10-SGISLOP-SA11-10 网络设备HW等级保护测评作业指导书(四级)
15-SGISLOP-SA17-10IDS等级保护测评作业指导书(三级)
无
符合性判定
防火墙的管理员具备独立的审计账户,仅具有查看权限,判定结果为符合
上述情况不满足,判定结果为不符合
备注
四、备份和恢复
1.备份
测评项编号
ADT-FW-01
对应要求
应制定设备配置数据备份策略,对IDS日志及安全策略进行备份
测评项名称
备份
测评分项1:IDS日志及安全策略的备份
操作步骤
查看IDS的日志及安全策略是否依据制定的数据备份策略实施
适用版本
任何版本
实施风险
无
符合性判定
依据数据备份策略实施,判定结果为符合;
未依据数据备份策略实施,判定结果为不符合。
备注
适用版本
所有内容
实施风险
无
符合性判定
使用双因子身份鉴别方式,判定结果为符合
未使用双因子身份鉴别方式,判定结果为不符合备注2.身鉴别方式的防护测评项编号
ADT-FW-04
对应要求
身份鉴别信息应具有不易被冒用的特点
测评项名称
身份鉴别
测评分项1:修改默认帐号及口令
操作步骤
使用默认帐号及口令,通过WEB界面和Console口方式登陆IDS
ADT-FW-04
对应要求
应对设备运行状况、网络流量等进行日志记录
测评项名称
日志记录
测评分项1:记录IDS的管理行为、设备运行状况和网络异常流量。
操作步骤
查看IDS日志,是否存在设备运行状况和网络异常流量等相关日志记录
适用版本
任何产品
实施风险
无
符合性判定
存在防火墙的管理行为、网络流量等相关日志记录,判定结果为符合
包含上述内容不全面,判定结果为不符合
等保测评技术方案
一、等级保护测评方案(一)测评范围与方法《基本要求》中对不同等级信息系统的安全功能和措施作出具体要求,信息安全等级测评要根据信息系统的等级从中选取相应等级的安全测评指标,并根据《测评要求》的要求,对信息系统实施安全现状测评。
因此,本次测评将根据信息系统的等级选取相应级别的测评指标。
1.测评指标三级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的3级通用指标类(G3),3级业务信息安全性指标类(S3)和3级业务服务保证类(A3)。
所包括的安全控制指标类型情况具体如下表:系统测评指标统计列表二级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的2级通用指标类(G2),2级业务信息安全性指标类(S2)和2级业务服务保证类(A2)。
所包括的安全控制指标类型情况具体如下表特殊指标无。
(二)测评对象1.测评对象选择方法测评对象包括网络互联与安全设备操作系统、应用软件系统、主机操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。
选择过程中综合考虑了信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素,并兼顾了工作投入与结果产出两者的平衡关系。
2.测评对象选择结果2.1.物理机房测评对象-物理机房列表2.2.网络设备测评对象-网络设备列表3.安全设备测评对象-安全设备列表4.服务器或存储设备测评对象-服务器或存储设备列表5.终端或现场设备测评对象-终端或现场设备列表6.系统管理软件或平台测评对象-系统管理软件或平台列表7.业务应用系统或平台测评对象-业务应用系统或平台列表8.关键数据类型测评对象-关键数据类型列表测评对象-数据类型列表9.安全相关人员测评对象-安全相关人员列表10.安全管理文档测评对象-安全管理文档列表(三)测评方法本次等级测评现场实施过程中将综合采用访谈、检查和测试等测评方法。
1.访谈访谈是指测评人员通过与被测系统有关人员(个人/群体)进行交流、询问等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。
等级保护测评指导书
1物理安全测评指导书1.1机房安全测评序号测评指标测评项检查方法预期结果1物理位置的选择a)通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。
访谈:询问物理安全负责人,现有机房和办公场地的环境条件是否具有基本的防震、防风和防雨能力。
检查:检查机房和办公场地的设计/验收文档,查看机房和办公场所的物理位置选择是否符合要求。
机房和办公场地的设计/验收文档中有关于机房和办公场所的物理位置选择的内容,并符合防震、防风和防雨能力要求。
b)通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。
