网络安全-通用网络设备测评指导书-三级
9网络全局测评指导书-三级S3A3G3-1.0版
2)检查采用何种报警方式。
1)有网络攻击相关日志记录。
2)在发生严重事件时应能够提供监控屏幕实时报警,最好有主动的声、光、电、短信、邮件等形式的一种或多种报警方式。
6
备份与恢复
c)应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障;
1)访谈管理员并查看网络拓扑图,系统是否采用冗余技术设计网络拓扑结构。
2)检查主要网络设备处理能力,查看业务高峰期设备的CPU和内存使用率。
(以CISCO设备为例,输入sh processes cpu,sh processes memory)
1)业务高峰流量不超过设备处理能力。
2)设备CPU和内存使用率峰值不大于70%
b)应保证网络各个部分的带宽满足业务高峰期需要;
1)访谈网络管理员了解各通信链路带宽、高峰流量。
1)访谈网络管理员是否部署终端管理软件或采用网络准入控制技术手段防止非授权设备接入内部网络,并进行验证。
2)检查交换机配置信息,所有闲置端口是否关闭。(以CISCO设备为例,输入show run命令)
1)终端均部署了终端管理软件或交换机上启用了网络准入控制。
2)交换机闲置端口均已关闭。应存在如下类似配置:
2
访问控制
a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
1)访谈网络管理员并查看网络拓扑图,是否所有网络边界都有访问控制措施。
1)在网络各个边界处部署了访问控制技术措施,如部署网闸、防火墙或ACL等。
3
边界完整性检查
a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
1)重要网段未部署在网络边界处。
2)在重要网段与其他网段之间采取了网闸、防火墙或ACL等技术隔离手段。
网络安全---通用网络设备测评指导书---三级---1.0版
编号:
测评指导书
《信息系统安全等级保护基本要求》
基础网络安全-通用网络设备-第三级
V1.0
天融信信息安全等保中心
1、测评对象
对象名称及IP地址
பைடு நூலகம்备注(测评地点及环境等)
2、入场确认
序号
确认内容
1
测评对象中的关键数据已备份。如果没有备份则不进行测评
2
测评对象工作正常。如工作异常则不进行测评。
开始时间
确认签字
3、离场确认
序号
确认内容
1
测评工作未对测评对象造成不良影响,测评对象工作正常.
结束时间
确认签字
信息安全等级保护测评指导书-三级
测评指导书(三级)目录第1章安全管理测评指导书 (4)1.1安全管理机构测评 (4)1.2安全管理制度测评 (9)1.3人员安全管理测评 (11)1.4系统建设管理测评 (14)1.5系统运维管理测评 (20)第2章物理安全测评指导书 (32)2.1物理安全测评 (32)第3章网络安全测评指导书 (44)3.1网络全局安全测评 (44)3.2路由器安全测评 (47)3.3交换机安全测评 (59)3.4防火墙安全测评 (67)3.5入侵检测/防御系统安全测评 (71)第4章操作系统安全测评指导书 (75)4.1WINDOWS操作系统安全测评 (75)4.2L INUX操作系统安全测评 (82)4.3S OLARIS操作系统安全测评 (92)4.4AIX操作系统安全测评 (101)第5章应用系统安全测评指导书 (109)5.1应用系统安全测评 (109)5.2IIS应用安全测评 (114)5.3A PACHE应用安全测评 (116)第6章数据库安全测评指导书 (120)6.1SQL S ERVER数据库安全测评 (120)第 2 页共135 页6.2O RACLE数据库安全测评 (124)6.3S YBASE数据库安全测评 (130)第 3 页共135 页第1章安全管理测评指导书1.1安全管理机构测评第 4 页共135 页第 5 页共135 页第 6 页共135 页第7 页共135 页第8 页共135 页1.2安全管理制度测评第9 页共135 页第10 页共135 页1.3人员安全管理测评第11 页共135 页第12 页共135 页第13 页共135 页1.4系统建设管理测评第14 页共135 页第15 页共135 页第16 页共135 页第17 页共135 页第18 页共135 页第19 页共135 页1.5系统运维管理测评第20 页共135 页第21 页共135 页第22 页共135 页第23 页共135 页第24 页共135 页第25 页共135 页第26 页共135 页第27 页共135 页第28 页共135 页第29 页共135 页第30 页共135 页第31 页共135 页第2章物理安全测评指导书2.1物理安全测评第32 页共135 页第33 页共135 页第34 页共135 页第35 页共135 页第36 页共135 页第37 页共135 页第38 页共135 页第39 页共135 页第40 页共135 页第41 页共135 页第42 页共135 页第43 页共135 页第3章网络安全测评指导书3.1网络全局安全测评第44 页共135 页第45 页共135 页第46 页共135 页3.2路由器安全测评思科路由器第47 页共135 页第48 页共135 页第49 页共135 页第50 页共135 页。
Windows2022年测评指导书三级S3A3G3.0版
序号类别测评项a)应对登录操作系统和数据库系统的用户进展身份标识和鉴别;b)操作系统和数据库系统治理用户身份鉴别信息应具有不易被冒用的特点,口令应有简单度要求并定期更换;c)应启用登录失败处理功能,可采测评实施1〕查看登录是否需要密码1〕依次开放[开头]->〔[掌握面板] ->〕[治理工具]->[本地安全策略]->[账户策略]->[密码策略],查看以下项的状况:a)简单性要求、b)长度最小值、c)最长存留期、d)最短存留期、e)强制密码历史。
