《重点领域网络与信息安全检查方法》由会员分享,可在线阅读,更多相关《重点领域网络与信息安全检查方法(26页珍藏版)》请在金锄头文库上搜索。
1、 重点领域网络与信息安全检查方法贵州亨达集团信息安全技术有限公司2024/9/8概述 为贯彻落落实中央中央领导同志和同志和国国务院院办公公厅关于开关于开展重点展重点领域网域网络与信息安全与信息安全检查行行动的通知的通知(国(国办函函 2012 102号),开展网号),开展网络与信息安全与信息安全检查专项行行动,每,每周五上周五上报工作工作进展情况。展情况。2012年年9月月15日日25日日总结上上报检查结果,果,孙国国强副省副省长作重要作重要讲话,对通信、通信、钢铁、有色、化工、装有色、化工、装备制造五个重点行制造五个重点行业开展网开展网络与信息安与信息安全全检查,通,通过检查发现存在的存在的
2、问题和薄弱和薄弱环节,分析,分析评估面估面临的安全威的安全威胁和和风险,有,有针对性地采取防范性地采取防范对策和策和改改进措施,切措施,切实保障网保障网络与信息安全。与信息安全。检查方法l按照按照检查通知检查通知,此次检查按照,此次检查按照“谁主管谁负责、谁运谁主管谁负责、谁运行谁负责行谁负责”的原则,采取自查与抽查相结合、以自查为主,的原则,采取自查与抽查相结合、以自查为主,点和面结合的方式开展。抽查采取现场检查和外部检测两点和面结合的方式开展。抽查采取现场检查和外部检测两种方式进行。种方式进行。l调研调研l工具检查工具检查l人工检查人工检查l渗透测试渗透测试调研l利用调查表收集检查对象现状
3、信息,调查表由检查人员在现场访谈时使用,利用调查表收集检查对象现状信息,调查表由检查人员在现场访谈时使用,调查表包括:调查表包括:l组织基本信息调查:网络与信息系统组织架构、岗位职责、人员安排、组织基本信息调查:网络与信息系统组织架构、岗位职责、人员安排、信息系统目标使命等。信息系统目标使命等。l网络现状调查:链路状况、网络拓扑、设备产品部署、管理平台网络现状调查:链路状况、网络拓扑、设备产品部署、管理平台/手段、手段、配置状况(配置状况(IP、端口、服务)、安全措施。、端口、服务)、安全措施。l系统现状调查:操作系统版本、补丁状况、口令帐号管理、文件管理、系统现状调查:操作系统版本、补丁状况
4、、口令帐号管理、文件管理、服务管理、备份、安全措施等。服务管理、备份、安全措施等。l业务及应用现状调查:业务种类、业务路径、应用架构、开发文档、数业务及应用现状调查:业务种类、业务路径、应用架构、开发文档、数据库、安全功能。据库、安全功能。l管理现状调查:组织结构、制度流程、培训。管理现状调查:组织结构、制度流程、培训。工具检查l为了充分了解本次检查工作中各网络与信息系统当前的网络为了充分了解本次检查工作中各网络与信息系统当前的网络安全现状及其安全威胁,因此需要利用基于各种评估侧面的安全现状及其安全威胁,因此需要利用基于各种评估侧面的评估工具对抽检对象进行扫描评估,自动化测试工具包括扫评估工具
5、对抽检对象进行扫描评估,自动化测试工具包括扫描工具、口令破解攻击、攻击工具等。用于检测系统可能存描工具、口令破解攻击、攻击工具等。用于检测系统可能存在的漏洞或弱点。对象包括各类主机系统、网络设备等,扫在的漏洞或弱点。对象包括各类主机系统、网络设备等,扫描评估的结果将作为整个检查内容的一个重要参考依据。描评估的结果将作为整个检查内容的一个重要参考依据。l在本检查工作中,我们采用的工具是业内主流的扫描工具。在本检查工作中,我们采用的工具是业内主流的扫描工具。人工检查l工具扫描因为其固定的模板,适用的范围,特定的运行环境,以及它的工具扫描因为其固定的模板,适用的范围,特定的运行环境,以及它的缺乏智能
