《2022年网络安全测评-于东升 .pdf》由会员分享,可在线阅读,更多相关《2022年网络安全测评-于东升 .pdf(14页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全等级测评师培训网络安全测评公安部信息安全等级保护评估中心于东升1 内容目录1. 前 言2. 检 查 范 围3 . 检 查 内 容4 . 现 场 测 评 步 骤2 标准概述年 43 号文信息安全等级保护管理办法(GB17859-1999)(GB/T22240-2008 )(GB/T22239-2008 )(报批稿)(报批稿) 3 标准概述基本要求、 信息系统安全等级保护测评要求来进行。4 标准概述级别控制点要求项第一级 3 第二级 6 第三级 7 第四级 7 5 标准概述内容?7 个控制点33 个要求项,涉及到网络安全中的结构安全、 、安全审计、边界完整性检查、入侵防范、恶意代码防范、访
2、问控制、设备防护等方面。6 内容目录1. 前 言2. 检 查 范 围3 . 检 查 内 容4. 现 场 测 评 步 骤7 检查范围本要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 14 页 - - - - - - - - - 的网网络安全综合防护能力,如抗攻击能力、 防病毒能力等等,不是单一的设备检查。4 个阶段,测评准备、方案编制、现场测评、分析及报告编制。8 检查范围线路、网络设备、安全设备等信息。查范围。9 检查范围避免出现脆弱点。设备、安全设备列表。10Si
3、 Si Si Si 11 内容目录1. 前 言2. 检 查 范 围3 . 检 查 内 容4 . 现 场 测 评 步 骤12 检查内容基本要求7 个控制点33 个要求项进行检查。(7 项)(8 项)(4 项)13 检查内容(2 项)(2 项)、 恶意代码防范(2 项)(8 项)14 检查内容(项)否合理直接关系到信息系统的整体安全。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 14 页 - - - - - - - - - 15 结构安全a) 应保证主要网络设备的业务处理能
4、力具备冗余空间,满足业务高峰期需要;应具备冗余空间。检查方法,询问主要网络设备的性能及业务高峰流量。16 结构安全b) 应保证网络各个部分的带宽满足业务高峰期需要;( 保证接入网络和核心网络的带宽满足业务高峰期需要) 务的连续性。则需进行带宽分配。检查主要网络设备是否进行带宽分配。17 结构安全c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;路由器能够自动地建立自己的路由表。 OSPF路由协议是一种典型的链路状态的路由协议。保证网络路由安全。18 结构安全安全的访问路径。CISCO IOS 为例,输入命令:show running-config 检查配置文件中应当存在类似如下
5、配置项:ip route 192.168.1.0 255.255.255.0 192.168.1.193 (静态)router ospf 100 (动态)ip ospf message-digest-key 1 md5 7 XXXXXX(认证码)19 结构安全d) 应绘制与当前运行情况相符的网络拓扑结构图;构图。当网络拓扑结构发生改变时,应及时更新。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 14 页 - - - - - - - - - 20 结构安全e) 应根据各部
6、门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;根据实际情况和区域安全防护要求,应在主要网络设备上进行VLAN划分或子网划分。VLAN内的报文在传输时是相互隔离的。如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备实现。21 结构安全统的级别划分了不同的VLAN或子网。CISCO IOS 为例,输入命令:show vlan 检查配置文件中应当存在类似如下配置项:vlan 2 name info int e0/2 vlan-membership static 2 22 结构安全f) 应避免将重要网段部署在
7、网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;处且直接连接外部信息系统,防止来自外部信息系统的攻击。重要网段和其它网段之间是否配置安全策略进行访问控制。23 结构安全g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。序来指定带宽分配优先级别,从而保证在网络发生拥堵的时候优先保护重要主机。先级分配。24 结构安全CISCO IOS 为例,检查配置文件中是否存在类似如下配置项:policy-map bar class voice priority percent 10 名师资料总结 - - -精品资料欢迎下载 - -
8、 - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 14 页 - - - - - - - - - class data bandwidth percent 30 class video bandwidth percent 20 25 访问控制(8 项)部分网络设备、 、安全设备。26 访问控制a) 应在网络边界部署访问控制设备,启用访问控制功能;, 防御来自其他网络的攻击,保护内部网络的安全。备,是否启用了访问控制功能。27 访问控制b) 应能根据会话状态信息为数据流提供明确的允许/ 拒绝访问的能力,控制粒度为端口级; (
9、控制粒度为网段级)条款理解, 对进出网络的流量进行过滤,保护内部网络的安全。/ 目的地址、源 / 目的、协议及服务等。28 访问控制CISCO IOS 为例,输入命令:show ip access-list 检查配置文件中应当存在类似如下配置项:ip access-list extended 111 deny ip x.x.x.0 0.0.0.255 any log interface eth 0/0 ip access -group 111 in 29 访问控制策略说明允许 INTERNET 服务器访问前置专用服务器源地址目的地址端口协议策略策略设置211.138.236.123 172.1
