《等保考试初级知识》由会员分享,可在线阅读,更多相关《等保考试初级知识(31页珍藏版)》请在金锄头文库上搜索。
1、等级保护(初级技术)安全测试学习笔记 第一章:网络安全测评:标准概述:测评过程中重点依据:信息系统安全等级保护基本要求、信息系统安全等级保护测评要求来进行 基本要求中网络安全的控制点与要求项各级分布为:级别控制点要求项第一级39第二级618第三级733第四级732等级保护基本要求三级网络安全方面涵盖哪些内容 ?共包含7 个控制点33 个要求项,涉及到网络安全中的结构安全、安全审计、边界完整性检 查、入侵防范、恶意代码防范、访问控制、设备防护等方面。检查范围: 理解标准、明确目的、分阶段进行、确定检查范围,细化检查项、 注意事项:1、考虑设备的重要程度可以采用抽取的方式。2、不能出现遗漏、避免出
2、现脆弱点。3、最终需要在测评方案中与用户明确检查范围-网络设备,安全设备列表。 检查内容以等级保护基本要求三级为例,安全基本要求7 个控制点33个要求项进行检查:1、结构安全2、访问控制3、安全审计4、边界完整性检查5、入侵防范6、恶意代码防范7、网络设备防护条款理解:(一)结构安全:是网络安全测评检查的重点,网络结构是否合理直接管理到信息系统的 整体安全。1、应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。 条款理解: 为了保证信息系统的高可用性,主要网络设备的业务处理能力应具备冗余空间。2、应保证网络各个部分的带宽满足业务高峰期需要。 对网络各个部分进行分配带宽,从而保证
3、在业务高峰期业务服务的连续性。3、应在业务终端与业务服务器之间进行路由控制建立安全的访问路径: 静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够自动地建立自己 的路由表。路由器之间的路由信息交换是基于路由协议实现的,如OSPF路由协议是一种典型的链路状 态的路由协议。如果使用动态路由协议应配置使用路由协议认证功能,保证网络路由安全。4、应绘制与当前运行情况相符的网络结构图:为了便于网络管理,应绘制与当前运行情况相符的网络拓扑结构图,当网络拓扑结构发生改 变时,应及时更新5、应根据各个部门的工作职能,重要性和所设计信息的重要程度等因素,划分不同的子网 或网段,并按照方便管理和控
4、制的原则为各子网,网段分配地址段:根据实际情况和区域安全防护要求,应在要求的网络设备上进行VLAN划分或子网划分 不同VLAN内的报分再传输时是相互隔离的,如果不同VLAN要进行通信,则需要通过路 由器或三层交换机等三层设备设备实现6、应避免将重要网段部署在网络边界处且直接连接到外部信息系统,重要网段与其他网段 之间可采取可靠的技术隔离手段: 为了保证信息系统的安全,应避免将重要的网段部署在网络边界处且连接外部信息系统,防 止来自外部信息系统的攻击 在重要的网段和其它网段之间配置安全侧略进行访问控制7、应按照对业务服务的重要次序来指定带块分配优先级别,保证在网络发生拥堵的时候优 先保护重要主机
5、:为了保证重要业务的连续性,应按照业务服务的重要次序来指定带宽分配优先级别,从而保 证在网络发生拥堵的时候优先保护重要主机(二)访问控制:访问控制是网络测评检查中的核心部分,涉及到大部分网络设备,安全 设备。8、应在网络边界处部署访问控制设备,启用访问控制功能: 在网络边界部署访问控制设备防御来自其它网络的攻击,保护内部网络的安全9、应能根据会话状态信息为数据流提供明确的允许、拒绝访问的能力控制粒度为端口级 在网络边界部署访问控制设备对进出网络的流量进行过滤,保护内部网络的安全 配置的访问控制列表应有明确的源/目的地址,源/目的协议及服务等10、应对进出网络的信息内容进行过滤,实线对应用层HT
