fā)生嚴重入侵事件時應(yīng)能通過短信、郵件等向有關(guān)人員報警。檢查方法查看在網(wǎng)絡(luò)邊界處是否部署了包含入侵防范功能的設(shè)備。如果部署了相應(yīng)設(shè)備，則檢查設(shè)備的日志記錄是否完備，是否提供了報警功能。572021/1/5入侵防范b)當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻惡意代碼防范六、惡意代碼防范

（2項）惡意代碼防范是綜合性的多層次的，在網(wǎng)絡(luò)邊界處需要對惡意代碼進行防范。條款解讀582021/1/5惡意代碼防范六、惡意代碼防范（2項）582021/1/5惡意代碼防范a)應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除；條款理解計算機病毒、木馬和蠕蟲的泛濫使得防范惡意代碼的破壞顯得尤為重要。在網(wǎng)絡(luò)邊界處部署防惡意代碼產(chǎn)品進行惡意代碼防范是最為直接和高效的辦法。檢查方法檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)，查看在網(wǎng)絡(luò)邊界處是否部署了防惡意代碼產(chǎn)品。如果部署了相關(guān)產(chǎn)品，則查看是否啟用了惡意代碼檢測及阻斷功能，并查看日志記錄中是否有相關(guān)阻斷信息。592021/1/5惡意代碼防范a)應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除；59惡意代碼防范以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：602021/1/5惡意代碼防范以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：602021/惡意代碼防范b)應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新。條款理解惡意代碼具有特征變化快，特征變化快的特點。因此對于惡意代碼檢測重要的特征庫更新，以及監(jiān)測系統(tǒng)自身的更新，都非常重要。檢查方法訪談網(wǎng)絡(luò)管理員，詢問是否對防惡意代碼產(chǎn)品的特征庫進行升級及具體是升級方式。登錄相應(yīng)的防惡意代碼產(chǎn)品，查看其特征庫、系統(tǒng)軟件升級情況，查看當(dāng)前是否為最新版本。612021/1/5惡意代碼防范b)應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新。61網(wǎng)絡(luò)設(shè)備防護七、網(wǎng)絡(luò)設(shè)備防護（8項）網(wǎng)絡(luò)設(shè)備的防護主要是對用戶登錄前后的行為進行控制，對網(wǎng)絡(luò)設(shè)備的權(quán)限進行管理。條款解讀622021/1/5網(wǎng)絡(luò)設(shè)備防護七、網(wǎng)絡(luò)設(shè)備防護（8項）622021/1/5網(wǎng)絡(luò)設(shè)備防護a)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；條款理解對于網(wǎng)絡(luò)設(shè)備，可以采用CON、AUX、VTY等方式登錄。對于安全設(shè)備，可以采用WEB、GUI、命令行等方式登錄。檢查方法檢查測評對象采用何種方式進行登錄，是否對登錄用戶的身份進行鑒別，是否修改了默認的用戶名及密碼。632021/1/5網(wǎng)絡(luò)設(shè)備防護a)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；6320H3C設(shè)備domaindefaultenablecams#配置域cams為缺省用戶域radiusschemecamsprimaryauthenticationaccountingoptionalkeyauthenticationliaoheuser-name-formatwithout-domainnas-ip30domaincamsschemeradius-schemecamslocaluser-interfacevty04authentication-modescheme642021/1/5H3C設(shè)備domaindefaultenablecam網(wǎng)絡(luò)設(shè)備防護b)應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；條款理解為了保證安全，需要對訪問網(wǎng)絡(luò)設(shè)備的登錄地址進行限制，避免未授權(quán)的訪問。檢查方法以CISCOIOS為例，輸入命令：showrunning-configaccess-list3permitx.x.x.xlogaccess-list3denyanylinevty04access-class3in652021/1/5網(wǎng)絡(luò)設(shè)備防護b)應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；652網(wǎng)絡(luò)設(shè)備防護以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：662021/1/5網(wǎng)絡(luò)設(shè)備防護以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：662021/網(wǎng)絡(luò)設(shè)備防護c)網(wǎng)絡(luò)設(shè)備用戶的標識應(yīng)唯一；條款理解不允許在網(wǎng)絡(luò)設(shè)備上配置用戶名相同的用戶，要防止多人共用一個帳戶，實行分帳戶管理，每名管理員設(shè)置一個單獨的帳戶，避免出現(xiàn)問題后不能及時進行追查。檢查方法登錄網(wǎng)絡(luò)設(shè)備，查看設(shè)置的用戶是否有相同用戶名。詢問網(wǎng)絡(luò)管理員，是否為每個管理員設(shè)置了單獨的賬戶。672021/1/5網(wǎng)絡(luò)設(shè)備防護c)網(wǎng)絡(luò)設(shè)備用戶的標識應(yīng)唯一；672021/1/網(wǎng)絡(luò)設(shè)備防護d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進

