1、1 物理安全测评指导书1.1 机房安全测评序号测评指标测评项检查方法预期结果1物理位置的选择a)通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。访谈: 询问物理安全负责人,现有机房和办公场地的环境条件是否具有基本的防震、防风和防雨能力。 检查: 检查机房和办公场地的设计/验收文档,查看机房和办公场所的物理位置选择是否符合要求。机房和办公场地的设计/验收文档中有关于机房和办公场所的物理位置选择的内容,并符合防震、防风和防雨能力要求。b)通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力
2、。检查: 检查机房场地是否避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁; 检查机房场地是否避免设在强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生水灾、火灾、易遭受雷击的地区。1)机房没有在建筑物的高层或地下室,附近无用水设备; 2)机房附近无强电场、强磁场、强震动源、强噪声源、重度环境污染,机房建筑地区不发生水灾、火灾,不易遭受雷击。2物理访问控制a)检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。访谈: 1)询问物理安全负责人,了解具有哪些控制机房进出的能力,是否安排专人值守; 2)访谈机房值守人员,询问是否认真执行有关机房出入的管理制度,是否对进入机
3、房的人员记录在案。1)有专人值守和电子门禁系统; 2)出入机房需要登记,有相关记录。b)检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。访谈: 询问物理安全负责人,了解是否有关于机房来访人员的申请和审批流程,是否限制和监控其活动范围。 检查: 检查是否有来访人员进入机房的审批记录。1)来访人员进入机房需经过申请、审批流程并记录; 2)进入机房有机房管理人员陪同并监控和限制其活动范围。c)检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。访谈: 访谈物理安全负责人,是否对机房进行了划分区域管理,是否对各个区域都有专门的管理要求; 检查: 检查机房区域划分是否
4、合理,是否在机房重要区域前设置交付或安装等过渡区域,是否对不同区域设置不同机房或同一机房的不同区域之间设置有效的物理隔离装置(如隔离墙等)。1)对机房进行了划分区域管理; 2)对各个区域都有专门的管理要求。d)检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。检查: 重要区域电子门禁记录。配置了电子门禁系统,控制、鉴别、记录进入人员信息。3防盗窃和防破坏a)检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。访谈: 访谈物理安全负责人,采取了哪些防止设备、介质丢失的保护措施; 检查: 检查主要设备是否防止在机房内或其他不
5、易被盗窃和破坏的可控范围内。主要设备都放置在机房内。b)检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。访谈: 访谈机房维护人员,设备和主要部件是否进行了固定和标记; 检查: 检查主要设备或设备的主要部件的固定情况,是否不易被移动或被搬走,是否设置了明显的不易除去的标记。设备和主要部件是否进行了固定和标记。c)检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。访谈: 访谈机房维护人员,了解通信线缆是否铺设在隐蔽处;是否设置了冗余或并行的通信线路; 检查: 检查通信线缆铺设是否在
6、隐蔽处(如铺设在地下或管道中等)。通信线缆铺设在隐蔽处。d)检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。访谈: 访谈资产管理人员,在介质管理中,是否设置了分类标识,是否存放在介质库或档案室中; 询问对设备或存储介质携带出工作环境是否规定了审批程序、内容加密、专人检查等安全保护的措施; 检查: 1)检查介质的管理情况,查看介质是否有正确的分类标识,是否存放在介质库或资料室中并且进行分类存放(满足磁介质、纸介质等的存放要求); 2)检查有关设备或存储介质携带出工作环境的审批记录,以及专人对内容加密进行检查的记录。介质分类标识,存储在介
