中国移动内容网络安全风险防范自查细则
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
其它:
9、OS漏洞及时修复
是 □ 否 □
其它:
加固建议
访问控制风险
序号
2-2
风险编号
SB-ZJ-2
风险场景
网络安全—访问控制
风险描述
按规范要求:仅支持与白名单内网元的对接和消息互通,仅对于白名单内部的IP地址发送的消息予以接收和响应。
1.不具备白名单机制;
2.白名单机制未实际生效,造成存在攻击路径。
是 □ 否 □
其它:
加固建议
12
12.1
主机访问风险
序号
2-1
风险编号
SB-ZJ-1
风险场景
主机安全—主机访问风险
风险描述
系统主机存在现场或远程访问的需求,可能存在非授权访问等风险。
1.认证方式的风险(远程认证、现场认证);
2.认证强度不足;
3.暴力破解;
4.失效账号残留;
5.超时退出机制不完善;
6.特权账号;
其它:
加固建议
序号
2-5
风险编号
SB-ZJ-5
风险场景
平台软件安全——数据库
风险描述
平台软件存在OS或其他服务漏洞,形成非授权登录等风险。
风险等级
高
评估方法
1.核查数据库基线配置
2.漏洞扫描
3.渗透性测试
评估结果
账号安全
1、应按照用户分配账号,避免不同用户间共享账号
是□ 否 □
其它:
2、应删除与数据库运行、维护等工作无关的账号
风险等级
高
评估方法
1.检查网络单元中访问控制权限配置
2.漏洞扫描
3.渗透性测试
评估结果
1.访问权限控制是否具备白名单机制
是 □ 否 □
其它:
2.白名单机制是否实际生效
是 □ 否 □
其它:
加固建议
安全连接机制不完善
序号
2-3
风险编号
SB-ZJ-3
风险场景
网络安全—安全连接
风险描述
按规范要求未接入相应的访问控制、审计系统。
是□ 否 □
其它:
3、在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限
是□ 否 □
其它:
4、使用数据库角色来管理对象的权限
是□ 否 □
其它:
口令安全
5、对用户的属性进行安全检查,包括空密码、密码更新时间等。修改目前所有账号的口令,确认为强口令。特别是sa 账号,需要设置至少10位的强口令
3.监控系统;
4.其他重要系统。
风险等级
中
评估方法
1.核实网络节点、网络链路冗余情况,是否可满足目前业务高峰流量情况
2.核实采用何种手段对主要网络设备进行运行状态监控;查看设备状态监控措施是否满足安全要求
评估结果
1.网络节点、链路是否有效冗余
是 □ 否 □
其它:
2.是否对主要网络设备进行状态监控
是 □ 否 □
是 □ 否 □
其它:
3.限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作
是 □ 否 □
其它:
4.对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用,不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务,应删除这些账号
5.核实是否按照授权最小化原则和安全策略最大化原则,实施安全域隔离;查看网络设备(交换机、防火墙等)配置信息,结合渗透性测试,验证安全域隔离是否有效
评估结果
1.拓扑图与实际网络是否一致
是 □ 否 □
其它:
2.网络拓扑及相关设备部署是否符合有关标准对组网安全的要求
是 □ 否 □
其它:
3.是否进行了安全域边界整合
是□ 否 □
其它:
加固建议
DDOS
序号
1-4
风险编号
WL-GJFH-2
风险场景
主机安全——主机被拒绝服务攻击
风险描述
系统不具备拒绝服务攻击的抵抗能力,容易被实施流量攻击
风险等级
中
评估方法
1.检查网络单元中防拒绝服务基线配置
2.漏洞扫描
1.渗透性测试
评估结果
1.打开DOS和DDOS攻击防护功能。对攻击告警。DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分告警
2.核实相关设备部署情况;查看网络拓扑图,核实网络拓扑及相关设备部署符合有关标准对组网安全要求
3.核实是否按照业务需求和安全需求,对其他域到接入域、接入域到核心域,核心域内部对安全域边界进行整合
