《金融行业网络安全等级保护测评实施指导书(三级).docx》由会员分享,可在线阅读,更多相关《金融行业网络安全等级保护测评实施指导书(三级).docx(38页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512.1版第0次修订金融行业网络安全等级保护测评实施指导书(三级)序 号点控制测评项操作步章预期站果1结 构安全a)应保证主要网络设备和通信线路冗余,主要网络设备业务处理能力能满足业务高峰期需要的1倍以上1、访谈网络管理员,并查看拓扑图,主要网络设备和通信线路是否有冗余。访谈网络管理员,查看拓扑图,主要网络设备和通信线路是否有冗余。2、访谈网络管理员,询问信息系统中的边界和关键网络设备的性能以及目前业务高峰流量情况访谈网络管理员,询问该设备在业务高峰期是否能满足业务的需求在高峰期查看各个部门业务员的操作情况,确认是否出现网络传输方面
2、的瓶颈和关键设备处理能力的瓶颈检查各个设备高峰期CPU和内存利用情况用命令show cpu usage和show mem3、检查网络设计/验收文档,查看路由器的性能是否能满足基本业务需求查看设计验收文档看是否有对主要设备性能方而说明4、访谈网络管理员,询问采用何种手段对网络设备进行监控。有相关手段对网络设备进行监控5、询问网络管理员,产品是否具有bypass功能。访问网络管理员,是否具有软硬件bypass功能.(bypass功能可以保证设金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512.1版第0次修订备在断电或者死机时,数据包还能通过故障设备,网络不中断)b)应保证网络各个部
3、分的m1.访谈网络管理员,询问网络的带宽情况:询问网络中带宽控制情况以及 带宽分配的原则访谈网络管理员,高峰期网络的带宽情 况:询问网络中带宽控制情况以及带宽分配的原则2.查看设计验收文档看是否有对主要设备性能方面说明查看设计验收文档看是否有对主要设备 性能方面说明。如比较高的吞吐量,并 发连接数能满足业务高峰期的需要。防 火墙要适合金融业网间互联的网络带宽 要求,不能成为网络瓶颈,或明显影响网络工作效率。3.检查各个设备在业务高峰期的CPU利用率和内存利用率用show traffic(查看流量)用命令show cpu usage和shov menoryc)应在业务终端与业务服 务器之间进行路
4、由控制建立安全的访问路径1.访谈网络管理员,询问网络设备上的路由控制策略措施有哪些,这些策略设计的目的是什么访谈网络管理员,路由控制是用动态路 由协议还是用静态路由协议,结合业务需要详细了解每个路由条目的作用2.检查边界和重要网络设备,查看是否配置路由控制策略(如使用静态路由等)建立安全的访问路径检查防火墙,看是否配置访问控制策略,提供安全的访问路径。(原则上inside可以访问任何outside和dmz区域:dnz金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512 . 1版第0次修订可以访问cutside区域:inside访问dnz 需要配合static静态地址转换;outs
5、ide访问dnz需要配合ac1访问控制列表)使用命令show route和show static查看,也可使用show run查看,并确定数据流走向。d)应绘制与当前运行情况相符的网络拓扑结构图1.查网络拓扑图,查看与当前运行情况是否一致国剧的方式,检查网络拓扑图对比现在运行的网络环境,看是否一致进机房实地查看网络没备的连接情况, 从而确认拓扑图是否和现行网络环境一致DNS.服务器配置中对主机的命多成采用鸟护器个网技的拓具e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段,生产1、访谈网络管理员,网段划分情况
6、以及划分的原则;2、询问重要的网段有哪些,对重要网段的保护措施有哪些。3、了解生产网,互联网,办公网之间的网段,查看是否对生产网,互联网, 办公网实现了有效隔离1、 询问网络管理员,网段划分情况及划 分细则。2、 登录核心交换机,输入命令sho vlan,查看vlan划分情况3、 询问生产网,互联网和办公网所在的 vlan或网段, 了解是否对其实现了金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512. 1版第0次修订网、互联网、办公网之间都应实现有效隔离。有效隔离。(防火墙至少有3个网络接口,分别 用于互联网,办公网和生产网;办公网 和生产网之间的访问设置策略,只允许 彼此之间
