网络安全 - 通用网络设备测评指导书 - 三级 - 1.0版

天融信信息安全等保中心 编号: 测 评 指 导 书 《信息系统安全等级保护基本要求》 基础网络安全-通用网络设备-第三级 V1.0 天融信信息安全等保中心

天融信信息安全等保中心 1、测评对象 对象名称及IP地址 备注(测评地点及环境等) 2、入场确认 序号 1 2 开始时 间 确认内容 测评对象中的关键数据已备份。

如果没有备份则不进行测评 测评对象工作正常。

如工作异常则不进行测评。

确认签字 3、离场确认 序号 1 结束时 间 确认内容 测评工作未对测评对象造成不良影响,测评对象工作正常。

确认签字

天融信信息安全等保中心 序号 类别 测评项 测评实施 检查: 检查网络拓扑结构和相关交换机配置, 查看 是否在交换机上启用了访问控制功能。

输入命令 show access-lists 检查配置文件中是否存在以下类似配置项 ip access-list 1 deny x.x.x.x 检查: 输入命令 shou running, 检查访问控制列表的控制粒度是否为端口 级 , 如 access-list 101 permit udp any 192.168.10.0 0.0.0.255 eq 21 检查: 检查防火墙或 IPS 安全策略是否对重要数 据流启用应用层协议检测、过滤功能。

访谈: 访谈系统管理员, 是否在会话处于非活跃一 定时间或会话结束后终止网络连接; 检查: 输入命令 show running,查看配置中是否存 在命令设定管理会话的超时时间: line vty 0 4 exec-timeout x x 检查: 1)在网络出口和核心网络处的交换机是否 配置了网络最大流量数及网络连接数; 2)是否有专用的流量控制设备限制网络最 大流量数及网络连接数。

预期结果 符合情况 a) 应在网络边界部署访问控制设备,启用访 问控制功能; 交换机启用了访问控制功能, 根据需 要配置了访问控制列表。

b)访问控制设备应能根据会话状态信息为数 据流明确的允许/拒绝访问的能力,控制 粒度为端口级; c) 应对进出网络的信息内容进行过滤,实现 对应用层 HTTP、FTP、TELNET、SMTP、 1 访问控制 POP3 等协议命令级的控制; 根据会话状态信息为数据流了 明确的访问控制策略, 控制粒度为端 口级。

防火墙或 IPS 开启了重要数据流应 用层协议检测、过滤功能,可以对应 用层 HTTP、 FTP、 TELNET、 SMTP、 POP3 等协议进行控制。

d) 应在会话处于非活跃一定时间或会话结 束后终止网络连接; 1)会话处于非活跃一定时间或会话 结束后,交换机会终止网络连接; 2)交换机配置中存在会话超时相关 配置。

e) 应限制网络最大流量数及网络连接数; 1)网络出口和核心网络处的交换机 配置了合理 QOS 策略,优化了网络 最大流量数; 2)通过专用的流量控制设备限制网 络最大流量数及网络连接数。

天融信信息安全等保中心 序号 类别 测评项 测评实施 检查: 是否通过 IP/MAC 绑定手段防止地址欺骗, 输入命令 show running, 检查配置文件中是否存在 arp 绑定配置: arp x.x.x.x x.x.x.x 检查: 1) 是否针对单个远程拨号用户或 用户 访问受控资源进行了有效控制; 2)以拨号或 等方式接入网络的,是否 采用强认证方式。

检查: 是否限制具有远程访问权限的用户数量。

检查: 1)网络系统中的交换机是否开启日志记录 功能; 输入 show logging 命令, 检查 Syslog logging 进程是否为 enable 状态; 2)是否对交换机的运行状况、网络流量进 行监控和记录。

预期结果 1)通过配置命令进行 IP/MAC 地址 绑定防止地址欺骗; 2) 通过专用软件或设备进行 IP/MAC 地址绑定防止地址欺骗。

1) 对单个远程拨号用户或 用户 访问受控资源进行了有效控制; 2) 通过拨号或 等方式接入网络 时,采用了强认证方式(证书、KEY 等) 。

限制了具有远程访问权限的用户数 量。

1)交换机开启了日志记录功能,命 令 show logging 的输出配置中显示: Syslog logging:enabled 2)对交换机的运行状况、网络流量 进行监控和记录 (巡检记录或第三方 监控软件) 。

