网络安全 - 通用网络设备测评指导书 - 三级 - 1.0版

《网络安全 - 通用网络设备测评指导书 - 三级 - 1.0版》由会员分享，可在线阅读，更多相关《网络安全 - 通用网络设备测评指导书 - 三级 - 1.0版（6页珍藏版）》请在金锄头文库上搜索。

1、天融信信息安全等保中心编号：编号： 测测 评评 指指 导导 书书信息系统安全等级保护基本要求信息系统安全等级保护基本要求基础网络安全基础网络安全-通用网络设备通用网络设备-第三级第三级V1.0天融信信息安全等保中心天融信信息安全等保中心天融信信息安全等保中心1 1、测评对象、测评对象对象名称及IP地址备注（测评地点及环境等）2 2、入场确认、入场确认序号确认内容1测评对象中的关键数据已备份。如果没有备份则不进行测评2测评对象工作正常。如工作异常则不进行测评。开始时间确认签字3 3、离场确认、离场确认序号确认内容1测评工作未对测评对象造成不良影响，测评对象工作正常。结束时间确认签字天融信信息安全

2、等保中心序号序号类别类别测评项测评项测评实施测评实施预期结果预期结果符合情况符合情况a) 应在网络边界部署访问控制设备，启用 访问控制功能；检查：检查： 检查网络拓扑结构和相关交换机配置，查 看是否在交换机上启用了访问控制功能。 输入命令 show access-lists 检查配置文件中是否存在以下类似配置项 ip access-list 1 deny x.x.x.x交换机启用了访问控制功能，根据 需要配置了访问控制列表。b)访问控制设备应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；检查：检查： 输入命令 shou running， 检查访问控制列表的控制粒度

3、是否为端口 级，如 access-list 101 permit udp any 192.168.10.0 0.0.0.255 eq 21根据会话状态信息为数据流提供了 明确的访问控制策略，控制粒度为 端口级。c) 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制；检查：检查： 检查防火墙或 IPS 安全策略是否对重要数 据流启用应用层协议检测、过滤功能。防火墙或 IPS 开启了重要数据流应 用层协议检测、过滤功能，可以对 应用层 HTTP、FTP、TELNET、SMTP、P OP3 等协议进行控制。d) 应在会话处于非活跃一定

4、时间或会话结束后终止网络连接；访谈：访谈： 访谈系统管理员，是否在会话处于非活跃 一定时间或会话结束后终止网络连接； 检查：检查： 输入命令 show running，查看配置中是否 存在命令设定管理会话的超时时间： line vty 0 4 exec-timeout x x1）会话处于非活跃一定时间或会话 结束后，交换机会终止网络连接； 2）交换机配置中存在会话超时相关 配置。1访问控制访问控制e) 应限制网络最大流量数及网络连接数；检查：检查： 1）在网络出口和核心网络处的交换机是否 配置了网络最大流量数及网络连接数； 2）是否有专用的流量控制设备限制网络最 大流量数及网络连接数。1）网络

5、出口和核心网络处的交换机 配置了合理 QOS 策略，优化了网络 最大流量数； 2）通过专用的流量控制设备限制网 络最大流量数及网络连接数。天融信信息安全等保中心序号序号类别类别测评项测评项测评实施测评实施预期结果预期结果符合情况符合情况f) 重要网段应采取技术手段防止地址欺骗；检查：检查： 是否通过 IP/MAC 绑定手段防止地址欺骗，输入命令 show running， 检查配置文件中是否存在 arp 绑定配置： arp x.x.x.x x.x.x.x1）通过配置命令进行 IP/MAC 地址 绑定防止地址欺骗； 2）通过专用软件或设备进行 IP/MAC 地址绑定防止地址欺骗。g) 应按用户和

6、系统之间的允许访问规则， 决定允许或拒绝用户对受控系统进行资源访 问，控制粒度为单个用户；检查：检查： 1）是否针对单个远程拨号用户或 VPN 用 户访问受控资源进行了有效控制； 2）以拨号或 VPN 等方式接入网络的，是 否采用强认证方式。1）对单个远程拨号用户或 VPN 用 户访问受控资源进行了有效控制； 2）通过拨号或 VPN 等方式接入网 络时，采用了强认证方式（证书、 KEY 等） 。h) 应限制具有拨号访问权限的用户数量。检查：检查： 是否限制具有远程访问权限的用户数量。限制了具有远程访问权限的用户数 量。a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；检

7、查：检查： 1）网络系统中的交换机是否开启日志记录 功能； 输入 show logging 命令，检查 Syslog logging 进程是否为 enable 状态； 2）是否对交换机的运行状况、网络流量进 行监控和记录。1）交换机开启了日志记录功能，命 令 show logging 的输出配置中显示： Syslog logging:enabled 2）对交换机的运行状况、网络流量 进行监控和记录（巡检记录或第三 方监控软件） 。b) 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；检查：检查： 查看日志内容，是否包括事件的日期和时 间、设备管理员操作行为