7、需要访问的地址和端口;办公网对互联网的访问采用网络地址转换,同时只开放需要访问的端口;互联网对 生产网的访问设置严格的端口和IP访问 策略,对不提供外部服务的IP地址和端 口严格禁止:原则上禁止从互联网直接 访问办公网络。)f)应避免将重要网段部署 在网络边界处且直接连接 外部信息系统,重要网段与 其他网段之间采取可靠的技术隔离手段1、检查拓扑图和网络边界处是否使用防火墙,登录防火墙或路由器,查看 是否采用相关策略将重要网段与其他网段进行隔离。2、查看防火墙,是否配置NAT等信息,将重要网段对外进行隐藏。1 、登录防火墙或路由器,输入命令(config)#shos access-list2、登
8、录防火墙,输入命令(config)#shownat detail(应在不同的情况下使用防火墙或者UTV安全网关进行网络隔离,在面临威胁的情况下,如病毒,入侵,选择UTN安全网关进行网络隔离g)应按照对业务服务的重1、访谈网络管理员,依据实际应用系统状况,是否进行了带宽优先级别分1、如果有相关的带宽优先级分配策略,金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512. 1版第0次修订要次序来指定带宽分配优 先级别,保证在网络发生拥 堵的时候优先保护重要主 机。配 .2、访谈网络管理元,是否有专用的带宽管理设备(如网维通带宽管理设备: EasyView A0S),如果没有专用的带宽管
9、理设备,可登录相关路由设备或交 换设备,查看qos策略的配置情况则查看专用的带宽管理设备。如果没用 专用的带宽管理设备,则登录交换机或 路由器,查看905配置:查看设备的配置, 1)show run、shonclass-nap和shon policy-aapPolicy-map barClass voicePriority percent 10Class dataBandwidth percent 30Class videoBandwidth percent 202)shon policy-appolicy-naneShow policy-mapinterfaceinterfaceShow c
10、lass-apclass-naneShow ip nbar pdim金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512. 1版第0次修订Show ip nbar port-map2访同控制a)应在网络边界部署访问 控制设备,启用访问控制功能1.访谈安全员,询问采取的网络访问控制措施有哪些;询问访问控制的设 计原则是什么:询问访问控制策略是否做过调整,以及调整后和调整前的情况如何1、访谈安全员,根据业务的需要判断现 有的访问控制策略是否合理,粒度是否 到位,与业务无关访问是否被禁止2、(软硬件防火墙: 防火墙为标准的网 络访问控制设备,可以对源接口, 目的接口,协议类型,源地址,
11、 目的地址,服务和报文通讯时间等对象设置访问控制策略。)Vlan间访问控制技术:可以交换机上设置vlan之间的Acl表,实现端口级别的访问控制策略,但列表过多的话会影响交换机的性能。b)应能根据会话状态信息 为数据流提供明确的允许/ 拒绝访问的能力,控制粒度为端口级查看设备的配置思科核心交换机用shon access-list和show running命令查看是否有如下配置:Access-list acl_id extendedline numberpermit protocol sourcedestination log_optionstime-range naneinactive粒度达到端
12、口级别,安全访问控制设置合理,与业务无关的访问被禁止则符合H3C交换机:用display current和display acl runningpacket-filter金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512. 1版第0次修订al1查看是否有以下配置:acl nunber 2000rule deny icmp source any destination anyrule permit tep source x.x.x.x destination x.x.x.x destination-porteq 443interface gigabitethernet 1/1/1
13、packet-filter inbound ip group 2000c)应对进出网络的信息内 容进行过滤,实现对应用层 HTTP、FTP、TELNET、SVTP、POP3等协议命令级的控制查看设备的配置思科核心交换机用shon access-list和show running命令查看是否有如下配置:Access-list acl_id extendedline nunberpermit protocol sourcedestination log optionstime-range naneinactiveH3C交换机:用display current和display acl running
