10-SGISLOP-SA11-10网络设备HW等级保护测评作业指导书(四级).doc

1、 控制编号：SGISL/OP-SA11-10 信息安全等级保护测评作业指导书 网络设备－华为（三级） 版 号： 第 2 版 修 改 次 数： 第 0 次 生 效 日 期： 2010年01月06日 中国电力科学研究院信息安全实验室 修改页 修订号 控制编号 版号/ 章节号 修改人 修订原因 批准人 批准日期 备注 1

2、 SGISL/OP-SA11-10 李梦涛 按公安部要求修订 詹雄 2010.3.8 - 13 - 目录 网络设备－华为（三级） 1 1. 检查网络边界防护情况 1 2. 检查路由器安全策略精度 1 3. 检查路由器日志功能 1 4. 检查路由器是否建立本地用户并启用用户认证 2 5. 路由器vty口限制登陆地址 2 6. 检查路由器用户信息 3 7. 路由器VTY弱口令检查 3 8. 路由器超时退出非法登陆次数

3、4 9. 检查路由器SSH配置 4 10. 检查路由器备份冗余情况 5 11. 检查链路备份冗余备份情况 6 12. 检查路由器版本信息 6 13. 检查路由器资源占用情况 6 14. 检查路由器启动一致性 7 15. 路由器http服务配置检查 7 16. 检查路由器SNMP服务配置 7 17. 路由器SNMP配置默认团体字符串检查 8 18. 检查路由器SNMP agent配置可写字符串 8 19. 检查路由器SNMP agent ACL访问控制配置 8 20. 检查路由器IP源路由服务配置 9 21. 检查路由器Bootp服务配置 9 22. 检查路由器操作人

4、员的管理情况 10 23. 检查路由器电源设备 10 24. 检查路由器静态配置安全策略 11 25. 检查路由器banner信息 11 26. 检查路由器NTP服务配置 11 27. 检查路由器ACL 12 28. 检查路由器AAA配置 12 中国电力科学研究院信息安全实验室 控制编号：SGISL/OP-SA11-10 第 13 页 共 56 页 网络设备HW等级保护测评作业指导书（三级） 第 2 版 第 0 次修订 发布日期：2010年01月06日 1. 检查网络边界防护情况 测评项编号 ADT-NW-RT-01

5、要求点 a) 应在网络边界部署访问控制设备，启用访问控制功能。 测评项名称 检查网络边界防护情况 测评分项1 确定网络边界是否部署了防火墙、IPS等安全设备，是否开启了访问控制功能。 操作步骤 查看：根据拓朴图查看网络边界是否部署了防火墙、IPS等安全设备，是否开启了访问控制功能，并登陆相应设备查看是否设备了安全策略。 询问：网络边界是否部署了防火墙、IPS等安全设备，是否开启了访问控制功能。 适用版本： 符合性判定 网络边界是否部署了防火墙、IPS等安全设备，开启了访问控制功能为符合， 否则为不符合。 备注 2. 检查路由器安全策略精度 测评项编号 A

6、DT-NW-RT-02 要求点 b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。 测评项名称 检查路由器安全策略精度 测评分项1 得到网络安全策略精度 操作步骤 访谈：查看访问控制策略列表，查看防火墙是否存在无用策略、重复策略、无效策略； 查看：登陆路由器查看访问控制策略（ACL）是否能够达到网段级。如：是否划分了VLAN，VLAN间是否有访问控制策略等。 适用版本： 符合性判定 精度达到网段级为符合，否则为不符合。 备注 3. 检查路由器日志功能 测评项编号 ADT-NW-RT-03 要求点 a) 应对网络系统中

7、的网络设备运行状况、网络流量、用户行为等进行日志记录 测评项名称 检查路由器日志审核 测评分项1 检查路由器是否配置了日志审核机制。 操作步骤 访谈：询问管理员日志的存储策略和审计策略，是否有日志服务器。 执行：运行命令 display info-center 查看：路由器日志审核状态。 导出路由器配置，截取配置图片。 检查是否通过网管等第三方工具对运行状况、网络流量等进行记录 适用版本： 华为路由器 符合性判定 符合：Information Center:enabled； Log host: XXX.XXX.XXX.XXX； Informat