检查:检查机房场地是否避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;检查机房场地是否避免设在强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生水灾、火灾、易遭受雷击的地区。
1)机房没有在建筑物的高层或地下室,附近无用水设备; 2)机房附近无强电场、强磁场、强震动源、强噪声源、重度环境污染,机房建筑地区不发生水灾、火灾,不易遭受雷击。
2物理访问控制a)检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。
访谈: 1)询问物理安全负责人,了解具有哪些控制机房进出的能力,是否安排专人值守; 2)访谈机房值守人员,询问是否认真执行有关机房出入的管理制度,是否对进入机房的人员记录在案。
1)有专人值守和电子门禁系统; 2)出入机房需要登记,有相关记录。
b)检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。
访谈:询问物理安全负责人,了解是否有关于机房来访人员的申请和审批流程,是否限制和监控其活动范围。
检查:检查是否有来访人员进入机房的审批记录。
1)来访人员进入机房需经过申请、审批流程并记录;2)进入机房有机房管理人员陪同并监控和限制其活动范围。
c)检查机房出入口等过程,测评信息系统在物理访问控访谈:访谈物理安全负责人,是否对机房进行了划分区域管理,是否对各个区域都有专门的管理要求;检1)对机房进行了划分区域管理; 2)对各个区域都有专门的管理要求。
新版52-SGISLOP-SA92-10 系统建设管理等级保护测评作业指导书(四级)
控制编号:SGISL/OP-SA92-10信息安全等级保护测评作业指导书系统建设管理(三级)版号:第 2 版修改次数:第0 次生效日期:2010年01月06日中国电力科学研究院信息安全实验室修改页一、系统定级1.信息系统边界和安全保护等级2.信息系统定级方法和理由3.定级结果论证和审定4.定级结果经过相关部门批准二、安全方案设计1.选择基本安全措施及补充调整2.安全建设总体规划3.细化系统安全方案4.安全技术专家论证和审定5.安全方案调整和修订三、产品采购和使用1.安全产品采购和使用符合国家有关规定2.保密码产品采购和使用符合国家密码主管部门要求3.专门部门负责产品采购4.预先产品选型测试四、自行软件开发1.开发环境与实际运行环境物理分开,测试数据和测试结果受到控制2.软件开发管理制度3.代码编写安全规范4.软件设计相关文档和使用指南5.程序资源库修改、更新、发布进行授权和批准五、外包软件开发1.软件质量测试2.检测软件包恶意代码3.软件设计相关文档和使用指南4.软件源代码检查六、工程实施1.工程实施管理2.工程实施方案3.工程实施管理制度七、测试验收1.第三方安全性测试2.安全性测试验收报告3.书面规定测试验收的控制方法和人员行为准则4.系统测试验收授权及完成5.测试验收报告审定八、系统交付1.系统交付清单2.运行维护技术人员技能培训3.系统运行维护文档4.书面规定系统交付的控制方法和人员行为准则5.系统交付管理工作授权及完成九、系统备案1.系统定级材料管理2.系统主管部门备案3.备案材料报送相应公安机关备案十、等级测评1.每年一次等级测评及整改2.系统变更进行等级测评3.测评单位技术资质和安全资质4.授权专门部门或人员负责等级测评管理十一、安全服务商选择1.安全服务商选择合规2.安全服务商协议3.安全服务商服务合同。
等保四级-安全技术-主机系统安全
5.测试主要服务器操作系统和主要数据库管理系统,依据系统文档描述的强制访问控制模型,以授权用户和非授权用户身份访问客体,验证是否只有授权用户可以访问客体,而非授权用户不能访问客体:
否 □是 □
6.渗透测试主要服务器操作系统和主要数据库管理系统,可通过非法终止强制访问模块,非法修改强制访问相关规则,使用假冒身份等方式,测试强制访问控制是否安全、可靠:
d)如果16中没有常见的绕过认证方式进行系统登录的方法,则该项为肯定;
e)5-13均为肯定,则信息系统符合本单元测评项要求
测试类别
等级测评(四级)
测试对象
安全技术
测 试 类
主机系统安全
测 试 项
自主访问控制
测试要求:
1.应依据安全策略控制用户对客体的访问;
2.自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作;
否□是□
9.测试主要服务器操作系统和主要数据库管理系统,可通过错误的用户名和口令试图登录系统,验证鉴别失败处理功能是否有效:
否□是□
10.测试主要服务器操作系统和主要数据库管理系统,当进入系统时,是否先需要进行标识(如建立账号),而没有进行标识的用户不能进入系统:
否□是□
11.测试主要服务器操作系统和主要数据库管理系统,添加一个新用户,其用户标识为系统原用户的标识(如用户名或UID),查看是否不会成功:
