10-SGISLOP-SA11-10网络设备HW等级保护测评作业指导书(四级).doc

资源描述

控制编号：SGISL/OP-SA11-10 信息安全等级保护测评作业指导书网络设备－华为（三级）版号：第 2 版修改次数：第 0 次生效日期： 2010年01月06日中国电力科学研究院信息安全实验室修改页修订号控制编号版号/ 章节号修改人修订原因批准人批准日期备注 1 SGISL/OP-SA11-10 李梦涛按公安部要求修订詹雄 2010.3.8 - 13 - 目录网络设备－华为（三级） 1 1. 检查网络边界防护情况 1 2. 检查路由器安全策略精度 1 3. 检查路由器日志功能 1 4. 检查路由器是否建立本地用户并启用用户认证 2 5. 路由器vty口限制登陆地址 2 6. 检查路由器用户信息 3 7. 路由器VTY弱口令检查 3 8. 路由器超时退出非法登陆次数 4 9. 检查路由器SSH配置 4 10. 检查路由器备份冗余情况 5 11. 检查链路备份冗余备份情况 6 12. 检查路由器版本信息 6 13. 检查路由器资源占用情况 6 14. 检查路由器启动一致性 7 15. 路由器http服务配置检查 7 16. 检查路由器SNMP服务配置 7 17. 路由器SNMP配置默认团体字符串检查 8 18. 检查路由器SNMP agent配置可写字符串 8 19. 检查路由器SNMP agent ACL访问控制配置 8 20. 检查路由器IP源路由服务配置 9 21. 检查路由器Bootp服务配置 9 22. 检查路由器操作人员的管理情况 10 23. 检查路由器电源设备 10 24. 检查路由器静态配置安全策略 11 25. 检查路由器banner信息 11 26. 检查路由器NTP服务配置 11 27. 检查路由器ACL 12 28. 检查路由器AAA配置 12 中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA11-10 第 13 页共 56 页网络设备HW等级保护测评作业指导书（三级）第 2 版第 0 次修订发布日期：2010年01月06日 1. 检查网络边界防护情况测评项编号 ADT-NW-RT-01 要求点 a) 应在网络边界部署访问控制设备，启用访问控制功能。测评项名称检查网络边界防护情况测评分项1 确定网络边界是否部署了防火墙、IPS等安全设备，是否开启了访问控制功能。操作步骤查看：根据拓朴图查看网络边界是否部署了防火墙、IPS等安全设备，是否开启了访问控制功能，并登陆相应设备查看是否设备了安全策略。询问：网络边界是否部署了防火墙、IPS等安全设备，是否开启了访问控制功能。适用版本：符合性判定网络边界是否部署了防火墙、IPS等安全设备，开启了访问控制功能为符合，否则为不符合。备注 2. 检查路由器安全策略精度测评项编号 ADT-NW-RT-02 要求点 b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。测评项名称检查路由器安全策略精度测评分项1 得到网络安全策略精度操作步骤访谈：查看访问控制策略列表，查看防火墙是否存在无用策略、重复策略、无效策略；查看：登陆路由器查看访问控制策略（ACL）是否能够达到网段级。如：是否划分了VLAN，VLAN间是否有访问控制策略等。适用版本：符合性判定精度达到网段级为符合，否则为不符合。备注 3. 检查路由器日志功能测评项编号 ADT-NW-RT-03 要求点 a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录测评项名称检查路由器日志审核测评分项1 检查路由器是否配置了日志审核机制。操作步骤访谈：询问管理员日志的存储策略和审计策略，是否有日志服务器。执行：运行命令<Sysname> display info-center 查看：路由器日志审核状态。导出路由器配置，截取配置图片。检查是否通过网管等第三方工具对运行状况、网络流量等进行记录适用版本：华为路由器符合性判定符合：Information Center:enabled； Log host: XXX.XXX.XXX.XXX； Information timestamp setting: log - date, trap - date, debug - date,loghost - date 不符合：Information Center: disabled 备注 4. 检查路由器是否建立本地用户并启用用户认证测评项编号 ADT-NW-RT-04 要求点 a) 应对登录网络设备的用户进行身份鉴别测评项名称检查路由器是否建立本地用户并启用用户认证测评分项1 得到路由器现有配置中是否具有用户名和口令操作步骤执行：1）输入<Sysname> system-view，进入系统视图。 2）运行命令[Sysname]display current-configuration | begin user-interface 查看：con 0 的配置。导出路由器配置，截取配置图片。访谈：网络管理员密码策略。适用版本：华为路由器符合性判定符合：console 口配置密码，密码已加密，运行结果如下： user-interface con 0 authentication-mode password user privilege level 1 set authentication password cipher 不符合： user-interface con 0 authentication-mode none 5. 路由器vty口限制登陆地址测评项编号 ADT-NW-RT-05 要求点 b) 应对网络设备的管理员登录地址进行限制；测评项名称检查路由器vty的ACL配置测评分项1 路由器管理端口访问控制检查。