6、性等诸多因素,因而有着很大的局限性;而人工检查与工具扫缺乏智能性等诸多因素,因而有着很大的局限性;而人工检查与工具扫描相结合,可以完成许多工具所无法完成的事情,从而得出全面的、客描相结合,可以完成许多工具所无法完成的事情,从而得出全面的、客观的评估结果。观的评估结果。l人工检查,技术人员主要是依靠亨达集团具有丰富经验的安全专家在各人工检查,技术人员主要是依靠亨达集团具有丰富经验的安全专家在各本次检查工作中通过针对不同的检查对象采用顾问访谈,业务流程了解本次检查工作中通过针对不同的检查对象采用顾问访谈,业务流程了解等方式,对检查对象进行全面的评估。等方式,对检查对象进行全面的评估。l利用利用Ch
7、ecklist检查系统是否存在弱点,检查系统是否存在弱点, Checklist由检查人员在安全由检查人员在安全访谈、检查与测试时使用,本次安全检查使用的访谈、检查与测试时使用,本次安全检查使用的Checklist可能包括物可能包括物理安全、网络设计安全、网络设备安全、安全设备、操作系统、中间件、理安全、网络设计安全、网络设备安全、安全设备、操作系统、中间件、数据库、数据库、SCADA、DCS、PLC等内容。等内容。渗透测试l为了解检查网络单元的安全现状,在许可和控制的范为了解检查网络单元的安全现状,在许可和控制的范围内,对网络与信息系统进行渗透性检测,从攻击者围内,对网络与信息系统进行渗透性检
8、测,从攻击者的角度来对网络与信息系统的安全程度进行评估。的角度来对网络与信息系统的安全程度进行评估。l渗透测试将作为安全检查的一个重要组成部分。渗透测试将作为安全检查的一个重要组成部分。l组织专业技术力量,采取模拟攻击方式对系统进行渗组织专业技术力量,采取模拟攻击方式对系统进行渗透测试,检验系统防入侵、防攻击、防泄漏、防篡改透测试,检验系统防入侵、防攻击、防泄漏、防篡改等能力。等能力。通信行业技术检测内容1l通信运营商抽查的网络单元以服务于电子政务外网的基础通信网络为选通信运营商抽查的网络单元以服务于电子政务外网的基础通信网络为选择原则。本次检查抽查通信运营企业的择原则。本次检查抽查通信运营企
9、业的IP城域网及其相应的网管措施。城域网及其相应的网管措施。主要检查以下内容。主要检查以下内容。lIP承载网节点重要部件和模块的冗余措施;承载网节点重要部件和模块的冗余措施;lIP承载网是否采取必要的链路冗余以保证网络具有抗灾以及灾难恢复能承载网是否采取必要的链路冗余以保证网络具有抗灾以及灾难恢复能力;力;l城域网出口带宽冗余量是否满足出口链路单链路故障时出入城域网业务城域网出口带宽冗余量是否满足出口链路单链路故障时出入城域网业务流量的需要?流量的需要?lIP承载网相关关键数据(如业务、设备的配置数据等)的数据备份情况;承载网相关关键数据(如业务、设备的配置数据等)的数据备份情况;通信行业技术
10、检测内容2lIP城域网汇聚层节点是否配置为双上行链路冗余保护;节点间是否设计城域网汇聚层节点是否配置为双上行链路冗余保护;节点间是否设计并采用冗余链路。并采用冗余链路。lIP城域网核心层的网络结构。城域网核心层设备间是否采用全网状连接城域网核心层的网络结构。城域网核心层设备间是否采用全网状连接? lIP承载网网管网络与业务网络应严格隔离。承载网网管网络与业务网络应严格隔离。l网络维护终端是否专机专用?网络维护终端是否专机专用?l相关维护终端是否均不能访问互联网?相关维护终端是否均不能访问互联网?l是否建立网络安全管理制度,对网络安全配置、日志保存时间、安全是否建立网络安全管理制度,对网络安全配