8、ion timestamp setting: log - date, trap - date, debug - date,loghost - date 不符合：Information Center: disabled 备注 4. 检查路由器是否建立本地用户并启用用户认证 测评项编号 ADT-NW-RT-04 要求点 a) 应对登录网络设备的用户进行身份鉴别 测评项名称 检查路由器是否建立本地用户并启用用户认证 测评分项1 得到路由器现有配置中是否具有用户名和口令 操作步骤 执行：1）输入 system-view，进入系统视图。 2）运行命令[

9、Sysname]display current-configuration | begin user-interface 查看：con 0 的配置。导出路由器配置，截取配置图片。 访谈：网络管理员密码策略。 适用版本： 华为路由器 符合性判定 符合：console 口配置密码，密码已加密，运行结果如下： user-interface con 0 authentication-mode password user privilege level 1 set authentication password cipher 不符合： user-interface con 0

10、authentication-mode none 5. 路由器vty口限制登陆地址 测评项编号 ADT-NW-RT-05 要求点 b) 应对网络设备的管理员登录地址进行限制； 测评项名称 检查路由器vty的ACL配置 测评分项1 路由器管理端口访问控制检查。 操作步骤 执行：1）输入 system-view，进入系统视图。 2）运行命令[Sysname]display current-configuration | begin user-interface vty 查看：vty 的配置。导出路由器配置，截取配置图片。 访谈：网络管理员密码策略。

11、适用版本： 华为路由器 符合性判定 符合：配置了VTY 的ACL，运行结果如下： user-interface vty 0 4 acl 2001 inbound 不符合：未配置ACL。 备注 6. 检查路由器用户信息 测评项编号 ADT-NW-RT-06 网络安全：网络设备防护 c) 网络设备用户的标识应唯一； 测评项名称 检查路由器是否建立本地用户并启用用户认证 测评分项1 得到路由器现有配置中是否具有用户名和口令 操作步骤 执行：1）输入 system-view，进入系统视图。 2）运行命令[Sysname]display cur

12、rent-configuration | begin local-user 查看：用户级别配置信息。导出路由器配置，截取配置图片。 适用版本： 华为路由器 符合性判定 符合：启用用户权限级别配置，运行结果如下： local-user user1 password cipher authorization-attribute level 1 service-type telnet local-user user2 password cipher authorization-attribute level 3 service-type ssh …… 不符合：未启用用户

13、权限级别配置。 备注 7. 路由器VTY弱口令检查 测评项编号 ADT-NW-RT-07 要求点 d) 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换 测评项名称 路由器VTY弱口令检查 测评分项1 得到路由器当前vty口配置情况 操作步骤 执行：1）输入 system-view，进入系统视图。 2）运行命令[Sysname]display current-configuration | begin user-interface vty 查看：vty 的配置。导出路由器配置，截取配置图片。 访谈：网络管理员密码策略。 适用

14、版本： 华为路由器 符合性判定 符合：VTY 口口令加密，结果如下： user-interface vty 0 4 set authentication password cipher 不符合： user-interface vty 0 4 set authentication password simple 备注 8. 路由器超时退出非法登陆次数 测评项编号 ADT-NW-RT-08 要求点 e) 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施； 测评项名称 路由器超时退出和非法登陆次数 测评分项1 检查用户

15、是否为VTY远程登陆配置了超时登陆。 操作步骤 执行：1）输入 system-view，进入系统视图。 2）运行命令[Sysname]display current-configuration | begin user-interface vty 查看：vty 的配置。导出路由器配置，截取配置图片。 访谈：网络管理员密码策略。 适用版本： 华为路由器 符合性判定 符合：配置了VTY 超时，运行结果如下： user-interface vty 0 4 idle-timeout 1 30 不符合：无idle-timeout 设置 备注 9. 检查路