6、TP、FTP、TELNET、SMTP、 POP3 等协议命令级的控制: 对于一些常用的应用层协议,能够在访问控制设备上实现应用层协议命令的控制和内容检 查,从而增强访问控制粒度11、应在会话处于非活跃一定时间或会话结束后终止网络连接: 当恶意用户进行网络攻击时,有时会建立大量的会话连接,建立会话后长时间保持保持状态 连接从而占用大量的网络资源,最终将网络资源耗尽 应在会话终止或长时间无响应的情况下终止网络连接,释放被占用的网络资源,保证业务可 以被正常访问12、应限制网络最大流量数及网络连接数:可根据IP地址,端口,协议来限制应用数据流的最大流量,还可以根据IP地址来限制网络 连接数,从而保证
7、业务带宽不被占用,业务系统可以对外正常提供业务13、重要网段应采取技术手段防止地址欺骗:地址欺骗在网络安全中是比较重要的一个问题,这里的地址可以是 MAC 地址也可以是 IP 地址,在关键设备上采用IP/MAC地址绑定的方式防止地址欺骗14、应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访 问,控制粒度为单个用户:对于远程拨号用户,应在相关设备上提供用户认证功能 通过配置用户,用户组,并结合访问控制规则可以实现对认证成功的用户允许访问受控制资 源15、应限制具有拨号访问权限的用户数量: 应限制通过远程拨号方式或通过其他方式接入系统内部的用户数量(三)安全审计:安全审计要
8、对相关时间进行日志记录,还要求对形成的记录能够分析, 形成报表。16、应对网络系统中的网络设备运行状态,网络流量,用户行为等进行日志记录: 为了对网络设备的运行状况、网络流量、管理记录等进行检测和记录,需要启用系统日志功 能,系统日志信息通常输出至各种管理端口、内部缓存或者日志服务器17、审计记录应包括:事件的日期和时间,用户,事件类型,事件是否成功及其他与审 计相关的信息: 日志审计需要记录时间、类型、用户、时间、事件是否成功等相关信息18、应能够根据记录数据进行分析,并生成审计报表: 为了便于管理员能够及时准确地了解设备运行状况和发现网络入侵行为,需要对审计记录数 据进行分析和生成报表19
9、、应对审计记录进行保护,避免受到未预期的删除,修改和或覆盖等: 审计记录能够帮助管理人员及时发现运行状况和网络攻击行为,因此需要对审计记录实施技 术上和管理上得保护,防止为授权修改、删除和破坏(四)边界完整性检查:边界完整性检查主要检查全网中对网络的连接状态进行监控,发 现非法接入,非法外联时能够准确定位并及时报警和阻断。20、应能够对非授权设备私自联入内部网络的行为进行检查,准确定出位置,并对其进 行有效阻断: 可以采用技术手段和管理措施对“非法接入”行为进行检查,技术手段包括网络接入控制,IP/MAC 地址绑定21、应能够对内部网络用户私自联到外部网络的行为进行检查、准确定出位置、并对其
10、进行有效阻断:可以采用技术手段和管理措施对“非法外联”行为进行检查。技术手段可以采取部署桌面管 理系统或其他技术实施控制(五)入侵防范:对入侵时间不仅能够检测,并能发出警报,对于近亲防御系统要求定期 更新特征库,发现入侵后能够警报并阻断:22、应在网络边界处监视以下攻击行为:端口扫描,强力攻击,木马后门攻击,拒绝服务攻击,缓冲区溢出,IP碎片攻击和网络蠕虫攻击等:要维护系统安全,必须在网络边界处对常见的网络攻击行为进行监视,以便及时发现攻击行 为23、当检测到攻击行为时,记录攻击源IP,攻击类型,攻击目的,攻击时间,在发生 严重入侵事件时提供报警:当检测到攻击行为时,应对攻击信息进行日志记录,
