《等级保护2.0测评指导书.docx》由会员分享,可在线阅读,更多相关《等级保护2.0测评指导书.docx(228页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、等级保护 2.0 测评指导书228目录一、安全物理环境测评指导书 5.二、安全通信网络测评指导书10三、安全区域边界测评指导书16四、安全计算环境测评指导书284.1 网络设备测评指导书284.2 LINUX 测评指导书754.3 WINDOWS 测评指导书884.4 ORACLE 测评指导书 1. 014.5 MYSQL 测评指导书 1. 084.6 终端设备测评指导书 1. 184.7 应用系统测评指导书 1. 26五、安全管理中心测评指导书135六、安全管理制度测评指导书139七、安全管理机构测评指导书143八、安全管理人员测评指导书151九、安全建设管理测评指导书156十、安全运维管理
2、测评指导书170十一、云计算安全扩展要求测评指导书 1. 84十二、移动互联安全扩展要求测评指导书 2. 04十三、物联网安全扩展要求测评指导书 2. 09十四、工业控制系统安全扩展要求测评指导书219一、安全物理环境测评指导书控制点安全要求要求解读测评方法1) 核查是否有建筑物抗震设防审批文档2) 核查是否有雨水渗漏的痕迹a) 机房场地应选择在具3) 核查是否有可灵活开启预期结果或主要证据1) 机房具有验收文档2) 天花板、窗台下无水渗漏的现象物 理 位置选择有防震、防风和防雨等能力的建筑内b) 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施,机房场地所在的建筑物要具有防震
3、、防风和防雨等的能力机房场地要避免设置在建筑物的顶层或地下室。如果因为某 些原因无法避免时,设置在建筑物顶层或地下室的机房需要 加强防水和防潮措施的窗户,若有窗户,是否做了封闭、上锁等防护措施4)核查屋顶、墙体、门窗和地面等是否有破损开裂的情况1) 核查机房是否在顶层或地下室2) 若是,核查机房是否采取了防水和防潮措施3) 机房无窗户,有窗户且做了防护措施4) 现场观测屋顶、墙体、门窗和地面等无开裂的情况1) 非建筑物顶层或地下室2) 在顶层或地下室的,做了严格的防水防潮措施物 理 访问控制机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员为防止非授权人员进入机房,需要安装电子门禁系统对
4、机房及机房内区域的出入人员实施访问控制,避免由于非授权人员的擅自进入,造成系统运行中断、设备丢失或损坏、数据被 窃取或篡改,并可利用系统实现对人员进入情况的记录1) 核查出入口是否配置电子门禁系统2) 核查电子门禁系统是否开启并正常运行3) 核查电子门禁系统是否可以鉴别、记录进入的人员信息1) 机房出入口是配备电子门禁2) 电子门禁系统工作正常,可对进出人员进行鉴别防 盗 窃和 防 破坏a) 应将设备或主要部件进行固定,并设置明显的不易除去的标识b) 应将通信线缆铺设在隐蔽安全处c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统a) 应将各类机柜、设施对于安放在机房内用于保障系统正常运
5、行的设备或主要部件 需要进行固定,并设置明显的不易除去的标记用于识别机房内通信线缆需要铺设在隐蔽安全处,防止线缆受损机房需要安装防盗报警系统,或在安装视频监控系统的同时 安排专人进行值守,防止盗窃和恶意破坏行为的发生在机房内对机柜、各类设施和设备采取接地措施,防止雷击1) 核查机房内设备或主要部件是否固定2) 核查机房内设备或主要部件上是否设置了明显且不易除去的标记核查机房内通信线缆是否铺设在隐蔽安全处1) 核查是否配置防盗报警系统或专人值守的视频监控系统2) 核查防盗报警系统或视频监控系统是否开启并正常运行核查机房内机柜、设施和设备等是否进行接地处1) 机房内设备均放置在机柜或机架,并已固定
6、2) 设备或主要部件均设置了不易除去的标识、标志,如使用粘贴方式则不能有翘起机房通信线缆铺设在线槽或桥架里1) 机房内配置了防盗报警系统或专人值守的视频监控系统2)现场观测时监控系统正常工作机房内所有机柜、设施和设备防雷击和设备等通过接地系统安全接地对电子设备产生损害理,通常黄绿色相间的电线为接地用线等均已采取了接地的控制措施防火防 水 和防潮b) 应采取 措施 防止 感应雷,例如设置防雷保安器或过压保护装置等a) 机房应设置火灾自动消防系统 , 能够自动检测火情、自动报警,并自动灭火b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料c)应对机房划分区域进行管理,区域和区域之间设置