1〕依次开放[开头]->〔[掌握面板] ->〕[治理工具]->[本地安全策略]->[账户预期结果1〕用户需要输入用户名和密码才能登录。
a)简单性要求已启用;b)长度最小值至少为 8 位;c)最长存留期不为 0;d)最短存留期不为 0;e)强制密码历史至少记住 3 个密码以上。
a)设置了“复位账户锁定计数器”说明是否必需输入密码才能登录。
全部的项只要不为默认的 0 或未启用就可以。
取完毕会话、限制非法登录次数和1 身份自动退出等措施;鉴别d) 当对效劳器进展远程治理时,应策略]->[账户锁定策略];2〕查看以下项的状况:a)复位账户锁定计数器、b)账户锁定时间和 c)账户锁定阈值。
1〕访谈治理员在进展远程治理时如何时间;全部的项只要不为默认b)设置了“账户锁定时间”;的0或未启用就可以。
c)设置了“账户锁定阈值”。
1)假设是本地治理或KVM 等硬件治理方式,此要求默认满足;实行必要措施,防止鉴别信息在网络传输过程中被窃听;e) 为操作系统和数据库的不同用防止鉴别信息在网络传输过程中被窃听。
1 〕依次开放[ 开始]->([ 掌握面2)假设承受远程治理,则需承受带加密治理的远程治理方式,如启用了加密功能的 3389 远程治理桌面或修改远程登录端口。
关注远程治理方式及传输协议。
Windows Server 2022 默户安排不同的用户名,确保用户名具有唯一性;板 ]->)[ 管理工具 ]->[ 计算机管 1〕无多人共用同一个账号的情理]->[本地用户和组]->[用户];查看况。
02 网络安全(三级)-华为路由器交换机
三级
f) 重要网段应采取技 术手段防止地址欺骗;
h)应限制具有拨号访问 权限的用户数量;
企标
i)应设置接入网络设备 端口控制
针对服务器接入层SW,为防
止地址欺骗,重要网段应采
取网络层地址与数据链路层
1、应检查安全策略是否严 1、应检查安全策略是否严格
格控制用户对有敏感标记重 控制用户对有敏感标记重要
证□是 □否
(5) 是否配置了对登录用户进行身 (1) 是否对网络设备管理员登录地
址进行限制
5
□是 □否
备注
(1) 网络设备用户的标识是否唯一 □是 □否
3
(1) 是否修改SNMP通信字符串
□是 □否
(2) 本地用户口令策略
□长度不少于8位字符
□数字
□字母
5
□特殊字符
□定期修改,修改周期___________
3
安全 审计
b) 审计记录应包括: 事件的日期和时间、用 户、事件类型、事件是 否成功及其他与审计相 关的信息;
使用display currentconfiguration或display logbuffer 命令查看配置中 是否包括相关事件,日期等 记录;
c) 应能够根据记录数 三级 据进行分析,并生成审
序 号
指标 名称
弱点 名
标注
测评项
测评实施过程 测评说明
操作说明
a) 应能根据会话状态信 1、 应检查边界网络设备, 限制大量的使用ICMP数据
二级 息为数据流提供明确的 查看其是否根据会话状态信 包,防止DoS攻击,如防火墙
增强 允许/拒绝访问的能力, 息对数据流进行控制,控制 有此项设置,则视为满足测
三级-设备和计算安全
址范围对通过网络进行管理的管理
终端进行限制;
应能发现可能存在的漏洞,并在经
过充分测试评估后,及时修补漏洞。
应能够检测到对重要节点进行入侵
的行为,并在发生严重入侵事件时
提供报警。
恶意代码
防范
应米用免受恶意代码攻击的技术措 施或采用可信计算技术建立从系统 到应用的信任链,实现系统运行过 程中重要程序或文件完整性检测, 并在检测到破坏后进行恢复。
1、测评记录
对象名称及IP地址
备注
2、入场确认
序号
确认内容
1
测评对象中的关键数据已备份。如果没有备份则不进行核查。
2
测评对象工作正常。如工作异常则不进行核查。
开始时间确认签字
3、离场确认
序号
确认内容
1
测评工作未对测评对象造成不良影响,测评对象工作பைடு நூலகம்常。
结束时间
确认签字
4、测评记录
测评要求
结果记录
符合情况
级或进程级,客体为文件、数据库
表级;
应对敏感信息资源设置安全标记,
并控制主体对有安全标记信息资源
的访问。
安全审计
应启用安全审计功能,审计覆盖到
每个用户,对重要的用户行为和重
要安全事件进行审计;
审计记录应包括事件的日期和时 间、用户、事件类型、事件是否成 功及其他与审计相关的信息;
应对审计记录进行保护, 定期备份,
应对登录的用户进行身份标识和鉴 另h身份标识具有唯一性,身份鉴 别信息具有复杂度要求并定期更
换;
应具有登录失败处理功能,配置并 启用结束会话、限制非法登录次数 和当登录连接超时自动退出等相关 措施;
(三级)网络全局测评指导书zw - 副本
输入命令:show running-config
例如,检查配置文件中应当存在类似如下配置项:
policy-map bar
class voice
priority percent 10
class data
bandwidth percent 30
经检查边界和主要网络设备,依据业务服务的重要次序配置了对带宽进行控制的策略。
2.一般采用上网行为管理设备。
3.关闭未使用的端口。
经访谈网络管理员,采用了xxx技术手段对非授权设备私自联到内部网络的行为进行检查。
b)应能够对内部用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
访谈网络管理员,询问采用了何种技术手段或管理措施对“非法外联”行为进行检查。如果采用技术手段,则询问采用了何种技术手段,并在网络管理员的配合下验证其有效性。
华为:displaycpu-usage\dis memory-usage
H3C:dis cpu ……….