4.核实是否按照业务安全需求,进行安全域划分,即划分为核心域、接入域;接入域是否按照要求划分为:互联网接口子域、外部接口子域、内部接口子域、终端接入子域;其他域是与接入域有接口关系的其他IT系统,包括CMNET、非中国移动计算机系统和中国移动其他IT系统
b
11
11.1
架构设计风险
序号
1-1
风险编号
WL-WLJG-1
风险场景
结构安全——架构设计安全
风险描述
网络应当划分合理的安全区域。
1.架构设计未对功能区进行合理划分;
2.功能区之间未能有效隔离,不同子网或网段之间的访问未有效限制;
风险等级
中
评估方法
1.核实网络拓扑情况,并查看交换机路由器配置信息,核实拓扑图与实际网络是否相符
风险等级
高
评估方法
1.检查网络单元中网络安全设备(防火墙、入侵检测、防病毒、防拒绝服务、网页防篡改等)基线配置
2.漏洞扫描
3.渗透性测试
评估结果
告警配置安全
1、设备应具备向管理员告警的功能,配置告警功能,报告对防火墙本身的攻击或者防火墙的系统严重错误
是□ 否 □
其它:
2、告警信息应被保留,直到被确认为止
其它:
3、对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令
是 □ 否 □
其它:
4、对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号
是 □ 否 □
其它:
5、应删除或锁定与设备运行、维护等工作无关的账号
是 □ 否 □
其它:
加固建议
11.2
防护设备缺失
序号
1-3
风险编号
WL-GJFH-1
风险场景
网络安全——防护设备
风险描述
按规范要求的网络防护设备缺失或设备未生效,包括:
1.防火墙;
2.入侵检测;
3.防病毒;
4.防拒绝服务(DDOS攻击防护设备);
5.网页防篡改。
说明:安全设备的具体部署应按规范,对不同的设备进行要求。例如针对OMC等管理设备和DNS、GSLB等关键设备部署,针对服务用户的缓存设备,由于非关键设备,且流量较大,建议作为可选部署。
是□ 否 □
其它:
15、隐藏防火墙字符管理界面的banner信息
是□ 否 □
其它:
16、应用代理服务器,将从内网到外网的访问流量通过代理服务器。防火墙只开启代理服务器到外部网络的访问规则,避免在防火墙上配置从内网的主机直接到外网的访问规则
是□ 否 □
其它:
17、防火墙的系统和软件版本必须处于厂家维护期,并且维护人员必须定期对防火墙版本进行升级或者打补丁操作。如防火墙系统厂家已不再维护,需要及时更新版本或者撤换
是 □ 否 □
其它:
4.是否进行了安全域划分
是 □ 否 □
其它:
5.安全域隔离是否有效
是 □ 否 □
其它:
加固建议
网络结构冗余
序号
1-2
风险编号
WL-WLJG-2
风险场景
网络安全——网络结构冗余
风险描述
冗余设计不足,导致系统不能承载运营风险。主要考虑风险包括以下系统/设备故障:
1.运营管理系统;
2.请求路由系统;
是 □ 否 □
其它:
加固建议
主机服务
序号
2-4
风险编号
SB-ZJ-4
风险场景
主机安全—主机服务风险
风险描述
系统主机存在OS或其他服务漏洞,形成非授权登录等风险。
1、DB、Web容器、FTP等服务存在漏洞(低版本等)
2、DB、Web容器、FTP等服务用户认证机制不完善。
风险等级
高
评估方法
1.检查网络单元中主机服务权限配置
1.账号口令集中管理;
2.第三方日志审计;
3.远程接入管理。
风险等级
高
评估方法
1.检查网络单元中访问控制、审计系统配置
2.漏洞扫描
3.渗透性测试
评估结果
1.应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享
是 □ 否 □
其它:
2.应删除或锁定与设备运行、维护等工作无关的账号
是□ 否 □
其它:
安全策略配置
8、所有防火墙在配置访问规则时,最后一条必须是拒绝一切流量
是□ 否 □
பைடு நூலகம்其它:
9、在配置访问规则时,源地址和目的地址的范围必须以实际访问需求为前提,尽可能的缩小范围
是□ 否 □
其它:
10、对于访问规则的排列,应当遵从范围由小到大的排列规则。应根据实际网络流量,保证重要连接和数据吞吐量大的连接对应的防火墙规则优先得到匹配
是 □ 否 □
其它:
8.应该从应用层面进行必要的安全访问控制,比如FTP服务器应该限制ftp可以使用的目录范围
是 □ 否 □
其它:
9.关闭系统串行口(serial port),避免未授权用户通过调制解调器、终端或其他远程访问设备连接到这些物理端口,从而获得系统控制权。系统console的gettyprocess使用/dev/console相当于一个/dev/tty
7.OS存在未修复漏洞。
风险等级
高
评估方法
1.核查主机操作系统基线配置
2.漏洞扫描
3.渗透性测试
评估结果
1、对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
是 □ 否 □
其它:
2、对于采用静态口令认证技术的设备,账户口令的生存期不长于90天
是 □ 否 □
是 □ 否 □
其它:
5.根据系统要求及用户的业务需求,建立多账户组,将用户账号分配到相应的账户组
是 □ 否 □
其它:
6.设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址
是 □ 否 □
其它:
7.设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器
是□ 否 □
其它:
11、在进行重大配置修改前,必须对当前配置进行备份
是□ 否 □
其它:
12、对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制
是□ 否 □
其它:
13、访问规则必须按照一定的规则进行分组
是□ 否 □
其它:
14、配置NAT,对公网隐藏局域网主机的实际地址
是□ 否 □
其它:
3、设备应配置告警功能,报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。对每一个告警项是否告警可由用户配置
是□ 否 □
其它:
4、设备应配置告警功能,报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警,对每一个告警项是否告警可由用户配置
是□ 否 □
其它:
5、可打开扫描攻击检测功能。对扫描探测告警。扫描攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分网络扫描告警
其它:
6、在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限
是 □ 否 □
其它:
7、控制用户缺省访问权限,当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制
是 □ 否 □
其它:
8、失效账号及时删除
是 □ 否 □
是□ 否 □
其它:
6、防火墙应具备关键字内容过滤功能,可打开该功能,在HTTP,SMTP,POP3等协议中对用户设定的关键字进行过滤
是□ 否 □
其它:
7、如防火墙具备网络病毒防护功能。可打开病毒防护,对蠕虫等病毒传播时的攻击流量进行过滤。如不具备相关模块,需要在安全策略配置中首先关注对常见病毒流量的端口的封堵
是□ 否 □
其它:
日志安全
6、数据库应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间
是□ 否 □
其它:
22、回环地址(lookback address)一般用于本机的IPC通讯,防火墙必须阻断含有回环地址(lookback address)的流量
是□ 否 □
其它:
虚拟防火墙安全
23、可划分成多个虚拟防火墙系统,每个虚拟系统都是一个唯一的安全域,拥有其自己的管理员进行管理,管理员可以通过设置自己的地址薄、用户列表、自定义服务、VPN 和策略以使安全域个性化。只有根级管理员才可设置防火墙安全选项、创建虚拟系统管理员以及定义接口和子接口
2.漏洞扫描
3.渗透性测试
评估结果
1.DB、Web容器、FTP等服务应进行账号登录限制,确保账号仅被守护进程和服务使用,不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务,应删除这些账号
是 □ 否 □
其它:
2.DB、Web容器、FTP等服务是否由维护人员定期对其版本进行升级或者打补丁操作
是 □ 否 □
是□ 否 □
其它:
攻击防范安全
18、对于常见系统漏洞对应端口,应当进行端口的关闭配置
是□ 否 □
其它:
19、限制ICMP包的大小,以及一段时间内同一IP地址主机发送ICMP ECHO Request报文的次数
是□ 否 □
其它:
20、对于防火墙各逻辑接口需要开启防源地址欺骗功能