操作步骤执行：1）输入<Sysname> system-view，进入系统视图。 2）运行命令[Sysname]display current-configuration | begin user-interface vty 查看：vty 的配置。导出路由器配置，截取配置图片。访谈：网络管理员密码策略。适用版本：华为路由器符合性判定符合：配置了VTY 的ACL，运行结果如下： user-interface vty 0 4 acl 2001 inbound 不符合：未配置ACL。备注 6. 检查路由器用户信息测评项编号 ADT-NW-RT-06 网络安全：网络设备防护 c) 网络设备用户的标识应唯一；测评项名称检查路由器是否建立本地用户并启用用户认证测评分项1 得到路由器现有配置中是否具有用户名和口令操作步骤执行：1）输入<Sysname> system-view，进入系统视图。 2）运行命令[Sysname]display current-configuration | begin local-user 查看：用户级别配置信息。导出路由器配置，截取配置图片。适用版本：华为路由器符合性判定符合：启用用户权限级别配置，运行结果如下： local-user user1 password cipher authorization-attribute level 1 service-type telnet local-user user2 password cipher authorization-attribute level 3 service-type ssh …… 不符合：未启用用户权限级别配置。备注 7. 路由器VTY弱口令检查测评项编号 ADT-NW-RT-07 要求点 d) 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换测评项名称路由器VTY弱口令检查测评分项1 得到路由器当前vty口配置情况操作步骤执行：1）输入<Sysname> system-view，进入系统视图。 2）运行命令[Sysname]display current-configuration | begin user-interface vty 查看：vty 的配置。导出路由器配置，截取配置图片。访谈：网络管理员密码策略。适用版本：华为路由器符合性判定符合：VTY 口口令加密，结果如下： user-interface vty 0 4 set authentication password cipher 不符合： user-interface vty 0 4 set authentication password simple 备注 8. 路由器超时退出非法登陆次数测评项编号 ADT-NW-RT-08 要求点 e) 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；测评项名称路由器超时退出和非法登陆次数测评分项1 检查用户是否为VTY远程登陆配置了超时登陆。操作步骤执行：1）输入<Sysname> system-view，进入系统视图。 2）运行命令[Sysname]display current-configuration | begin user-interface vty 查看：vty 的配置。导出路由器配置，截取配置图片。访谈：网络管理员密码策略。适用版本：华为路由器符合性判定符合：配置了VTY 超时，运行结果如下： user-interface vty 0 4 idle-timeout 1 30 不符合：无idle-timeout 设置备注 9. 检查路由器SSH配置测评项编号 ADT-NW-RT-09 要求点 f) 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听测评项名称检查路由器SSH配置测评分项1 得到路由器SSH是否配置信息。操作步骤执行：1）输入<Sysname> system-view，进入系统视图。 2）运行命令[Sysname]display current-configuration | begin user-interface 查看：con、aux、vty 的配置。导出路由器配置，截取配置图片。访谈：网络管理员密码策略。适用版本：华为路由器符合性判定符合：配置了SSH，运行结果如下： user-interface con 0（或者vty） protocol inbound ssh 不符合：无ssh 设置。备注测评分项2 路由器SSH协议接口应用情况。操作步骤执行：1）运行命令<sysname>display ssh server status 查看：SSH 配置信息。导出路由器配置，截取配置图片。适用版本：华为路由器符合性判定符合：配置SSH，运行结果如下： SSH version:XXX 不符合：运行结果如下： SSH server: Disable 备注 10. 检查路由器备份冗余情况测评项编号 ADT-NW-RT-10 要求点 a) 应能够对重要信息进行备份和恢复测评项名称检查路由器冗余备份情况测评分项1 确定重要路由器是否具有冗余备份。操作步骤查看：根据拓朴图查看重要路由器是否具有冗余备份并到机房核实。询问：重要路由器是否进行了冗余备份，确定是热备还是冷备，如果是双机同时运行，询问双机运行方式，是只负载均衡，或是只冗余，还是同时负载均衡加冗余。，适用版本：华为路由器符合性判定只负载均衡时为不符合，只有冗余或同时负载均衡加冗余时为符合。备注 11. 检查链路备份冗余备份情况测评项编号 ADT-NW-RT-11 要求点 b) 应提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性。