7、隔离防火措施a)应采取措施防止雨水通过机房窗户、 屋顶和墙壁渗透在机房内安装防雷保安器或过压保护等装置 ,防止感应雷对电子设备产生损害机房内需要设置火灾自动消防系统,可在发生火灾时进行自 动检测、报警和灭火, 如采用自动气体消防系统、自动喷淋消防系统等机房内需要采用具有耐火等级的建筑材料,防止火灾的发生 和火势蔓延机房内需要进行区域划分并设置隔离防火措施,防止水灾发 生后火势蔓延机房内需要采取防渗漏措施,防止窗户、屋顶和墙壁存在水 渗透情况1) 核查机房内是否设置防感应雷措施2) 核查防雷装置是否通过验收或国家有关部门的技术检测 1)核查机房内是否设置火灾自动消防系统2) 核查火灾自动消防系统
8、是否可以自动检测火情、自动报警并自动灭火3) 核查火灾自动消防系统是否通过验收或国家有关部门的技术检测核查机房验收文档是否明确所用建筑材料的耐火等级1) 核查是否进行了区域划分2) 核查各区域间是否采取了防火隔离措施核查窗户、屋顶和墙壁是否采取了防渗漏的措施1) 机房内设置了防感应雷措施,如设置了防雷感应器、防浪涌插座等2) 防雷装置通过了国家有关部门的技术检测1) 机房内设置火灾自动消防系统2) 现场观测时火灾自动消防系统工作正常机房所有材料为耐火材料,如使用墙体、防火玻璃等,但使用金属栅栏的不能算符合1) 机房进行了区域划分,如过渡区、主机房2) 区域间部署了防火隔离装置机房采取了防雨水渗
9、透的措施,如封锁了窗户并采取了防水、屋顶和墙壁均采取了防雨水渗透的措施防静电湿 温 度控制电 力 供应b) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透c) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警a) 应采用防静电地板或地面并采用必要的接地防静电措施b) 应采取措施防上静电的产生,例如采用静电消除器、佩戴防静电手环等。应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内a) 应在机房供电线路上配置稳压器和过电压防护设备机房内需要采取防结露和排水措施,防止水蒸气结露和地面 产生积水机房内需要布设对水敏感的检测装置,对渗水、漏水情况进 行检测和报警机
10、房内需要安装防静电地板或在地面采取必要的接地措施 , 防止静电的产生机房内需要配备静电消除器 E 佩戴防静电手环等消除静电的设备。机房内需要安装温、湿度自动调节装置,如空调、除湿机、 通风机等,使机房内温、湿度的变化在适宜设备运行所允许的范围之内。通常机房内适宜的温度范围是 1827, 空气湿度范围是 3575%机房供电线路上需要安装电流稳压器和电压过载保护装置 , 防止电力波动对电子设备造成损害1) 核查是否采取了防止水蒸气结露的措施2) 核查是否采取了排水措施,防止地面产生积水1) 核查是否安装了对水敏感的检测装置2) 核查防水检测和报警装置是否开启并正常运行 1)核查是否安装了防静电地板
11、2)核查是否采用了防静电接地措施核查机房内是否配备了静电消除设备。1) 核查机房内是否配备了专用空调2) 核查机房内温湿度是否在设备运行所允许的范围之内核查供电线路上是否配置了稳压器和过电压防护设备1) 机房内配备了专用的精密空调来防止水蒸气结露的控制措施2) 机房内部署了漏水检测装置,可以对漏水进行监控报警1) 机房内部署了漏水检测装置,如漏水检测绳等2) 检测和报警工作正常1) 机房部署了防静电地板2) 机房采用了接地的防静电措施机房配备了防静电设备1) 机房内配备了专用的精密空调2) 机房内温湿度设置在 20-25,湿度为: 40%-60%1) 机房的计算机系统供电线路上设置了稳压器和过
12、电压防护设备2) 现场观测时稳压器和过电压防护设备可正常工作电 磁 防护b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求c) 应设置冗余或并行的电力电缆线路为计算机系统供电a) 电源线和通信线缆应隔离铺设,避免互相干扰b) 应对关键设备实施电磁屏蔽机房供电需要配备不间断电源(UPS)或备用供电系统,如备用 发电机或使用第三方提供的备用供电服务,防止电力中断对设备运转和系统运行造成损害机房供电需要使用冗余或并行的电力电缆线路,防止电力中 断对设备运转和系统运行造成损害机房内电源线和通信线缆需要隔离铺设在不同的管道或桥架 内,防止电磁辐射和干扰对设备运转和系统运行产生的影响机