否 □是 □
9.查看主要服务器操作系统,查看匿名/默认用户是否已被禁用
否 □是 □
10.测试主要服务器操作系统和主要数据库管理系统,依据系统访问控制的安全策略,试图以未授权用户身份/角色访问客体,验证是否不能进行访问
否 □是 □
测试结果:□符合□部分符合□不符合
HW智能网维护作业指导书(最新版)
完成备份、文件转储。
核对当月BAM上的话单文件(缺省目录为 D:\BILL\)
查看是否一至
删除六个月以前的原始话单、告警文件、日志 等;检查磁盘空间,删除没有必要的备份文件 或将备份文件转至其他磁介质上。
空闲空间应保持硬盘容量的一半。
安装公司规定使用的防病毒软件,做好话单和 查杀结束应保证无任何病毒 数据库备份,查杀病毒,结束后安全卸载。
5 1
月
2 3
建立MTP话务统计任务 BAM操作系统防病毒检查 密码修改 中心局机房温、湿度
季
1
1 2
主机软件版本查询
3
补丁运行状态查询
4
告警箱面板告警查询
5
告警台中告警查询
6
中继电路和链路状态查 询
7
查看话务统计结果
8
磁盘BAM磁盘剩余空间 检查
9
BAM操作系统安全检查
1
检查交换机时间
2
数据备份、转储
进入业务维护系统的命令行窗口,执行命令 DSP BRD查看主用MPU板的状态。
应有显示“备份完成”
onstat -d
cmviewcl -v
ontape -s -L 0 make_tape recovery -Av 在系统发生严重异常时,能保证重要 数据不丢失 建议由专业技术人员配合华为工程师 执行 当OAMAgent自己检测到诸如CPU占用率 过高,硬盘空间不足等问题时,及时 发出警通知维护人员采取必要措施, 避免事故发生。 重要目录的空间耗尽会导致系统宕机, 要求空间占用率〈80% 内存不足会影响性能,严重时会导致 进程无法启动、业务中断。 正常情况下,CPU的平均负荷应小于 85%,连续观察10分钟,如果话务量不 大,而CPU平均负荷一直大于85%,则 说明系统过负荷,需要查明原因。 数据库空闲空间较少时,会导致不能 发卡、话单不入库,严重时会导致业 务中断。 双机状态不正常,将会使系统存在巨 大安全隐患,可能导致切换不成功或 是切换后系统异常。 每月至少清洗一次磁带机,以防磁带 读写失效 使用杀毒软件定期检测是否染上病毒 。 ontape -s -L 0 对SMAP的密码进行修改 make_tape recovery -Av 用户口令涉及到系统的安全,必须定 期进行修改。 在系统发生严重异常时,能保证重要 数据不丢失
12-SGISLOP-SA14-10防火墙等级保护测评作业指导书三级
控制编号:SGISL/OP-SA14-10
信息安全等级保护测评作业指导书
防火墙(三级)
版号:第2 版
修改次数:第0 次
生效日期:2010年01月06日中国电力科学研究院信息安全实验室
修改页
一、网络访问控制访问1.端口级的访问控制
2.协议命令级的网络访问控制
3.会话连接超时处理
4.网络流量和最接数的限制
二、安全审计
1.日志记录
2.日志分析
3.审计记录的保护
三、设备防护1.身份鉴别
2.设备管理地址的限制
3.身份标识唯一
4.身份鉴别信息不易被冒用
5.双因子身份鉴别
6.登录失败和超时处理
7.远程管理信息的性
8.特权用户权限分离。
系统建设的管理等级保护测评作业指导书四级
---------------------考试---------------------------学资学习网---------------------押题------------------------------格式WORD.可编辑SGISL/OP-SA92-10 控制编号:信息安全等级保护测评作业指导书系统建设管理(三级)版号:第 2 版第 0 次数:次修改2010年01 生效日期:月06日中国电力科学研究院信息安全实验室整理分享.技术资料WORD格式.可编辑整理分享.技术资料WORD格式.可编辑修改页整理分享.技术资料WORD格式.可编辑一、系统定级2.信息系统定级方法和理由整理分享.技术资料WORD格式.可编辑整理分享.技术资料WORD格式.可编辑关的论证和审定记录,判定结果为符合;如果未组织相关部门和有关二、安全方案设计.选择基本安全措施及补充调整1整理分享.技术资料WORD格式.可编辑整理分享.技术资料WORD格式.可编辑操作步骤询问是否指定和授权专门的部门对信息系统的安全建设进访谈管理员, 3.细化系统安全方案整理分享.技术资料WORD格式.可编辑4.安全技术专家论证和审定整理分享.技术资料WORD格式.可编辑备注.安全方案调整和修订5三、产品采购和使用整理分享.技术资料WORD格式.可编辑整理分享.技术资料WORD格式.可编辑整理分享.技术资料WORD格式.可编辑四、自行软件开发1.开发环境与实际运行环境物理分开,测试数据和测试结果受到控制整理分享.技术资料WORD格式.可编辑整理分享.技术资料WORD格式.可编辑是否明确哪些开发活验收过程的控制方法和人员行为准则,发、测试、整理分享.技术资料WORD格式.可编辑整理分享.技术资料WORD格式.可编辑:检查程序资源库的修改、更新、发布进行授权和批准。