是□ 否 □
其它:
21、对于有固定模式串的攻击,在应急时可开启基于正则表达式的模式匹配的功能
9、OS漏洞及时修复
是 □ 否 □
其它:
加固建议
访问控制风险
序号
2-2
风险编号
SB-ZJ-2
风险场景
网络安全—访问控制
风险描述
按规范要求:仅支持与白名单内网元的对接和消息互通,仅对于白名单内部的IP地址发送的消息予以接收和响应。
1.不具备白名单机制;
2.白名单机制未实际生效,造成存在攻击路径。
是 □ 否 □
其它:
加固建议
12
12.1
主机访问风险
序号
2-1
风险编号
SB-ZJ-1
风险场景
主机安全—主机访问风险
风险描述
系统主机存在现场或远程访问的需求,可能存在非授权访问等风险。
1.认证方式的风险(远程认证、现场认证);
2.认证强度不足;
3.暴力破解;
4.失效账号残留;
5.超时退出机制不完善;
6.特权账号;
其它:
加固建议
序号
2-5
风险编号
SB-ZJ-5
风险场景
平台软件安全——数据库
风险描述
平台软件存在OS或其他服务漏洞,形成非授权登录等风险。
风险等级
高
评估方法
1.核查数据库基线配置
2.漏洞扫描
3.渗透性测试
评估结果
账号安全
1、应按照用户分配账号,避免不同用户间共享账号
是□ 否 □
其它:
2、应删除与数据库运行、维护等工作无关的账号
风险等级
高
评估方法
1.检查网络单元中访问控制权限配置
2.漏洞扫描
3.渗透性测试
评估结果
1.访问权限控制是否具备白名单机制
是 □ 否 □
其它:
2.白名单机制是否实际生效
是 □ 否 □
其它:
加固建议
安全连接机制不完善
序号
2-3
风险编号
SB-ZJ-3
风险场景
网络安全—安全连接
风险描述
按规范要求未接入相应的访问控制、审计系统。
是□ 否 □
其它:
3、在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限
是□ 否 □
其它:
4、使用数据库角色来管理对象的权限
是□ 否 □
其它:
口令安全
5、对用户的属性进行安全检查,包括空密码、密码更新时间等。修改目前所有账号的口令,确认为强口令。特别是sa 账号,需要设置至少10位的强口令
3.监控系统;
4.其他重要系统。
风险等级
中
评估方法
1.核实网络节点、网络链路冗余情况,是否可满足目前业务高峰流量情况
2.核实采用何种手段对主要网络设备进行运行状态监控;查看设备状态监控措施是否满足安全要求
评估结果
1.网络节点、链路是否有效冗余
是 □ 否 □
其它:
2.是否对主要网络设备进行状态监控
是 □ 否 □
是 □ 否 □
其它:
3.限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作
是 □ 否 □
其它:
4.对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用,不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务,应删除这些账号
5.核实是否按照授权最小化原则和安全策略最大化原则,实施安全域隔离;查看网络设备(交换机、防火墙等)配置信息,结合渗透性测试,验证安全域隔离是否有效
评估结果
1.拓扑图与实际网络是否一致
是 □ 否 □
其它:
2.网络拓扑及相关设备部署是否符合有关标准对组网安全的要求
是 □ 否 □
其它:
3.是否进行了安全域边界整合
是□ 否 □
其它:
加固建议
DDOS
序号
1-4
风险编号
WL-GJFH-2
风险场景
主机安全——主机被拒绝服务攻击
风险描述
系统不具备拒绝服务攻击的抵抗能力,容易被实施流量攻击
风险等级
中
评估方法
1.检查网络单元中防拒绝服务基线配置
2.漏洞扫描
1.渗透性测试
评估结果
1.打开DOS和DDOS攻击防护功能。对攻击告警。DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分告警
2.核实相关设备部署情况;查看网络拓扑图,核实网络拓扑及相关设备部署符合有关标准对组网安全要求
3.核实是否按照业务需求和安全需求,对其他域到接入域、接入域到核心域,核心域内部对安全域边界进行整合
4.核实是否按照业务安全需求,进行安全域划分,即划分为核心域、接入域;接入域是否按照要求划分为:互联网接口子域、外部接口子域、内部接口子域、终端接入子域;其他域是与接入域有接口关系的其他IT系统,包括CMNET、非中国移动计算机系统和中国移动其他IT系统
