网络安全 - 通用网络设备测评指导书 - 三级 - 1.0版

天融信信息安全等保中心 编号: 测 评 指 导 书 《信息系统安全等级保护基本要求》 基础网络安全-通用网络设备-第三级 V1.0 天融信信息安全等保中心

天融信信息安全等保中心 1、测评对象 对象名称及IP地址 备注(测评地点及环境等) 2、入场确认 序号 1 2 开始时 间 确认内容 测评对象中的关键数据已备份。

如果没有备份则不进行测评 测评对象工作正常。

如工作异常则不进行测评。

确认签字 3、离场确认 序号 1 结束时 间 确认内容 测评工作未对测评对象造成不良影响,测评对象工作正常。

确认签字

天融信信息安全等保中心 序号 类别 测评项 测评实施 检查: 检查网络拓扑结构和相关交换机配置, 查看 是否在交换机上启用了访问控制功能。

输入命令 show access-lists 检查配置文件中是否存在以下类似配置项 ip access-list 1 deny x.x.x.x 检查: 输入命令 shou running, 检查访问控制列表的控制粒度是否为端口 级 , 如 access-list 101 permit udp any 192.168.10.0 0.0.0.255 eq 21 检查: 检查防火墙或 IPS 安全策略是否对重要数 据流启用应用层协议检测、过滤功能。

访谈: 访谈系统管理员, 是否在会话处于非活跃一 定时间或会话结束后终止网络连接; 检查: 输入命令 show running,查看配置中是否存 在命令设定管理会话的超时时间: line vty 0 4 exec-timeout x x 检查: 1)在网络出口和核心网络处的交换机是否 配置了网络最大流量数及网络连接数; 2)是否有专用的流量控制设备限制网络最 大流量数及网络连接数。

预期结果 符合情况 a) 应在网络边界部署访问控制设备,启用访 问控制功能; 交换机启用了访问控制功能, 根据需 要配置了访问控制列表。

b)访问控制设备应能根据会话状态信息为数 据流明确的允许/拒绝访问的能力,控制 粒度为端口级; c) 应对进出网络的信息内容进行过滤,实现 对应用层 HTTP、FTP、TELNET、SMTP、 1 访问控制 POP3 等协议命令级的控制; 根据会话状态信息为数据流了 明确的访问控制策略, 控制粒度为端 口级。

防火墙或 IPS 开启了重要数据流应 用层协议检测、过滤功能,可以对应 用层 HTTP、 FTP、 TELNET、 SMTP、 POP3 等协议进行控制。

d) 应在会话处于非活跃一定时间或会话结 束后终止网络连接; 1)会话处于非活跃一定时间或会话 结束后,交换机会终止网络连接; 2)交换机配置中存在会话超时相关 配置。

e) 应限制网络最大流量数及网络连接数; 1)网络出口和核心网络处的交换机 配置了合理 QOS 策略,优化了网络 最大流量数; 2)通过专用的流量控制设备限制网 络最大流量数及网络连接数。

天融信信息安全等保中心 序号 类别 测评项 测评实施 检查: 是否通过 IP/MAC 绑定手段防止地址欺骗, 输入命令 show running, 检查配置文件中是否存在 arp 绑定配置: arp x.x.x.x x.x.x.x 检查: 1) 是否针对单个远程拨号用户或 用户 访问受控资源进行了有效控制; 2)以拨号或 等方式接入网络的,是否 采用强认证方式。

检查: 是否限制具有远程访问权限的用户数量。

检查: 1)网络系统中的交换机是否开启日志记录 功能; 输入 show logging 命令, 检查 Syslog logging 进程是否为 enable 状态; 2)是否对交换机的运行状况、网络流量进 行监控和记录。

预期结果 1)通过配置命令进行 IP/MAC 地址 绑定防止地址欺骗; 2) 通过专用软件或设备进行 IP/MAC 地址绑定防止地址欺骗。

1) 对单个远程拨号用户或 用户 访问受控资源进行了有效控制; 2) 通过拨号或 等方式接入网络 时,采用了强认证方式(证书、KEY 等) 。

限制了具有远程访问权限的用户数 量。

1)交换机开启了日志记录功能,命 令 show logging 的输出配置中显示: Syslog logging:enabled 2)对交换机的运行状况、网络流量 进行监控和记录 (巡检记录或第三方 监控软件) 。

