《网络安全等保三级培训材料》由会员分享,可在线阅读,更多相关《网络安全等保三级培训材料(16页珍藏版)》请在金锄头文库上搜索。
1、网络安全培训材料1、测试环境路由器、交换机、防火墙2、测试说明网络安全测评共有7步,分别是结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护,如下是步骤详解。3、测试步骤3.1 三级等保要求3.1.1 结构安全a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。检查方法和判断标准:询问网络管理员,主要网络设备的性能及业务高峰期流量,性能指的是网络设备中的CPU、内存等资源的占用是否合理,是否具备冗余空间,一般来说CPU、内存占用率不超过30%,未发生业务高峰流量瓶颈事件,则符合。主要网络设备是指:核心交换机、汇聚层交换机、核心到互联网出口的设
2、备核心网络设备:核心交换机、互联网边界网络设备(看业务需求)b) 应保证网络各个部分的带宽满足业务高峰期需要。检查方法和判断标准:确认内部的网络带宽,一般是千兆以上,大网络可能是万兆,主要网络设备间可能是光纤万兆接口。外部出口带宽:无论出口带宽多少,建议保持在80%一下,或看实际业务需求对出口带宽做单独要求(如学校开学期间数据流陡增,日常出口流量建议在50%左右)。c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径。检查方法和判断标准:主要查看网络设备中的路由控制是否建立了安全的访问路径,也就是说在网络设备中应配置路由认证功能,则算符合;如果网络设备中未配置此功能,则不符合。或直
3、接采用静态路由指向。d) 应绘制与当前运行情况相符的网络拓扑结构图。检测方法和判断标准:询问网络管理员,检查网络拓扑图,查看其与当前运行的网络情况是否一致。应绘制与当前运行情况相符合的网络拓扑结构图,当网络拓扑结构发生改变时,应及时更新,则算符合;其他一律不符合。e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。检查方法和判断标准:应在主要网络设备上进行VLAN划分或者子网划分,不同VLAN内的报文在传输时是相互隔离的。如果不同VLAN要进行通信,则需要通过路由器或者三层交换机等三层设备实现。网络设备上划
4、分VLAN,并且为各子网分配了地址段,则算符合,如下图:f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段。检查方法和判断标准:检查网络拓扑图,查看是否将重要网段部署在网络边界处,重要网段和其他网段之间是否配置安全策略进行访问控制。如网络内部有对外的应用,是否单独划分DMZ区?DMZ区和网络设备交互之间是否有安全设备进行防护;是否在服务器区/数据存储区/数据库区到网络设备直接有安全隔离设备进行访问控制和安全防护,建议做白名单的控制形式。g) 应按照对业务服务的重要次序来指定带宽分配优先级,保证在网络发生拥堵的时候优先保护重要主机。检测方法
5、和判断标准:1、 出口部署有流控设备,做了流量控制的配置,如整体出口带宽有100M,单独划分10M给官方网站,防止因其他业务导致出口带宽占满官方网站无法对外提供服务。2、 上网行为管理设备可以对内部的业务数据进行优先级排序,保证重要业务数据处理的优先级。如果上诉两种都没有,不符合,如有一种,部分符合,存在两种算符合(看具体应用,如无重要业务系统,存在一种也算符合)。3.1.2访问控制a) 应在网络边界部署访问控制设备,启用访问控制功能。检测方法和判断标准:访问控制设备:汇聚、核心交换机、防火墙、堡垒机、VPN等在看各类设备上是否有访问控制功能,如做acl或黑、白名单的配置,如有,符合,如网络设
6、备仅配置网络互通或未启用acl,安全设备对任意流量直接放行,不符合下图是交换机访问控制策略配置:表示192.168.30.0网段与192.168.20.0网段之间不能互相访问。b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级。检测方法和判断标准:内部配置的访问控制列表应有明确的源/目的地址、源/目的、协议及服务等。如网络设备/安全设备控制列表有明确的拒绝/允许功能,算部分符合,如控制粒度达到端口级,则算符合。下图表示交换机中配置基于端口级的访问控制策略。192.168.30.0网段内的主机均能访问192.168.10.100主机的80端口,其余网段均拒绝访问。
7、c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP,FTP,TELNET,SMTP,POP3等协议命令级的控制。检测方法和判断标准:1、 对访问控制策略加上基于协议的过滤,在网络设备或安全设备上做;2、 在安全设备上对基于协议的请求做不同类型的需求过滤,如http的post和get请求的区分对待,如在入侵检测设备进行配置。如满足1,算部分符合,如,满足1、2或2,算符合。d) 应在会话处于非活跃一定时间或会话结束后终止网络连接。检查方法和判断标准:一般来说此项基本在防火墙上完成,路由器和交换机不适用,通过查看是否有设置其相关的功能模块,如有,则开启并设置会话超时时间,则算符合。e) 应
8、限制网络最大流量数及网络连接数。检查方法和判断标准:此标准一般在防火墙或安全设备上查看,查看防火墙是否有确认的配置,如有,符合,如没有对其的控制,不符合。f) 重要网段应采取技术手段防止地址欺骗。检测方法和判断标准:检查路由器和交换机中是否对服务器区配置了IP+MAC绑定技术,如对服务器区配置了该技术,则符合,如仅针对用户区或未做该操作,算不符合。Arp 10.10.10.1 0000.e268.9980 arpa如有该类似配置,则算符合防火墙上如有以下类似配置,则算符合。g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。检测方法和判断标准:
