信息安全等级评测师课堂笔记

1.网络安全测评

1.1网络全局

1.1.1结构安全

1.应该保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；//硬

件要达标,也就是硬件的性能不能局限于刚好够用的地步

2.应该保证网络的各个部分的带宽满足业务高峰期需要；//带宽要达标

3.应在业务终端与服务器之间进行路由控制，简历安全的访问路径；//传输过程中的

信息要加密，节点和节点之间要进行认证，例如OSPF的认证：检测方法：

Cisco show ru& display cu

4.绘制与当前运行状况相符合的网络拓扑结构图；

5.根据各个部门工作智能，重要性和所涉及信息的重要程度等一些因素，划分不同的

子网或者网段，并按照方便管理和控制的原则为各子网，网段分配地址段；// 划分

VLAN最合适,检测方法： Cisco show vlan Huawei display vlan all

6.避免将重要的网段不是在网络边界处且直接连接到外部信息系统，重要网段与其他

网段之间采取可靠的技术手段隔离；//重要网段与其他网段之间采用访问控制策略，安全区域边界处要采用防火墙，网闸等设备

7.按照对业务的重要次序来指定带宽的分配优先级别，保证在网络发生拥堵时优先保

护重要主机；//有防火墙是否存在策略带宽配置，边界网络设备是否存在相关策略

配置（仅仅在边界进行检查？）

1.1.2边界完整性检查

1．能够应对非授权的设备私自连接到内部网络的行为进行检查，能够做到准确定位，并能够对其进行有效阻断；//防止外部未经授权的设备进来

2．应该能够对内部网络用户私自连接到外部网络的行为进行检查，能够做到准确定位，并对其进行有效的阻断；//防止内部设备绕过安全设备出去

1.1.3入侵防范

1.应该在网络边界处监视以下行为的攻击：端口扫描，强力攻击，木马后门攻击，拒

绝服务攻击，缓冲区溢出攻击，IP碎片攻击和网络蠕虫攻击//边界网关处是否部署

了相应的设备，部署的设备是否能够完成上述功能

2.当检测到攻击行为时，能够记录攻击源IP，攻击类型，攻击目的，攻击时间，在发

生严重入侵事件时应该提供报警；//边界网关处事都部署了包含入侵防范功能的设

备，如果部署了，是否能够完成上述功能

1.1.4恶意代码防范

1.应该在网络边界处对恶意代码进行检查和清除；//网络中应该有防恶意代码的产品，

可以是防病毒网关，可以是包含防病毒模块的多功能安全网关，也可以是网络版的

防病毒系统产品

2.维护恶意代码库的升级和检测系统升级；//应该能够更新自己的代码库文件

1.2路由器

1.2.1访问控制

1．应在网络边界部署访问控制设备，启用访问控制功能；//路由器本身就具有访问控制功能，看看是否开启了，如果在网络边界处单独布置了其他访问控制的产品，那

就更好了

2．应能根据会话状态的信息为数据流提供明确的允许/拒绝访问的能力，控制力度为端口级；//要求ACL为扩展的ACL，检测：showip access-list & display

aclconfig all

依据安全策略，下列的服务建议关闭：

3．应对进出网络的信息内容进行过滤，实现对应用层HTTP，FTP，TELNET，SMTP，POP3等协议命令级的控制；//网络中如果部署了防火墙，这个一般要在防火墙上

实现

4．应该在会话处于非活跃一段时间后自动终止连接；//防止无用的连接占用较多的资源，也就是会话超时自动退出

5．应该限制网络最大流量数及网络连接数；//根据IP地址，端口，协议来限制应用数据流的最大带宽，从而保证业务带宽不被占用，如果网络中有防火墙，一般要在防

火墙上面实现

6．重要网络应该采取技术手段防止地址欺骗；//ARP欺骗，解决方法：把网络中的所有设备都输入到一个静态表中，这叫IP-MAC绑定;或者在内网的所有PC上设置

网关的静态ARP信息，这叫PC IP-MAC绑定，一般这两个都做，叫做IP-MAC

的双向绑定

7．应该按照用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；//限制用户对一些敏感受控资源的访问，验证：

show crypto isakmp policy | show crypto ipsec transform-set | show ip

access-list

8．应该限制具有拨号访问权限的用户数量；//对通过远程采用拨号方式或通过其他方式连入单位内网的用户，路由器等相关设备应提供限制具有拨号访问权限的用

户数量的相关功能，验证：show run & dis dialer

1.2.2安全审计

1.应对网络系统中的网络设备运行状况，网络流量，用户行为等进行日志记录；//

默认情况下，路由器的这个服务处于启动状态，验证：show logging & dis cu

2.审计记录应该包括：事件的日期和时间，用户，事件类型，事件是否成功等相关信

息；//思科华为路由器开启日志功能就可以实现

3.应能够根据记录数据进行分析，并生成审计报表；//使用什么手段实现了审计记录

数据的分析和报表生成

4.应对审计记录进行保护，避免受到未预期的删除，修改或者覆盖；//要备份日志记

录，验证：show logging & dis cu

1.2.3网络设备保护

1.应该对登录网络设备的用户进行身份鉴别；//身份鉴别，也就是要有密码，vty的

密码，enable的密码 con 0 的密码..,验证：show run & dis cu

2.应对网络设备的管理员登录地址进行限制；//利用ACL等对登录到该设备的人员

范围进行控制，验证：show run & dis cu

3.网络设备用户的表示应该唯一；//本意是不能有多人公用一个帐号，这样方便出现

问题的时候进行追溯,show run & dis cu

4.主要网络设备应对同一用户选择两种或者两种以上组合鉴别技术来进行身份鉴别；

//感觉好像是多次的认证

5.身份鉴别信息应该具有不易被冒用的特点，口令应该具有复杂度要求并且定期更

换；//网络中或者是服务器上的密码存储应该采用密文存储：show run & dis cu

6.应该具有登录失败处理的能力，可采取结束会话，限制非法登录次数和当网络登录

连接超时的时候自动退出等措施；//也就是超时自动退出，输入多少次错误的密码

后自动冻结帐号一段时间：show run & dis cu

7.当网络设备进行远程管理时，应该采取必要措施防止鉴别信息在网络传输的过程中

被窃听；//建议采用一些安全带的协议，ssh，https等

8.应该实现设备特权用户的权限分离；

1.3交换机

1.3.1访问控制

1.应在网络边界部署访问控制设备，启用访问控制功能；

2.应能根据会话状态的信息为数据流提供明确的允许/拒绝访问的能力，控制力度为端

口级；

3.应对进出网络的信息内容进行过滤，实现对应用层HTTP，FTP，TELNET，SMTP，

POP3等协议命令级的控制；

4.应该在会话处于非活跃一段时间后自动终止连接；

5.应该限制网络最大流量数及网络连接数；

6.重要网络应该采取技术手段防止地址欺骗；