b
11
11.1
架构设计风险
序号
1-1
风险编号
WL-WLJG-1
风险场景
结构安全——架构设计安全
风险描述
网络应当划分合理的安全区域。
1.架构设计未对功能区进行合理划分;
2.功能区之间未能有效隔离,不同子网或网段之间的访问未有效限制;
风险等级
中
评估方法
1.核实网络拓扑情况,并查看交换机路由器配置信息,核实拓扑图与实际网络是否相符
风险等级
高
评估方法
1.检查网络单元中网络安全设备(防火墙、入侵检测、防病毒、防拒绝服务、网页防篡改等)基线配置
2.漏洞扫描
3.渗透性测试
评估结果
告警配置安全
1、设备应具备向管理员告警的功能,配置告警功能,报告对防火墙本身的攻击或者防火墙的系统严重错误
是□ 否 □
其它:
2、告警信息应被保留,直到被确认为止
其它:
3、对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令
是 □ 否 □
其它:
4、对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号
是 □ 否 □
其它:
5、应删除或锁定与设备运行、维护等工作无关的账号
是 □ 否 □
其它:
加固建议
11.2
防护设备缺失
序号
1-3
风险编号
WL-GJFH-1
风险场景
网络安全——防护设备
风险描述
按规范要求的网络防护设备缺失或设备未生效,包括:
1.防火墙;
2.入侵检测;
3.防病毒;
4.防拒绝服务(DDOS攻击防护设备);
5.网页防篡改。
说明:安全设备的具体部署应按规范,对不同的设备进行要求。例如针对OMC等管理设备和DNS、GSLB等关键设备部署,针对服务用户的缓存设备,由于非关键设备,且流量较大,建议作为可选部署。
是□ 否 □
其它:
15、隐藏防火墙字符管理界面的banner信息
是□ 否 □
其它:
16、应用代理服务器,将从内网到外网的访问流量通过代理服务器。防火墙只开启代理服务器到外部网络的访问规则,避免在防火墙上配置从内网的主机直接到外网的访问规则
是□ 否 □
其它:
17、防火墙的系统和软件版本必须处于厂家维护期,并且维护人员必须定期对防火墙版本进行升级或者打补丁操作。如防火墙系统厂家已不再维护,需要及时更新版本或者撤换
是 □ 否 □
其它:
4.是否进行了安全域划分
是 □ 否 □
其它:
5.安全域隔离是否有效
是 □ 否 □
其它:
加固建议
网络结构冗余
序号
1-2
风险编号
WL-WLJG-2
风险场景
网络安全——网络结构冗余
风险描述
冗余设计不足,导致系统不能承载运营风险。主要考虑风险包括以下系统/设备故障:
1.运营管理系统;
2.请求路由系统;
是 □ 否 □
其它:
加固建议
主机服务
序号
2-4
风险编号
SB-ZJ-4
风险场景
主机安全—主机服务风险
风险描述
系统主机存在OS或其他服务漏洞,形成非授权登录等风险。
1、DB、Web容器、FTP等服务存在漏洞(低版本等)
2、DB、Web容器、FTP等服务用户认证机制不完善。
风险等级
高
评估方法
1.检查网络单元中主机服务权限配置
1.账号口令集中管理;
2.第三方日志审计;
3.远程接入管理。
风险等级
高
评估方法
1.检查网络单元中访问控制、审计系统配置
2.漏洞扫描
3.渗透性测试
评估结果
1.应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享
是 □ 否 □
其它:
2.应删除或锁定与设备运行、维护等工作无关的账号
是□ 否 □
其它:
安全策略配置
8、所有防火墙在配置访问规则时,最后一条必须是拒绝一切流量
是□ 否 □
பைடு நூலகம்其它:
9、在配置访问规则时,源地址和目的地址的范围必须以实际访问需求为前提,尽可能的缩小范围
是□ 否 □
其它:
10、对于访问规则的排列,应当遵从范围由小到大的排列规则。应根据实际网络流量,保证重要连接和数据吞吐量大的连接对应的防火墙规则优先得到匹配
是 □ 否 □
其它:
8.应该从应用层面进行必要的安全访问控制,比如FTP服务器应该限制ftp可以使用的目录范围
是 □ 否 □
其它:
9.关闭系统串行口(serial port),避免未授权用户通过调制解调器、终端或其他远程访问设备连接到这些物理端口,从而获得系统控制权。系统console的gettyprocess使用/dev/console相当于一个/dev/tty