经访谈网络管理员,采用xxx手段对主要网络设备进行运行状态监控。边界设备和主要网络设备的性能能够满足目前业务高峰流量情况。
b)应保证网络各个部分的带宽满足业务高峰期需要;
访谈网络管理员,询问上网服务的高峰流量?
思科:ip route 30.1.1.0 255.255.255.0 1.1.1.1
华为:ip route-static 10.1.1.0 255.255.255.0 192.168.100.3
如果使用OSPF路由协议,检查配置文件中应当存在类似如下配置项:
route ospf 100
ip ospf authentication
等保三级测评和安全设备
等保三级测评和安全设备“等保三级测评”和“安全设备”是如今网络安全领域的两个大热话题,搞不好,你就得给自己的企业装上一层“铁布衫”来抵挡来自四面八方的网络攻击。
讲到这里,有些人可能会觉得,哎,这跟我有什么关系?我又不是做大数据、云计算的,不关我的事。
其实啊,谁都知道,现在的互联网时代,不管你是卖蛋糕的还是修自行车的,网上的安全问题都和你息息相关。
不信?你就想想看,要是有个黑客趁你不注意,偷偷把你网站上的数据弄走了,或者捣乱了你的系统,客户的信任还会在吗?说到“等保三级测评”,这可是国家网络安全等级保护制度中的一环。
简单来说,就是为了保护信息系统不被攻击、篡改、泄露,搞了这么一个“等级划分”,根据你的安全防护情况分成五个等级。
我们常听到的“等保三级”就是其中的一个关键等级,标志着你的企业在网络安全方面已经做了不少的工作,但同时,还是有很多细节要注意。
你想啊,三级这个等级并不是说你已经无敌了,而是说你已经做到了某种程度的防护。
就像你去打游戏,打到第三关,算是过了一个大坎,但后面还有更难的敌人等着呢。
那“等保三级测评”到底做些什么呢?好比你家装修,不是随便找个人就能做的,得找个专业的验收团队来检查一遍,看看你家墙面是不是刷得结实,电线是否安全,水管有没有漏水。
等保三级测评就像这种验收工作,专门检查你企业在网络上的防护能力。
它会从技术、管理、物理安全等多方面入手,确保你公司的网络信息不容易被黑客攻破。
要是这项测评没通过,企业就得继续补漏洞,修补墙壁,确保信息安全。
有些人可能会想,哎呀,不就是个测评吗,做出来有什么难的。
可真到了实际操作时,你就会发现,啊呀,这可比想象的要复杂得多。
你得弄清楚自己的网络架构,知道哪些数据是核心,哪些是次要。
然后,做防火墙、入侵检测、数据加密,光是这些步骤就够你头疼一阵子。
更不要提,随时都得考虑到可能出现的各种安全威胁,像病毒、木马、勒索软件这些东西,你得像医生给病人诊断一样,分析、排查、解决。
三级安全指导
三级安全指导
第一级安全:物理安全
1. 保护服务器和网络设备:确保服务器和网络设备存放在安全
且容易监控的地方,如锁定的机房或专用机柜。
2. 控制物理访问权限:只有经过授权的人员才能进入服务器和
网络设备所在的区域。
3. 使用视频监控系统:在服务器和网络设备的存放区域安装视
频监控系统,以便监视和记录物理访问情况。
4. 设立门禁系统:为服务器和网络设备存放区域设置门禁系统,仅授权人员才能进入。
第二级安全:网络安全
1. 使用防火墙:在网络边界上设置防火墙,过滤和监控进出网
络的数据流量。
2. 定期进行漏洞扫描:使用漏洞扫描工具来发现服务器和网络
设备上的安全漏洞,并及时修复。
3. 使用安全的身份验证机制:为服务器和网络设备设置强密码,禁用默认密码,并使用多重身份验证方式。
4. 加密敏感数据:对服务器和网络设备上的敏感数据进行加密,确保即使被窃取,数据也无法被解读。
第三级安全:应用安全
1. 及时更新软件补丁:及时应用供应商发布的软件补丁,以修
复已知的安全漏洞。
2. 限制应用程序权限:为每个应用程序分配最小必需的权限,
避免恶意应用程序的滥用。
3. 定期备份数据:定期备份服务器和网络设备上的数据,并将
备份数据存放在安全的地方。
4. 培训和教育:为员工提供安全培训和教育,使其能够识别和
应对各类安全威胁。
以上是三级安全指导的主要内容,通过采取这些安全措施,可
以提高服务器和网络设备的安全性,并保护敏感数据不被窃取或篡改。
3安全管理测评指导书-三级S3A3G3-1.0版
1)明确了各项审批事项的审批部门和审 批人。
3
授权 和审 批
b)应针对系统变更、重要操作、物 2)应检查各类管理制度文档,查看文档 理访问和系统接入等事项建立审批 中是否明确事项的审批程序(如列表说明 程序,按照审批程序执行审批过程, 哪些事项应经过信息安全领导小组审批, 对重要活动建立逐级审批制度。 哪些事项应经过安全管理机构审批等), 是否明确对重要活动进行逐级审批,由哪 些部门/人员逐级审批。 3)应检查经逐级审批的文档,查看是否 具有各级批准人的签字和审批部门的盖 章。 c)应定期审查审批事项,及时更新 需授权和审批的项目、 审批部门和审 批人等信息。 d) 应记录审批过程并保存审批文档。 1)应检查审批事项的审查记录,查看是 否对审批事项、审批部门、审批人的变更 进行评审。
1)具有部门、岗位职责文件。 2)文件中明确了系统管理员等相关岗位 的工作职责。
c)应成立指导和管理信息安全工作 的委员会或领导小组, 其最高领导由 单位主管领导委任或授权。