10、6.2.11 8080 TCP 允许211.138.235 。 66 172.16.2.11 8970 8971 TCP 允许30 访问控制名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 14 页 - - - - - - - - - c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP 、FTP、TELNET 、SMTP 、POP3等协议命令级的控制;层协议命令级的控制和内容检查,从而增强访问控制粒度。般在防火墙、入侵防御系统上检查。备查看是否启用了相应的功能。31
11、 访问控制32 访问控制d) 应在会话处于非活跃一定时间或会话结束后终止网络连接;会话后长时间保持状态连接从而占用大量网络资源,最终将网络资源耗尽的情况。占用网络资源,保证业务可以被正常访问。33 访问控制是多少,判断是否合理。34 访问控制35 访问控制e) 应限制网络最大流量数及网络连接数;IP 地址、端口、协议来限制应用数据流的最大流量,还可以根据IP 地址来限制网络连接数,从而保证业务带宽不被占用,业务系统可以对外正常提供业务。一般在防火墙上检查。访谈系统管理员,依据实际网络状况是否需要限制网络最大流量数及网络连接数。是否设置了最大流量数 和连接数,并做好记录。36 访问控制37 访问
12、控制f) 重要网段应采取技术手段防止地址欺骗;, 这里的地址 ,可以是MAC 地址 , 也可以是IP 地址。在关键设备上,采用IP/MAC 地址绑定方式防止地址欺骗。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 14 页 - - - - - - - - - CISCO IOS 为例,输入 sh ow ip arp 检查配置文件中应当存在类似如下配置项:arp 10.10.10.1 0000.e268.9980 arpa 38 访问控制39 访问控制g) 应按用户和系统之
13、间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;条款理解成功的用户允许访问受控资源。问控制规则对认证成功的 用户允许访问受控资源。40 访问控制h) 应限制具有拨号访问权限的用户数量。用户数量。统部,采用何种方式进行身份认证,具体用户数量有多少。41 安全审计三、安全审计(4 项)成的记录能够分析、 形成报表。42 安全审计a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;条款理解和记录,需要启用系统日志功能。系统日志信息通常输出至各种管理端口、内部缓存或者日志服务器。存,还是转发到日志服务器。记录日志服务器的地址。43 安全审计44 安
14、全审计b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 14 页 - - - - - - - - - 功及其他与审计相关的信息;否成功等相关信息。查看日志记录是否包含了事件的日期和时间、用户、事件类型、事件是否成功等信息。45 安全审计c) 应能够根据记录数据进行分析,并生成审计报表;现网络入侵行为,需要对审计记录数据进行分析和生成报表。分析和报表生成。46 安全审计d) 应对审计记录进行保护,避免受到未预期
15、的删除、修改或覆盖等。行为,因此需要对审计记录实施技术上和管理上的保护,防止未授权修改、删除和破坏。修改、删除和破坏。如可以设置专门的日志服务器来接收路由器等网络设备发送出的报警信息。47 安全审计48 边界完整性检查(2 项)态进行监控,发现非法接入、非法外联时能够准确定位并能及时报警和阻断。49 边界完整性检查a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;手段包括网络接入控制、I P/MAC 地址绑定。询问采用何种技术手段或管理措施对“非法接入”进行检查,对于技术手段,在网络管理员配合下验证其有效性。50ARP方式:名师资料总结 - - -精品资
16、料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 14 页 - - - - - - - - - 边界完整性检查51 边界完整性检查52 边界完整性检查b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。(应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查)技术手段可以采取部署桌面管理系统或其他技术措施控制。询问采用了何种技术手段或管理措施对“非法外联”行为进行检查,对于技术手段,在网络管理员配合下验证其有效性。53 边界完整性检查54 入侵防
17、范(2 项)侵防御系统要求定期更新特征库,发现入侵后能够报警并阻断。55 入侵防范a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等;行监视,以便及时发现攻击行为。范功能的设备。登录相应设备,查看是否启用了检测功能。56 入侵防范57 入侵防范b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。重入侵事件时应能通过短信、邮件等向有关人员报警。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心
18、整理 - - - - - - - 第 9 页,共 14 页 - - - - - - - - - 提供了报警功能。58 恶意代码防范六、恶意代码防范(2 项)需要对恶意代码进行防范。59 恶意代码防范a) 应在网络边界处对恶意代码进行检测和清除;尤为重要。在网络边界处部署防恶意代码产品进行恶意代码防范是最为直接和高效的办法。查看在网络边界处是否部署了防恶意代码产品。如果部署了相关产品,则查看是否启用了恶意代码检测及阻断功能,并查看日志记录中是否有相关 阻断信息。60 恶意代码防范61 恶意代码防范b) 应维护恶意代码库的升级和检测系统的更新。代码检测重要的特征库更新,以及监测系统自身的更新,都非