11、置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定。策略、升级与打补丁、口令更新周期等方面作出规定。l是否有承载网络日志记录及保存时间相关方面的管理规定和明确要求是否有承载网络日志记录及保存时间相关方面的管理规定和明确要求?通信行业技术检测内容3l是否有承载网络日志记录及保存时间相关方面的管理规定和明确要求?是否有承载网络日志记录及保存时间相关方面的管理规定和明确要求?l是否有承载网络安全策略相关方面的管理规定和明确要求?是否有承载网络安全策略相关方面的管理规定和明确要求?l是否有承载网络设备升级与安全补丁相关方面的管理规定和明确要求?是否有承载网络设备升级与安全补丁相关方面
12、的管理规定和明确要求?l是否有承载网络用户帐号及口令更新相关方面的管理规定和明确要求?是否有承载网络用户帐号及口令更新相关方面的管理规定和明确要求?lIP承载网网络管理应使用用户安全鉴别和认证措施。对于网管系统相关承载网网络管理应使用用户安全鉴别和认证措施。对于网管系统相关用户是否有用户安全鉴别及认证措施的管理规定和要求?用户是否有用户安全鉴别及认证措施的管理规定和要求?l网管系统是否提供相关用户鉴别信息(如,口令等)的复杂度检查功能网管系统是否提供相关用户鉴别信息(如,口令等)的复杂度检查功能?通信行业技术检测内容4l网管系统是否提供相关用户鉴别信息(如,口令)强制更新的功能?网管系统是否提
13、供相关用户鉴别信息(如,口令)强制更新的功能?l网管系统相关用户帐号的口令长度是否均不小于网管系统相关用户帐号的口令长度是否均不小于8字节?字节?l网管系统相关用户帐号的口令是否均使用大写字母、小写字母、数字、网管系统相关用户帐号的口令是否均使用大写字母、小写字母、数字、标点及特殊字符四种字符中至少三种的组合,且与用户名或标点及特殊字符四种字符中至少三种的组合,且与用户名或ID无相关无相关性?性?l网络相关通用设备(如终端、服务器等)操作系统用户帐号的口令长度网络相关通用设备(如终端、服务器等)操作系统用户帐号的口令长度是否均不小于是否均不小于8字节?字节?l络相关通用设备(如终端、服务器等)
14、操作系统用户帐号的口令是否均络相关通用设备(如终端、服务器等)操作系统用户帐号的口令是否均使用大写字母、小写字母、数字、标点及特殊字符四种字符中至少三使用大写字母、小写字母、数字、标点及特殊字符四种字符中至少三种的组合,且与用户名或种的组合,且与用户名或ID无相关性?无相关性?通信行业技术检测内容5l相关用户帐号的口令更新周期是否不大于相关用户帐号的口令更新周期是否不大于90天?天?lIP承载网网络管理应采用安全的管理和控制信息的分发、过滤机制。网承载网网络管理应采用安全的管理和控制信息的分发、过滤机制。网络管理信息应通过加密传送。对于专用管理接口,应对目的地址为设备络管理信息应通过加密传送。
15、对于专用管理接口,应对目的地址为设备本身的非管理报文和到数据业务接口的报文进行严格控制。网络流量管本身的非管理报文和到数据业务接口的报文进行严格控制。网络流量管理策略是否为承载网相关管理信息流提供较高的优先级?理策略是否为承载网相关管理信息流提供较高的优先级?l承载网网络管理是否有安全的管理信息分发、过滤机制?承载网网络管理是否有安全的管理信息分发、过滤机制?l承载网网络管理是否有安全的控制信息分发、过滤机制?承载网网络管理是否有安全的控制信息分发、过滤机制?l网络管理信息是否通过加密方式传送?网络管理信息是否通过加密方式传送?l承载网相关网络设备是否均划分专用的管理接口?承载网相关网络设备是
16、否均划分专用的管理接口?通信行业技术检测内容6l对于目的地址为设备本身的非管理报文、以及到数据业务接口的报文,对于目的地址为设备本身的非管理报文、以及到数据业务接口的报文,设备是否均配置有严格过滤策略?设备是否均配置有严格过滤策略?lIP承载网的网络管理应启用访问和资源控制的安全措施,遵循最小授权承载网的网络管理应启用访问和资源控制的安全措施,遵循最小授权原则对接口使用、访问和资源等进行限制。原则对接口使用、访问和资源等进行限制。l网管系统相关业务控制与管理操作是否均有相应的操作权限控制机制?网管系统相关业务控制与管理操作是否均有相应的操作权限控制机制?l业务控制与管理相关用户的帐号权限是否均