7、质库或档案室中。e)检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。检查机房防盗报警设施是否正常运行,并查看运行和报警记录。机房防盗报警设施运行正常,并且有运行和报警记录。f)检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。检查机房的摄像、传感等监控报警系统是否正常运行,并查看运行记录、监控记录和报警记录。机房安装了监控摄像头,监控报警系统运行正常。4防雷击a)检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。访谈: 访谈物理安全负责人,机房建筑是否设置了避雷装
8、置,是否通过验收或国家有关部门的技术检测;询问机房维护人员机房建筑避雷装置是否有人定期进行检查和维护; 检查: 检查机房是否有建筑防雷设计/验收文档,是否符合GB 50057-1994建筑物防雷设计规范(GB157建筑物防雷设计规范 )要求,如果是在雷电频繁区域,是否装设有浪涌电压吸收装置等。机房建筑设置避雷装置;b)检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。访谈并检查: 访谈物理安全负责人,同时检查是否在电源和信号线增加有资质的避雷装置以避免感应雷击。设置防雷保安器,防止感应雷;c)检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。访谈: 询问物理安全负责
9、人,机房计算机系统接地是否设置了专用地线; 检查: 检查机房是否有机房接地设计/验收文档,查看是否有地线连接要求的描述,与实际情况是否一致。机房设置交流电源地线。5防火a)检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。检查机房是否设置了自动测火情(如使用温感、烟感探测器)、自动报警、自动灭火的自动消防系统,摆放位置是否合理,有效期是否合格; 检查自动消防系统是否正常工作,查看运行记录、报警记录、定期检查和维修记录;1)机房设置自动测火情(如使用温感、烟感探测器)、自动报警、自动灭火的自动消防系统,摆放位置合理,有效期合格; 2)自动消防系
10、统有运行记录、报警记录、定期检查和维修记录。b)检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。检查是否有机房以及相关房间的建筑材料的验收文档或消防检查验收文档。机房及相关的工作房间和辅助房采用具有耐火等级的建筑材料。c)检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。检查是否有机房区域隔离防火措施的验收文档; 检查重要设备是否与其他设备隔离开。不同物理区域,中间有防火玻璃隔离。6防水和防潮a)检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。检查机房是否避开
11、水源,与机房无关的给排水管道是否避免穿过机房;如果有与机房相关的给排水管道穿过主机房墙壁和楼板处,应检查是否有必要的保护措施,如设置套管等。机房避开了水源,空调给排水管道周围有防水隔离带。b)检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。访谈: 询问机房维护人员,机房是否出现过漏水和返潮事件; 检查: 检查机房是否不存在屋顶和墙壁等出现过漏水、渗透和返潮现象,机房及其环境是否不存在明显的漏水和返潮的威胁; 检查机房如果出现漏水、渗透和返潮现象是否能够及时修复解决。机房采用双层玻璃,有窗帘,未发生过漏水和返潮事件c)检查机房及其除潮设备等过程,测评信息系统是否采取
12、必要措施来防止水灾和机房潮湿。访谈: 访谈机房维护人员,如果出现机房水蒸气结露和地下积水的转移与渗透现象是否采取防范措施; 检查: 检查机房是否有湿度记录,是否有除湿装置并能够正常运行,是否有防止出现机房地下积水的转移与渗透的措施,是否有防水防潮处理记录和除湿装置运行记录,与机房湿度记录情况是否一致。机房有温度、湿度记录,运转正常。d)检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。检查: 检查机房是否有湿度记录,是否有对水敏感得检测仪表或元件对机房进行防水检测和报警,并检查检测仪表或元件是否能够正常运行。机房空调有温湿度控制功能,可以防止机房水蒸气结露。7防静电
13、a)检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。检查机房是否有安全接地,查看机房的相对湿度记录是否符合GB2887中的规定,查看机房是否不存在明显的静电现象。机房机柜有效的接地,防止静电现象发生。b)检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。检查机房是否采用了如防静电地板、防静电工作台、以及静电消除剂和静电消除器等措施。机房采用了防静电地板。8温湿度控制机房检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。访谈: 访谈物理安全负责人,询问机房是否配备了恒温恒湿系统,保证温湿度能够满足计算机设备运行的要求,是否在机房管理制度中规
