单击此处编辑母版标题样式单击此处编辑母版副标题样式信息系统安全等级保护网络安全测评武汉安域信息安全技术有限公司余少波 博士地址:湖北武汉东湖开发区武大园路6号:13281151232电邮: 前言1检查范围2检查内容3现场测评步骤4内容 1、前言标准概述2007年43号文信息安全等级保护管理办法按照以下相关标准开展等级保护工作: 计算机信息系统安全保护等级划分准则(GB17859-1999) 信息系统安全等级保护定级指南(GB/T22240-2008) 信息系统安全等级保护基本要求(GB/T22239-2008) 信息系统安全等级保护测评要求(报批稿) 信息系统安全等级保护实施指南(报批稿) 测评过程中重点依据信息系统安全等级保护基本要求、信息系统安全等级保护测评要求来进行 1、前言标准概述 基本要求中网络安全的控制点与要求项各级分布:级别控制点要求项139261837334732等级保护基本要求三级网络安全方面涵盖哪些内容?共包含7个控制点33个要求项,涉及到网络安全中的结构安全、安全审计、边界完整性检查、入侵防范、恶意代码防范、访问控制、设备防护等方面 1、前言网络安全是指对信息系统所涉及的通信网络、网络边界、网络区域和网络设备等进行安全保护。
具体关注内容包括通信过程数据完整性、通信过程数据保密性、保证通信可靠性的设备和线路冗余、区域网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范、网络设备自身保护和网络的网络管理等方面 1、前言序号安全关注点一级二级三级四级1网络结构安全34+772网络访问控制34+843网络安全审计02464边界完整性检查01225网络入侵防范0122+6恶意代码防范00227网络设备防护3689合计9183332 前言1检查范围2检查内容3现场测评步骤4内容 2、检查范围理解标准:理解标准中涉及网络部分的每项基本要求明确目的:检查的最终目的是判断该信息系统的网络安全综合防护能力,如抗攻击能力、防病毒能力等等,不是单一的设备检查分阶段进行:共划分为4个阶段,测评准备、方案编制、现场测评、分析及报告编制确定检查范围,细化检查项 通过前期调研获取被测系统的网络结构拓扑、外连线路、网络设备、安全设备等信息 根据调研结果,进行初步分析判断 明确边界设备、核心设备及其他重要设备,确定检查范围注意事项 考虑设备的重要程度可以采用抽取的方式 不能出现遗漏,避免出现脆弱点 最终需要在测评方案中与用户明确检查范围网络设备、安全设备列表。
2、检查范围 前言1检查范围2检查内容3现场测评步骤4内容 3、检查内容检查内容以等级保护基本要求三级为例,按照基本要求7个控制点33个要求项进行检查 一、结构安全(7项) 二、访问控制(8项) 三、安全审计(4项) 四、边界完整性检查(2项) 五、入侵防范(2项) 六、恶意代码防范(2项) 七、网络设备防护(8项) 3、检查内容-结构安全一、结构安全(项) 结构安全是网络安全测评检查的重点,网络结构是否合理直接关系到信息系统的整体安全条款解读a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;条款理解 为了保证信息系统的高可用性,主要网络设备的业务处理能力应具备冗余空间检查方法 访谈网络管理员,询问主要网络设备的性能及业务高峰流量 访谈网络管理员,询问采用何种手段对网络设备进行监控 b)应保证网络各个部分的带宽满足业务高峰期需要;条款理解 对网络各个部分进行分配带宽,从而保证在业务高峰期业务服务的连续性检查方法询问当前网络各部分的带宽是否满足业务高峰需要如果无法满足业务高峰期需要,则需进行带宽分配检查主要网络设备是否进行带宽分配3、检查内容-结构安全 c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;条款理解静态路由是指由网络管理员手工配置的路由信息。
动态路由是指路由器能够自动地建立自己的路由表路由器之间的路由信息交换是基于路由协议实现的,如OSPF路由协议是一种典型的链路状态的路由协议如果使用动态路由协议应配置使用路由协议认证功能,保证网络路由安全检查方法检查边界设备和主要网络设备,查看是否进行了路由控制建立安全的访问路径以CISCO IOS为例,输入命令:show running-config检查配置文件中应当存在类似如下配置项:ip route 192.168.1.0 255.255.255.0 192.168.1.193 (静态)router ospf 100 (动态)ip ospf message-digest-key 1 md5 7 XXXXXX(认证码)3、检查内容-结构安全 d)应绘制与当前运行情况相符的网络拓扑结构图;条款理解为了便于网络管理,应绘制与当前运行情况相符的网络拓扑结构图当网络拓扑结构发生改变时,应及时更新检查方法检查网络拓扑图,查看其与当前运行情况是否一致3、检查内容-结构安全 e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;条款理解根据实际情况和区域安全防护要求,应在主要网络设备上进行VLAN划分或子网划分。
不同VLAN内的报文在传输时是相互隔离的如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备实现检查方法访谈网络管理员,是否依据部门的工作职能、重要性和应用系统的级别划分了不同的VLAN或子网以CISCO IOS为例,输入命令:show vlan检查配置文件中应当存在类似如下配置项:vlan 2 name infoint e0/2vlan-membership static 23、检查内容-结构安全 f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;条款理解为了保证信息系统的安全,应避免将重要网段部署在网络边界处且直接连接外部信息系统,防止来自外部信息系统的攻击在重要网段和其它网段之间配置安全策略进行访问控制检查方法检查网络拓扑结构,查看是否将重要网段部署在网络边界处,重要网段和其它网段之间是否配置安全策略进行访问控制3、检查内容-结构安全 g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机条款理解 为了保证重要业务服务的连续性,应按照对业务服务的重要次序来指定带宽分配优先级别,从而保证在网络发生拥堵的时候优先保护重要主机。