测评分项1整理分享.技术资料WORD格式.可编辑合;判定结果为如果软件交付使用前,未根据相关的要求测试软件的整理分享.技术资料WORD格式.可编辑整理分享.技术资料WORD格式.可编辑适用版本任何版本整理分享.技术资料WORD格式.可编辑备注整理分享.技术资料WORD格式.可编辑整理分享.技术资料WORD格式.可编辑七、测试验收整理分享.技术资料WORD格式.可编辑整理分享.技术资料WORD格式.可编辑整理分享.技术资料WORD格式.可编辑整理分享.技术资料WORD格式.可编辑备注.运行维护技术人员技能培训2整理分享.技术资料WORD格式.可编辑整理分享.技术资料WORD格式.可编辑整理分享.技术资料WORD格式.可编辑5.系统交付管理工作授权及完成整理分享.技术资料WORD格式.可编辑备注整理分享.技术资料WORD格式.可编辑整理分享.技术资料WORD格式.可编辑整理分享.技术资料WORD格式.可编辑2.系统变更进行等级测评3.测评单位技术资质和安全资质整理分享.技术资料WORD格式.可编辑测评项编号ADT-JSGL-10对应要求应选择具有国家相关技术资质和安全资整理分享.技术资料WORD格式.可编辑整理分享.技术资料WORD格式.可编辑整理分享.技术资料WORD格式.可编辑。
等级保护测评指导书----网络部分
结构安全(G3、G2
、G1)
访问控(G1、、G3)
应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP 、TELNET、SMTP、POP3等协议命
令级的控制。
重要网段应采取技术手段防止地址欺骗。
等进行日志记录。
网络安全(可使用配置核查
工具Nipper、远程管理
工具SecureCR T、漏洞扫描工具Nessus)
应对网络系统中的网络设备
审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的
信息。
(可使用
配置核查
工具
Nipper、
远程管理Array工具
SecureCR
T、漏洞
扫描工具Nessus)
安全审计
(G2、
G3)
应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
G1G2G3
重要a) 应对登录网络设备的用户进
行身份鉴别。
地址进行限制。
网络设备防护(G1、G2、
G3)。
28_SGISLOP_SA38_10_AIX等级保护测评作业指导书(四级)
控制编号:SGISL/OP-SA38-10
信息安全等级保护测评作业指导书
AIX主机(三级)
版号:第 2 版
修改次数:第 0 次
生效日期:2010年01月06日
中国电力科学研究院信息安全实验室
一、身份鉴别
1.用户身份标识和鉴别
2.账号口令强度
3.登录失败处理策略
4.远程管理方式
5.账户分配及用户名唯一性
6.双因子身份鉴别
二、访问控制
1.检查文件访问控制策略
2.数据库系统特权用户权限分离
3.特权用户权限分离
4.默认账户访问权限
5.多余及过期账户
6.基于标记的访问控制
三、安全审计
1.开启日志审核功能
2.日志审计内容
3.审计进程保护
四、剩余信息保护(HPUX系统不适用)
五、入侵防范
1.入侵防范
五、恶意代码防范(AIX系统不适用)
六、资源控制
1.终端登录限制
2.终端操作超时锁定
3.单个用户系统资源使用限制。
32_SGISLOP_SA49_10MSSQLserver等级保护测评作业指导书(二级)
适用版本
所有Sql server版本数据库
实施风险
无
符合性判定
只将Xp_cmdshell权限授予sysadmin角色的成员,判定结果为符合;
将Xp_cmdshell权限授予sysadmin角色以外的用户,判定结果为不符合。
备注
测评项编号
ADT-DB-MSSQL-09
对应要求
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
测评项名称
补丁升级
测评分项:检查系统补丁安装情况
操作步骤
执行:1)查看SQL Server版本信息
select serverproperty('Edition')
select serverproperty('ProductLevel')
备注
测评项编号
ADT-DB-MSSQL-03
对应要求
应对登录操作系统和数据库系统的用户进行身份标识和鉴别。