测评项名称检查甸路冗余备份情况测评分项1 确定重要链路是否具有冗余备份。操作步骤查看：根据拓朴图查看重要链路是否具有冗余备份并到机房核实。询问：重要链路是否进行了冗余备份。，适用版本：华为路由器符合性判定没有备用链路为不符合，有备用链路时为符合。备注 12. 检查路由器版本信息测评项编号 ADT-NW-RT-12 测评项名称检查路由器版本信息测评分项1 得到路由器正在运行的版本信息操作步骤执行：[Device] display current-configuration 适用版本：华为路由器符合性判定 # version 5.20, ESS 1907L03 # sysname Device # super authentication-mode scheme …… 备注 13. 检查路由器资源占用情况测评项编号 ADT-NW-RT-13 测评项名称检查路由器运行情况测评分项1 得到路由器正在运行的进程及资源占用情况操作步骤执行：任意视图下运行命令<sysname>display cpu-usage verbose 查看：路由器正在运行的进程。适用版本：华为路由器符合性判定查看资源占用情况，CPU使用率是否过高备注 14. 检查路由器启动一致性测评项编号 ADT-NW-RT-14 测评项名称检查路由器启动一致性测评分项1 确定当前运行文件与启动文件一致操作步骤执行：display current-configuration； display saved-configuration 查看：导出路由器当前运行配置与启动配置是否一致。若不一致，访谈管理员，明确不一致的原因。适用版本：华为路由器符合性判定查看两条命令输出结果是否相同，相同为符合，不相同则不符合。备注 15. 路由器http服务配置检查测评项编号 ADT-NW-RT-15 测评项名称路由器http服务配置检查测评分项1 得到路由器http服务运行状态操作步骤执行：运行命令display current-configuration |begin ip 查看：http 服务运行状态。适用版本：华为路由器符合性判定符合：未配置http 服务，运行结果如下： undo ip http enable 不符合：配置了http 服务，运行结果如下： ip http enable 备注 16. 检查路由器SNMP服务配置测评项编号 ADT-NW-RT-16 测评项名称检查路由器SNMP服务配置测评分项1 得到路由器的SNMP服务运行状态操作步骤执行：运行命令display current-configuration |begin snmp 查看：snmp 服务运行状态。适用版本：华为路由器符合性判定 1）未启用snmp 服务，无运行结果输出为符合 2）启用snmp 服务，运行结果如下，询问启动的用途。 snmp-agent snmp-agent local-engineid …… 备注 17. 路由器SNMP配置默认团体字符串检查测评项编号 ADT-NW-RT-17 测评项名称路由器SNMP配置默认团体字符串检查测评分项1 检查路由器是否配置了SNMP agent，且使用的是默认的社区串。操作步骤执行：运行命令display current-configuration |begin snmp 查看：snmp 服务配置。访谈：询问管理员是否有网络管理软件，及开启snmp的作用。适用版本：华为路由器符合性判定未修改默认配置： snmp-agent community read public 备注 18. 检查路由器SNMP agent配置可写字符串测评项编号 ADT-NW-RT-18 测评项名称检查路由器SNMP agent配置可写字符串测评分项1 检查路由器是否配置了SNMP agent可写字符串。操作步骤执行：运行命令display current-configuration |begin snmp 查看：snmp 服务运行状态。访谈：询问管理员是否有网络管理软件，及开启snmp的作用。适用版本：华为路由器符合性判定 snmp-agent community write 备注包含红色字体为不符合； 19. 检查路由器SNMP agent ACL访问控制配置测评项编号 ADT-NW-RT-19 测评项名称检查路由器SNMP agent ACL访问控制配置测评分项1 检查路由器是否配置了SNMP agent ACL配置。操作步骤执行：运行命令display current-configuration |begin snmp 查看：snmp 服务运行状态访谈：询问管理员是否有网络管理软件，及开启snmp的作用。适用版本：华为路由器符合性判定 snmp-agent community read xxx acl 2001 备注不包含绿色字体为不符合； 20. 检查路由器IP源路由服务配置测评项编号 ADT-NW-RT-20 测评项名称检查路由器IP源路由服务配置测评分项1 得到路由器的IP源路由服务运行状态操作步骤执行：运行命令display current-configuration |begin ip 查看：source-routing 服务运行状态。适用版本：华为路由器符合性判定符合：未配置IP 源路由服务，运行结果如下： undo ip option source-routing 不符合：配置IP 源路由服务，运行结果如下： ip option source-routing 备注 21. 检查路由器Bootp服务配置测评项编号 ADT-NW-RT-21 测评项名称检查路由器Bootp服务配置测评分项1 得到路由器Bootp服务运行状态操作步骤执行：运行命令display current-configuration |begin ip address 查看：bootp 配置。