13、房内关键设备需要安放在电磁屏蔽机柜内或电磁屏蔽区域 内,防止电磁辐射和干扰对设备运转和系统运行产生的影响1) 核查是否配备不间断电源(UPS)等备用供电系统2) 核查不间断电源 (UPS) 等备用供电系统的运行切换记录和检修维护记录 核查是否设置了冗余或并行的电力电缆线路为计算机系统供电核查机房内电源线缆和通信线缆是否隔离铺设核查机房内是否为关键设备配备了电磁屏蔽装置1) 机房配备了 UPS 后备电源系统2) UPS 能够满足短期断电时的供电要求为机房配备了冗余的供电线路,如市电双路接入机房内电源线缆和通信线缆隔离铺设,如通过线槽或桥架进行了隔离为关键设备采取了电磁屏蔽措施,如配备了屏蔽机柜或
14、屏蔽机房,关键设备如加密机二、安全通信网络测评指导书控制点安全要求要求解读测评方法预期结果或主要证据1) 应访谈网络管理员业务高峰时期为何时,核查边界设备和主要网络设备的处理能力是否满足业务高峰期需要,询问采用何种手段对主要网络设备的运行状态进行监控。1) 设备 CPU 和内存使用率峰值不大于 70%,通过命令核查相关使用情况:display cpu-usageCPU Usage Stat, Cycle: 60 (Second) CPU Usage :3%Max: 45%.CPU Usage Stat.Time: 218-05-26 16: 58:16以华 为 交换 机 为 例, 输入 命 令
15、 CPU utilization for five seconds: 15%: one display cpu -usage , displayminute:15%: five minutes: 15%网络 a)应保证网络设备的架 业务处理能力满足业构 务高峰期需要为了保证主要网络设备具备足够处理能力, 应定期检查设备资源占用情况,确保设备的业务处理能力具备冗余空间。memory-usage 查看相关配置。一般来说,在业务高峰期主要网络设备的CPU 内存最大使用率不宜超过 70%, 也可以通过综合网管系统查看主要网络设备的 CPU、 内存的使用情况2) 应访谈或核查是否因设备处理能力不足而出现
16、过宕机情况,可核查综合网管系统告警日志或设备运行时间等,或者访谈是否因设备处理能力不足而进行设备升级。display memory-usageCPU utilization for five seconds: 15%: one minute: 15%: five minutes: 15%System Total Memory Is: 75312648 bytes Total Memory Used Is: 45037704 bytes Memory Using Percentage Is: 59%2) 未出现宕机情况,网管平台未出现宕机告警日志,设备 运行时间较长:display versio
17、nHuawei Versatile Routing Platform Software以华为设备为例,输入命令display VRP(R)software,Version5.130(AR1200version”,查看设备在线时长,如设备在线时间在近期有重启可询问原因3) 应核查设备在一段时间内的性能峰值,结合设备自身的承载性能,分析是否能够满足业务处理能力V200ROO3C0OCopyright (C) 2011-2012 HUAWEI TECH Co., LTDHuawei AR1220 Router uptime is 0 week, 0 day, 0 hour, 1 minuteMPU
18、0(Master) : uptime is 0 week,0 day, 0 hour, I minute3)业务高峰流量不超过设备处理能力的 70%b) 应保证网络各个部分的带宽满足业务高峰期需要为了保证业务服务的连续性, 应保证网络各个部分的带宽满足业务高峰期需要。如果存在带宽无法满足业务高峰期需要的情况,则需要在主要网络设备上进行带宽配置,保证关键业务应用的带宽需求1) 应访谈管理员高峰时段的流量使用情况,是否部署流量控制设备对关键业务系统的流量带宽进行控制,或在相关设备上启用 QoS 配置,对网络各个部分进行带宽分配,从而保证业务高峰期业务服务的连续性2) 应该查综合网管系统在业务商峰时