测评项名称
检查Windows SQL Server账户
测评分项:
操作步骤
执行:1)在SQL查询分析器或其他工具中执行命令:
select name from syslogins,查看用户名。
适用版本
测评项名称
示例数据库
测评分项:检查示例数据库
操作步骤
查看:在企业管理器中,检查并记录是否删除了数据库安装时生成的示例数据库pubs和northwind。
适用版本
所有Sql server版本数据库
实施风险
无
符合性判定
已删除示例数据库,判定结果为符合;
华为光传输设备检修标准化作业指导书.
华为光传输设备检修标准化作业指导书目次1 范围 . (4)2 规范性引用文件 (4)3 术语和定义 (4)4 检修前准备 ....................................................................... 4 4.1 准备工作安排 . ................................................................ 4 4.2 劳动组织及人员要求 ........................................................... 4 4.2.1 劳动组织 .................................................................................................................. 4 4.2.2 人员要求 .................................................................................................................. 5 4.3 备品备件与材料 . .............................................................. 5 4.4 工器具与仪器仪表 . ........................................................... 11 4.5 技术资料 . ................................................................... 13 4.6 安全设施布置图 . ............................................................. 13 4.7 检修前设备设施状态 (14)4.8 风险分析与预防控制措施 (14)5 流程图 . ......................................................................... 14 5.1 检修组织流程图 . (14)5.2 检修作业流程图 . (14)6 检修程序与作业规范 (15)7 报告与记录 (28)8 绩效指标 (28)前言本标准化作业指导书是为规范华为光传输设备检修标准化作业而制定的。
28_SGISLOP_SA380AIX等级保护测评作业指导书[四级]
![28_SGISLOP_SA380AIX等级保护测评作业指导书[四级]](https://img.taocdn.com/s3/m/500aa5d69b89680203d825c0.png)
控制编号:SGISL/OP-SA38-10
信息安全等级保护测评作业指导书
AIX主机(三级)
版号:第 2 版
修改次数:第 0 次
生效日期:2010年01月06日
中国电力科学研究院信息安全实验室
修改页
一、身份鉴别
1.用户身份标识和鉴别
2.账号口令强度
3.登录失败处理策略
4.远程管理方式
5.账户分配及用户名唯一性
6.双因子身份鉴别
二、访问控制
1.检查文件访问控制策略
2.数据库系统特权用户权限分离
3.特权用户权限分离
4.默认账户访问权限
5.多余及过期账户
6.基于标记的访问控制
三、安全审计
1.开启日志审核功能
2.日志审计内容
3.审计进程保护
四、剩余信息保护(HPUX系统不适用)
五、入侵防范
1.入侵防范
五、恶意代码防范(AIX系统不适用)
六、资源控制
1.终端登录限制
2.终端操作超时锁定
3.单个用户系统资源使用限制。
等级保护2.0测评指导书
等级保护2.0测评指导书
等级保护2.0测评指导书
1
目录
一、安全物理环境测评指导书 (5)
二、安全通信网络测评指导书 (10)
三、安全区域边界测评指导书 (16)
四、安全计算环境测评指导书 (28)
4.1网络设备测评指导书 (28)
4.2L INUX测评指导书 (75)