16、由器SSH配置 测评项编号 ADT-NW-RT-09 要求点 f) 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听 测评项名称 检查路由器SSH配置 测评分项1 得到路由器SSH是否配置信息。 操作步骤 执行：1）输入 system-view，进入系统视图。 2）运行命令[Sysname]display current-configuration | begin user-interface 查看：con、aux、vty 的配置。导出路由器配置，截取配置图片。 访谈：网络管理员密码策略。 适用版本： 华为路由器 符

17、合性判定 符合：配置了SSH，运行结果如下： user-interface con 0（或者vty） protocol inbound ssh 不符合：无ssh 设置。 备注 测评分项2 路由器SSH协议接口应用情况。 操作步骤 执行：1）运行命令display ssh server status 查看：SSH 配置信息。导出路由器配置，截取配置图片。 适用版本： 华为路由器 符合性判定 符合：配置SSH，运行结果如下： SSH version:XXX 不符合：运行结果如下： SSH server: Disable 备注 10

18、 检查路由器备份冗余情况 测评项编号 ADT-NW-RT-10 要求点 a) 应能够对重要信息进行备份和恢复 测评项名称 检查路由器冗余备份情况 测评分项1 确定重要路由器是否具有冗余备份。 操作步骤 查看：根据拓朴图查看重要路由器是否具有冗余备份并到机房核实。 询问：重要路由器是否进行了冗余备份，确定是热备还是冷备，如果是双机同时运行，询问双机运行方式，是只负载均衡，或是只冗余，还是同时负载均衡加冗余。， 适用版本： 华为路由器 符合性判定 只负载均衡时为不符合，只有冗余或同时负载均衡加冗余时为符合。 备注 11. 检查链路备份冗余备份情况 测评项编

19、号 ADT-NW-RT-11 要求点 b) 应提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性。 测评项名称 检查甸路冗余备份情况 测评分项1 确定重要链路是否具有冗余备份。 操作步骤 查看：根据拓朴图查看重要链路是否具有冗余备份并到机房核实。 询问：重要链路是否进行了冗余备份。， 适用版本： 华为路由器 符合性判定 没有备用链路为不符合，有备用链路时为符合。 备注 12. 检查路由器版本信息 测评项编号 ADT-NW-RT-12 测评项名称 检查路由器版本信息 测评分项1 得到路由器正在运行的版本信息 操作步骤

20、执行：[Device] display current-configuration 适用版本： 华为路由器 符合性判定 # version 5.20, ESS 1907L03 # sysname Device # super authentication-mode scheme …… 备注 13. 检查路由器资源占用情况 测评项编号 ADT-NW-RT-13 测评项名称 检查路由器运行情况 测评分项1 得到路由器正在运行的进程及资源占用情况 操作步骤 执行：任意视图下运行命令display cpu-usage verbose

21、 查看：路由器正在运行的进程。 适用版本： 华为路由器 符合性判定 查看资源占用情况，CPU使用率是否过高 备注 14. 检查路由器启动一致性 测评项编号 ADT-NW-RT-14 测评项名称 检查路由器启动一致性 测评分项1 确定当前运行文件与启动文件一致 操作步骤 执行：display current-configuration； display saved-configuration 查看： 导出路由器当前运行配置与启动配置是否一致。若不一致，访谈管理员，明确不一致的原因。 适用版本： 华为路由器 符合性判定 查看两条命令输出结果是否

22、相同，相同为符合，不相同则不符合。 备注 15. 路由器http服务配置检查 测评项编号 ADT-NW-RT-15 测评项名称 路由器http服务配置检查 测评分项1 得到路由器http服务运行状态 操作步骤 执行：运行命令display current-configuration |begin ip 查看：http 服务运行状态。 适用版本： 华为路由器 符合性判定 符合：未配置http 服务，运行结果如下： undo ip http enable 不符合：配置了http 服务，运行结果如下： ip http enable 备注 16.

