《信息安全等级保护三级测评指导书》由会员分享,可在线阅读,更多相关《信息安全等级保护三级测评指导书(90页珍藏版)》请在金锄头文库上搜索。
1、物物理理安安全全安安全全子子类类测测评评项项检检测测方方法法备备注注机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内一般情况下,该条自动符合物理位置的选择(G3)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁1.访谈物理安全负责人,了解机房和办公场地所在建筑及周边环境情况。现场观察机房和办公场地所处位置及周边环境,判断机房物理位置的选择是否符合要求。询问机房管理员,机房处于建筑的几层实地查看机房环境,周围有无用水设备,若有,是否采取了隔离措施机房出入口应安排专人值守,控制、鉴别和记录进入的人员若机房安装有电子门禁系统,该条自动符合需进入机房的来访人员应经过申请和审批流
2、程,并限制和监控其活动范围询问机房管理员是否有该流程查看是否有相关文档,包括进入机房的申请单、审批记录(签字或盖章等)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域物理访问控制(G3)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员1.访谈物理安全负责人,了解针对机房采取的出入口控制措施情况,包括机房出入口安排专人值守,机房分区域管理且重要区域设置电子门禁系统,对进入机房和重要区域的来访人员的活动范围控制等。现场查看机房和重要区域,检查物理访问控制情况是否与物理安全负责人所述一致。检查机房出入登记记录、电子门禁记录和来访人员进入机房的审批记
3、录等。中心机房应配备电子门禁系统,备用机房等其他机房则只需要有专人值守即可应将主要设备放置在机房内 一般情况下,该条自动符合 防盗窃和防破坏(G3)应将设备或主要部件进行固定,并设置明显的不易除去的标记1.访谈物理安全负责人, 了解采取了哪些防止设备、介质及通信线缆遭到破坏或被窃的保护措施。现场查看设备或主要部件固定和标记情况、介质存放情况、通信电缆布设情况、防盗报警和监控系统安安全全子子类类测测评评项项检检测测方方法法备备注注应将通信线缆铺设在隐蔽处,可铺设在地下或管道中应对介质分类标识,存储在介质库或档案室中应利用光、电等技术设置机房防盗报警系统应对机房设置监控报警系统运行维护情况是否符合
4、要求,查看相关记录是否符合要求。机房建筑应设置避雷装置应设置防雷保安器,防止感应雷防雷击(G3) 机房应设置交流电源地线1.访谈物理安全负责人, 了解防雷击措施的实施情况。检查建筑物防雷技术检测报告,查看是否符合要求。检查机房是否对电源线、信号线、电子设备安装了 避雷装置,是否设有交流电源地线。一般情况下,该条符合机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料防火(G3)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开1.访谈物理安全负责人, 了解机房火灾自动消防系统的安装和使用情况,机房使用的建筑材料的耐火等级
5、情况,机房内部的区域隔离防火措施等。现场查看灭火设备是否安装在清晰可见的位置,是否具有自动检测火情、自动报警并自动灭火功能。现场检查机房内区域隔离情况,查看是否将重要设备与其他设备隔离开。检查防火系统的检查和维护记录。水管安装,不得穿过机房屋顶和活动地板下应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透应采取措施防止机房内水蒸气结露和地下积水的转移与渗透防水和防潮(G3)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警1.访谈物理安全负责人, 了解机房内、屋顶及地板下的水管铺设情况,采取了哪些防水和防潮措施等。查看室内环境是否有漏水、积水或返潮等现象。查看是否有防止雨水渗透的措施。如果信
6、息系统位于湿度较高地区,还应检查是否有除湿装置并正常运行等。检查是否装有防水检测装置,工作是否正常。安安全全子子类类测测评评项项检检测测方方法法备备注注主要设备应采用必要的接地防静电措施一般情况下,该条符合防静电(G3)机房应采用防静电地板1.访谈物理安全负责人, 了解采取的防静电措施。现场查看机房地 板、工作台及主要设备等是否采用了不易产生静电的材料或防静电 接地措施。如果信息系统位于气候干燥、易产生静电地区,还应检 查是否有静电消除剂或静电消除器等措施。温湿度控制(G3)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内1.检查机房是否有温、湿度计和温、湿度自动
7、调节设备,并检查这些设备是否能够正常工作。查看机房温湿度变化的记录和温湿度调节设备的维护记录。现场查看机房温湿度环境是否符合要求。应在机房供电线路上配置稳压器和过电压防护设备应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求应设置冗余或并行的电力电缆线路为计算机系统供电电力供应(A3)应建立备用供电系统1.访谈物理安全负责人, 了解信息系统供电线路的过电压防护和UPS、双路供电、备用发电机等不间断供电措施的实施和运行情况。检查供电线路,查看计算机系统供电是否与其他供电分开,并且为计算机系统供电的线路是冗余或并行线路。检查机房供电线路上是否安装了稳压器、过电压防护装置,是否配备
8、短期备用电源设备,这些设备是否正常工作。检查上述设备的维护和维修记录,备用供电系统的运行记录等。应采用接地方式防止外界电磁干扰和设备寄生耦合干扰一般情况下,该条符合电源线和通信线缆应隔离铺设,避免互相干扰电磁防护(S3)应对关键设备和磁介质实施电磁屏蔽1.访谈物理安全负责人, 了解电磁防护措施的实施情况,包括设备外壳接地、线路铺设中将电源线和通信线路隔离、重要设备和磁介质实施电磁屏蔽等方面。检查设备外壳是否接地,机房布线是否做到电源线与通信线缆隔离,关键设备和磁介质是否位于电磁屏蔽环境内等。网网络络安安全全网网络络全全局局】安安全全子子类类测测评评项项检检测测方方法法备备注注应保证主要网络设备