4.3W INDOWS测评指导书 (88)
2
4.4O RACLE测评指导书 (101)
4.5M Y SQL测评指导书 (108)
4.6终端设备测评指导书 (118)
4.7应用系统测评指导书 (126)
五、安全管理中心测评指导书 (135)
六、安全管理制度测评指导书 (139)
七、安全管理机构测评指导书 (143)
八、安全管理人员测评指导书 (151)
九、安全建设管理测评指导书 (156)
十、安全运维管理测评指导书 (170)
3
十一、云计算安全扩展要求测评指导书 (184)
十二、移动互联安全扩展要求测评指导书 (204)
十三、物联网安全扩展要求测评指导书 (209)
十四、工业控制系统安全扩展要求测评指导书 (219) 4
一、安全物理环境测评指导书
5
6
7
8
9。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
检查路由器冗余备份情况
测评分项1
确定重要路由器是否具有冗余备份。
操作步骤
查看:根据拓朴图查看重要路由器是否具有冗余备份并到机房核实。
询问:重要路由器是否进行了冗余备份,确定是热备还是冷备,如果是双机同时运行,询问双机运行方式,是只负载均衡,或是只冗余,还是同时负载均衡加冗余。,
适用版本:
华为路由器
查看:路由器日志审核状态。
导出路由器配置,截取配置图片。
检查是否通过网管等第三方工具对运行状况、网络流量等进行记录
适用版本:
华为路由器
符合性判定
符合:Information Center:enabled;
Log host: XXX.XXX.XXX.XXX;
Information timestamp setting:
查看:用户级别配置信息。导出路由器配置,截取配置图片。
适用版本:
华为路由器
符合性判定
符合:启用用户权限级别配置,运行结果如下:
local-user user1
password cipher
authorization-attribute level 1
service-type telnet
local-user user2
14.检查路由器启动一致性
测评项编号
ADT-NW-RT-14
测评项名称
检查路由器启动一致性
测评分项1
确定当前运行文件与启动文件一致
操作步骤
执行:display current-configuration;
display saved-configuration
查看:导出路由器当前运行配置与启动配置是否一致。若不一致,访谈管理员,明确不一致的原因。
ADT-NW-RT-13
测评项名称
检查路由器运行情况
测评分项1
得到路由器正在运行的进程及资源占用情况
操作步骤
执行:任意视图下运行命令<sysname>display cpu-usage verbose
查看:路由器正在运行的进程。
适用版本:
华为路由器
符合性判定
查看资源占用情况,CPU使用率是否过高
备注
测评项名称
路由器VTY弱口令检查
测评分项1
得到路由器当前vty口配置情况
操作步骤
执行:1)输入<Sysname> system-view,进入系统视图。
2)运行命令[Sysname]display current-configuration | begin user-interface vty
查看:vty的配置。导出路由器配置,截取配置图片。
适用版本:
华为路由器
符合性判定
查看两条命令输出结果是否相同,相同为符合,不相同则不符合。
备注
15.路由器http服务配置检查
测评项编号
ADT-NW-RT-15
测评项名称
路由器http服务配置检查
测评分项1
得到路由器http服务运行状态
操作步骤ቤተ መጻሕፍቲ ባይዱ
执行:运行命令display current-configuration |begin ip
log - date, trap - date, debug - date,loghost - date
不符合:InformationCenter: disabled
备注
4.检查路由器是否建立本地用户并启用用户认证
测评项编号
ADT-NW-RT-04
要求点
a) 应对登录网络设备的用户进行身份鉴别
测评项名称
询问:网络边界是否部署了防火墙、IPS等安全设备,是否开启了访问控制功能。
适用版本:
符合性判定
网络边界是否部署了防火墙、IPS等安全设备,开启了访问控制功能为符合,
否则为不符合。
备注
2.检查路由器安全策略精度
测评项编号
ADT-NW-RT-02
要求点
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。
信息安全等级保护测评作业指导书
网络设备-华为(三级)
版号:
第2版
修改次数:
第 0次
生效日期:
2010年01月06日
中国电力科学研究院信息安全实验室