1)具有成立信息安全工作委员会或领导 小组的正式文件。 2)具有委员会或领导小组职责文件。 3)文件中明确了领导小组职责和最高领 导岗位职责。
预期结果
说明
a)应根据各个部门和岗位的职责明 确授权审批事项、 审批部门和批准人 等。
1)应访谈安全主管,询问对哪些信息系 统活动进行审批,审批部门是何部门,审 批人是何人。 1)应访谈安全主管,询问其对重要活动 的审批范围(如系统变更、重要操作、物 理访问和系统接入、重要管理制度的制定 和发布、 人员的配备和培训、 产品的采购、 外部人员的访问等),审批程序如何,其 中是否需要需要逐级审批。
第 4 页 共 37 页
序号
类别
测评项
应用安全应用测评指导书 三级 版
1)访谈应用系统管理员,询问应用系统是否配备并使用登录失败处理功能(如登录失败次数超过设定值,系统自动退出等),查看是否启用配置;
手工检查:
1)应测试主要应用系统,验证其登录失败处理,非法登录次数限制等功能是否有效;
1)应用系统已启用登陆失败处理、结束会话、限制非法登录次数等措施;
2)当超过系统规定的非法登陆次数登录操作系统时,系统锁定或自动断开连接;
d) 应能够对一个时间段内可能的并发会话连接数进行限制;
访谈:
访谈应用系统管理员,询问应用系统是否禁止同一用户账号在同一时间内并发登录,是否能够对一个时间段内可能的并发会话连接数进行限制;
应用系统根据不同时间设置不同连接数。
e) 应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;
访谈:
6
通信保密性
a) 在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;
访谈:
访谈安全员,应用系统是否能在通信双方建立会话之前,利用密码技术进行会话初始化验证(如SSL建立加密通道前是否利用密码技术进行会话初始验证);
在通信双方建立连接之前利用密码技术进行会话初始化验证。
b) 应对通信过程中的整个报文或会话过程进行加密。
访谈安全员,系统是否具有抗抵赖的措施,具体措施有哪些,查看其是否采用数字证书方式的身份鉴别技术;
应用系统提供在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
b) 应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
8
软件容错
a) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;
1)通过删除一个用户再重新注册相同标识的用户,查看能否成功,验证身份标识在整个生命周期内是否具有唯一性;
等保测评--网络安全(三级)全局V1.0
建议边界和主要网络设备, 配置路由协议加密策略以建 立安全的访问路径
业务终端与业务服务器之间的路由访 问路径为:OSPF+静态路由,但没有 配置ospf路由协议加密 ospf authentication-mode md5 1 cipher ***
d)应绘制与当前运行情
况相符的网络拓扑结构
1
结构安 图; 全
符合
已在网络边界部署网络防火墙设备, 并启用访问控制功能
根据业务需求为数据流提供明确的允 许/拒绝访问的能力,控制粒度为端 口级,通过交换机、防火墙、准入系 统进行控制
c)应对进出网络的信息 内容进行过滤,实现对 应用层HTTP、FTP、 TELNET、SMTP、POP3 等协议命令级的控制;
符合
有部署广州天懋网络违规行为监测分 析系统,对进出网络信息内容进行过 滤
已配置了VPN,没有开放拨号权限。
已部署天懋网络违规行为监测分析系 统,对网络流量、用户行为进行监 控,保存日志在本地。
已部署了启明星辰的综合安全管理中 心(SOC),日志记录包含了事件的日 期和事件、用户、时间类型、事件是 否成功等信息。
已部署了启明星辰的综合安全管理中 心(SOC),可对边界和主要网络设备 进行审计并记录,可生成审计报表。
不符合
采用了用名/密码验证方式,不满足测评项“d)主 建议主要网络设备应对同一用户
要网络设备应对同一用户选择两种或两种以上组 选择两种或两种以上组合的鉴别 采用了用名/密码验证方式
合的鉴别技术来进行身份鉴别;”的要求
技术来进行身份鉴别
e)身份鉴别信息应具有
身份鉴别信息具有不易被冒用的特
7
网络设 不易被冒用的特点,口 备防护 令应有复杂度要求并定
等保三级(S3 A3级G3)网络测评作业指导书
单个网络设备
序号
测评项
基本要求
结果记录
符合情况
1
访问控制
(G3)
a)应在网络边界部署访问控制设备,启用访问控制功能。
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级。
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。
d)应绘制与当前运行情况相符的网络拓扑结构图。
e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段,生产网、互联网、办公网之间都应实现有效隔离。
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段。