14、定了温湿度控制的要求,是否有人负责此项工作; 访谈机房维护人员,询问是否定期检查和维护机房的温湿度自动调节设施,询问是否出现过温湿度影响系统运行的事件; 检查: 检查机房是否有温湿度控制设计/验收文档,是否能够满足系统运行需要,是否与当前情况相符合; 检查恒温恒湿系统是否能够正常运行,查看是否有温湿度记录、运行记录和维护记录,查看机房温湿度是否满足GB 2887-89计算站场地技术条件的要求。机房空调有温湿度控制功能,可以自动调节,使机房温湿度的变化处于允许范围内。机房温度26摄氏度,湿度为44%。9电力供应a)检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。访谈:
15、 访谈物理安全负责人,询问计算机系统供电线路上是否设置了稳压器和过电压防护设备; 询问机房维护人员是否对稳压器、过电压防护设备等进行定期检查和维护; 检查: 1)检查机房是否有电力供应安全设计/验收文档,查看文档中是否标明单独为计算机系统供电,配备稳压器、过电压防护设备等要求,查看与机房电力供应实际情况是否一致; 检查机房,查看计算机系统供电线路上的稳压器和过电压防护设备是否正常运行,查看供电电压是否正常; 2)检查是否有稳压器、过电压防护设备的检查和维护记录,是否符合系统正常运行的要求。机房供电线路上配置了稳压器和过电压防护设备。b)检查机房供电线路、设备等过程,测评是否具备为信息系统提供一
16、定电力供应的能力。访谈: 访谈物理安全负责人,询问计算机系统供电线路上是否设置了短期备用电源设备(如UPS),供电时间是否满足系统最低电力供应需求; 询问机房维护人员是否对短期备用电源设备进行定期检查和维护;是否能够控制电源稳压范围满足计算机系统运行正常。 检查: 检查机房是否有电力供应安全设计/验收文档,查看文档中是否标明备用电源设备要求,查看与机房电力供应实际情况是否一致; 检查机房,查看计算机系统供电线路上的短期备用电源设备是否正常运行,查看供电电压是否正常; 检查是否有短期备用电源设备的检查和维护记录,是否符合系统正常运行的要求。c)检查机房供电线路、设备等过程,测评是否具备为信息系统
17、提供一定电力供应的能力。访谈: 访谈物理安全负责人,询问计算机系统供电线路上是否安装了冗余或并行的电力电缆线路(如双路供电方式); 询问机房维护人员,冗余或并行的电力电缆线路(如双路供电方式)在双路供电切换时是否能够对计算机系统正常供电; 检查: 检查机房是否有电力供应安全设计/验收文档,查看文档中是否有冗余或并行电力电缆线路要求,查看与机房电力供应实际情况是否一致; 检查是否有冗余或并行电力电缆线路切换记录,是否符合系统正常运行的要求; 测试安装的冗余或并行电力电缆线路是否能够进行双线路供电切换。设置冗余或并行的电力电缆线路为计算机系统供电,输入电源采用双路自动切换供电方式d)检查机房供电线
18、路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。访谈: 访谈物理安全负责人,询问计算机系统供电线路上是否建立了备用供电系统(如备用发电机); 询问机房维护人员是否定期检查备用供电系统(如备用发电机),是否能够在规定时间内正常启动和正常供电; 检查: 检查机房是否有电力供应安全设计/验收文档,查看文档中是否有备用供电系统要求,查看与机房电力供应实际情况是否一致; 检查是否有备用供电系统运行记录,是否符合系统正常运行的要求; 测试备用供电系统是否能够在规定时间内正常启动和正常供电。具备相应的备用供电系统。10电磁防护a)检查主要设备等过程,测评信息系统是否具备一定的电磁防护能力。检查
19、机房布线是否采用接地方式。机房布线采用接地方式。b)检查主要设备等过程,测评信息系统是否具备一定的电磁防护能力。检查机房布线是否做到电源线和通信线缆隔离。电源线和通信线缆隔离铺设。c)检查主要设备等过程,测评信息系统是否具备一定的电磁防护能力。检查机房是否对关键设备和磁介质实施电磁屏蔽。关键设备和磁介质实施电磁屏蔽。2 网络安全测评指导书2.1 网络全局安全测评序号测评指标测评项检查方法预期结果1结构安全a)检查网络拓扑情况、核查核心交换机、路由器,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。访谈: 询问是否对主要网络设备性能进行监控(CPU、内存使用等)。主要网络设备的性能(CP