19、常重要。询问是否对防恶意代码产品的特征库进行升级及具体是升级方式。登录相应的防恶意代码产品,查看其特征库、系统软件升级情况,查看当前是否为最新版本。62 网络设备防护(8 项)控制,对网络设备的权限进行管理。63 网络设备防护a) 应对登录网络设备的用户进行身份鉴别;CON 、 AUX 、VTY等方式登录。WEB 、 GUI、命令行等方式登录。进行鉴别,是否修改了默认的用户名及密码。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 14 页 - - - - - - - -
20、 - 64 网络设备防护CISCO IOS 为例,检查配置文件中应当存在类似如下配置项:line vty 0 4 login password xxxxxxx line aux 0 l ogin password xxxxxxx line con 0 login password xxxxxxx 65 网络设备防护b) 应对网络设备的管理员登录地址进行限制;免未授权的访问。CISCO IOS 为例,输入命令:show running-config access-list 3 permit x. x .x .x log access-list 3 deny any line vty 0 4 ac
21、cess-class 3 in 66 网络设备防护67 网络设备防护c) 网络设备用户的标识应唯一;条款理解一个帐户,实行分帐户管理,每名管理员设置一个单独的帐户,避免出现问题后不能及时进行追查。查看设置的用户是否有相同用户名。询问网络管理员,是否为每个管理员设置了单独的账户。68 网络设备防护d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;要求访问者知道一些鉴别信息,还需要访问者拥有鉴别特征,例如采用令牌、智能卡等。鉴别,并在管理员的配合下验证双因子鉴别的有效性。69 网络设备防护名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -
22、- - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 14 页 - - - - - - - - - 70 网络设备防护e) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;条款理解等措施,加强身份鉴别信息的保护。如果仅仅基于口令的身份鉴别,应当保证口令复杂度和定期更改的要求。成 、长度和更改周期等。71 网络设备防护72 网络设备防护f) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;条款理解CISCO IOS 为例,输入命令:show running-config 检查配置文件中应当存在类似
23、如下配置项:line vty 0 4 exec-timeout 5 0 73 网络设备防护74 网络设备防护g) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;SSH 、HTTPS等加密协议,防止鉴别信息被窃听。CISCO IOS 为例,输入命令:sh ow runni ng-config 检查配置文件中应当存在类似如下配置项:li ne vt y 0 4 transport input ssh 75 网络设备防护h) 应实现设备特权用户的权限分离。,查看有多少管理员账户,每个管理员账户是否仅分配完成其任务的最小权限。一般应该有三类账户:普通账户,审计账户、配置
24、更改账户。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 14 页 - - - - - - - - - 76 网络设备防护77 内容目录1. 前 言2. 检 查 范 围3 . 检 查 内 容4 . 现 场 测 评 步 骤78 现场测评步骤安全设备测评79 现场测评步骤80 现场测评步骤81 现场测评步骤a) 应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;进行备份,并且备份介质要场外存放。置和运行配置、上传和下载系统配置文件(即一次性导入和导出
25、系统所有配置)等维护操作,还可以恢复出厂默认配置,以方便用户重新配置设备。82 现场测评步骤具体的备份策略。输入命令: show running-config 如果采用F TP 服务器保存配置文件,则检查配置文件中应当存在类似如下配置项:ip ftp username login_ name ip ftp password login_password 83 现场测评步骤名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 14 页 - - - - - - - - - b)
26、应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;同步方式,将路由器的策略文件备份到异地的服务器上。进行异地数据备份。84 现场测评步骤c) 应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障;关键设备提供双机热备功能,以确保在通信线路或设备故障时提供备用方案,有效增强网络的可靠性。避免关键节点存在单点故障。85 现场测评步骤d) 应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。关键设备提供双机热备功能,以确保在通信线路或设备故障时提供备用方案,有效增强网络的可靠性。,具体采用的备份设备、备份线路、备份方式等。86 现场测评步骤,记录内容真实有效,勿有遗漏。87 信息安全等级测评师培训谢 谢 !88 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 14 页 - - - - - - - - -