j)应定期对网络设备运行状况进行检查。
k)对网络设备系统自带的服务端口进行梳理,关掉不必要的系统服务端口,并建立相应的端口开放审批制度。
l)应定期检验网络设备软件版本信息,避免使用软件版本中出现安全隐患。
m)应建立网络设备的时钟同步机制。
n)应定期检查并锁定或撤销网络设备中不必要的用户账号。
网络安全
网络全局
序号
测评项
基本要求
结果记录
符合情况
1
结构安全
(G3)
a)应保证主要网络设备和通信线路冗余,主要网络设备业务处理能力能满足业务高峰期需要的1倍以上,双线路设计时,宜由不同的服务商提供。
b)应保证网络各个部分的带宽满足业务高峰期需要。
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径。
应用安全 - 应用测评指导书 - 三级 - 1.0版 - 模板
1)以弱口令用户注册,验证其用户是否注册成功。
1)应用系统配备身份标识(如建立帐号)和鉴别(如口令等)功能;其身份鉴别信息具有不易被冒用的特点,规定字符混有大、小写字母、数字和特殊字符);
2)以不符合复杂度要求和不符合长度要求的口令创建用户时均提示失败。
d)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
6
通信保密性
a)在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;
访谈:
访谈安全员,应用系统是否能在通信双方建立会话之前,利用密码技术进行会话初始化验证(如SSL建立加密通道前是否利用密码技术进行会话初始验证);
在通信双方建立连接之前利用密码技术进行会话初始化验证。
b)应对通信过程中的整个报文或会话过程进行加密。
编号:
测评指导书
《信息系统安全等级保护基本要求》
基础网络安全-应用安全-第三级
V1.0
天融信信息安全等保中心
1、测评对象
对象名称及IP地址
备注(测评地点及环境等)
2、入场确认
序号
确认内容
1
测评对象中的关键数据已备份。如果没有备份则不进行测评
2
测评对象工作正常。如工作异常则不进行测评。
开始时间
确认签字
访谈:
访谈安全审计员,审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源(如末端标识符)、事件的结果等内容;
审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等内容。
d)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
e)应具有对重要信息资源设置敏感标记的功能;
等保三级评测方案
等保三级评测方案网络安全是当今社会中不可或缺的重要组成部分。
尤其是在数字化程度越来越高的当下,网络攻击、数据泄露等问题给企业、政府以及个人造成了巨大的损失。
为了更好地保护网络安全,我国提出了等保三级评测方案,下面就来谈谈这一方案的背景、意义、具体实施和影响。
一、等保三级评测方案的背景我国网络安全形势日趋严峻,2014年,工信部推出《网络安全等级保护管理办法》,明确了网络安全等级保护的具体要求,以及四级网络安全保护的实施规则。
根据规定,涉及机密级及以上数据的机构和单位,必须进行网络安全等级保护评估。
此后,我国网络安全形势更为严峻,尤其是在金融、电信等领域,网络攻击和电信诈骗频频发生,严重威胁了国家、企业的安全稳定。
为此,我国国家互联网信息办公室于2017年出台了《关于加强互联网信息安全等级保护的指导意见》(以下简称《指导意见》),明确了等保三级的具体要求,并提出等保三级评测的具体实施方案。
二、等保三级评测的意义等保三级评测是目前我国网络安全标准中最高等级的保障措施,对于保障国家、企业和个人网络安全具有十分重要的意义。
1. 保障国家安全。
网络攻击和恶意软件的产生直接威胁国家的政治、经济、文化等多个领域的安全。
等保三级评测能够保障国家关键信息基础设施和重要领域网络安全,将网络安全的稳定性和可靠性提升到一个更高的层次,从而维护国家安全和发展利益。
2. 保障企业利益。
企业是网络攻击的主要受害者之一。
等保三级评测能够帮助企业建立完善的信息安全管理制度,有效预防各种网络安全威胁和风险,保证企业的业务、客户数据的完整性和安全性,增强企业市场竞争力。
3. 保障个人权益。
随着网络攻击和数据泄露事件的频繁发生,个人信息安全问题愈发凸显。
等保三级评测能有效保证个人信息的隐私安全,提升互联网用户的合法权益。
三、等保三级评测方案的具体实施等保三级评测方案实施的主要步骤包括初评、进场评估、专项检查、突发事件应急处置等四个阶段,具体分为以下几个步骤:1. 制定网络安全等级保护评估计划和方案。
等保2.0通用部分安全区域边界(三级)测评指导书
等保2.0通用部分安全区域边界(三级)测评指导书通用部分包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个层面。
今天给大家分享的是通用部分【安全区域边界】(三级)测评指导书!8.1.3.1 边界防护a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件测评方法:1、应核查在网络边界处是否部署访问控制设备;2、应核查设备配置信息是否指定端口进行跨越边界的网络通信,指定端口是否配置并启用了安全策略;3、应采用其他技术手段(如非法无线网络设备定位、核查设备配置信息等)核查或测试验证是否不存在其他未受控端口进行跨越边界的网络通信。