20、U、内存)具备冗余空间,能够满足业务高峰期需求。b)检查网络拓扑情况、核查核心交换机、路由器,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。访谈: 询问在业务高峰期内,带宽是否满足网络各部分的需求,是否根据业务重要程度合理分配带宽。 检查: 检查设备配置文件,查看是否对带宽做了Qos参数配置。通过流量控制软件或QOS,已根据业务重要程度合理分配带宽,在业务高峰期时现有带宽能够满足网络各部分需求。c)检查网络拓扑情况、核查核心交换机、路由器,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。访谈: 通过何种方式在业务终端与业务服务器之间建立访问路径,访问路径是否安全可靠。 检查:
21、 是否配置路由控制策略建立安全的访问路径。 输入命令:show running-config 如果使用静态路由协议,检查配置文件中应当存在类似如下配置项: ip route x.x.x.x x.x.x.x x.x.x.x 如果使用OSPF路由协议,检查配置文件中应当存在类似如下配置项: router osp 100 ip ospf authentication ip ospf message-digest-key 1 md5 7 *1)使用静态路由协议,静态路由采用最小匹配原则进行规划; 2)使用OSPF路由协议,动态路由采用加密算法,保障网络中路由安全认证。d)检查网络拓扑情况、核查核心交换
22、机、路由器,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。检查: 查看网络拓扑图与当前运行情况是否一致。网络拓扑图与当前运行情况一致。e)检查网络拓扑情况、核查核心交换机、路由器,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。检查: 是否进行了子网划分。 输入命令:show vlan 检查配置文件中是否出现类似如下配置项: vlan 2 name info1)已根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,配置文件中存在如下配置项:Vlan 2 name info; 2)按照方便管理和控制的原则为各子网、网段分配地址段;f)检查网络拓扑情况
23、、核查核心交换机、路由器,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。检查: 1)查看网络拓扑结构,重要网段是否不在网络边界处; 2)重要网段和其他网段之间是否隔离部署。1)重要网段未部署在网络边界处; 2)重要网段和其他网段之间采取可靠的技术手段隔离部署。g)检查网络拓扑情况、核查核心交换机、路由器,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。检查: 是否按照业务服务的重要次序配置了带宽控制策略。按照业务服务的重要次序制定了带宽分配优先级别,在网络发生拥堵的时候优先保护重要主机。2边界完整性检查a)检查边界完整性检查设备,接入边界完整性检查设备进行测试等过程,测评分析
24、信息系统私自联到外部网络的行为。访谈: 询问如何检查和阻断“非法内联”行为。 检查: 是否有包括网络接入控制、关闭网络设备未使用端口、IP/MAC地址绑定等技术手段检查和阻断“非法内联”。1)通过网络接入控制对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断; 2)已关闭未使用的网络端口,并通过IP/MAC地址绑定等技术手段检查和阻断“非法内联”行为。b)检查边界完整性检查设备,接入边界完整性检查设备进行测试等过程,测评分析信息系统私自联到外部网络的行为。访谈: 询问如何检查和阻断“非法外联”行为。 检查: 在网络管理员配合下验证有效性。通过桌面管理软件能够对内部网络
25、用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。3入侵防范a)测评分析信息系统对攻击行为的识别和处理情况。访谈: 访谈是否部署了包含入侵防范功能的设备。 检查: 检查设备是否能够对端口扫描木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等攻击行为进行检测。 检查设备规则库更新程度;验证监控策略有效性。部署了入侵防范功能设备,能够对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等攻击行为进行检测。b)测评分析信息系统对攻击行为的识别和处理情况。检查: 检查设备的日志记录,查看是否记录了攻击源IP、攻击类型、攻