9、的业务处理能力具备冗余空间,满足业务高峰期需要1.访谈网络管理员,询问信息系统中边界设备和主要网络设备的处理性能能否满足目前业务高峰流量的需求,询问采用何种手段对主要网络设备运行状态进行监控。应保证网络各个部分的带宽满足业务高峰期需要1.访谈系统管理员,询问网络各个部分的带宽是否满足业务高峰期需要。例如,询问业务应用的高峰流量是多少?各个网络接入链路带宽是多少?是否有过网络带宽瓶颈事件发生?结构安全(G3)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径1.检查边界设备和主要网络设备的配置信息,查看是否进行了路由控制建立安全的访问路径。2.检查路由器的配置信息中是否存在路由协议认证。
10、在思科路由器中:1)在特权模式下输入命令show running-config 会输出该路由器相关配置信息。2)检查配置信息中应当存在类似如下配置信息:interface Serial0ip address 192.16.64.1 255.255.255.0ip ospf message-digest-key 1 md5 XXXXXX(认证码)router ospf 10network 172.16.0.0 0.0.255.255 area 0network 192.16.64.0 0.0.255.255 area 0area 0 authentication message-digest在华
11、为路由器中:安安全全子子类类测测评评项项检检测测方方法法备备注注1)在特权模式下输入命令display current-configuration 会输出该路由器相关配置信息。2)检查配置信息中应当存在类似如下配置信息:ospf 100import-route directimport-route staticarea 0.0.0.0interface Vlan-interface 100ospf authentication-mode md5应绘制与当前运行情况相符的网络拓扑结构图1.询问网络管理员和检查网络拓扑图,查看其与当前运行情况是否一致。应根据各部门的工作职能、重要性和所涉及信息的重
12、要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段1.访谈网络管理员,是否依据部门的工作职能、重要性和应用系统的级别划分了不同的VLAN,并检查交换机的配置。在思科交换机中:1)在特权模式下输入命令show vlan 会输出该交换机相关配置信息。2)检查配置信息中应当存在类似如下配置信息:display vlan static:Now,the following static VLAN exist(s):1(default),100,200,1203-1204,2101-2102,2105-2107,21092111-2112,2116-2119,2148i
13、nt e0/2vlan-membership static 2安安全全子子类类测测评评项项检检测测方方法法备备注注在华为路由器中:1)在特权模式下输入命令display vlan all 会输出该交换机相关配置信息。2)检查配置信息中应当存在类似如下配置信息:display vlan static:Now,the following static VLAN exist(s):1(default),100,200,1203-1204,2101-2102,2105-2107,21092111-2112,2116-2119,2148display vlan allVLAN ID:100VLAN Ty
14、pe:staticDescription:VLAN 0100Name:VLAN 0100Tagged Ports:noneUntagged Ports:GigabitEthernet1/1/1VLAN ID:200VLAN Type:staticDescription:VLAN 0200Name:VLAN 0200Tagged Ports:noneUntagged Ports:GigabitEthernet1/1/2安安全全子子类类测测评评项项检检测测方方法法备备注注应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段1.访谈网络管理员和检查网络
15、拓扑结构,查看是否 将重要网段部署在网络边界处,重要网段与其他网段之间是否采取可靠的技术隔离手段 、配置安全策略进行访问控制。如安全区域边界处是否部署防火墙、网闸,或者边界网络设备是否配置并启用 ACL。应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机1.访谈网络管理员,依据实际应用系统状况是否进行了带宽优先级分配,并检查防火墙和路由器配置。2.如果在网络边界处部署防火墙,检查防火墙是否存在策略带宽配置。3.如果在网络边界处未部署防火墙,检查边界网络设备是否存在相关配置信息。应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效
16、阻断1.访谈网络管理员,询问采取何种技术手段或管理措施 对非授权设备私自联到内部网络的行为进行检查、定位和阻断。如果采取技术手段则询问采取了何种技术手段,并在网络管理员的配合下验证其有效性。同时要询问相关的管理措施。边界完整性检查(S3)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断1.访谈网络管理员,询问采 用了何种技术手段或管理措施 对“非法外联”行为进行检查。如果采用技术手段,则询问采用了何种技术手段,并在网络管理员的配合下验证其有效性。应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等1.访谈网络管理员和查看网络拓扑结构,查看在网络边界处是否部署了包含入侵防范功能的安全设备。如果部署了相应安全设备,则检查该设备产生的系统数据是否能够对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、 IP 碎片攻击和网络蠕虫攻击等攻击行为进行检测。入侵防范(G3) 当检测到攻击行为时,记录攻击源IP、攻击类