修改页
修订号
控制编号
版号/
章节号
修改人
修订原因
批准人
批准日期
备注
1
SGISL/OP-SA11-10
李梦涛
按公安部要求修订
詹雄
2010.3.8
1.检查网络边界防护情况
执行:1)输入<Sysname> system-view,进入系统视图。
2)运行命令[Sysname]display current-configuration | begin user-interface
查看:con、aux、vty的配置。导出路由器配置,截取配置图片。
访谈:网络管理员密码策略。
适用版本:
备注
8.路由器超时退出非法登陆次数
测评项编号
ADT-NW-RT-08
要求点
e)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
测评项名称
路由器超时退出和非法登陆次数
测评分项1
检查用户是否为VTY远程登陆配置了超时登陆。
操作步骤
执行:1)输入<Sysname> system-view,进入系统视图。
执行:[Device] display current-configuration
适用版本:
华为路由器
符合性判定
#
version 5.20, ESS1907L03
#
sysname Device
#
super authentication-mode scheme
……
备注
13.检查路由器资源占用情况
测评项编号
password cipher
authorization-attribute level 3
service-type ssh
……
不符合:未启用用户权限级别配置。
备注
7.路由器VTY弱口令检查
测评项编号
ADT-NW-RT-07
要求点
d) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换
查看:http服务运行状态。
适用版本:
华为路由器
符合性判定
符合:未配置http服务,运行结果如下:
undo ip http enable
不符合:配置了http服务,运行结果如下:
ip http enable
备注
16.检查路由器SNMP服务配置
测评项编号
ADT-NW-RT-16
测评项名称
检查路由器SNMP服务配置
符合性判定
只负载均衡时为不符合,只有冗余或同时负载均衡加冗余时为符合。
备注
11.检查链路备份冗余备份情况
测评项编号
ADT-NW-RT-11
要求点
b) 应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性。
测评项名称
检查甸路冗余备份情况
测评分项1
确定重要链路是否具有冗余备份。
操作步骤
2)运行命令[Sysname]display current-configuration | begin user-interfacevty
查看:vty的配置。导出路由器配置,截取配置图片。
访谈:网络管理员密码策略。
适用版本:
华为路由器
符合性判定
符合:配置了VTY超时,运行结果如下:
user-interface vty 0 4
测评分项1
得到路由器的SNMP服务运行状态
操作步骤
执行:运行命令display current-configuration |begin snmp
查看:snmp服务运行状态。
适用版本:
华为路由器
idle-timeout 1 30
不符合:无idle-timeout设置
备注
9.检查路由器SSH配置
测评项编号
ADT-NW-RT-09
要求点
f) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
测评项名称
检查路由器SSH配置
测评分项1
得到路由器SSH是否配置信息。
操作步骤
访谈:网络管理员密码策略。
适用版本:
华为路由器
符合性判定
符合:VTY口口令加密,结果如下:
user-interface vty 0 4
set authentication password cipher
不符合:
user-interface vty 0 4
set authentication password simple
测评项编号
ADT-NW-RT-01
要求点
a)应在网络边界部署访问控制设备,启用访问控制功能。
测评项名称
检查网络边界防护情况
测评分项1
确定网络边界是否部署了防火墙、IPS等安全设备,是否开启了访问控制功能。
操作步骤
查看:根据拓朴图查看网络边界是否部署了防火墙、IPS等安全设备,是否开启了访问控制功能,并登陆相应设备查看是否设备了安全策略。
检查路由器是否建立本地用户并启用用户认证
测评分项1
得到路由器现有配置中是否具有用户名和口令
操作步骤
执行:1)输入<Sysname> system-view,进入系统视图。