符合情况 f) 重要网段应采取技术手段防止地址欺骗; g) 应按用户和系统之间的允许访问规则,决 定允许或拒绝用户对受控系统进行资源访 问,控制粒度为单个用户; h) 应限制具有拨号访问权限的用户数量。

a) 应对网络系统中的网络设备运行状况、网 络流量、用户行为等进行日志记录; b) 审计记录应包括:的日期和时间、用 2 安全审计 户、类型、是否成功及其他与审计 相关的信息; c) 应能够根据记录数据进行分析,并生成审 计报表; 检查: 日志内容包括的日期和时间、 设 查看日志内容,是否包括的日期和时 备管理员操作行为、类型等信 间、 设备管理员操作行为、 类型等信息。

息。

检查: 查看如何实现审计记录数据的分析和报表 生成。

检查: 1)检查对审计记录监控和保护的措施。

例 如: 通过专用日志服务器或存储设备对审计 记录进行备份, 并避免对审计记录未预期的 修改、删除或覆盖; 定期对审计记录数据进行分析并生 成纸质或电子的审计报表。

1)设置了交换机日志服务器地址, 交换机日志发送到安全的日志服务 器或第三方审计设备; 2、由专人对审计记录进行管理,避 免审计记录受到未预期的删除、 修改 d) 应对审计记录进行保护,避免受到未预期 的删除、修改或覆盖等。

天融信信息安全等保中心 序号 类别 测评项 测评实施 2)输入命令 show running 检查配置文件中是否存在类似如下配置项 logging x.x.x.x 或覆盖。

预期结果 符合情况 访谈、检查: 1)访谈设备管理员,询问登录设备的身份 标识和鉴别机制采用何种措施实现; a) 应对登录网络设备的用户进行身份鉴别; 2)登录交换机,查看是否提示输入用户口 令,然后以正确口令登录系统,再以错误口 令或空口令重新登录,观察是否成功。

检查: 输入命令 show running, b) 应对网络设备的管理员登录地址进行限 查看配置文件里是否存在类似如下配置项 限制管理员登录地址: 制; access-list 1 permit x.x.x.x line vty 0 4 access-class 1 in 检查: 1)检查交换机标识是否唯一; 2)检查同一交换机的用户标识是否唯一; c) 网络设备用户的标识应唯一; 3)检查是否不存在多个人员共用一个账号 的现象。

访谈: d) 主要网络设备应对同一用户选择两种或 访谈采用了何种鉴别技术实现双因子鉴别, 两种以上组合的鉴别技术来进行身份鉴别; 并在网络管理员的配合下验证双因子鉴别 的有效性。

访谈、检查: e) 身份鉴别信息应具有不易被冒用的特点, 1)访谈交换机管理员,询问用户口令是否满 足复杂性要求; 口令应有复杂度要求并定期更换; 2)检查配置文件中口令是否加密存储。

访谈: f) 应具有登录失败处理功能,可采取结束 访谈设备管理员, 交换机是否设置了登录失 1)交换机使用口令鉴别机制对登录 用户进行身份标识和鉴别; 2)登录时提示输入用户名和口令; 以错误口令或空口令登录时提示登 录失败, 验证了登录控制功能的有效 性; 3) 交换机中不存在密码为空的用户。

配置了合理的访问控制列表限制对 交换机进行登录的管理员地址。

3 网络设备 防护 1)交换机标识唯一; 2)同一交换机的用户标识唯一; 3)不存在多个人员共用一个账号的 现象。

用户的认证方式选择两种或两种以 上组合的鉴别技术, 只用一种技术无 法认证成功。

1) 交换机用户口令长度不小于 8 位, 由字母、数字和特殊字符构成,并定 期更换; 2)在配置文件中,口令为加密存储。

1)以错误的口令登录交换机,尝试 次数超过阀值, 交换机自动断开连接

天融信信息安全等保中心 序号 类别 测评项 会话、限制非法登录次数和当网络登录连接 超时自动退出等措施; 测评实施 败处理功能。

检查: 在允许的情况下, 根据使用的登录失败处理 方式,采用如下测试方法进行测试: a)以错误的口令登录交换机,观察反应; b)当网络登录连接超时时,观察连接终端反 应。

访谈: 询问设备管理员, 是否采用了安全的远程管 理方法。

检查: 输入命令 show running 查看配置文件中是否存在类似如下配置项: line vty 0 4 transport input ssh 访谈、检查: 1)访谈设备管理员,是否实现了特权用户 的权限分离; 2)输入命令 show running, 检查配置文件中是否存在类似如下配置项: username cisco1 privilege 0 password 0 cisco username cisco1 privilege 15 password 0 cisco 3)检查是否部署了日志服务器对管理员的 操作进行审计记录; 4)审计记录是否有专人管理,非授权用户 是否无法进行操作。