17、依据最小授权原则(即授予业务控制与管理相关用户的帐号权限是否均依据最小授权原则(即授予特定帐号为完成其承担任务所需的最小权限)进行管理?特定帐号为完成其承担任务所需的最小权限)进行管理?l网络管理和维护操作涉及的相关设备资源访问、调用等是否均使用严格网络管理和维护操作涉及的相关设备资源访问、调用等是否均使用严格的访问控制策略及保护措施?的访问控制策略及保护措施?l承载网相关设备是否禁止默认帐号(或严格限制默认帐号权限)?承载网相关设备是否禁止默认帐号(或严格限制默认帐号权限)?通信行业技术检测内容7lIP承载网应根据需要采用有效的承载网应根据需要采用有效的QoS和流量管理策略,应保证管理和控和
18、流量管理策略,应保证管理和控制信息具有较高的优先级,应对广播、组播进行必要的控制。承载网相制信息具有较高的优先级,应对广播、组播进行必要的控制。承载网相关设备的业务接口是否启用流量管理和控制策略?关设备的业务接口是否启用流量管理和控制策略?l流量策略是否为通过业务接口传送的控制信息流(如,路由协议等)设流量策略是否为通过业务接口传送的控制信息流(如,路由协议等)设定较高的优先级?定较高的优先级?l流量策略是否对网络内广播、组播流量进行控制?流量策略是否对网络内广播、组播流量进行控制?l通用服务器通用服务器/主机设备的系统软件应当限制和禁用可能造成漏洞的服务主机设备的系统软件应当限制和禁用可能造
19、成漏洞的服务和端口,应安装和使用防火墙和病毒查杀工具或采取其它防病毒和防攻和端口,应安装和使用防火墙和病毒查杀工具或采取其它防病毒和防攻击措施,软件应及时安装补丁,定期更新,及时消除可能的隐患。网络击措施,软件应及时安装补丁,定期更新,及时消除可能的隐患。网络相关通用主机(如终端、服务器等)是否仅开放其提供正常功能所必须相关通用主机(如终端、服务器等)是否仅开放其提供正常功能所必须的服务端口?的服务端口?通信行业技术检测内容8l相关通用主机操作系统组件及应用是否均遵循最小安装原则(即特定相关通用主机操作系统组件及应用是否均遵循最小安装原则(即特定软件仅安装为完成其承担功能所需的必要组件)?软件
20、仅安装为完成其承担功能所需的必要组件)?l是否有防恶意代码(病毒、木马等)的相关管理制度是否有防恶意代码(病毒、木马等)的相关管理制度?l相关相关windows操作系统的通用主机是否均安装和使用有效授权的防火操作系统的通用主机是否均安装和使用有效授权的防火墙及病毒查杀工具(或采取其它防病毒和防攻击措施)?墙及病毒查杀工具(或采取其它防病毒和防攻击措施)?l相关联网通用主机操作系统及杀毒软件是否能通过安全的方式及时安相关联网通用主机操作系统及杀毒软件是否能通过安全的方式及时安装补丁,定期更新?装补丁,定期更新?l是否由指定内部人员是否由指定内部人员/部门负责相关设备安全漏洞检测工作?部门负责相关
21、设备安全漏洞检测工作?l安全漏洞的检测和修补是否形成备查的报告安全漏洞的检测和修补是否形成备查的报告/记录?记录?l网络和设备应具有一定抵抗常见攻击、差错防范和处理的能力。承载网络和设备应具有一定抵抗常见攻击、差错防范和处理的能力。承载网相关网相关IT系统边界是否部署攻击、入侵防范技术手段?系统边界是否部署攻击、入侵防范技术手段?通信行业技术检测内容9l目前相关安全技术措施是否能监测并抵御针对网络设备和目前相关安全技术措施是否能监测并抵御针对网络设备和IT系统的常见系统的常见攻击及入侵(如端口扫描、木马后门、攻击及入侵(如端口扫描、木马后门、DoS/DDoS攻击、缓冲区溢出攻攻击、缓冲区溢出攻