b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制;测评对象:终端管理系统或相关设备测评方法:1、应核查是否采用技术措施防止非授权设备接入内部网络;2、应核查所有路由器和交换机等相关设备闲置端口是否已关闭。
c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制;测评对象:终端管理系统或相关设备测评方法:应核查是否采用技术措施防止内部用户存在非法外联行为。
d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
测评对象:网络拓扑和无线网络设备测评方法:1、应核查无线网络的部署方式,是否单独组网后再连接到有限网络;2、应核查无线网络是否通过受控的边界防护设备接入到内部有线网络。
8.1.3.2 访问控制a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件测评方法:1、应核查在网络边界或区域之间是否部署访问控制设备并启用访问控制策略;2、应核查设备的最后一条访问控制策略是否为禁止所有网络通信。
网络设备管理 NCNE三级实验手册
NCIE国家网络技术水平考试三级实验汇总手册目录实验—:路由器基本配置 (3)实验二:交换机基本配置.................................................................................... 错误!未定义书签。
实验三:路由器链路配置与CDP协议.............................................................. 错误!未定义书签。
实验四:交换机VLAN配置............................................................................... 错误!未定义书签。
实验五:静态路由1 ............................................................................................. 错误!未定义书签。
实验六:静态路由2 ............................................................................................. 错误!未定义书签。
实验七:RIP路由、IGRP路由 ......................................................................... 错误!未定义书签。
实验八:RIP V2路由........................................................................................... 错误!未定义书签。
实验九:OSPF路由............................................................................................. 错误!未定义书签。
主机安全-通用数据库测评指导书-三级版
2)以不符合复杂度要求或不符合规定长度的口令创立用户时均提示失败。
c〕应启用登录失败处理功能,可采取完毕会话、限制非法登录次数和自动退出等措施;
访谈:
询问数据库管理员是否采取其他措施限制用户的非法登录。
核查:
新建测试账户test,并以错误的口令登录数据库,查看数据库反响。
确认签字
3、离场确认
序号
确认容
1
测评工作未对测评对象造成不良影响,测评对象工作正常。
完毕时间
确认签字
序号
类别
测评项
测评实施
预期结果
符合情况
1
身份鉴别
a〕应对登录操作系统和数据库系统的用户进展身份标识和鉴别;
访谈:
访谈数据库管理员,询问采用何种方式对登录数据库系统的用户进展身份标识并验证其身份。
1)数据库使用口令鉴别机制对用户进展身份标识和鉴别;
1〕默认账户已禁用或已设置强壮口令。
e〕应及时删除多余的、过期的,防止共享的存在。
访谈:
询问数据库管理员,是否有多人共用一个账户的情况。
数据库中不存在多余、过期和共享账户。
f〕应对重要信息资源设置敏感标记;
访谈:
询问数据库管理员,是否对重要的信息资源设置了敏感标记,采用何种措施实现的。
已对重要信息资源设置敏感标记。
d〕应能够根据记录数据进展分析,并生成审计报表;
访谈:
1〕询问数据库管理员,是否对记录日志生成生成审计报表并分析;
2〕查看审计报表是否能为数据库的平安性及性能分析提供依据。
1〕能定期生成审计报表并进展分析;
2〕生成的审计报表能为数据库的平安性及性能提供依据。
网络攻击防护等保三级测评内容