23、 检查路由器SNMP服务配置 测评项编号 ADT-NW-RT-16 测评项名称 检查路由器SNMP服务配置 测评分项1 得到路由器的SNMP服务运行状态 操作步骤 执行：运行命令display current-configuration |begin snmp 查看：snmp 服务运行状态。 适用版本： 华为路由器 符合性判定 1） 未启用snmp 服务，无运行结果输出为符合 2） 启用snmp 服务，运行结果如下，询问启动的用途。 snmp-agent snmp-agent local-engineid …… 备注 17. 路由器SNMP配置

24、默认团体字符串检查 测评项编号 ADT-NW-RT-17 测评项名称 路由器SNMP配置默认团体字符串检查 测评分项1 检查路由器是否配置了SNMP agent，且使用的是默认的社区串。 操作步骤 执行：运行命令display current-configuration |begin snmp 查看：snmp 服务配置。 访谈：询问管理员是否有网络管理软件，及开启snmp的作用。 适用版本： 华为路由器 符合性判定 未修改默认配置： snmp-agent community read public 备注 18. 检查路由器SNMP agent配置可

25、写字符串 测评项编号 ADT-NW-RT-18 测评项名称 检查路由器SNMP agent配置可写字符串 测评分项1 检查路由器是否配置了SNMP agent可写字符串。 操作步骤 执行：运行命令display current-configuration |begin snmp 查看：snmp 服务运行状态。 访谈：询问管理员是否有网络管理软件，及开启snmp的作用。 适用版本： 华为路由器 符合性判定 snmp-agent community write 备注 包含红色字体为不符合； 19. 检查路由器SNMP agent ACL访问控制配置 测评

26、项编号 ADT-NW-RT-19 测评项名称 检查路由器SNMP agent ACL访问控制配置 测评分项1 检查路由器是否配置了SNMP agent ACL配置。 操作步骤 执行：运行命令display current-configuration |begin snmp 查看：snmp 服务运行状态 访谈：询问管理员是否有网络管理软件，及开启snmp的作用。 适用版本： 华为路由器 符合性判定 snmp-agent community read xxx acl 2001 备注 不包含绿色字体为不符合； 20. 检查路由器IP源路由服务配置 测评项编号

27、 ADT-NW-RT-20 测评项名称 检查路由器IP源路由服务配置 测评分项1 得到路由器的IP源路由服务运行状态 操作步骤 执行：运行命令display current-configuration |begin ip 查看：source-routing 服务运行状态。 适用版本： 华为路由器 符合性判定 符合：未配置IP 源路由服务，运行结果如下： undo ip option source-routing 不符合：配置IP 源路由服务，运行结果如下： ip option source-routing 备注 21. 检查路由器Bootp服务配置

28、 测评项编号 ADT-NW-RT-21 测评项名称 检查路由器Bootp服务配置 测评分项1 得到路由器Bootp服务运行状态 操作步骤 执行：运行命令display current-configuration |begin ip address 查看：bootp 配置。 适用版本： 华为路由器 符合性判定 符合：未配置bootp 服务。 不符合：配置了bootp 服务，输出如下： ip address bootp-alloc 备注 22. 检查路由器操作人员的管理情况 测评项编号 ADT-NW-RT-22 要求点 d) 应对审计记录进行保

29、护，避免受到未预期的删除、修改或覆盖等 要求点 h) 应实现设备特权用户的权限分离 测评项名称 检查路由器操作人员的管理情况 测评分项1 收集被加固方人员安全配置及策略 操作步骤 访谈：1指定安装、删除、移动路由器人员。 2指定可以操作硬件维护和可以改变路由器物理配置的人 3指定可以对路由器进行物理连接的人员 4确定可以对路由器直接连接端口操作的控制，如Console口等。 5确定路由器物理损坏和窜改事件的紧急恢复方法和步骤。 6指定可以通过直接连接端口如console口与路由器直接相连的人员 7指定可以获取路由器特权