符合情况 f) 重要网段应采取技术手段防止地址欺骗; g) 应按用户和系统之间的允许访问规则,决 定允许或拒绝用户对受控系统进行资源访 问,控制粒度为单个用户; h) 应限制具有拨号访问权限的用户数量。

a) 应对网络系统中的网络设备运行状况、网 络流量、用户行为等进行日志记录; b) 审计记录应包括:的日期和时间、用 2 安全审计 户、类型、是否成功及其他与审计 相关的信息; c) 应能够根据记录数据进行分析,并生成审 计报表; 检查: 日志内容包括的日期和时间、 设 查看日志内容,是否包括的日期和时 备管理员操作行为、类型等信 间、 设备管理员操作行为、 类型等信息。

息。

检查: 查看如何实现审计记录数据的分析和报表 生成。

检查: 1)检查对审计记录监控和保护的措施。

例 如: 通过专用日志服务器或存储设备对审计 记录进行备份, 并避免对审计记录未预期的 修改、删除或覆盖; 定期对审计记录数据进行分析并生 成纸质或电子的审计报表。

1)设置了交换机日志服务器地址, 交换机日志发送到安全的日志服务 器或第三方审计设备; 2、由专人对审计记录进行管理,避 免审计记录受到未预期的删除、 修改 d) 应对审计记录进行保护,避免受到未预期 的删除、修改或覆盖等。

天融信信息安全等保中心 序号 类别 测评项 测评实施 2)输入命令 show running 检查配置文件中是否存在类似如下配置项 logging x.x.x.x 或覆盖。

预期结果 符合情况 访谈、检查: 1)访谈设备管理员,询问登录设备的身份 标识和鉴别机制采用何种措施实现; a) 应对登录网络设备的用户进行身份鉴别; 2)登录交换机,查看是否提示输入用户口 令,然后以正确口令登录系统,再以错误口 令或空口令重新登录,观察是否成功。

检查: 输入命令 show running, b) 应对网络设备的管理员登录地址进行限 查看配置文件里是否存在类似如下配置项 限制管理员登录地址: 制; access-list 1 permit x.x.x.x line vty 0 4 access-class 1 in 检查: 1)检查交换机标识是否唯一; 2)检查同一交换机的用户标识是否唯一; c) 网络设备用户的标识应唯一; 3)检查是否不存在多个人员共用一个账号 的现象。

访谈: d) 主要网络设备应对同一用户选择两种或 访谈采用了何种鉴别技术实现双因子鉴别, 两种以上组合的鉴别技术来进行身份鉴别; 并在网络管理员的配合下验证双因子鉴别 的有效性。

访谈、检查: e) 身份鉴别信息应具有不易被冒用的特点, 1)访谈交换机管理员,询问用户口令是否满 足复杂性要求; 口令应有复杂度要求并定期更换; 2)检查配置文件中口令是否加密存储。

访谈: f) 应具有登录失败处理功能,可采取结束 访谈设备管理员, 交换机是否设置了登录失 1)交换机使用口令鉴别机制对登录 用户进行身份标识和鉴别; 2)登录时提示输入用户名和口令; 以错误口令或空口令登录时提示登 录失败, 验证了登录控制功能的有效 性; 3) 交换机中不存在密码为空的用户。

配置了合理的访问控制列表限制对 交换机进行登录的管理员地址。

3 网络设备 防护 1)交换机标识唯一; 2)同一交换机的用户标识唯一; 3)不存在多个人员共用一个账号的 现象。

用户的认证方式选择两种或两种以 上组合的鉴别技术, 只用一种技术无 法认证成功。

1) 交换机用户口令长度不小于 8 位, 由字母、数字和特殊字符构成,并定 期更换; 2)在配置文件中,口令为加密存储。

1)以错误的口令登录交换机,尝试 次数超过阀值, 交换机自动断开连接

天融信信息安全等保中心 序号 类别 测评项 会话、限制非法登录次数和当网络登录连接 超时自动退出等措施; 测评实施 败处理功能。

检查: 在允许的情况下, 根据使用的登录失败处理 方式,采用如下测试方法进行测试: a)以错误的口令登录交换机,观察反应; b)当网络登录连接超时时,观察连接终端反 应。

访谈: 询问设备管理员, 是否采用了安全的远程管 理方法。

检查: 输入命令 show running 查看配置文件中是否存在类似如下配置项: line vty 0 4 transport input ssh 访谈、检查: 1)访谈设备管理员,是否实现了特权用户 的权限分离; 2)输入命令 show running, 检查配置文件中是否存在类似如下配置项: username cisco1 privilege 0 password 0 cisco username cisco1 privilege 15 password 0 cisco 3)检查是否部署了日志服务器对管理员的 操作进行审计记录; 4)审计记录是否有专人管理,非授权用户 是否无法进行操作。