11、在发生严重入侵事件时应能通过短信 邮件等向有关人员报警(六)恶意代码防护:恶意代码防范是综合性的多层次的,在网络边界处需要对恶意代码 进行防范。24、应在网络边界处对恶意代码进行检测和清除: 计算机病毒、木马和蠕虫的泛滥使得防范恶意代码的破坏显得尤为重要,在网络边界处部署 防恶意代码产品进行恶意代码防范是最为直接和高效的办法25、应维护恶意代码的升级和检测系统的更新:、 恶意代码具有特征变化快,特征变化多的特点,因此对于恶意代码检测重要的特征库更新 以及监测系统自身的更新都非常重要(七)网络设备防护:网络设备的防护主要是对用户登录前后的行为进行控制,对网络设 备的权限进行管理。26、应对登录网
12、络设备的用户进行身份鉴别:对于网络设备,可以采用CON、AUX、VTY等方式登录对于安全设备,可以采用WEB、GUI、命令行等方式登录27、应对网络设备的管理员登录地址进行限制: 为了保证安全,需要对访问网络设备的登录地址进行限制,避免未授权的访问28、网络设备用户的标识应唯一:不允许在网络设备上配置用户名相同的用户,要防止公用一个账户,实行分账户管理,每名 管理员设置一个单独的账户,避免出现问题后不能及时进行检查29、 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别 采用双因子鉴别是防止身份欺骗的有效方法,双因子鉴别不仅要求访问者知道一些鉴别信 息,还需要访问者拥有鉴
13、别特征,例如采用令牌、智能卡等30、身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换: 为避免身份身份鉴别信息被冒用,可以通过采用令牌、认证服务器等措施,加强身份鉴别信 息的保护,如果仅仅基于口令的身份鉴别,应当保证口令复杂度和定期更改的要求31、应具有登录失败处理功能,可采取结束会话,限制非法登录次数和当网络登录连接 超时自动退出等措施:应对登录失败进行处理,避免系统遭受恶意的攻击32、当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听:对网络设备进行管理时,应采用SSH、HTTPS等加密协议,防止鉴别信息被窃听33、应实现设备特权用户的权限分离:应
14、根据实际需要为用户分配其完成任务的最小权限现场测评网络安全的步骤:1、网络全局性测评2、网络设备,安全设备测评3、测评结果汇总整理(一)网络全局性测评1、结构安全2、边界完整性检查3、入侵防范4、恶意代码防范(二)网络设备,安全设备测评1、访问控制2、安全审计3、网络设备防护4、备份与恢复条款理解:1、应提供本地数据备份与恢复功能、完全数据备份至少每天一次、备份介质场外存放:、 应制定完备的设备配置数据备份与恢复策略,定期对设备策略进行备份,并且备份介质要场 外存放应能对路由器配置进行维护,可以方便地进行诸如查看保存配置和运行配置,上传和下载系 统配置文件(即一次性导入和导出系统所有配置)等维
15、护操作,还可以恢复出厂默认配置, 以方便用户重新配置设备2、应提供异地数据备份功能、利用通信网络将关键数据定时批量传送至备用场地: 此处提出的数据是指路由策略配置文件,可以通过采用数据同步方式,将路由器的策略文件 备份到异地的服务器上3、应采用冗余技术设计网络拓扑结构、避免关键节点存在单点故障: 为了避免网络设备或线路出现故障时引起数据通信中断,应为关键设备提供双机热备功能, 以确保在通信线路或设备故障时提供备用方案,有效增强网络的可靠性4、应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性: 为了避免网络设备或线路出现故障时引起数据通信中断,应为关键设备提供双机热备功能, 以确保在通信线路或设备故障时提供备用方案,有效增强网络的可靠性5、测评结果汇总整理对全局性检查结果和各单项检查结果进行汇总核对检查结果,记录内容真实有效,勿有遗漏第二章:主机安全测评:Windows 十大安全隐患Web服务器和服务工作站服务Windows 远程访问服务微软SQL服务器Windows 认证Web浏览器文件共享LSASS Exposures