7.OS存在未修复漏洞。
风险等级
高
评估方法
1.核查主机操作系统基线配置
2.漏洞扫描
3.渗透性测试
评估结果
1、对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
是 □ 否 □
其它:
2、对于采用静态口令认证技术的设备,账户口令的生存期不长于90天
是 □ 否 □
是 □ 否 □
其它:
5.根据系统要求及用户的业务需求,建立多账户组,将用户账号分配到相应的账户组
是 □ 否 □
其它:
6.设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址
是 □ 否 □
其它:
7.设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器
是□ 否 □
其它:
11、在进行重大配置修改前,必须对当前配置进行备份
是□ 否 □
其它:
12、对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制
是□ 否 □
其它:
13、访问规则必须按照一定的规则进行分组
是□ 否 □
其它:
14、配置NAT,对公网隐藏局域网主机的实际地址
是□ 否 □
其它:
3、设备应配置告警功能,报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。对每一个告警项是否告警可由用户配置
是□ 否 □
其它:
4、设备应配置告警功能,报告网络流量中对TCP/IP应用层协议异常进行攻击的相关告警,对每一个告警项是否告警可由用户配置
是□ 否 □
其它:
5、可打开扫描攻击检测功能。对扫描探测告警。扫描攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分网络扫描告警
其它:
6、在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限
是 □ 否 □
其它:
7、控制用户缺省访问权限,当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制
是 □ 否 □
其它:
8、失效账号及时删除
是 □ 否 □
是□ 否 □
其它:
6、防火墙应具备关键字内容过滤功能,可打开该功能,在HTTP,SMTP,POP3等协议中对用户设定的关键字进行过滤
是□ 否 □
其它:
7、如防火墙具备网络病毒防护功能。可打开病毒防护,对蠕虫等病毒传播时的攻击流量进行过滤。如不具备相关模块,需要在安全策略配置中首先关注对常见病毒流量的端口的封堵
是□ 否 □
其它:
日志安全
6、数据库应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间
是□ 否 □
其它:
22、回环地址(lookback address)一般用于本机的IPC通讯,防火墙必须阻断含有回环地址(lookback address)的流量
是□ 否 □
其它:
虚拟防火墙安全
23、可划分成多个虚拟防火墙系统,每个虚拟系统都是一个唯一的安全域,拥有其自己的管理员进行管理,管理员可以通过设置自己的地址薄、用户列表、自定义服务、VPN 和策略以使安全域个性化。只有根级管理员才可设置防火墙安全选项、创建虚拟系统管理员以及定义接口和子接口
2.漏洞扫描
3.渗透性测试
评估结果
1.DB、Web容器、FTP等服务应进行账号登录限制,确保账号仅被守护进程和服务使用,不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务,应删除这些账号
是 □ 否 □
其它:
2.DB、Web容器、FTP等服务是否由维护人员定期对其版本进行升级或者打补丁操作
是 □ 否 □
是□ 否 □
其它:
攻击防范安全
18、对于常见系统漏洞对应端口,应当进行端口的关闭配置
是□ 否 □
其它:
19、限制ICMP包的大小,以及一段时间内同一IP地址主机发送ICMP ECHO Request报文的次数
是□ 否 □
其它:
20、对于防火墙各逻辑接口需要开启防源地址欺骗功能
是□ 否 □
其它:
21、对于有固定模式串的攻击,在应急时可开启基于正则表达式的模式匹配的功能