预期结果 或锁定一段时间; 2) 正常登录交换机后不做任何操作, 超过设定的超时时间后, 登录连接自 动退出。

符合情况 g) 当对网络设备进行远程管理时,应采取必 要措施防止鉴别信息在网络传输过程中被窃 听; 1)使用 SSH 协议对交换机进行远程 管理; 2)没有采用明文的传输协议对交换 机进行远程管理; 3)采用第三方管理工具保证远程管 理的鉴别信息保密。

h) 应实现设备特权用户的权限分离。

1)实现了交换机特权用户的权限分 离,不同类型的账号拥有不同权限; 2)部署了专用日志服务器对管理员 的操作进行审计并记录; 3)审计记录有专人管理,非授权用 户无法进行操作。

  • 《网络安全技术》实验指导书(一)

    《网络安全技术》实验指导书(一)

    《网络安全技术》实验指导书(一)...

    贡献者:网络收集
    748112
  • 9网络全局测评指导书-三级S3A3G3-1.0版

    9网络全局测评指导书-三级S3A3G3-1.0版

    9网络全局测评指导书-三级S3A3G3-1.0版...

    贡献者:网络收集
    995958
  • 物理安全测评指导书-三级S3A3G3-1.0版

    物理安全测评指导书-三级S3A3G3-1.0版

    物理安全测评指导书-三级S3A3G3-1.0版...

    贡献者:网络收集
    186700
  • 网络设备与网络安全

    网络设备与网络安全

    网络设备与网络安全...

    贡献者:网络收集
    808270
  • 密码学与网络安全实验指导书1

    密码学与网络安全实验指导书1

    密码学与网络安全实验指导书1...

    贡献者:网络收集
    227645
  • NetScreen5.0防火墙等级保护测评指导书-三级S3A3G3- 1.0版

    NetScreen5.0防火墙等级保护测评指导书-三级S3A3G3- 1.0版

    NetScreen5.0防火墙等级保护测评指导书-三级S3A3G3- 1.0版...

    贡献者:网络收集
    12549
  • 网络设备及网络安全系统技术需求书

    网络设备及网络安全系统技术需求书

    网络设备及网络安全系统技术需求书...

    贡献者:网络收集
    860779
  • 一、网络安全测评概述及检查范围

    一、网络安全测评概述及检查范围

    一、网络安全测评概述及检查范围...

    贡献者:网络收集
    280668
  • 三级网络技术第1-8章网络安全技术考试重点内容

    三级网络技术第1-8章网络安全技术考试重点内容

    三级网络技术第1-8章网络安全技术考试重点内容...

    贡献者:网络收集
    779059
  • 1-2_网络安全测评__主机安全测评

    1-2_网络安全测评__主机安全测评

    1-2_网络安全测评__主机安全测评...

    贡献者:网络收集
    678800
  • 网友在搜
    卸载2503错误 韩国的用英语怎么读 take fancy to 新一的情敌有哪些 ipz 921中文 alw13cr2738 ps能不能把衣服换掉 穿越之白浅的哥哥 zeaa13迅雷 things3 破解 头孢唑肟钠皮试配置法 规格漫画英语 らしいの linux dns 添加mx pad便签本可数吗 linux显示文件行号 惊天大翻盘赵奕欢 68013的eeprom 碳酸钠是酸试盐吗 电动玩具批发厂家 生化危机电影台词英文 xw42模具钢 凡卡阅读理解答案 美脚ol糖糖 js 扇形进度条 dex2oat鍙傛暟 python 父类init hive group by count 百度推出飓风算法 dj混音教学 go排行 stackflow 无翼鸟补课老师之校长 cdhrsip.cdht.gov.cn mercedes benz logo 蓝铃 本子 福克斯的油耗 bg 肉文 虐心 bg 肉文 虐心 mk x10弓把 高通骁龙200怎么样 neuro 篮球赛背景图片素材 虐孕定机器人男生子 腾讯官网软件下载 apk单机游戏 华语乐坛改编日语 英雄志卢云和琼芳 黑发少女红眼动漫图片 剑三天青石哪里挖 银行开业礼品方案 2017流行的短发发型图 BBC christmas carol wfs4文件 php 安装zip get and set grep 递归 小别离张小宇拍摄花絮 悉尼大学邮箱登录

    声明:本站内容部分源于网络转载,出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。文章内容仅供参考,请咨询相关专业人士。

    如果无意之中侵犯了您的版权,或有意见、反馈或投诉等情况, 联系我们:点击这里给我发消息

    Copyright © 2016 All Rights Reserved 华府网 手机站