检查方法 访谈网络管理员,依据实际应用系统状况,是否进行了带宽优先级分配 以CISCO IOS为例,检查配置文件中是否存在类似如下配置项:policy-map barclass voicepriority percent 10class databandwidth percent 30class videobandwidth percent 203、检查内容-结构安全 3、检查内容-访问控制二、访问控制(8项)访问控制是网络测评检查中的核心部分,涉及到大部分网络设备、安全设备条款解读 a)应在网络边界部署访问控制设备,启用访问控制功能; 条款理解 在网络边界部署访问控制设备,防御来自其他网络的攻击,保护内部网络的安全 检查方法 检查网络拓扑结构,查看是否在网络边界处部署了访问控制设备,是否启用了访问控制功能3、检查内容-访问控制 b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级; 条款理解 在网络边界部署访问控制设备,对进出网络的流量进行过滤,保护内部网络的安全 配置的访问控制列表应有明确的源/目的地址、源/目的、协议及服务等 检查方法 以CISCO IOS为例,输入命令:show ip access-list检查配置文件中应当存在类似如下配置项:ip access-list extended 111deny ip x.x.x.0 0.0.0.255 any loginterface eth 0/0ip access-group 111 in3、检查内容-访问控制 以防火墙检查为例,应有明确的访问控制策略,如下图所示:3、检查内容-访问控制 c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制; 条款理解 对于一些常用的应用层协议,能够在访问控制设备上实现应用层协议命令级的控制和内容检查,从而增强访问控制粒度。
检查方法 该测评项一般在防火墙、入侵防御系统上检查 首先查看防火墙、入侵防御系统是否具有该功能,然后登录设备查看是否启用了相应的功能3、检查内容-访问控制 以联想网域防火墙为例,如下图所示: d)应在会话处于非活跃一定时间或会话结束后终止网络连接; 条款理解 当恶意用户进行网络攻击时,有时会发起大量会话连接,建立会话后长时间保持状态连接从而占用大量网络资源,最终将网络资源耗尽的情况 应在会话终止或长时间无响应的情况下终止网络连接,释放被占用网络资源,保证业务可以被正常访问 检查方法 该测评项一般在防火墙上检查 登录防火墙,查看是否设置了会话连接超时,设置的超时时间是多少,判断是否合理3、检查内容-访问控制 以天融信防火墙为例,如下图所示: e)应限制网络最大流量数及网络连接数; 条款理解 可根据IP地址、端口、协议来限制应用数据流的最大流量,还可以根据IP地址来限制网络连接数,从而保证业务带宽不被占用,业务系统可以对外正常提供业务 检查方法 该测评项一般在防火墙上检查访谈系统管理员,依据实际网络状况是否需要限制网络最大流量数及网络连接数 登录设备查看是否设置了最大流量数和连接数,并做好记录。
以天融信防火墙为例,如下图所示:3、检查内容-访问控制 f)重要网段应采取技术手段防止地址欺骗; 条款理解 地址欺骗在网络安全中比较重要的一个问题,这里的地址,可以是MAC地址,也可以是IP地址在关键设备上,采用IP/MAC地址绑定方式防止地址欺骗 检查方法 以CISCO IOS为例,输入show ip arp检查配置文件中应当存在类似如下配置项:arp 10.10.10.1 0000.e268.9980 arpa 以联想网域防火墙为例,如下图所示:3、检查内容-访问控制 g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户; 条款理解 对于远程拨号用户,应在相关设备上提供用户认证功能 通过配置用户、用户组,并结合访问控制规则可以实现对认证成功的用户允许访问受控资源 检查方法 登录相关设备查看是否对拨号用户进行身份认证,是否配置访问控制规则对认证成功的用户允许访问受控资源3、检查内容-访问控制 h)应限制具有拨号访问权限的用户数量 条款理解 应限制通过远程采用拨号方式或通过其他方式连入系统内部的用户数量 检查方法 询问系统管理员,是否有远程拨号用户,采用什么方式接入系统部,采用何种方式进行身份认证,具体用户数量有多少。
3、检查内容-访问控制 3、检查内容-安全审计 三、安全审计(4项) 安全审计要对相关事件进行日志记录,还要求对形成的记录能够分析、形成报表 条款解读 a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; 条款理解 为了对网络设备的运行状况、网络流量、管理记录等进行检测和记录,需要启用系统日志功能系统日志信息通常输出至各种管理端口、内部缓存或者日志服务器 检查方法 检查测评对象,查看是否启用了日志记录,日志记录是本地保存,还是转发到日志服务器记录日志服务器的地址以联想网域防火墙为例,如下图所示:3、检查内容-安全审计 b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; 条款理解 日志审计内容需要记录时间、类型、用户、事件类型、事件是否成功等相关信息 检查方法 登录测评对象或日志服务器,查看日志记录是否包含了事件的日。