19、段的带宽占用情况,分析是否满足业务需求。如果无法满足业务高蜂期需要,则需要在主要网络设备上进行带宽配置3) 测试验证网络各个部分的带宽是否满足业务高峰期需求1) 在各个关键节点部署流量监控系统,能够监测网络中的 实时流量,部署流量控制设备,在关键节点设备品置 QoS 策略,对关健业务系统的流量带宽进行控制2) 节点设备配置了流量监管和流量整形策略; 流量监管配置:class-map:class-1 bandwidth percent 50bandwidth 5000 (kbps) max threshold 64 (packets) class-map:class-2bandwidth per
20、cent 15bandwidth 1500 (kbps) max threshold 64 (packets) 流量整形配置:traffic classifier c1 operator or if-match acl 3002traffic behavior b1remark local-precedence af3 traffic policy p1 classifier c1 behavior b1interface gigabitethernet 3/0/0 traffic-policy p1 inbound3) 各通信链路高峰流量均不大其带宽的 70%c) 应划分不同的网络区域,并按
21、照方便管理和控制的原则为各网络区域分配地址根据实际情况和区域安全防护要求,应在主要网络设备上进行 VLAN 划分。VLAN 是一种通过将局域网内的设备逻辑地而不是物理 地划分成不同子网从而实现虚拟工作组的新技 术。不同 VLAN 内的报文在传输时是相互隔离的,即一个 VLAN 内的用户不能和其它 VLAN 内应访谈网络管理员,是否依据部门的工作职能、等级保护对象的重要程度和应用系统的级别等实际情况和区域安全防护要求划分了不同的 VLAN, 并核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致。划分不同的网络区域,按照方便管理和控制的原则为各网 络区域分配地址,不同网络区域之间应采取
22、边界防护措施:10 server active20 useractive30 testactived) 应避免将重要网络的用户直接通信,如果不同VLAN 要进行通信,则需要通过路由器或三层交换机等三层设备实现为了保证等级保护对象的安 全,应避免将重要网段部署在以 Cisco IOS 为例,输入命令“show 99 management active vlan brief”, 查看相关配置1) 应核查网络拓扑图是否与实际网络运行环境一致2) 应核查重要网络区域是否未部署在网络边界处;网络区域边界处是否区域部署在边界处, 重要网络区域与其他网络区域之间应采取网络边界处且直接连接外部等级保护对象,防
23、止来自外部等级保护对象的攻击。同时,应部署了安全防护措施3) 应核查重要网络区域与其他网络区域之间,例如应用系统区、数据库1)网络拓扑图与实际网络运行环境一致2)重要网络区域未部署在网络边界处3)在重要网络区域与其他网络区域之间部署了网闸、防火 墙等安全设备实现了技术隔离可靠的技术隔离手段在重要网段和其它网段之间配置安全策略进行访问控制系统区等重要网络区域边界是否采取可靠的技术隔离手段,是否部署了网闸、防火墙和设备访问控制列表(ACL)等e) 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性a) 应采用校验技术或密码技术保证通信过程中数据的完整性通信传输b) 应采用密码技
24、术保证通信过程中数据的保密性本要求虽然放在“安全通信网络”分类中,实际是要求整个网络架构设计需要冗余。为了避免网络设备或通信线路出现故障时引起系统中断,应采用冗余技术设计网络拓扑结构, 以确保在通信线路或设备故障时提供备用方案,有效增强网络的可靠性为了防止数据在通信过程中被修改或破坏,应采用校验技术或密码技术保证通信过程中数据的完整性,这些数据包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等根据实际情况和安全防护要 求,为了防止信息被窃听,应采取技术手段对通信过程中的敏感信息字段或整个报文加 密,可采用对称加密、非对称加密等方式实现数据的保密性应核查系统的出