网络攻击防护等保三级测评内容1. 测评背景随着网络技术的迅速发展,网络攻击威胁日益增加,网络安全已经成为企事业单位和政府机构关注的焦点。
为了确保网络安全,保护各方的合法权益,国家发布了网络安全相关法律法规,并推行等级保护制度。
网络攻击防护等保三级测评作为评定信息系统安全等级的一种重要方式,被广泛应用于各个领域。
2. 测评内容网络攻击防护等保三级测评主要包括以下内容:2.1 系统安全管理评估网络系统的安全管理制度,包括组织架构、责任制和安全管理流程等方面,以确保网络系统的安全运行。
2.2 安全策略与控制评估网络系统的安全策略和控制措施,包括网络访问控制、安全防护设备、安全审计和事件响应等方面,以防止恶意攻击和数据泄露。
2.3 网络安全防护评估网络系统的安全防护能力,包括网络边界防护、入侵检测与防御、漏洞管理和安全配置等方面,以防范各类网络攻击。
2.4 网络应急响应与恢复评估网络应急响应与恢复能力,包括突发事件应急响应、安全事件响应和业务恢复等方面,以最大程度减少网络攻击对系统运行的影响。
2.5 安全审计与评估评估网络系统的安全审计与评估能力,包括安全审计、安全评估和安全演练等方面,以发现系统中的安全问题并及时修复。
2.6 安全管理能力评估网络系统的安全管理能力,包括人员素质和安全管理规程等方面,以保障网络系统的长期安全运行。
3. 测评结果与建议基于网络攻击防护等保三级测评内容的评估结果,根据系统的安全状况,给出合理的建议,提高网络系统的安全性和防护能力。
4. 总结网络攻击防护等保三级测评内容是保障网络系统安全的重要措施,企事业单位和政府机构应积极参与此项测评,不断强化网络安全防护,保障自身信息资产的安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
编号:测评指导书《信息系统安全等级保护基本要求》基础网络安全-通用网络设备-第三级V1.0f天融信丿TOPSEC天融信信息安全等保中心1、测评对象序号类别测评项测评实施预期结果符合情况a)应在网络边界部署访问控制设备,启用访问控制功能;检查:检查网络拓扑结构和相关交换机配置,查看是否在交换机上启用了访问控制功能。
输入命令show access-lists检查配置文件中是否存在以下类似配置项ip access-list 1 deny x.x.x.x交换机启用了访问控制功能,根据需要配置了访问控制列表。
b)访问控制设备应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;检查:输入命令shou running,检查访问控制列表的控制粒度是否为端口级,女口access-list 101 permit udp any192.168.10.0 0.0.0.255 eq 21根据会话状态信息为数据流提供了明确的访问控制策略,控制粒度为端口级。
1访问控制C)应对进岀网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;检查:检查防火墙或IPS安全策略是否对重要数据流启用应用层协议检测、过滤功能。
防火墙或IPS开启了重要数据流应用层协议检测、过滤功能,可以对应用层HTTP、FTP、TELNET、SMTP、POP3等协议进行控制。
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;访谈:访谈系统管理员,是否在会话处于非活跃一定时间或会话结束后终止网络连接;检查:输入命令show running,查看配置中是否存在命令设定管理会话的超时时间:line vty 0 4exec-timeout x x1)会话处于非活跃一定时间或会话结束后,交换机会终止网络连接;2)交换机配置中存在会话超时相关配置。
e)应限制网络最大流量数及网络连接数;检查:1)在网络岀口和核心网络处的交换机是否配置了网络最大流量数及网络连接数;2)是否有专用的流量控制设备限制网络最大流量数及网络连接数。
1)网络岀口和核心网络处的交换机配置了合理QOS策略,优化了网络最大流量数;2)通过专用的流量控制设备限制网络最大流量数及网络连接数。
序号类别测评项测评实施预期结果符合情况f)重要网段应采取技术手段防止地址欺骗;检查:是否通过IP/MAC绑定手段防止地址欺骗,输入命令show running,检查配置文件中是否存在arp绑定配置:arp x.x.x.x x.x.x.x1)通过配置命令进行IP/MAC 地址绑定防止地址欺骗;2)通过专用软件或设备进行IP/MAC地址绑定防止地址欺骗。
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;检查:1)是否针对单个远程拨号用户或VPN用户访问受控资源进行了有效控制;2)以拨号或VPN等方式接入网络的,是否采用强认证方式。
1)对单个远程拨号用户或VPN用户访问受控资源进行了有效控制;2)通过拨号或VPN等方式接入网络时,采用了强认证方式(证书、KEY等)。
h)应限制具有拨号访问权限的用户数量。
检查:是否限制具有远程访问权限的用户数量。
限制了具有远程访问权限的用户数量。
