网络安全---通用网络设备测评指导书---三级---1.0版.doc

1、天融信信息安全等保中心 编号： 测 评 指 导 书 《信息系统安全等级保护基本要求》 基础网络安全-通用网络设备-第三级 V1.0 天融信信息安全等保中心 1、测评对象 对象名称及IP地址 备注（测评地点及环境等） 2、入场确认 序号 确认内容 1 测评对象中的关键数据已备份。如果没有备份则不进行测评 2 测评对象工作正常。如工作异常则不进行测评。 开始时间 确认签字 3、离场确认 序号 确认内容 1 测评工作未对测评对象造成不良影响，测评对象工

2、作正常。 结束时间 确认签字 序号 类别 测评项 测评实施 预期结果 符合情况 1 访问控制 a) 应在网络边界部署访问控制设备，启用访问控制功能； 检查： 检查网络拓扑结构和相关交换机配置，查看是否在交换机上启用了访问控制功能。 输入命令 show access-lists 检查配置文件中是否存在以下类似配置项ip access-list 1 deny x.x.x.x 交换机启用了访问控制功能，根据需要配置了访问控制列表。 b)访问控制设备应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； 检查： 输入命令

3、shou running， 检查访问控制列表的控制粒度是否为端口级，如access-list 101 permit udp any 192.168.10.0 0.0.0.255 eq 21 根据会话状态信息为数据流提供了明确的访问控制策略，控制粒度为端口级。 c) 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制； 检查： 检查防火墙或IPS安全策略是否对重要数据流启用应用层协议检测、过滤功能。 防火墙或IPS开启了重要数据流应用层协议检测、过滤功能，可以对应用层HTTP、FTP、TELNET、SMTP、POP3等

4、协议进行控制。 d) 应在会话处于非活跃一定时间或会话结束后终止网络连接； 访谈： 访谈系统管理员，是否在会话处于非活跃一定时间或会话结束后终止网络连接； 检查： 输入命令show running，查看配置中是否存在命令设定管理会话的超时时间： line vty 0 4 exec-timeout x x 1）会话处于非活跃一定时间或会话结束后，交换机会终止网络连接； 2）交换机配置中存在会话超时相关配置。 e) 应限制网络最大流量数及网络连接数； 检查： 1）在网络出口和核心网络处的交换机是否配置了网络最大流量数及网络连接数； 2）是否有专用的流量控制设备限制

5、网络最大流量数及网络连接数。 1）网络出口和核心网络处的交换机配置了合理QOS策略，优化了网络最大流量数； 2）通过专用的流量控制设备限制网络最大流量数及网络连接数。 f) 重要网段应采取技术手段防止地址欺骗； 检查： 是否通过IP/MAC绑定手段防止地址欺骗， 输入命令 show running， 检查配置文件中是否存在arp绑定配置： arp x.x.x.x x.x.x.x 1）通过配置命令进行IP/MAC地址绑定防止地址欺骗； 2）通过专用软件或设备进行IP/MAC地址绑定防止地址欺骗。 g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进

6、行资源访问，控制粒度为单个用户； 检查： 1）是否针对单个远程拨号用户或VPN用户访问受控资源进行了有效控制； 2）以拨号或VPN等方式接入网络的，是否采用强认证方式。 1）对单个远程拨号用户或VPN用户访问受控资源进行了有效控制； 2）通过拨号或VPN等方式接入网络时，采用了强认证方式（证书、KEY等）。 h) 应限制具有拨号访问权限的用户数量。 检查： 是否限制具有远程访问权限的用户数量。 限制了具有远程访问权限的用户数量。 2 安全审计 a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； 检查： 1）网络系统中的交换机是否开启日

7、志记录功能； 输入show logging命令，检查Syslog logging进程是否为enable状态； 2）是否对交换机的运行状况、网络流量进行监控和记录。 1）交换机开启了日志记录功能，命令show logging的输出配置中显示：Syslog logging:enabled 2）对交换机的运行状况、网络流量进行监控和记录（巡检记录或第三方监控软件）。 b) 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 检查： 查看日志内容，是否包括事件的日期和时间、设备管理员操作行为、事件类型等信息。 日志内容包括事件的日期和时间、设备管