25、口路由器、 核心交换机、安全设备等关键设备是否有硬件冗余和通信线路冗余,保证系统的高可用性1) 应核查是否在数据传输过程中使用校验技术或密码技术来保证其完整性2) 应测试验证设备或组件是否保证 通信过程中数据的完整性。例如使用File ChecksumIntegrity Verifier、SigCheck 等工具对数据进行完整性校验1) 应核查是否在通信过程中采取保密措施,具体采用哪些技术措施2) 应测试验证在通信过程中是否对敏感信息字段或整个报文进行加密, 可使用 Sniffer、Wireshark 等测试工具通过流量镜像等方式抓取网络中的数据,验证数据是否加密采用 HSRP、VRRP 等冗
26、余技术设计网络架构,确保在通信线路或设备故障时网络不中断,有效增强网络的可靠性1) 对鉴别数据、重要业务数据、重要审计数据、重要配置 数据、重要视频数据和重要个人信息数据等采用校验技术或密码技术保证通信过程中数据的完整性;2) File ChecksumIntegrity Verifier 计算数据的散列值,验证数据的完整性1) 对鉴别数据、重要业务数据,重要审计数据、重要配置 数据、重要视频数据和重要个人信息数据等采用密码技术保证通信过程中数据的保密性2) Sniffer. Wireshak 可以监视到信息的传送,但是显示的是加密报文可信验证可基于可信根对通信设备的系统引导程序、系统程序、重
27、要配置参数和通信应用程序等进行可信验证, 并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心通信设备可能包括交换机、路由器或其他通信设备等,通过设备的启动过程和运行过程中对预装软件 (包括系统引导程序、系统程序、相关应用程序和重要配置参数 )的完整性验证或检测,确保对系统引导程序、系统程序、重要配置参数和关键应用程序的篡改行为能被发现,并报警便于后续的处置动作1) 应核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和关键应用程序等进行可信验1)通信设备、交换机、路由器或其他通信设备具有可信根 证芯片或硬件2)
28、应核查是否在应用程序的关键执2)启动过程基于可信根对系统引导程序、系统程序,重要 行环节进行动态可信验证配置参数和关键应用程序等进行可信验证度量3) 应测试验证当检测到设备的可信3)在检测到其可信性受到破坏后进行报警,并将验证结果 性受到破坏后是否进行报警形成审计记录送至安全管理中心4) 应测试验证结果是否以审计记录4)安全管理中心可以接收设备的验证结果记录(2.3) 的形式送至安全管理中心(2.3)三、安全区域边界测评指导书控制安全要求要求解读测评方法预期结果或主要证据点1) 应核查网络拓扑图与实际的网络链路是否一致,是否明确了网络边界,且明确边界设备端口。2) 应核查路由配置信息及边界设备
29、配置信息,确认是否指定物理端口进行跨越边1)查看网络拓扑图,并比对实际的网络链路,确认网络边界设备及链路接入端口无误2)通过相关命令显示设备端口、Vlan 信息interfaceIP-Address0K? MethodStatusProtocol边a)应保证跨越边界的访为了保障数据通过受控边界,应明界的网络通信。FastEehernet0/0192.168.11.1YES界问和数据流通过边界设确网络边界设备,并明确边界设备以 Cisco I0S 为 例 , 输 入 命 令manualupup防备提供的受控接口进行物理端口,网络外连链路仅能通过“router#show running - con
30、fig”,查FastEehernet0/1192.168.12.1YES护通信指定的设备端口进行数据通信看相关配置。3)应采用其他技术手段核查是否不存在其他未受控端口进行跨越边界的网络通信 , 例如检测无线访问情况,可使用无线嗅探器、无线入侵检测/防御系统、手持式无线信号检测系统等相关工具进行检测manualupupVlan1unassignedYESmanualdowndown(administratively )显 示 路 由 信 息 IP route 0.0.0.0 0.0.0.0.192.168.12设备的“非授权接入”可能会破坏原1) 应访谈网络管理员,询问采用何种技术手段或管理措施