14、rpacket-filteral1查看是否有以下配置:acl nunber 2000rule deny icmp source any destination any粒度达到协议级别,安全访问控制设置合理,与业务无关的访问被禁止则符合rule permit tep source x.x.x.x destination x.x.x.x destination-port金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512 . 1版第0次修订eq 443interface gigabitethernet 1/1/1packet-filter inbound ip group 2000d
15、)应在会话处于非活跃一 定时间或会话结束后终止网络连接思科设备输入show run,BC设备输入display current查看。查看有如下配置:Exec timut 0.0如果设置了在非活跃一定时间或会话结束后终止网络连接e)应在网络区域边界(互联网边界,外部区域边界和内部区城边界)对网络最大流量数及网络并发连接数进行监控.1、检查边界网络设备,查看是否能设置会话处于非活跃的时间或会话结束后自动终止网络连接:查看是否能设置网络最大流量数及网络并发连接数登录防火墙,输入命令show run,查看对网络最大流量数和最大并发连接数的限制 .(1、软硬件防火墙:支持带宽限制和并发连接数限制。可以根
16、据安全策略限定最大网络带宽,设定系统的,具体IP的最大并发连接数。2、UTM安全网关:支持带宽限制和并发连接数限制。可以根据安全策略限制最 大网络带宽,可以设定系统的,具体IP的最大并发连接数。3、终端/服务器安全保护系统:具有流 量控制功能,可以实现基于端口,协议金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512.1版第0次修订和进程的流量控制,网络并发连接数控制。)f)重要网段应采取技术手段防止地址欺骗H3C设备用display current检查是否有以下配置:arp xxxx xxxx思科设备用show arp查看防火墙启用ARP和PBF防止地址欺骗。配置静态的ARP条
17、目:arp if nane ip add aac addalias启用PRF防止地址欺骗:ip verify reverse-path interface if_nane通过输入show run,show mac-add-table查看是否配置了相关信息如是否启用了ARP检查:Arp if_nane ip_add ac_add(静态ARP条目)Arp-inspection if nane enableflood |na-flood端口启用ARP检查如果设置了IP/MMC绑定,则符合g)应按用户和系统之间的 允许访问规则,决定允许或 拒绝用户对受控系统进行 资源访问,控制粒度为单个用户登录网络设
18、备,show run,查看方位控制列表是否精确至host.h)应对拨号接入用户采用数字证书认证机制,并限制登录网络设备,show run|b vty,查看vty用户数量是否限制。金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512.1版第0次修订具有拨号访问权限的用户数量i)网络设备应按最小安全访问原则设置访问控制权 限访谈网络管理员,询问网络设备的配置原则如何设置,是否是最小原则。网络安全审计a)应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录1.检查边界和重要网络设备的审计记录。2、查看是否有安全审计设备,对网络系统中的网络设备运行状况、网络流量、用户行
19、为等事件的记录查看日志审计系统的审计记录及设备运 行日志看是否有设备运行状况、网络流量、用户行为等事件的记录(Telnetftp,rlogin,x11,nfs,netbios,oracle,Sybase,infornix,db2,sqlserver,http.sntp.pop3).防火墙,LTM具有日志审计功能,可以记 录访问的源, 目的地址,服务,时间,用户以及攻击报警信息。网管系统:可以使用专门的网管系统对网络设备的运行状况进行记录。3b)审计记录应包括:事件 的日期和时间、用户、事件类型、事件是否成功,及其1.访谈审计员审计包括哪些项:询问审计记录的主要内容有哪些;询问对审计记录的处理方