行身份鑒別；條款理解采用雙因子鑒別是防止身份欺騙的有效方法，雙因子鑒別不僅要求訪問者知道一些鑒別信息，還需要訪問者擁有鑒別特征，例如采用令牌、智能卡等。檢查方法訪談網(wǎng)絡(luò)設(shè)備管理員，詢問采用了何種鑒別技術(shù)實現(xiàn)了雙因子鑒別，并在管理員的配合下驗證雙因子鑒別的有效性。682021/1/5網(wǎng)絡(luò)設(shè)備防護d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組網(wǎng)絡(luò)設(shè)備防護e)身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期

更換；條款理解為避免身份鑒別信息被冒用，可以通過采用令牌、認證服務(wù)器等措施，加強身份鑒別信息的保護。如果僅僅基于口令的身份鑒別，應(yīng)當(dāng)保證口令復(fù)雜度和定期更改的要求。檢查方法詢問網(wǎng)絡(luò)管理員對身份鑒別所采取的具體措施，使用口令的組成、長度和更改周期等。692021/1/5網(wǎng)絡(luò)設(shè)備防護e)身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有網(wǎng)絡(luò)設(shè)備防護以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：702021/1/5網(wǎng)絡(luò)設(shè)備防護以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：702021/網(wǎng)絡(luò)設(shè)備防護f)應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)

網(wǎng)絡(luò)登錄連接超時自動退出等措施；條款理解應(yīng)對登錄失敗進行處理，避免系統(tǒng)遭受惡意的攻擊。檢查方法以CISCOIOS為例，輸入命令：showrunning-config檢查配置文件中應(yīng)當(dāng)存在類似如下配置項：linevty04exec-timeout50712021/1/5網(wǎng)絡(luò)設(shè)備防護f)應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制網(wǎng)絡(luò)設(shè)備防護g)當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)

傳輸過程中被竊聽；條款理解對網(wǎng)絡(luò)設(shè)備進行管理時，應(yīng)采用SSH、HTTPS等加密協(xié)議，防止鑒別信息被竊聽。檢查方法以CISCOIOS為例，輸入命令：showrunning-config檢查配置文件中應(yīng)當(dāng)存在類似如下配置項：linevty04transportinputssh722021/1/5網(wǎng)絡(luò)設(shè)備防護g)當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采取必要措施防網(wǎng)絡(luò)設(shè)備防護h)應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。條款理解應(yīng)根據(jù)實際需要為用戶分配完成其任務(wù)的最小權(quán)限。檢查方法登錄設(shè)備，查看有多少管理員賬戶，每個管理員賬戶是否僅分配完成其任務(wù)的最小權(quán)限。一般應(yīng)該有三類賬戶：普通賬戶，審計賬戶、配置更改賬戶。732021/1/5網(wǎng)絡(luò)設(shè)備防護h)應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。732021/網(wǎng)絡(luò)設(shè)備防護以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：742021/1/5網(wǎng)絡(luò)設(shè)備防護以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：742021/內(nèi)容目錄前言檢查范圍檢查內(nèi)容現(xiàn)場測評步驟752021/1/5內(nèi)容目錄前言752021/1/5現(xiàn)場測評步驟現(xiàn)場網(wǎng)絡(luò)安全測評步驟：1、網(wǎng)絡(luò)全局性測評2、網(wǎng)絡(luò)設(shè)備、安全設(shè)備測評3、測評結(jié)果匯總整理4、測評結(jié)果判定762021/1/5現(xiàn)場測評步驟現(xiàn)場網(wǎng)絡(luò)安全測評步驟：762021/1/5現(xiàn)場測評步驟1、網(wǎng)絡(luò)全局性測評結(jié)構(gòu)安全邊界完整性檢查入侵防范惡意代碼防范772021/1/5現(xiàn)場測評步驟1、網(wǎng)絡(luò)全局性測評772021/1/5現(xiàn)場測評步驟2、網(wǎng)絡(luò)設(shè)備、安全設(shè)備測評訪問控制安全審計網(wǎng)絡(luò)設(shè)備防護備份與恢復(fù)782021/1/5現(xiàn)場測評步驟2、網(wǎng)絡(luò)設(shè)備、安全設(shè)備測評782021/1/5現(xiàn)場測評步驟a)應(yīng)提供本地數(shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備

份介質(zhì)場外存放；條款理解應(yīng)制定完備的設(shè)備配置數(shù)據(jù)備份與恢復(fù)策略，定期對設(shè)備策略進行備份，并且備份介質(zhì)要場外存放。應(yīng)能對路由器配置進行維護，可以方便地進行諸如查看保存配置和運行配置、上傳和下載系統(tǒng)配置文件（即一次性導(dǎo)入和導(dǎo)出系統(tǒng)所有配置）等維護操作，還可以恢復(fù)出廠默認配置，以方便用戶重新配置設(shè)備。792021/1/5現(xiàn)場測評步驟a)應(yīng)提供本地數(shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至現(xiàn)場測評步驟檢查方法現(xiàn)場訪談并查看用戶采用何種方式對設(shè)備配置文件進行備份及具體的備份策略。輸入命令：showrunning-config如果采用FTP服務(wù)器保存配置文件，則檢查配置文件中應(yīng)當(dāng)存在類似如下配置項：ipftpusernamelogin_name