31、对非授权设备私自联到内部网络的行为进行管控,并在网络管理员的配合下验证其有效性2) 应核查所有路由器和交换机等设备闲置端口是否均已关闭。3) 通过网络管理系统的自动拓扑发现功能, 监控是否存在非授权的网络出口链路 ;通过无线嗅探器排查无线网络的使用情况,确认无非授权 WiFi1)非使用的端口均已关闭, 查看设备配置中是否存在如下类似配置:有的边界设计策略,可以采用技术以 Cisco I0S 为例,输入命令show ip Interface FastEthernet0/1 shutdownb) 应能够对非授权设备私自联到内部网络的行为进行检查或限制手段和管理措施对“非授权接入”行为进行检查。技术
32、手段包括部署内网安全管理系统,关闭网络设备未interfaces brief”3)如通过部署内网安全管理系统实现系统准入,应检查各终端设备是否统一进行了2)网络中部署的终端管理系统已启用,且各终端设备均已有效部署,无特权设备3)IP/MAC 地址绑定结果,查看设备配置中是使用的端口,绑定 IP/MAC 地址等部署,是否存在不可控特殊权限接入设备 否存在如下类似配置:4)如果采用了 IP/MAC 地址绑定的方式进行准入控制,应核查接入层网络设备是否配置了 IP/MAC 地址绑定等措施以 Cisco I0S 为例,输入命令show ip arp”arp 10.10.10.1 0000.e268.9
33、890 arpac) 应能够对内部用户非授权连到外部网络的行为进行检查或限制内网用户设备上的外部连接端口的“非授权外联“行为也可能破坏原有的过界设计策略,可以通成内网安全管理系统的非授权外联管控功能或者防非法外联系统实现“非授权外联”行为的控制,由于内网安全管理系统可实现包括非授权外连管控在内的众多的管理功能,建议 c1) 应核查是否采用内网安全管理系统或其它技术手段,对内部用户非授权连接到外部网络的行为进行限制或检查2) 应核查是否限制终端设备相关端口的使用,如禁用双网卡、USB 接口、Modem、无1) 网络中部署有终端安全管理系统,或非授权外联管控系统2) 网络中各类型终端设备均已正确部
34、署了终端安全管理系统或外联管控系统,并启用了相关策略,如禁止更改网络配置,禁用双采用该项措施。通过对用户非授权建立网络连接访问非可信网络的行为进行管控,从而减少安全风险的引入线网络等,防止内部用户非授权外连行为 网卡、USB 接口.、Mode、无线网络等1) 应访谈网络管理员是否有授权的无线网络,是否单独组网后接入到有线网络2) 应核查无线网络部署方式,是否部署无d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络为了防止未经授权的无线网络接入行为,无线网络应单独组网并通过无线接入网关等受控的边界防护设备接入到内部有线网络。同时,应部署无线网络管控措施,对分非授权无线网络进行
35、检测、屏蔽线接入网关,无线网络控制器等设备。应检查该类型设备配置是否合理,如无线网络设备信道使用是否合理,用户口令是否具备足够强度、 是否使用 WPA2 加密方式等3) 应核查网络中是否部署了对非授权无线设备管控措施,能够对非授权无线设备进行检查、屏蔽。如使用无线嗅探器、无线入侵检测/防御系统、手持式无线信号检测系统等相关工具进行检测、限制1) 授权的无限网络通过无线接入网管,并通过防火墙等访问控制设备接入到有限网络。无线网络使用了 1 信道,防止设备间互相干扰;使用 WPA2 进行加密;且用户密码具备复杂度要求,如:口令长度 8 位以上,由数字、字母、大小写及特殊字符组成2) 通过无线嗅探器
36、未发现非授权无线设备a) 应在网络边界或区域应在网络边界或区域之间部1)应核查在网络边界或区域之间是否部署访问控制设备,是否启用访问控制策略2)应核查设备的访问控制策略是否为白名设备访问控制策略具体如下:access-list 100 permit tcp 192.168.1.0之间根据访问控制策略署网闸,防火墙、路由器、交换机和单机制,仅允许授权的用户访问网络资源, 0.0.0.255 host 192.168.3.10 eq 3389设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信无线接入网关等提供访问控制功能的设备或相关组件,想据访问控制策略设置有效的访问控制规则,访禁止其他