9、通过远程采用VPN技术或通过其他方式连入单位内网的用户,查看防火墙设备是否提供用户认证功能,如提供,检查是否通过配置用户、用户组,认证成功的用户应该使用其访问控制策略限制其资源的访问权限,则算符合,如VPN未对使用的用户做权限区分,不符合。h) 应限制具有拨号访问权限的用户数量。检查标准和判断方法:应确认开通VPN账号的流程,看是否对用户的申请使用具有限制功能。3.1.3 安全审计a) 应对网络系统中的网络设备允许状况、网络流量、用户行为等进行日志记录。检查方法和判断标准:如设备可查到最新的日志记录,算符合,如未查询到最新日志,看是未开启还是无操作记录,判断符合还是不符合。如安全设备有很多种日
10、志记录功能,如现场检查安全设备仅开启基础或很少的日志记录,测评师可判断日志是否记录不完善而判断为部分符合或符合,建议部分符合。防火墙上记录如下类似的日志记录信息,则算符合。b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。检查方法和判断标准:如第一条符合,第二条会默认符合。条件允许可记录日志的内容。c) 应能够根据记录数据进行分析,并生成审计报表。检测方法和判断标准:如网络设备仅采用默认日志记录功能,不符合,如安全设备的日志也无统计分析界面,也算不符合。如网络/安全设备的日志均可提供统计分析功能,符合系统资源的监控:接口状态的监控:应用流量的监控:d)
11、 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。检测方法和判断标准:检查网络中是否部署日志服务器/审计设备,如未部署,则不符合。如部署日志服务器/审计设备,日志服务器/审计设备中的日记记录定期进行备份,并且对日志信息的访问进行权限设置,并确认日志是否正常导出。则符合。3.1.4 边界完整性检查a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断。检测方法和判断标准:1、 服务器区对IP+mac进行绑定,防止地址欺骗(针对服务器区);2、 对内部网络的所有终端接入,均需要进行认证才能连接到内部网络,如上网行为准入认证(针对用户区)。1、2都满足,算
12、符合,1或2满足一个算部分符合,如两个均未完成,则不符合;b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。检测方法和判断标准:检查网络终端是否部署非法外联监控功能的软件,通过非法外联监控软件实现对用户私自联接到外部网络进行检测。如部署该软件可实现功能,则算符合。3.1.5入侵防范a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。检测方法和判断标准:主要查看网络中是否部署入侵检测、和针对web应用防护设备,如部署,并开启相关入侵检测和web防护功能,则算符合。如仅有基于端
13、口的访问控制的防火墙或无安全设备,不符合。b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供警报。检查方法和判断标准:1、 安全设备(IPS/WAF)对检测到攻击行为,看是否可记录攻击的信息。2、 安全设备(IPS/WAF)对攻击行为可提供如界面显示报警、邮件/短信的报警。设备满足1、2符合,如2不满足部分符合,如1、2未实现不符合。3.1.6恶意代码防范a) 应在网络边界处对恶意代码进行检测和清除。检查方法和判断标准:网络边界(互联网边界/专线出口)处中部署防恶意代码产品(安全网关设备/具有功能模块的下一代防火墙)或边安全设备是否有该功能模块,
14、并启用了恶意代码检测及阻断功能,并且在日志记录中有相关阻断信息,即为符合。看实际情况判断未部分符合或部分符合。b) 应维护恶意代码库升级和检测系统的更新。检查方法和判断标准:安全设备的的防护特征库版本应该为最新版本,防护特征库具有自动远程更新、手动远程更新或手动本地更新等方式(满足中期一个即可),即为符合。3.1.7网络设备防护a) 应对登录网络设备的用户进行身份鉴别。检查方法和判断标准:登录路由器、交换机与防火墙时,提示输入用户名与口令,则算符合。b) 应对网络设备的管理员登录地址进行限制。检查方法和判断标准:对网络设备或安全设备配置仅运行管理网段或管理IP远程,算符合,如未做配置,不符合。
15、检查路由器与交换机中是否配置以下类似命令,如有,则算符合。access-list 3 permit 10.10.10.1 logaccess-list 3 deny denyline vty 0 4access-class 3 in 防火墙一般有限制管理员登录地址功能,所以查看防火墙的时候,如防火墙设置并开启该功能,则算符合。c) 网络设备用户的标识应唯一。检查方法和判断标准:查看设备中用户是否存在相同管理员账户,并且新建2个相同的账户进行测试,如没有相同账户,并且新建失败,则算符合,一般默认符合。d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别。检查方法和判断标准:身份认证:1、已知道的信息,如账号密码2、 拥有的东西,如证书等3、 属性特性:如指纹、人脸等采用双因子进行身份鉴别,默认不符合,如有通过堡垒机,然后再对其网络设备进行管理,且不能绕过堡垒机登陆,则算符合。e) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换。检查方法和判断标准:1、 网络设备/安全设备具有复杂度检查功能,三/二级要求8位以上,复杂度4选
