10-SGISLOP-SA11-10网络设备HW等级保护测评作业指导书(四级).doc

1、控制编号：SGISL/OP-SA11-10信息安全等级保护测评作业指导书网络设备华为（三级）版 号：第 2 版修 改 次 数：第 0 次生 效 日 期：2010年01月06日中国电力科学研究院信息安全实验室修改页修订号控制编号版号/章节号修改人修订原因批准人批准日期备注1SGISL/OP-SA11-10李梦涛按公安部要求修订詹雄2010.3.8- 13 -目录网络设备华为（三级）11.检查网络边界防护情况12.检查路由器安全策略精度13.检查路由器日志功能14.检查路由器是否建立本地用户并启用用户认证25.路由器vty口限制登陆地址26.检查路由器用户信息37.路由器VTY弱口令检查38.路由

2、器超时退出非法登陆次数49.检查路由器SSH配置410.检查路由器备份冗余情况511.检查链路备份冗余备份情况612.检查路由器版本信息613.检查路由器资源占用情况614.检查路由器启动一致性715.路由器http服务配置检查716.检查路由器SNMP服务配置717.路由器SNMP配置默认团体字符串检查818.检查路由器SNMP agent配置可写字符串819.检查路由器SNMP agent ACL访问控制配置820.检查路由器IP源路由服务配置921.检查路由器Bootp服务配置922.检查路由器操作人员的管理情况1023.检查路由器电源设备1024.检查路由器静态配置安全策略1125.检

3、查路由器banner信息1126.检查路由器NTP服务配置1127.检查路由器ACL1228.检查路由器AAA配置12中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA11-10第 13 页 共 56 页网络设备HW等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期：2010年01月06日1. 检查网络边界防护情况测评项编号ADT-NW-RT-01要求点a) 应在网络边界部署访问控制设备，启用访问控制功能。测评项名称检查网络边界防护情况测评分项1确定网络边界是否部署了防火墙、IPS等安全设备，是否开启了访问控制功能。操作步骤查看：根据拓朴图查看网络边界是否部署了防火

4、墙、IPS等安全设备，是否开启了访问控制功能，并登陆相应设备查看是否设备了安全策略。询问：网络边界是否部署了防火墙、IPS等安全设备，是否开启了访问控制功能。适用版本：符合性判定网络边界是否部署了防火墙、IPS等安全设备，开启了访问控制功能为符合，否则为不符合。备注2. 检查路由器安全策略精度测评项编号ADT-NW-RT-02要求点b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。测评项名称检查路由器安全策略精度测评分项1得到网络安全策略精度操作步骤访谈：查看访问控制策略列表，查看防火墙是否存在无用策略、重复策略、无效策略；查看：登陆路由器查看访问控制策略（A

5、CL）是否能够达到网段级。如：是否划分了VLAN，VLAN间是否有访问控制策略等。适用版本：符合性判定精度达到网段级为符合，否则为不符合。备注3. 检查路由器日志功能测评项编号ADT-NW-RT-03要求点a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录测评项名称检查路由器日志审核测评分项1检查路由器是否配置了日志审核机制。操作步骤访谈：询问管理员日志的存储策略和审计策略，是否有日志服务器。执行：运行命令 display info-center查看：路由器日志审核状态。导出路由器配置，截取配置图片。检查是否通过网管等第三方工具对运行状况、网络流量等进行记录适用版本：华为

6、路由器符合性判定符合：Information Center:enabled；Log host: XXX.XXX.XXX.XXX；Information timestamp setting:log - date, trap - date, debug - date,loghost - date不符合：Information Center: disabled备注4. 检查路由器是否建立本地用户并启用用户认证测评项编号ADT-NW-RT-04要求点a) 应对登录网络设备的用户进行身份鉴别测评项名称检查路由器是否建立本地用户并启用用户认证测评分项1得到路由器现有配置中是否具有用户名和口令操作步骤执行：

7、1）输入 system-view，进入系统视图。2）运行命令Sysnamedisplay current-configuration | begin user-interface查看：con 0 的配置。导出路由器配置，截取配置图片。访谈：网络管理员密码策略。适用版本：华为路由器符合性判定符合：console 口配置密码，密码已加密，运行结果如下：user-interface con 0authentication-mode passworduser privilege level 1set authentication password cipher不符合：user-interface co