26、击目的和攻击时间等信息,查看设备采用何种方式进行报警。入侵防范系统能够记录攻击源IP、攻击类型、攻击目的、攻击时间,并在发生严重入侵事件时提供报警。4恶意代码防范a)检查网络防恶意代码产品等过程,测评分析信息系统网络边界和核心网段对病毒等恶意代码的防护情况。访谈: 访谈是否部署了防恶意代码产品。 检查: 查看是否启用了恶意代码检测及阻断功能,并查看日志记录中是否有相关阻断信息。在网络边界处部署了恶意代码防范系统,对恶意代码能够进行检测和清除。b)检查网络防恶意代码产品等过程,测评分析信息系统网络边界和核心网段对病毒等恶意代码的防护情况。访谈: 询问是否进行特征库升级及具体的升级方式。 检查:
27、登录并查看相关设备的特征库是否为最新版本。恶意代码防范系统定期升级恶意代码库。2.2 思科防火墙安全测评序号测评指标测评项检查方法预期结果1访问控制a)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 检查网络拓扑结构和相关交换机配置,查看是否在交换机上启用了访问控制功能。 输入命令 show access-lists 检查配置文件中是否存在以下类似配置项: access-list 100 deny ip any any access-gro
28、up 100 in interface outside防火墙启用了访问控制功能,根据需要配置了访问控制列表。b)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 输入命令shou running, 检查访问控制列表的控制粒度是否为端口级,如access-list 110 permit tcp any host x.x.x.x eq ftp根据会话状态信息为数据流提供了明确的访问控制策略,控制粒度为端口级。c)检查防火墙等网络访问控制设备,测试
29、系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 检查防火墙或IPS安全策略是否对重要数据流启用应用层协议检测、过滤功能。防火墙或IPS开启了重要数据流应用层协议检测、过滤功能,可以对应用层HTTP、FTP、TELNET、SMTP、POP3等协议进行控制。d)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。访谈: 访谈系统管理员,
30、是否在会话处于非活跃一定时间或会话结束后终止网络连接; 检查: 输入命令show running,查看配置中是否存在命令设定管理会话的超时时间: ssh timeout 101)会话处于非活跃一定时间或会话结束后,路由器会终止网络连接; 2)路由器配置中存在会话超时相关配置。e)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 1)在网络出口和核心网络处的防火墙是否配置了网络最大流量数及网络连接数; 2)是否有专用的流量控制设备限制网络最大流
31、量数及网络连接数。1)网络出口和核心网络处的防火墙配置了合理QOS策略,优化了网络最大流量数; 2)通过专用的流量控制设备限制网络最大流量数及网络连接数。f)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 1、是否通过IP/MAC绑定手段防止地址欺骗, 输入命令 show running, 检查配置文件中是否存在arp绑定配置: arp inside x.x.x.x x.x.x.x1)通过防火墙配置命令进行IP/MAC地址绑定防止地址欺骗;
32、 2)通过专用软件或设备进行IP/MAC地址绑定防止地址欺骗。g)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 1)是否针对单个远程拨号用户或VPN用户访问受控资源进行了有效控制; 2)以拨号或VPN等方式接入网络的,是否采用强认证方式。1)对单个远程拨号用户或VPN用户访问受控资源进行了有效控制; 2)通过拨号或VPN等方式接入网络时,采用了强认证方式(证书、KEY等)。h)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,
33、测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 是否限制具有远程访问权限的用户数量。限制了具有远程访问权限的用户数量。2安全审计a)检查核心交换机、路由器等网络互联设备的安全审计情况等,测评分析信息系统审计配置和审计记录保护情况。检查: 1)网络系统中的防火墙是否开启日志记录功能; 输入show logging命令,检查Syslog logging进程是否为enable状态; 2)是否对防火墙的运行状况、网络流量进行监控和记录。1)防火墙开启了日志记录功能,命令show logging的输出配置中显示