8、理员操作行为、事件类型等信息。 c) 应能够根据记录数据进行分析，并生成审计报表； 检查： 查看如何实现审计记录数据的分析和报表生成。 定期对审计记录数据进行分析并生成纸质或电子的审计报表。 d) 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。 检查： 1）检查对审计记录监控和保护的措施。例如：通过专用日志服务器或存储设备对审计记录进行备份，并避免对审计记录未预期的修改、删除或覆盖； 2）输入命令show running 检查配置文件中是否存在类似如下配置项logging x.x.x.x 1）设置了交换机日志服务器地址，交换机日志发送到安全的日志服务器或

9、第三方审计设备； 2、由专人对审计记录进行管理，避免审计记录受到未预期的删除、修改或覆盖。 3 网络设备防护 a) 应对登录网络设备的用户进行身份鉴别； 访谈、检查： 1）访谈设备管理员，询问登录设备的身份标识和鉴别机制采用何种措施实现； 2）登录交换机，查看是否提示输入用户口令，然后以正确口令登录系统，再以错误口令或空口令重新登录，观察是否成功。 1）交换机使用口令鉴别机制对登录用户进行身份标识和鉴别； 2）登录时提示输入用户名和口令；以错误口令或空口令登录时提示登录失败，验证了登录控制功能的有效性； 3）交换机中不存在密码为空的用户。 b) 应对网络设备的管理

10、员登录地址进行限制； 检查： 输入命令 show running， 查看配置文件里是否存在类似如下配置项限制管理员登录地址： access-list 1 permit x.x.x.x line vty 0 4 access-class 1 in 配置了合理的访问控制列表限制对交换机进行登录的管理员地址。 c) 网络设备用户的标识应唯一； 检查： 1）检查交换机标识是否唯一； 2）检查同一交换机的用户标识是否唯一； 3）检查是否不存在多个人员共用一个账号的现象。 1）交换机标识唯一； 2）同一交换机的用户标识唯一； 3）不存在多个人员共用一个账号的现象。

11、 d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别； 访谈： 访谈采用了何种鉴别技术实现双因子鉴别，并在网络管理员的配合下验证双因子鉴别的有效性。 用户的认证方式选择两种或两种以上组合的鉴别技术，只用一种技术无法认证成功。 e) 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换； 访谈、检查： 1）访谈交换机管理员,询问用户口令是否满足复杂性要求； 2）检查配置文件中口令是否加密存储。 1）交换机用户口令长度不小于8位，由字母、数字和特殊字符构成，并定期更换； 2）在配置文件中，口令为加密存储。 f) 应具有登录失败处理功

12、能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施； 访谈： 访谈设备管理员，交换机是否设置了登录失败处理功能。 检查： 在允许的情况下，根据使用的登录失败处理方式，采用如下测试方法进行测试： a)以错误的口令登录交换机，观察反应； b)当网络登录连接超时时，观察连接终端反应。 1）以错误的口令登录交换机，尝试次数超过阀值，交换机自动断开连接或锁定一段时间； 2）正常登录交换机后不做任何操作，超过设定的超时时间后，登录连接自动退出。 g) 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听； 访谈： 询问设备管理员，是否采

13、用了安全的远程管理方法。 检查： 输入命令show running 查看配置文件中是否存在类似如下配置项: line vty 0 4 transport input ssh 1）使用SSH协议对交换机进行远程管理； 2）没有采用明文的传输协议对交换机进行远程管理； 3）采用第三方管理工具保证远程管理的鉴别信息保密。 h) 应实现设备特权用户的权限分离。 访谈、检查： 1）访谈设备管理员，是否实现了特权用户的权限分离； 2）输入命令show running， 检查配置文件中是否存在类似如下配置项： username cisco1 privilege 0 passw

14、ord 0 cisco username cisco1 privilege 15 password 0 cisco 3）检查是否部署了日志服务器对管理员的操作进行审计记录； 4）审计记录是否有专人管理，非授权用户是否无法进行操作。 1）实现了交换机特权用户的权限分离，不同类型的账号拥有不同权限； 2）部署了专用日志服务器对管理员的操作进行审计并记录； 3）审计记录有专人管理，非授权用户无法进行操作。 物业安保培训方案 为规范保安工作，使保安工作系统化/规范化,最终使保安具备满足工作需要的知识和技能，特制定本教学教材大纲。 一、课程设置及内容全部课程分为专业理论