20、式查看日志审计系统:对源IP,源端口, 目的IP, 目的端口,MAC地址,登录账号,操作内容,时间等信息的查询。金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512.1版第0次修订他与审计相关的信息防火墙,UTM等设备,可以记录访问的源,目的地址,服务,时间,用户以及攻击 报警信息。c)应能够根据记录数据进行分析,并生成审计报表访谈并查看网络管理员采用了什么手段实现了审计记录数据的分析和报表生成查看是否有日志审计系统,提供网络审计数据分析功能。d)应对审计记录进行保护, 避免受到未预期的删除、修改或覆盖访谈网络管理员采用了何种手段避免了审计日志的未授权修改、删除和破坏。如可以设置
21、专门的日志服务器来接收路由器等网络设备发送出的报警信息。日志审计系统,具有审计记录保护功能。可以避免受到未预期的删除修改或覆盖。其他设备的日志审计功能,具有审计记 录保护功能。保存时间不能少于半年边界完整性检查a)应能够对非授权设备私自连接到内部网络的行为 进行检查,准确定出位置,并对其进行有效阻断检查边界完整性检查设备,查看是否设置了同时对非法连接到内网的行为进行监控,并对其进行有效阻断。网络边界设备,防火墙和IDS等设备应设置相关策略,对非法内联的用户进行有效阻断5b)应能够检测内部网络中 出现的内部用户未通过准 许私自联到外部网络的行 为(即“非法外联”行为)应能够对非授权设备私白访谈安
22、全员,询问是否对外部用户未通过准许私自联到内部网络的行 为进行监控的措施,具体是什么措施;询问网络内是否使用边界完整性检查设备/工具对网络进行监控:询问网络内的“非法内联”的情况1、询问安全员,是否有限制非法内联的 设备,如果配置的设备2、如终端管理设备,具有防非法外联功能,可以对未通过准许私白连到外部网络的行为(例如noden拨号,ADSL拨号,金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512.1版第0次修订联到内部网络的行为进行 检查,准确定出位置,并对其进行有效阻断私连网线和私设IP等行为)进行检查,并阻断其行为。3、防火墙、UTM网关具有外联控制功能,可以控制内部用户
23、不能访问外部网络,或者必须经过认证才能访问外部网络。另外能够进一步对IM、P2P、网络游戏等外联行为进行控制。检查边界完整性设备,查看是否有未安装非法外联客户端的计算机接入网络,若有是否有效定位,阻断能够有效定位或阻断检查边界完整性检查设备的日志,查看运行是否正常查看日志,是否持续对网络全网段进行监控入侵防范a)应在网络边界处监视以 下攻击行为:端口扫描、强 力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻1.访谈安全员,询问网络入侵防范措施有哪些;询问是否有专门的设备对网络入侵进行防范:询问采取什么方式进行网络入侵防范规则库升级访谈安全员,询问网络入侵防范措施有 哪些;询问是否有专门的设备对
24、网络入 侵进行防范;询问采取什么方式进行网络入侵防范规则库升级6击、IP碎片攻击、 网络蠕虫攻击等2.检查IPS,IDS,防火墙等设备是否能检测以下攻击行为:端口扫描、强 力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击网络蠕虫攻击等查看IPS和IDS设备能够检测攻击行为的方式2、查看流经防火墙数据监控采用了哪种金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512.1版第0次修订方式.Capture session(后处理,CF和内存利用率低)方式还是debug packet(实时显示,资源利用率高。7.x版本不支持)方式,如果采用capture方式, 输入sho
25、mcapture查看当前的capture.输入 show capture capture_naneaccess-istacl_ramedetaildump显示所抓包的信息b)当检测到攻击行为时,记 录攻击源IP、攻击类型、 攻击目的、攻击时间,在发 生严重入侵事件时应提供报警查看在网络边界处是否部署了包含入侵防范功能的设备。如果部署了相应的设备,则检查设备的日志记录是否完备,是否提供了报警功能登录设备,查看拦截的攻击行为的日志, 查看日志记录是否记录攻击源IP、攻击 类型、攻击目的、攻击时间,并在发生严重入侵事件时应提供报警。7惠意代码防范a)应在与外单位和互联网 连接的网络边界处对恶意代码进