34、: Syslog logging:enabled; 2)对防火墙的运行状况、网络流量进行监控和记录(巡检记录或第三方监控软件)。b)检查核心交换机、路由器等网络互联设备的安全审计情况等,测评分析信息系统审计配置和审计记录保护情况。检查: 查看日志内容,是否包括事件的日期和时间、设备管理员操作行为、事件类型等信息。日志内容包括事件的日期和时间、设备管理员操作行为、事件类型等信息。c)检查核心交换机、路由器等网络互联设备的安全审计情况等,测评分析信息系统审计配置和审计记录保护情况。检查: 查看如何实现审计记录数据的分析和报表生成。定期对审计记录数据进行分析并生成纸质或电子的审计报表。d)检查核心交
35、换机、路由器等网络互联设备的安全审计情况等,测评分析信息系统审计配置和审计记录保护情况。检查: 检查对审计记录监控和保护的措施。例如:通过专用日志服务器或存储设备对审计记录进行备份,并避免对审计记录未预期的修改、删除或覆盖。 检查: 输入命令show running 检查配置文件中是否存在类似如下配置项: syslog host x.x.x.x1)输入命令show running 检查配置文件中存在配置syslog host x.x.x.x,把设备日志发送到安全的日志服务器或第三方审计设备; 2)由专人对审计记录进行管理,避免审计记录受到未预期的删除、修改或覆盖。3网络设备防护a)检查交换机、
36、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。访谈、检查: 1)访谈设备管理员,询问登录设备的身份标识和鉴别机制采用何种措施实现; 2)登录防火墙,查看是否提示输入用户口令,然后以正确口令登录系统,再以错误口令或空口令重新登录,观察是否成功。1)防火墙使用口令鉴别机制对登录用户进行身份标识和鉴别; 2)登录时提示输入用户名和口令;以错误口令或空口令登录时提示登录失败,验证了登录控制功能的有效性; 3)防火墙中不存在密码为空的用户。b)检查交换机、路由器等网络互联设备以及防火墙等网络
37、安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。检查: 输入命令 show running, 查看配置文件里是否存在类似如下配置项限制管理员登录地址: Ssh x.x.x.x x.x.x.x inside配置了合理的访问控制列表限制对防火墙进行登录的管理员地址。c)检查交换机、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。检查: 1)检查防火墙标识是否唯一; 2)检查同一防火墙的用户标识是否唯一; 3)检查
38、是否不存在多个人员共用一个账号的现象。1)防火墙标识唯一; 2)同一防火墙的用户标识唯一; 3)不存在多个人员共用一个账号的现象。d)检查交换机、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。访谈: 访谈采用了何种鉴别技术实现双因子鉴别,并在网络管理员的配合下验证双因子鉴别的有效性。用户的认证方式选择两种或两种以上组合的鉴别技术,只用一种技术无法认证成功。e)检查交换机、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和
39、登录连接超时等,考察网络设备自身的安全防范情况。访谈、检查: 1)访谈防火墙管理员,询问用户口令是否满足复杂性要求; 2)检查配置文件中口令是否加密存储。1)防火墙用户口令长度不小于8位,由字母、数字和特殊字符构成,并定期更换; 2)在配置文件中,口令为加密存储。f)检查交换机、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。访谈: 访谈设备管理员,防火墙是否设置了登录失败处理功能。 检查: 在允许的情况下,根据使用的登录失败处理方式,采用如下测试方法进行测试: a)以错误的口令登录
40、防火墙,观察反应; b)当网络登录连接超时时,观察连接终端反应。1)以错误的口令登录防火墙,尝试次数超过阀值,防火墙自动断开连接或锁定一段时间; 2)正常登录防火墙后不做任何操作,超过设定的超时时间后,登录连接自动退出。g)检查交换机、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。访谈: 询问设备管理员,是否采用了安全的远程管理方法。 检查: 输入命令show running 查看配置文件中是否存在类似如下配置项: ssh x.x.x.x x.x.x.x inside1)使用SSH