适用版本：华为路由器符合性判定符合：未配置bootp 服务。不符合：配置了bootp 服务，输出如下： ip address bootp-alloc 备注 22. 检查路由器操作人员的管理情况测评项编号 ADT-NW-RT-22 要求点 d) 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等要求点 h) 应实现设备特权用户的权限分离测评项名称检查路由器操作人员的管理情况测评分项1 收集被加固方人员安全配置及策略操作步骤访谈：1指定安装、删除、移动路由器人员。 2指定可以操作硬件维护和可以改变路由器物理配置的人 3指定可以对路由器进行物理连接的人员 4确定可以对路由器直接连接端口操作的控制，如Console口等。 5确定路由器物理损坏和窜改事件的紧急恢复方法和步骤。 6指定可以通过直接连接端口如console口与路由器直接相连的人员 7指定可以获取路由器特权的人员 8确定改变路由器静态配置操作的过程（如日志、改变记录、重放过程） 9确定用户和登陆口令的密码策略，包括管理员和特权密码。并确立发生何种意外情况时方可改变用户密码（如密码过期、人员变动、遭到攻击等） 10指定可以远程登陆路由器的人员 11指定可以远程登陆路由器的协议、程序和网络 12确定在路由器静态配置遭到安全威胁、破坏的情况下，恢复的步骤和负责恢复步骤的人员适用版本：华为路由器符合性判定访谈各项条目的结果，是否有相应的制度、方案、记录和步骤。备注 23. 检查路由器电源设备测评项编号 ADT-NW-RT-23 测评项名称检查路由器电源设备测评分项1 确定是否具有不间断电源UPS，路由器是否有冗余电源。操作步骤执行：<Sysname> display power-supply verbose 查看：电源设置适用版本：华为路由器符合性判定符合：安装有冗余电源或UPS 设备。不符合：无冗余电源或UPS 设备。备注 24. 检查路由器静态配置安全策略测评项编号 ADT-NW-RT-24 测评项名称检查路由器静态配置安全策略测评分项1 得到网络静态配置安全策略操作步骤访谈：1确定路由器的审计日志策略，包括日志管理要点的实施、程序和日志审查职责。 2确定对自动远程管理和检测工具的管理程序和限制，如SNMP 3确定检测对路由器进行攻击事件的总体响应程序和准则 4确定密码的管理策略。适用版本：华为路由器符合性判定访谈各项条目的结果，是否有相应的制度、方案、记录和步骤。备注 25. 检查路由器banner信息测评项编号 ADT-NW-RT-25 测评项名称检查路由器banner信息测评分项1 得到路由器banner信息是否已经被设置并去除网络信息操作步骤执行：display current-configuration |begin header 查看：路由器当前banner 信息适用版本：华为路由器符合性判定符合：未配置，无结果输出。不符合：banner 信息包含网络信息备注 26. 检查路由器NTP服务配置测评项编号 ADT-NW-RT-26 测评项名称检查路由器NTP服务配置测评分项1 得到路由器的NTP服务运行状态操作步骤执行：运行命令display current-configuration |begin ntp-service 查看：NTP 服务运行状态。。适用版本：华为路由器符合性判定符合：启用NTP 服务并指定时间服务器，运行结果如下： ntp-service source-interface xxx ntp-service unicast-server xxx.xxx.xxx.xxx 不符合：未设置ntp 服务器备注 27. 检查路由器ACL 测评项编号 ADT-NW-RT-27 测评项名称检查路由器ACL 测评分项1 检查路由器是否配置了访问控制列表，各访问控制列表的作用，是否存在无效的访问控制规则。操作步骤执行：<Sysname> display acl all 查看：路由器ACL 信息。适用版本：华为路由器符合性判定访谈：询问管理员访问控制列表的作用，是否存在无效的访问控制列表。备注 28. 检查路由器AAA配置测评项编号 ADT-NW-RT-28 要求点测评项名称检查路由器AAA配置测评分项1 得到路由器AAA是否配置信息。操作步骤执行：1）输入<Sysname> system-view，进入系统视图。 2）运行命令[Sysname]display current-configuration | begin radius（或hwtacacs）查看：AAA 配置信息。导出路由器配置，截取配置图片。适用版本：华为路由器符合性判定符合：配置AAA 了认证，命令运行结果如下： radius scheme xxx primary authentication xxx.xxx.xxx.xxx key authentication xxx user-name-format without-domain domain xxx authentication login radius-scheme xxx authorization login none authentication super radius-scheme xxx …… 或者 hwtacacs scheme xxx primary authentication xxx.xxx.xxx.xxx key authentication expert user-name-format without-domain domain xxx authentication login hwtacacs-scheme xxx authorization login none authentication super hwtacacs-scheme xxx …… 不符合：未配置AAA 认证。备注

展开阅读全文