15、知识和技能训练两大科目。 其中专业理论知识内容包括：保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。 二．培训的及要求培训目的 1）保安人员培训应以保安理论知识、消防知识、法律常识教学为主，在教学过程中，应要求学员全面熟知保安理论知识及消防专业知识，在工作中的操作与运用，并基本掌握现场保护及处理知识2）职业道德课程的教学应根据不同的岗位元而予以不同的内容，使保安在各自不同的工作岗位上都能养成具有本职业特点的良好职业道德和行为规范）法律常识教学是理论课的主要内容之一，要求所有保安都应熟知国家有关法律、法规，

16、成为懂法、知法、守法的公民，运用法律这一有力武器与违法犯罪分子作斗争。工作入口门卫守护，定点守卫及区域巡逻为主要内容，在日常管理和发生突发事件时能够运用所学的技能保护公司财产以及自身安全。 2、培训要求 1）保安理论培训 通过培训使保安熟知保安工作性质、地位、任务、及工作职责权限，同时全面掌握保安专业知识以及在具体工作中应注意的事项及一般情况处置的原则和方法。 2）消防知识及消防器材的使用 通过培训使保安熟知掌握消防工作的方针任务和意义，熟知各种防火的措施和消防器材设施的操作及使用方法，做到防患于未燃，保护公司财产和员工生命财产的安全。 3) 法律常识及职业道德教育 通过法律常识

17、及职业道德教育，使保安树立法律意识和良好的职业道德观念，能够运用法律知识正确处理工作中发生的各种问题；增强保安人员爱岗敬业、无私奉献更好的为公司服务的精神。 4) 工作技能培训 其中专业理论知识内容包括：保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。 二．培训的及要求培训目的 安全生产目标责任书 为了进一步落实安全生产责任制，做到“责、权、利”相结合，根据我公司2015年度安全生产目标的内容，现与财务部签订如下安全生产目标： 一、目标值： 1、全年人身死亡事故为零，重伤事故为零，轻伤人数

18、为零。 2、现金安全保管，不发生盗窃事故。 3、每月足额提取安全生产费用，保障安全生产投入资金的到位。 4、安全培训合格率为100%。 二、本单位安全工作上必须做到以下内容： 1、对本单位的安全生产负直接领导责任，必须模范遵守公司的各项安全管理制度，不发布与公司安全管理制度相抵触的指令，严格履行本人的安全职责，确保安全责任制在本单位全面落实，并全力支持安全工作。 2、保证公司各项安全管理制度和管理办法在本单位内全面实施，并自觉接受公司安全部门的监督和管理。 3、在确保安全的前提下组织生产，始终把安全工作放在首位，当“安全与交货期、质量”发生矛盾时，坚持安全第一的原则。

19、4、参加生产碰头会时，首先汇报本单位的安全生产情况和安全问题落实情况；在安排本单位生产任务时，必须安排安全工作内容，并写入记录。 5、在公司及政府的安全检查中杜绝各类违章现象。 6、组织本部门积极参加安全检查，做到有检查、有整改，记录全。 7、以身作则，不违章指挥、不违章操作。对发现的各类违章现象负有查禁的责任，同时要予以查处。 8、虚心接受员工提出的问题，杜绝不接受或盲目指挥； 9、发生事故，应立即报告主管领导，按照“四不放过”的原则召开事故分析会，提出整改措施和对责任者的处理意见，并填写事故登记表，严禁隐瞒不报或降低对责任者的处罚标准。 10、必须按规定对单位员工进行培训和新员工上岗教育； 11、严格执行公司安全生产十六项禁令，保证本单位所有人员不违章作业。 三、 安全奖惩： 1、对于全年实现安全目标的按照公司生产现场管理规定和工作说明书进行考核奖励；对于未实现安全目标的按照公司规定进行处罚。 2、每月接受主管领导指派人员对安全生产责任状的落