8、n 0authentication-mode none5. 路由器vty口限制登陆地址测评项编号ADT-NW-RT-05要求点b) 应对网络设备的管理员登录地址进行限制；测评项名称检查路由器vty的ACL配置测评分项1路由器管理端口访问控制检查。操作步骤执行：1）输入 system-view，进入系统视图。2）运行命令Sysnamedisplay current-configuration | begin user-interface vty查看：vty 的配置。导出路由器配置，截取配置图片。访谈：网络管理员密码策略。适用版本：华为路由器符合性判定符合：配置了VTY 的ACL，运行结果如下：u

9、ser-interface vty 0 4acl 2001 inbound不符合：未配置ACL。备注6. 检查路由器用户信息测评项编号ADT-NW-RT-06网络安全：网络设备防护c) 网络设备用户的标识应唯一；测评项名称检查路由器是否建立本地用户并启用用户认证测评分项1得到路由器现有配置中是否具有用户名和口令操作步骤执行：1）输入 system-view，进入系统视图。2）运行命令Sysnamedisplay current-configuration | begin local-user查看：用户级别配置信息。导出路由器配置，截取配置图片。适用版本：华为路由器符合性判定符合：启用用户权限级

10、别配置，运行结果如下：local-user user1password cipherauthorization-attribute level 1service-type telnetlocal-user user2password cipherauthorization-attribute level 3service-type ssh不符合：未启用用户权限级别配置。备注7. 路由器VTY弱口令检查测评项编号ADT-NW-RT-07要求点d) 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换测评项名称路由器VTY弱口令检查测评分项1得到路由器当前vty口配置情况操作步骤执行：

11、1）输入 system-view，进入系统视图。2）运行命令Sysnamedisplay current-configuration | begin user-interface vty查看：vty 的配置。导出路由器配置，截取配置图片。访谈：网络管理员密码策略。适用版本：华为路由器符合性判定符合：VTY 口口令加密，结果如下：user-interface vty 0 4set authentication password cipher不符合：user-interface vty 0 4set authentication password simple备注8. 路由器超时退出非法登陆次数测

12、评项编号ADT-NW-RT-08要求点e) 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；测评项名称路由器超时退出和非法登陆次数测评分项1检查用户是否为VTY远程登陆配置了超时登陆。操作步骤执行：1）输入 system-view，进入系统视图。2）运行命令Sysnamedisplay current-configuration | begin user-interface vty查看：vty 的配置。导出路由器配置，截取配置图片。访谈：网络管理员密码策略。适用版本：华为路由器符合性判定符合：配置了VTY 超时，运行结果如下：user-interfa

13、ce vty 0 4idle-timeout 1 30不符合：无idle-timeout 设置备注9. 检查路由器SSH配置测评项编号ADT-NW-RT-09要求点f) 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听测评项名称检查路由器SSH配置测评分项1得到路由器SSH是否配置信息。操作步骤执行：1）输入 system-view，进入系统视图。2）运行命令Sysnamedisplay current-configuration | begin user-interface查看：con、aux、vty 的配置。导出路由器配置，截取配置图片。访谈：网络管理员密码策略

14、。适用版本：华为路由器符合性判定符合：配置了SSH，运行结果如下：user-interface con 0（或者vty）protocol inbound ssh不符合：无ssh 设置。备注测评分项2路由器SSH协议接口应用情况。操作步骤执行：1）运行命令display ssh server status查看：SSH 配置信息。导出路由器配置，截取配置图片。适用版本：华为路由器符合性判定符合：配置SSH，运行结果如下：SSH version:XXX不符合：运行结果如下：SSH server: Disable备注10. 检查路由器备份冗余情况测评项编号ADT-NW-RT-10要求点a) 应能够对重

15、要信息进行备份和恢复测评项名称检查路由器冗余备份情况测评分项1确定重要路由器是否具有冗余备份。操作步骤查看：根据拓朴图查看重要路由器是否具有冗余备份并到机房核实。询问：重要路由器是否进行了冗余备份，确定是热备还是冷备，如果是双机同时运行，询问双机运行方式，是只负载均衡，或是只冗余，还是同时负载均衡加冗余。，适用版本：华为路由器符合性判定只负载均衡时为不符合，只有冗余或同时负载均衡加冗余时为符合。备注11. 检查链路备份冗余备份情况测评项编号ADT-NW-RT-11要求点b) 应提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性。测评项名称检查甸路冗余备份情况测评分项1确定重要

16、链路是否具有冗余备份。操作步骤查看：根据拓朴图查看重要链路是否具有冗余备份并到机房核实。询问：重要链路是否进行了冗余备份。，适用版本：华为路由器符合性判定没有备用链路为不符合，有备用链路时为符合。备注12. 检查路由器版本信息测评项编号ADT-NW-RT-12测评项名称检查路由器版本信息测评分项1得到路由器正在运行的版本信息操作步骤执行：Device display current-configuration适用版本：华为路由器符合性判定#version 5.20, ESS 1907L03#sysname Device#super authentication-mode scheme备注13.