22、击、击、IP碎片攻击、网络蠕虫等)?碎片攻击、网络蠕虫等)?l承载网相关系统、设备对各类管理和维护用户是否有登录失败处理功能承载网相关系统、设备对各类管理和维护用户是否有登录失败处理功能?l发生攻击或入侵时,是否能提供相关类型攻击、入侵的报警和监测信息发生攻击或入侵时,是否能提供相关类型攻击、入侵的报警和监测信息?l在控制平面网络和设备应根据实际情况对相关控制信息进行有效合理的在控制平面网络和设备应根据实际情况对相关控制信息进行有效合理的加密、认证和过滤;对于目的地址为设备本身的数据包,应具有有效的加密、认证和过滤;对于目的地址为设备本身的数据包,应具有有效的攻击识别和防范能力;对于异常数据流
23、量具有识别和处理能力。攻击识别和防范能力;对于异常数据流量具有识别和处理能力。通信行业技术检测内容10l网络路由协议相关信息的接收和分发是否有安全的加密、认证及过滤策网络路由协议相关信息的接收和分发是否有安全的加密、认证及过滤策略?略?l对于目的地址为设备本身的数据包,各设备是否均启用有效的限制策略对于目的地址为设备本身的数据包,各设备是否均启用有效的限制策略保护保护CPU处理带宽?处理带宽?l对于网络异常数据流量,是否有监测、识别和防范能力?对于网络异常数据流量,是否有监测、识别和防范能力?l网络设备应具有安全日志的功能。日志应包含访问、配置、状态、统计、网络设备应具有安全日志的功能。日志应
24、包含访问、配置、状态、统计、告警等安全相关事件的来源、时间、描述等信息。网络设备是否均启用告警等安全相关事件的来源、时间、描述等信息。网络设备是否均启用日志功能?日志功能?l日志记录是否覆盖维护、管理用户相关登录访问类事件?日志记录是否覆盖维护、管理用户相关登录访问类事件?l日志记录是否覆盖维护、管理用户相关操作维护类事件?日志记录是否覆盖维护、管理用户相关操作维护类事件?通信行业技术检测内容11l日志记录是否覆盖设备相关状态监测、统计类事件?日志记录是否覆盖设备相关状态监测、统计类事件?l日志记录是否覆盖设备相关故障告警类事件?日志记录是否覆盖设备相关故障告警类事件?l各类日志记录是否包括具
25、体事件的来源、时间、事件描述等要素?各类日志记录是否包括具体事件的来源、时间、事件描述等要素?l是否定期对运行日志和审计数据进行分析,以便及时发现异常行为。是否定期对运行日志和审计数据进行分析,以便及时发现异常行为。l是否有对相关日志记录信息是否进行审计的规定和要求?是否有对相关日志记录信息是否进行审计的规定和要求?l是否定期对相关登录访问类事件记录信息进行审计和分析?是否定期对相关登录访问类事件记录信息进行审计和分析?l是否定期对相关操作维护类事件记录信息进行审计和分析?是否定期对相关操作维护类事件记录信息进行审计和分析?l是否定期对相关状态监测、统计类事件记录信息进行审计和分析?是否定期对
26、相关状态监测、统计类事件记录信息进行审计和分析?l是否定期对相关故障告警类事件记录信息进行审计和分析?是否定期对相关故障告警类事件记录信息进行审计和分析?通信行业技术检测内容12l审计记录是否至少包括审计日期、时间、发起者信息、审计类型、审计内审计记录是否至少包括审计日期、时间、发起者信息、审计类型、审计内容描述和结果等要素?容描述和结果等要素?l网络设备的安全日志应通过特定的安全机制在本地或外部设备上进行记录、网络设备的安全日志应通过特定的安全机制在本地或外部设备上进行记录、输出、存储。输出、存储。l记录的日志信息是否有安全的保护机制进行记录、存储?记录的日志信息是否有安全的保护机制进行记录