37、所有的网络访问行为3) 应该检查配置的访问控制策略是否实际应用到相应的接口的进或出方向。access-list 100 permit tcp 192.168.1.00.0.0. 255 host 192.168.3.11 eq 3389access-list 100 deny ip any any问控制规测采用白名单机制以 Cisco I0S 为例, 输入命令Show interface Gigabi tEthernet1/1访问控制b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化根据实际业务需求配置访问控制策略,仅开放业务必须的端口,禁止配置全通策略,保证
38、边界访问控制设备安全策略的有效性。不同访问控制策略之间的逻辑关系应合理,访问控制策略之间不存在相互冲突, 重叠或包含的情况;同时,应保障访running-config,检查配置文件中访问控制策略1) 应访谈安全管理员访问控制策略配置情况,核查相关安全设备的访问控制策略与业务及管理需求的一致性,结合策略命中数分析策略是否有效2) 应检查访问控制策略中是否已禁止了全通策略或端口、地址限制范围过大的策略。3) 应核查设备的不同访问控制策略之间的逻辑关系是否合理。ip access-group 100 in1) 访问控制需求与策略保持一致2) 应合理配置访问控制策略的优先级,如access-list
39、100 permit tcp 192.1680.0.0.0.255.255 host 192.168.3.10access-list 100 deny tcp 192. 168.1.00.0. 0.255 host 192.168.3.10上述访问控制策略排列顺序不合理 ,第二条策略应在前面,否则不能被命中3) 应禁用全通策略,如 access-list 100 permit tcp any host any eq any4) 应合并相互包含的策略,如:问控制规则数量最小化。以 Cisco IOS 为例, 输入命令” show access-list100permittcprunning-co
40、nfig“,检查配置文件中访问控192.168.0.0.0.0.255.255host制列表配置项192.168.3.10access-list100permittcp192.168.1.0.0.0.255.255host192.168.3.10第二条策略不起作用,可直接删除c) 应对源地址、目的地址,源端口、目的端口和协议等进行检查,以允许/拒绝数数据包进出d) 应能根据会话状态信应对网络中网闸、防火墙、路由器、交换机和无线接入网关等提供访问控制功能的设备或相关组件进行检查,访问控制策略应明确源地址、目的地址, 源端口、目的端口和协议, 以允许/拒绝数据包进出防火墙能够根据数据包的源地址、目
41、标地址、协议类型、源端口、目标端口等对数据包进行控制,而且能够记录通过防火墙的连接状态,直应核查设备中访问控制策略是否明确设定了源地址、目的地址、源端口、目的端只和协议等相关配置参数。以Ciso IOS 为例 拒绝所有从 172.16.4.0 到 172.16.3.0 的 ftp 通信流量通过 F0/0 接口,输入命令:”show running-config “,检查配置文件中访问控制列表配置项应核查状态检测防火墙访问控制策略中是否明确设定了源地址、目的地址、源端口、检查配置文件中是否存在类似如下配置项: access-list 101 deny tcp 172.16.4.0.0.0.0.2
42、55172.16.3.0.0.0.0.255 eq 21access-list 101 permit ip any any interface fastetnernet0/0ip access-group101 out检查配置文件中应当存在类似如下配置项: access-list 101 permit tcp息为进出数据流提供明确的允许 / 拒绝访问的接对包里的数据进行处理。防火墙还应具有完备的状态检测表来追踪目的端口和协议以 Cisco IOS 为例,输入命令 : show192.168.2.0.0.0.0.255192.168.3.100 eq 21host能力e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制连接会话状态,并结合前后数据包的关系进行综合判断,然后决定是否允许该数据包通过,通过连接状态进行更迅速更安全地过滤在网络边界采用下 -代防火墙或相关安全组件 ,实现基于应用协议和应用内容的访问控制running0-config.1) 应核查在关键网络节点处是否部署访问控制设备2) 应检查访问控制设备是否配置了相关策略,对应用协议、应用内容进行访问控制, 并对策略有效性进行测试access-l