8、、事件类型等信 息。日志内容包括事件的日期和时间、 设备管理员操作行为、事件类型等 信息。c) 应能够根据记录数据进行分析，并生成审计报表；检查：检查： 查看如何实现审计记录数据的分析和报表 生成。定期对审计记录数据进行分析并生 成纸质或电子的审计报表。2安全审计安全审计d) 应对审计记录进行保护，避免受到未预 期的删除、修改或覆盖等。检查：检查： 1）检查对审计记录监控和保护的措施。例 如：通过专用日志服务器或存储设备对审 计记录进行备份，并避免对审计记录未预1）设置了交换机日志服务器地址， 交换机日志发送到安全的日志服务 器或第三方审计设备； 2、由专人对审计记录进行管理，避天融信信息安全

9、等保中心序号序号类别类别测评项测评项测评实施测评实施预期结果预期结果符合情况符合情况 期的修改、删除或覆盖； 2）输入命令 show running 检查配置文件中是否存在类似如下配置项 logging x.x.x.x免审计记录受到未预期的删除、修 改或覆盖。a) 应对登录网络设备的用户进行身份鉴别；访谈、检查：访谈、检查： 1）访谈设备管理员，询问登录设备的身份 标识和鉴别机制采用何种措施实现； 2）登录交换机，查看是否提示输入用户口 令，然后以正确口令登录系统，再以错误 口令或空口令重新登录，观察是否成功。1）交换机使用口令鉴别机制对登录 用户进行身份标识和鉴别； 2）登录时提示输入用户名

10、和口令； 以错误口令或空口令登录时提示登 录失败，验证了登录控制功能的有 效性； 3）交换机中不存在密码为空的用户。b) 应对网络设备的管理员登录地址进行限制；检查：检查： 输入命令 show running， 查看配置文件里是否存在类似如下配置项 限制管理员登录地址： access-list 1 permit x.x.x.x line vty 0 4access-class 1 in配置了合理的访问控制列表限制对 交换机进行登录的管理员地址。c) 网络设备用户的标识应唯一；检查：检查： 1）检查交换机标识是否唯一； 2）检查同一交换机的用户标识是否唯一； 3）检查是否不存在多个人员共用一个账

11、号 的现象。1）交换机标识唯一； 2）同一交换机的用户标识唯一； 3）不存在多个人员共用一个账号的 现象。d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；访谈：访谈： 访谈采用了何种鉴别技术实现双因子鉴别， 并在网络管理员的配合下验证双因子鉴别 的有效性。用户的认证方式选择两种或两种以 上组合的鉴别技术，只用一种技术 无法认证成功。3网络设备网络设备 防护防护e) 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；访谈、检查：访谈、检查： 1）访谈交换机管理员,询问用户口令是否 满足复杂性要求； 2）检查配置文件中口令是否加密存储。1）交换机用户口

12、令长度不小于 8 位， 由字母、数字和特殊字符构成，并 定期更换； 2）在配置文件中，口令为加密存储。天融信信息安全等保中心序号序号类别类别测评项测评项测评实施测评实施预期结果预期结果符合情况符合情况f) 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；访谈：访谈： 访谈设备管理员，交换机是否设置了登录 失败处理功能。 检查：检查： 在允许的情况下，根据使用的登录失败处 理方式，采用如下测试方法进行测试： a)以错误的口令登录交换机，观察反应； b)当网络登录连接超时时，观察连接终端 反应。1）以错误的口令登录交换机，尝试 次数超过阀值，交换机自动断

13、开连 接或锁定一段时间； 2）正常登录交换机后不做任何操作， 超过设定的超时时间后，登录连接 自动退出。g) 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；访谈：访谈： 询问设备管理员，是否采用了安全的远程 管理方法。 检查：检查： 输入命令 show running 查看配置文件中是否存在类似如下配置项: line vty 0 4 transport input ssh1）使用 SSH 协议对交换机进行远 程管理； 2）没有采用明文的传输协议对交换 机进行远程管理； 3）采用第三方管理工具保证远程管 理的鉴别信息保密。h) 应实现设备特权用户的权限分离。访谈、

14、检查：访谈、检查： 1）访谈设备管理员，是否实现了特权用户 的权限分离； 2）输入命令 show running， 检查配置文件中是否存在类似如下配置项：username cisco1 privilege 0 password 0 cisco username cisco1 privilege 15 password 0 cisco 3）检查是否部署了日志服务器对管理员的 操作进行审计记录； 4）审计记录是否有专人管理，非授权用户 是否无法进行操作。1）实现了交换机特权用户的权限分 离，不同类型的账号拥有不同权限；2）部署了专用日志服务器对管理员 的操作进行审计并记录； 3）审计记录有专人管理，非授权用 户无法进行操作。