27、、存储?l记录的日志信息是否有安全的保护机制进行输出?记录的日志信息是否有安全的保护机制进行输出?化工行业技术检测特点l根据制造业信息系统五层技术架构的特点,对设备控制系统、过程控根据制造业信息系统五层技术架构的特点,对设备控制系统、过程控制系统、制造执行系统制系统、制造执行系统(MES)采用基本情况调研和查看完成检查,以被采用基本情况调研和查看完成检查,以被检查单位操作维护人员执行相关命令。检查单位操作维护人员执行相关命令。l对企业资源计划系统对企业资源计划系统(ERP)和企业间管理系统及决策支持系统可以采用和企业间管理系统及决策支持系统可以采用调研、工具检测、人工检查及渗透测试等方式进行。
28、调研、工具检测、人工检查及渗透测试等方式进行。l主要完成以下五个方面的情况调研和技术监测:主要完成以下五个方面的情况调研和技术监测:l(1)、安全域之间的安全防护)、安全域之间的安全防护l(2)、数采监控层和控制层之间的安全防护)、数采监控层和控制层之间的安全防护l(3)、保护关键控制器)、保护关键控制器l(4)、隔离工程师站,保护)、隔离工程师站,保护APC先控站先控站l(5)、和第三方控制系统之间的安全防护)、和第三方控制系统之间的安全防护化工行业(典型架构)化工行业技术检测重点1l1. 是否识别所有网络链接;是否识别所有网络链接;l2. 是否阻断所有不必要的网络链接;是否阻断所有不必要的
29、网络链接;l3. 是否对所有网络链接进行评估并实施安全策略;是否对所有网络链接进行评估并实施安全策略;l4. 是否删除并阻止一切不必要的服务选项;是否删除并阻止一切不必要的服务选项;l5. 是否对工业控制系统应用实施强访问控制策略,以限制其被恶意软是否对工业控制系统应用实施强访问控制策略,以限制其被恶意软件利用;件利用;l6. 是否部署实时的旁路事件监测系统;是否部署实时的旁路事件监测系统;l7. 是否实施基于网络连接与设备行为的审计系统,识别安全威胁;是否实施基于网络连接与设备行为的审计系统,识别安全威胁;l8. 是否分析并评估远程接入的安全性;是否分析并评估远程接入的安全性;l9. 是否安
30、排专人负责对网络安全状况进行分析并预警;是否安排专人负责对网络安全状况进行分析并预警;l10. 是否明确界定管理人员的在网络运维中的角色和职责;是否明确界定管理人员的在网络运维中的角色和职责;化工行业技术检测重点2l11. 是否实施额外的安全功能保护网络中的敏感功能与信息;是否实施额外的安全功能保护网络中的敏感功能与信息;l12. 是否建立严格且持续的风险管理流程;是否建立严格且持续的风险管理流程;l13. 是否基于深度保护原则建立防御策略;是否基于深度保护原则建立防御策略;l14. 是否全面了解行业最佳实践及网络防御要求;是否全面了解行业最佳实践及网络防御要求;l15. 是否制定有效的配置管
31、理流程;是否制定有效的配置管理流程;l16. 是否实施常规的自我评估机制;是否实施常规的自我评估机制;l17. 是否制定系统备份及灾难恢复计划;是否制定系统备份及灾难恢复计划;l18. 是否针对各种潜在的威胁攻击实施应急响应策略;是否针对各种潜在的威胁攻击实施应急响应策略;l19. 是否制定员工规范和安全培训计划,将风险控制在可接受的最低范是否制定员工规范和安全培训计划,将风险控制在可接受的最低范畴。畴。主要文档1l1.表1 系统基本情况检查记录表;l2.表2 系统特征情况分析记录表;l3.表3 信息系统主要硬件检查记录表;l4.表4 信息系统主要软件检查记录表;l5.表5 工业控制系统类型与构成情况检查记录表;l6.表6 信息技术外包服务检查结果记录表;l7.表7 信息安全责任制建立及落实情况检查记录表;l8.表8 日常安全管理制度建立和落实情况检查结果记录表;主要文档2l9.表9 信息安全经费投入情况表;l10.表10 技术防护情况检查记录表;l11.表11 应急处置及容灾备份情况检查结果记录表;l12.表12 问题和威胁分析记录表;l13.信息安全检查报告;l14.信息安全检查情况报告表。The end !The end !ThanK you !ThanK you !