17、 检查路由器资源占用情况测评项编号ADT-NW-RT-13测评项名称检查路由器运行情况测评分项1得到路由器正在运行的进程及资源占用情况操作步骤执行：任意视图下运行命令display cpu-usage verbose查看：路由器正在运行的进程。适用版本：华为路由器符合性判定查看资源占用情况，CPU使用率是否过高备注14. 检查路由器启动一致性测评项编号ADT-NW-RT-14测评项名称检查路由器启动一致性测评分项1确定当前运行文件与启动文件一致操作步骤执行：display current-configuration；display saved-configuration查看： 导出路由器当前运

18、行配置与启动配置是否一致。若不一致，访谈管理员，明确不一致的原因。适用版本：华为路由器符合性判定查看两条命令输出结果是否相同，相同为符合，不相同则不符合。备注15. 路由器http服务配置检查测评项编号ADT-NW-RT-15测评项名称路由器http服务配置检查测评分项1得到路由器http服务运行状态操作步骤执行：运行命令display current-configuration |begin ip查看：http 服务运行状态。适用版本：华为路由器符合性判定符合：未配置http 服务，运行结果如下：undo ip http enable不符合：配置了http 服务，运行结果如下：ip http

19、 enable备注16. 检查路由器SNMP服务配置测评项编号ADT-NW-RT-16测评项名称检查路由器SNMP服务配置测评分项1得到路由器的SNMP服务运行状态操作步骤执行：运行命令display current-configuration |begin snmp查看：snmp 服务运行状态。适用版本：华为路由器符合性判定1） 未启用snmp 服务，无运行结果输出为符合2） 启用snmp 服务，运行结果如下，询问启动的用途。snmp-agentsnmp-agent local-engineid备注17. 路由器SNMP配置默认团体字符串检查测评项编号ADT-NW-RT-17测评项名称路由器

20、SNMP配置默认团体字符串检查测评分项1检查路由器是否配置了SNMP agent，且使用的是默认的社区串。操作步骤执行：运行命令display current-configuration |begin snmp查看：snmp 服务配置。访谈：询问管理员是否有网络管理软件，及开启snmp的作用。适用版本：华为路由器符合性判定未修改默认配置：snmp-agent community read public备注18. 检查路由器SNMP agent配置可写字符串测评项编号ADT-NW-RT-18测评项名称检查路由器SNMP agent配置可写字符串测评分项1检查路由器是否配置了SNMP agent可

21、写字符串。操作步骤执行：运行命令display current-configuration |begin snmp查看：snmp 服务运行状态。访谈：询问管理员是否有网络管理软件，及开启snmp的作用。适用版本：华为路由器符合性判定snmp-agent community write备注包含红色字体为不符合；19. 检查路由器SNMP agent ACL访问控制配置测评项编号ADT-NW-RT-19测评项名称检查路由器SNMP agent ACL访问控制配置测评分项1检查路由器是否配置了SNMP agent ACL配置。操作步骤执行：运行命令display current-configurat

22、ion |begin snmp查看：snmp 服务运行状态访谈：询问管理员是否有网络管理软件，及开启snmp的作用。适用版本：华为路由器符合性判定snmp-agent community read xxx acl 2001备注不包含绿色字体为不符合；20. 检查路由器IP源路由服务配置测评项编号ADT-NW-RT-20测评项名称检查路由器IP源路由服务配置测评分项1得到路由器的IP源路由服务运行状态操作步骤执行：运行命令display current-configuration |begin ip查看：source-routing 服务运行状态。适用版本：华为路由器符合性判定符合：未配置IP

23、源路由服务，运行结果如下：undo ip option source-routing不符合：配置IP 源路由服务，运行结果如下：ip option source-routing备注21. 检查路由器Bootp服务配置测评项编号ADT-NW-RT-21测评项名称检查路由器Bootp服务配置测评分项1得到路由器Bootp服务运行状态操作步骤执行：运行命令display current-configuration |begin ip address查看：bootp 配置。适用版本：华为路由器符合性判定符合：未配置bootp 服务。不符合：配置了bootp 服务，输出如下：ip address boo