26、行检测和清除。检查网络拓扑结构,查看在网络边界处是否部署了防恶意代码产品。如果 部署了相关产品,则查看是否启用了恶意代码检测机阻断功能,井查看日志记录中是否有相关阻断信息1、如果部署了IPS等设备,查看相关对 恶意代码监测和清除的记录2、Pix防火墙Java过滤可以针对每个客 户端或者每个IP地址来组织java程序。 当启用了java过滤,pix防火墙将搜索金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512.1版第0次修订程序中的“cafe hebe”字符串;使用filter activel java命令进行java过滤 .Filter active I java port -
27、portlocal_ip nask foreign_ip nask输入shos run命令可以查看是否有以上语句进行过滤。b)应维护恶意代码库的升级和检测系统的更新访谈网络管理员,询问是否对防恶意代码产品的特征库进行升级及具体的 升级方式。登录相应的防恶意代码产品,查看其特征库、系统软件升级情况,查看当前是否为最新版本。登录相关设备,查看特征库,系统软件升级情况,查看当前是否为最新版本。a)应对登录网络设备的用访谈网络管理员,询问身份鉴别方法有合理的身份鉴别方法则符合备设络户进行身份鉴别H3C设备用命令display current查看是否有如下配置:user xxx password xxx
28、 level xx(确保用户名唯一)或者用AAA方式进行认证:super password level 3 cipher xxxxlocal-user xxxxservice-type ssh level 3acl nunber 2000配置正确并且用户名唯一则符合金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512.1版第0次修订rule 1 permit source x.x.x.xuser-interface vty 04authentication-mode scheme思科设备用命令show run查看登录网络设备,查看是否使用数字证书认证功能数字证书认证:数字证书认证
29、是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件,可以对网络上传输的信息进行加密和解密,数字签名和签名验证,除了身份认证的功能,还可确保网上传递信息的机密性,完整性。网络设备,安全设备大多支持数字证书认证。应在登录网络设备时使用数字证书认证或者第三方认证技术b)应对网络设备的管理员登录地址进行限制检查网络设备的安全设置,查看是否对主要网络设备的管理员登录地址进行限制登录路由器查看安全设置是否对管理IP进行限制H3C/华为设备用命令display current查看是否有以下配置rule 1 pernit source x.x x.xuser-interface vty 0
30、4acl x inbound网络设备管理IP进行限制则符合金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512. 1版第0次修订思科设备使用shor run查看登录防火墙查看安全设置是否对管理IP进行限制Shom run查看是否有禁止来自outside端口的telnet和地址绑定【 telnet ip_add netmask if_nanetelnet tineout minutes(查看超时时间)https:http ip_add subnet_nask if_nanehttp server enablessh:ssh ip_add netaask if_namessh tin
31、cout】各 用 户 的 标1.访谈网络管理员用户的命名是否唯一用户名唯一则符合H3C设备用display current命令查看usernane是否唯一思科设备使用shom run命令查看用户名唯一则符合3、检查设备命名可通过设备命名管理,在设备管理上实现标识唯一用户名唯一则符合d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身访谈网络管理员,关键网络设备是否采用了两种或两种以上的身份鉴别方式。采用了哪种方式采用两种或两种以上的身份鉴别方式则符合金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512. 1版第0次修订份鉴别1、如采用了AAA认证,查看相应配置su