2安全审计a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;检查:1)网络系统中的交换机是否开启日志记录功能;输入show logging 命令,检查Syslog logging 进程是否为enable状态;2)是否对交换机的运行状况、网络流量进行监控和记录。
1)交换机开启了日志记录功能,命令show logging的输岀配置中显示:Syslog loggi ng:e nabled2)对交换机的运行状况、网络流量进行监控和记录(巡检记录或第三方监控软件)。
b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;检查:查看日志内容,是否包括事件的日期和时间、设备管理员操作行为、事件类型等信息。
日志内容包括事件的日期和时间、设备管理员操作行为、事件类型等信息。
c)应能够根据记录数据进行分析,并生成审计报表;检查:查看如何实现审计记录数据的分析和报表生成。
定期对审计记录数据进行分析并生成纸质或电子的审计报表。
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
检查:1)检查对审计记录监控和保护的措施。
例女口:通过专用日志服务器或存储设备对审计记录进行备份,并避免对审计记录未预期的修改、删除或覆盖;1)设置了交换机日志服务器地址,交换机日志发送到安全的日志服务器或第三方审计设备;2、由专人对审计记录进行管理,避免审计记录受到未预期的删除、修改序号类别测评项测评实施预期结果符合情况2)输入命令show running检查配置文件中是否存在类似如下配置项loggi ng x.x.x.x或覆盖。
3网络设备防护a)应对登录网络设备的用户进行身份鉴别;访谈、检查:1 )访谈设备管理员,询问登录设备的身份标识和鉴别机制采用何种措施实现;2)登录交换机,查看是否提示输入用户口令,然后以正确口令登录系统,再以错误口令或空口令重新登录,观察是否成功。
1)交换机使用口令鉴别机制对登录用户进行身份标识和鉴别;2)登录时提示输入用户名和口令;以错误口令或空口令登录时提示登录失败,验证了登录控制功能的有效性;3)交换机中不存在密码为空的用户。
b)应对网络设备的管理员登录地址进行限制;检查:输入命令show running,查看配置文件里是否存在类似如下配置项限制管理员登录地址:access-list 1 permit x.x.x.xline vty 0 4access-class 1 in配置了合理的访问控制列表限制对交换机进行登录的管理员地址。
c)网络设备用户的标识应唯一;检查:1)检查交换机标识是否唯一;2)检查同一交换机的用户标识是否唯一;3)检查是否不存在多个人员共用一个账号的现象。
1)交换机标识唯一;2)同一交换机的用户标识唯一;3)不存在多个人员共用一个账号的现象。
d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;访谈:访谈采用了何种鉴别技术实现双因子鉴别,并在网络管理员的配合下验证双因子鉴别的有效性。
用户的认证方式选择两种或两种以上组合的鉴别技术,只用一种技术无法认证成功。
e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;访谈、检查:1)访谈交换机管理员,询问用户口令是否满足复杂性要求;2 )检查配置文件中口令是否加密存储。
1)交换机用户口令长度不小于8位,由字母、数字和特殊字符构成,并定期更换;f)应具有登录失败处理功能,可采取结束访谈:访谈设备管理员,交换机是否设置了登录失1)以错误的口令登录交换机,尝试次数超过阀值,交换机自动断开连接序号类别测评项测评实施预期结果符合情况会话、限制非法登录次数和当网络登录连接超时自动退出等措施;败处理功能。
检查:在允许的情况下,根据使用的登录失败处理方式,采用如下测试方法进行测试:a)以错误的口令登录交换机,观察反应;b)当网络登录连接超时时,观察连接终端反或锁定一段时间;2)正常登录交换机后不做任何操作,超过设定的超时时间后,登录连接自动退出。
g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;访谈:询问设备管理员,是否采用了安全的远程管理方法。
检查:输入命令show running查看配置文件中是否存在类似如下配置项:line vty 0 4transport in put ssh1)使用SSH协议对交换机进行远程管理;2)没有采用明文的传输协议对交换机进行远程管理;3)采用第三方管理工具保证远程管理的鉴别信息保密。
h)应实现设备特权用户的权限分离。
访谈、检查:1 )访谈设备管理员,是否实现了特权用户的权限分离;2)输入命令show running,检查配置文件中是否存在类似如下配置项:user name cisco1 privilege 0 password 0 ciscouser name cisco1 privilege 15 password 0 cisco3)检查是否部署了日志服务器对管理员的操作进行审计记录;4)审计记录是否有专人管理,非授权用户是否无法进行操作。
1)实现了交换机特权用户的权限分离,不同类型的账号拥有不同权限;2)部署了专用日志服务器对管理员的操作进行审计并记录;3)审计记录有专人管理,非授权用户无法进行操作。