预期结果 或锁定一段时间; 2) 正常登录交换机后不做任何操作, 超过设定的超时时间后, 登录连接自 动退出。

符合情况 g) 当对网络设备进行远程管理时,应采取必 要措施防止鉴别信息在网络传输过程中被窃 听; 1)使用 SSH 协议对交换机进行远程 管理; 2)没有采用明文的传输协议对交换 机进行远程管理; 3)采用第三方管理工具保证远程管 理的鉴别信息保密。

h) 应实现设备特权用户的权限分离。

1)实现了交换机特权用户的权限分 离,不同类型的账号拥有不同权限; 2)部署了专用日志服务器对管理员 的操作进行审计并记录; 3)审计记录有专人管理,非授权用 户无法进行操作。

  • 《网络安全技术》实验指导书(一)

    《网络安全技术》实验指导书(一)

    《网络安全技术》实验指导书(一)...

    贡献者:网络收集
    720196
  • 9网络全局测评指导书-三级S3A3G3-1.0版

    9网络全局测评指导书-三级S3A3G3-1.0版

    9网络全局测评指导书-三级S3A3G3-1.0版...

    贡献者:网络收集
    670001
  • 物理安全测评指导书-三级S3A3G3-1.0版

    物理安全测评指导书-三级S3A3G3-1.0版

    物理安全测评指导书-三级S3A3G3-1.0版...

    贡献者:网络收集
    750175
  • 网络设备与网络安全

    网络设备与网络安全

    网络设备与网络安全...

    贡献者:网络收集
    497173
  • 密码学与网络安全实验指导书1

    密码学与网络安全实验指导书1

    密码学与网络安全实验指导书1...

    贡献者:网络收集
    68852
  • NetScreen5.0防火墙等级保护测评指导书-三级S3A3G3- 1.0版

    NetScreen5.0防火墙等级保护测评指导书-三级S3A3G3- 1.0版

    NetScreen5.0防火墙等级保护测评指导书-三级S3A3G3- 1.0版...

    贡献者:网络收集
    675760
  • 网络设备及网络安全系统技术需求书

    网络设备及网络安全系统技术需求书

    网络设备及网络安全系统技术需求书...

    贡献者:网络收集
    112834
  • 一、网络安全测评概述及检查范围

    一、网络安全测评概述及检查范围

    一、网络安全测评概述及检查范围...

    贡献者:网络收集
    756961
  • 三级网络技术第1-8章网络安全技术考试重点内容

    三级网络技术第1-8章网络安全技术考试重点内容

    三级网络技术第1-8章网络安全技术考试重点内容...

    贡献者:网络收集
    710758
  • 1-2_网络安全测评__主机安全测评

    1-2_网络安全测评__主机安全测评

    1-2_网络安全测评__主机安全测评...

    贡献者:网络收集
    893644
  • 网友在搜
    星际战甲以最后一击 关于欧洲皇室电影 精子头部畸形率高 索隆喝酒 shuffle dance 歌曲 http www.czztbj.cn 手环上显示 pair dota2dpl联赛赛程 筷子用什么颜色好 盈泰财富云怎么样 怎么样练书法 js canvas 翻转 二号首长第2部全文下载 长江北路在上海哪个区 onsd737 ed2k 文化传承作文素材 mediacoder 转换大小 1:1的坡度是什么意思 伊凡磕mp3在线试听 henanrenshikaoswang 足球颠球教程 绝缘胶带和玛拉胶带 超贱表情包 宝来与维特拉怎么选 310s 15电脑怎么样 ipad mini2保修多久 毕业生网上在哪投简历 ps4港服商店登录不了 iphone6上门维修 漫画6.8米二手高栏货车 amason取消订单 armani手表如何分真假 ipad air2插卡登录不了 epollerr epollhup 艾尔之光什么冰装好 周杰口和儿红酒 华为mt9pro jni 创建java对象 h createelement 网页不能粘贴 obike 融资 再见美人鱼西瓜影音 三星盖乐世mega多少钱 unresistable翻译 完本杀手系统类小说 finewell投影仪怎么样 kate 造型三色眉粉 we couldnt anything fragment 回收 雷士照明led灯泡5w 火狐新版本firebug function 同义词 gary的歌自己写的吗 柬埔寨旅游价格自由行 睿 日语 ps4 移动热点 nat3 200GANA-1288磁力链 dnf技能宝珠有哪些

    声明:本站内容部分源于网络转载,出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。文章内容仅供参考,请咨询相关专业人士。

    如果无意之中侵犯了您的版权,或有意见、反馈或投诉等情况, 联系我们:点击这里给我发消息

    Copyright © 2016 All Rights Reserved 华府网 手机站