32、per password level 3 cipber xxxxlocal-user xxxxservice-type ssh level 3acl nunber 2000rule 1 permit source x.x.x.xuser-interface rty 04authenticatior-mode schene2、 设备自身的登录账号和口令3、数字认证技术e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换1.访谈网络管理员,询问交换机密码的长度、复杂度和更换时间口令长度超过8位,包括大小写字母、特殊字符和数字中的三种,60天以内更换一次密码则符合f)应具有登录失败处
33、理功 能,可采取结束会话、限制 非法登录次数和当网络登录连接超时自动退出等措1.检查交换机的安全设置,查看其是否有对鉴别失败采取相应的措施的设置:查看其是否有限制非法登录次数的功能H3C设备用命令display current命令查看配置,如果有idle-tineout 30的配置,则说明配置了自动超时的功能有上述配置则符合金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512.1版第0次修订施。思科设备用show run查看2.测试交换机的安全设置,验证其网络登录连接超自动退出的设置是否有 效(如长时间连接无任何操作,观察观察网络设备的动作等);测试连续几次登录设备失败后,是否禁
34、止登录一段时间。测试登录设备后, 一段时间无任何操作是否自动退出,测试连续几次登录设备失败后,是否禁止登录一段时间。超时时间配置在5分钟以内,登陆失败后30分钟不能登陆则符合g)当对网络设备进行远程 管理时,应采取必要措施防 止鉴别信息在网络传输过程中被窃听1.检查网络设备上SSH的配置情况登录路由器看是否开启ssh服务H3C/华为设备用display current命令查看是否有以下配置:ssh server enablessh user xxx service-type sshuser-interface vty 04protocol inbound sshauthentication-m
35、ode schene再用display radius schere查看是否生成了ssh的密钥对思科设备使用show run查看启用ssh登录服务则符合金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512. 1版第0次修订输入命令查看是否启用了SNNP协议(不建议启用或着启用SMP V2)对于某些网络设备不支持SNP V2的,允许采用其他方式进行管理,如私有协 议Snmp-server locatian string(contact string)Snap-server host if_name ip_addrpoll|trapSnrp-server comunity keyh)应
36、实现设备特权用户的权限分离登录设备,查看有多少管理员账户,查看每个账户的权限(如管理员,审计员,超级用户的权限设置与分离:其中管理员只具有管理配置设备的权 限,审计员只具有审计分析的权限,超级用户具有管理员与审计员的权限)权限分离则符合1)应定期对网络设备的配 置文件进行备份,发生变动时应及时备份1、访谈网络管理员,是否定期对网络设备的配置文件进行备份,且发生变 动时及时备份2、上机查阅备份文件及时备份则符合j)应定期对网络设备运行状况进行检查访谈网络管理员,并检查是否定期对网络设备运行状况进行检查定期进行网络巡检(通常情况下时每天 进行巡检),巡检时通过网络监控软件如 nagios等对网络设
37、备的重要监控指标或实际需要进行监控,监控内容包括:cpu运行情况,网络流量统计,网络用户数金融行业网络安全等级保护测评实施指导书文件号: LC-CS-512. 1版第0次修订统计,设备空间使用状况等。k)对网络设备系统自带的 服务端口进行梳理,关掉不 必要的系统服务端口,并建 立相应的端口开放审批制 度执行如下操作:检查各端口关闭或者开启的情况Show ip interface briefShow ipx services关闭不必要服务的端口或登录网络设备service stop命令停止不必要的服务。同时记录已开启的服务及其对应的端口,形成文档保存1)应定期检验网络设备软 件版本信息,避免使用软件版本中出现安全隐患查看相关书面记录,记录中应包含根据网络设备的运行情况,定期对版本进行评估m)应建立网络设备的时钟同步机制应建立可独立基于NTP/SNTP协议工作的时间同步服务器,服务器与标准时钟信号信息一致,并设置网络设备自动与时间服务器的同步H3C交换机使用命令:display ntp-service status命令查看思科交换机使用命令:show ntp status命令查看n)应定期检查并锁定或撤 销网络设备中不必要的用户账号应查看文字记录,是否有定期检查和梳理网络设备账号的记录,并有删除或锁定多余账号。