41、协议对防火墙进行远程管理; 2)没有采用明文的传输协议对防火墙进行远程管理; 3)采用第三方管理工具保证远程管理的鉴别信息保密。h)检查交换机、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。访谈、检查: 1)访谈设备管理员,是否实现了特权用户的权限分离; 2)输入命令show running, 检查配置文件中是否存在类似如下配置项: username cisco1 privilege 0 password 0 cisco username cisco1 privilege 15 p
42、assword 0 cisco 3)检查是否部署了日志服务器对管理员的操作进行审计记录; 4)审计记录是否有专人管理,非授权用户是否无法进行操作。1)实现了防火墙特权用户的权限分离,不同类型的账号拥有不同权限; 2)部署了专用日志服务器对管理员的操作进行审计并记录; 4)审计记录有专人管理,非授权用户无法进行操作。2.3 通用安全设备安全测评序号测评指标测评项检查方法预期结果1访问控制a)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 检查
43、网络拓扑结构和相关交换机配置,查看是否在交换机上启用了访问控制功能。 输入命令 show access-lists 检查配置文件中是否存在以下类似配置项: access-list 100 deny ip any any access-group 100 in interface outside防火墙启用了访问控制功能,根据需要配置了访问控制列表。b)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 输入命令shou running, 检查访问
44、控制列表的控制粒度是否为端口级,如access-list 110 permit tcp any host x.x.x.x eq ftp根据会话状态信息为数据流提供了明确的访问控制策略,控制粒度为端口级。c)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 检查防火墙或IPS安全策略是否对重要数据流启用应用层协议检测、过滤功能。防火墙或IPS开启了重要数据流应用层协议检测、过滤功能,可以对应用层HTTP、FTP、TELNET、SMTP、POP3
45、等协议进行控制。d)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。访谈: 访谈系统管理员,是否在会话处于非活跃一定时间或会话结束后终止网络连接; 检查: 输入命令show running,查看配置中是否存在命令设定管理会话的超时时间: ssh timeout 101)会话处于非活跃一定时间或会话结束后,路由器会终止网络连接; 2)路由器配置中存在会话超时相关配置。e)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对
46、网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 1)在网络出口和核心网络处的防火墙是否配置了网络最大流量数及网络连接数; 2)是否有专用的流量控制设备限制网络最大流量数及网络连接数。1)网络出口和核心网络处的防火墙配置了合理QOS策略,优化了网络最大流量数; 2)通过专用的流量控制设备限制网络最大流量数及网络连接数。f)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查:
47、 1、是否通过IP/MAC绑定手段防止地址欺骗, 输入命令 show running, 检查配置文件中是否存在arp绑定配置: arp inside x.x.x.x x.x.x.x1)通过防火墙配置命令进行IP/MAC地址绑定防止地址欺骗; 2)通过专用软件或设备进行IP/MAC地址绑定防止地址欺骗。g)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 1)是否针对单个远程拨号用户或VPN用户访问受控资源进行了有效控制; 2)以拨号或VPN等
48、方式接入网络的,是否采用强认证方式。1)对单个远程拨号用户或VPN用户访问受控资源进行了有效控制; 2)通过拨号或VPN等方式接入网络时,采用了强认证方式(证书、KEY等)。h)检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力;检查拨号接入路由器,测评分析信息系统远程拨号访问控制规则的合理性和安全性。检查: 是否限制具有远程访问权限的用户数量。限制了具有远程访问权限的用户数量。2安全审计a)检查核心交换机、路由器等网络互联设备的安全审计情况等,测评分析信息系统审计配置和审计记录保护情况。检查: 1)网络系统中的防火墙是否开启日志记录功能; 输入show logg
浙ICP备2021020529号-1 | 浙B2-20240490 