30、的人员 8确定改变路由器静态配置操作的过程（如日志、改变记录、重放过程） 9确定用户和登陆口令的密码策略，包括管理员和特权密码。并确立发生何种意外情况时方可改变用户密码（如密码过期、人员变动、遭到攻击等） 10指定可以远程登陆路由器的人员 11指定可以远程登陆路由器的协议、程序和网络 12确定在路由器静态配置遭到安全威胁、破坏的情况下，恢复的步骤和负责恢复步骤的人员 适用版本： 华为路由器 符合性判定 访谈各项条目的结果，是否有相应的制度、方案、记录和步骤。 备注 23. 检查路由器电源设备 测评项编号 ADT-NW-RT-23 测评项名称 检查路由器

31、电源设备 测评分项1 确定是否具有不间断电源UPS，路由器是否有冗余电源。 操作步骤 执行： display power-supply verbose 查看：电源设置 适用版本： 华为路由器 符合性判定 符合：安装有冗余电源或UPS 设备。 不符合：无冗余电源或UPS 设备。 备注 24. 检查路由器静态配置安全策略 测评项编号 ADT-NW-RT-24 测评项名称 检查路由器静态配置安全策略 测评分项1 得到网络静态配置安全策略 操作步骤 访谈：1确定路由器的审计日志策略，包括日志管理要点的实施、程序和日志审查职责。

32、 2确定对自动远程管理和检测工具的管理程序和限制，如SNMP 3确定检测对路由器进行攻击事件的总体响应程序和准则 4确定密码的管理策略。 适用版本： 华为路由器 符合性判定 访谈各项条目的结果，是否有相应的制度、方案、记录和步骤。 备注 25. 检查路由器banner信息 测评项编号 ADT-NW-RT-25 测评项名称 检查路由器banner信息 测评分项1 得到路由器banner信息是否已经被设置并去除网络信息 操作步骤 执行：display current-configuration |begin header

33、 查看：路由器当前banner 信息 适用版本： 华为路由器 符合性判定 符合：未配置，无结果输出。 不符合：banner 信息包含网络信息 备注 26. 检查路由器NTP服务配置 测评项编号 ADT-NW-RT-26 测评项名称 检查路由器NTP服务配置 测评分项1 得到路由器的NTP服务运行状态 操作步骤 执行：运行命令display current-configuration |begin ntp-service 查看：NTP 服务运行状态。。 适用版本： 华为路由器 符合性判定 符合：启用NTP 服务并指定时间服务器，运行结果如下：

34、 ntp-service source-interface xxx ntp-service unicast-server xxx.xxx.xxx.xxx 不符合：未设置ntp 服务器 备注 27. 检查路由器ACL 测评项编号 ADT-NW-RT-27 测评项名称 检查路由器ACL 测评分项1 检查路由器是否配置了访问控制列表，各访问控制列表的作用，是否存在无效的访问控制规则。 操作步骤 执行： display acl all 查看：路由器ACL 信息。 适用版本： 华为路由器 符合性判定 访谈：询问管理员访问控制列表的作用，是

35、否存在无效的访问控制列表。 备注 28. 检查路由器AAA配置 测评项编号 ADT-NW-RT-28 要求点 测评项名称 检查路由器AAA配置 测评分项1 得到路由器AAA是否配置信息。 操作步骤 执行：1）输入 system-view，进入系统视图。 2）运行命令[Sysname]display current-configuration | begin radius（或hwtacacs） 查看：AAA 配置信息。导出路由器配置，截取配置图片。 适用版本： 华为路由器 符合性判定 符合：配置AAA 了认证，命令运行结果如下： ra

36、dius scheme xxx primary authentication xxx.xxx.xxx.xxx key authentication xxx user-name-format without-domain domain xxx authentication login radius-scheme xxx authorization login none authentication super radius-scheme xxx …… 或者 hwtacacs scheme xxx primary authentication xxx.xxx.xxx.xxx key authentication expert user-name-format without-domain domain xxx authentication login hwtacacs-scheme xxx authorization login none authentication super hwtacacs-scheme xxx …… 不符合：未配置AAA 认证。 备注