24、tp-alloc备注22. 检查路由器操作人员的管理情况测评项编号ADT-NW-RT-22要求点d) 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等要求点h)应实现设备特权用户的权限分离测评项名称检查路由器操作人员的管理情况测评分项1收集被加固方人员安全配置及策略操作步骤访谈：1指定安装、删除、移动路由器人员。 2指定可以操作硬件维护和可以改变路由器物理配置的人 3指定可以对路由器进行物理连接的人员 4确定可以对路由器直接连接端口操作的控制，如Console口等。 5确定路由器物理损坏和窜改事件的紧急恢复方法和步骤。6指定可以通过直接连接端口如console口与路由器直接相连的人员7

25、指定可以获取路由器特权的人员8确定改变路由器静态配置操作的过程（如日志、改变记录、重放过程）9确定用户和登陆口令的密码策略，包括管理员和特权密码。并确立发生何种意外情况时方可改变用户密码（如密码过期、人员变动、遭到攻击等）10指定可以远程登陆路由器的人员11指定可以远程登陆路由器的协议、程序和网络12确定在路由器静态配置遭到安全威胁、破坏的情况下，恢复的步骤和负责恢复步骤的人员适用版本：华为路由器符合性判定访谈各项条目的结果，是否有相应的制度、方案、记录和步骤。备注23. 检查路由器电源设备测评项编号ADT-NW-RT-23测评项名称检查路由器电源设备测评分项1确定是否具有不间断电源UPS，路

26、由器是否有冗余电源。操作步骤执行： display power-supply verbose查看：电源设置适用版本：华为路由器符合性判定符合：安装有冗余电源或UPS 设备。不符合：无冗余电源或UPS 设备。备注24. 检查路由器静态配置安全策略测评项编号ADT-NW-RT-24测评项名称检查路由器静态配置安全策略测评分项1得到网络静态配置安全策略操作步骤访谈：1确定路由器的审计日志策略，包括日志管理要点的实施、程序和日志审查职责。 2确定对自动远程管理和检测工具的管理程序和限制，如SNMP 3确定检测对路由器进行攻击事件的总体响应程序和准则 4确定密码的管理策略。适用版本：华为路由器符合性判定

27、访谈各项条目的结果，是否有相应的制度、方案、记录和步骤。备注25. 检查路由器banner信息测评项编号ADT-NW-RT-25测评项名称检查路由器banner信息测评分项1得到路由器banner信息是否已经被设置并去除网络信息操作步骤执行：display current-configuration |begin header查看：路由器当前banner 信息适用版本：华为路由器符合性判定符合：未配置，无结果输出。不符合：banner 信息包含网络信息备注26. 检查路由器NTP服务配置测评项编号ADT-NW-RT-26测评项名称检查路由器NTP服务配置测评分项1得到路由器的NTP服务运行状态

28、操作步骤执行：运行命令display current-configuration |begin ntp-service查看：NTP 服务运行状态。适用版本：华为路由器符合性判定符合：启用NTP 服务并指定时间服务器，运行结果如下：ntp-service source-interface xxxntp-service unicast-server xxx.xxx.xxx.xxx不符合：未设置ntp 服务器备注27. 检查路由器ACL 测评项编号ADT-NW-RT-27测评项名称检查路由器ACL测评分项1检查路由器是否配置了访问控制列表，各访问控制列表的作用，是否存在无效的访问控制规则。操作步骤执

29、行： display acl all查看：路由器ACL 信息。适用版本：华为路由器符合性判定访谈：询问管理员访问控制列表的作用，是否存在无效的访问控制列表。备注28. 检查路由器AAA配置测评项编号ADT-NW-RT-28要求点测评项名称检查路由器AAA配置测评分项1得到路由器AAA是否配置信息。操作步骤执行：1）输入 system-view，进入系统视图。2）运行命令Sysnamedisplay current-configuration | begin radius（或hwtacacs）查看：AAA 配置信息。导出路由器配置，截取配置图片。适用版本：华为路由器符合性判定符合：配置AAA 了

30、认证，命令运行结果如下：radius scheme xxxprimary authentication xxx.xxx.xxx.xxxkey authentication xxxuser-name-format without-domaindomain xxxauthentication login radius-scheme xxxauthorization login noneauthentication super radius-scheme xxx或者hwtacacs scheme xxxprimary authentication xxx.xxx.xxx.xxxkey authentication expertuser-name-format without-domaindomain xxxauthentication login hwtacacs-scheme xxxauthorization login noneauthentication super hwtacacs-scheme xxx不符合：未配置AAA 认证。备注