信息系统安全等级保护等保测评网络安全测评ppt详解.
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3、检查内容-结构安全
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网 段与其他网段之间采取可靠的技术隔离手段; 条款理解
3、检查内容-结构安全
b)应保证网络各个部分的带宽满足业务高峰期需要; 条款理解
对网络各个部分进行分配带宽,从而保证在业务高峰期业务服务的连续性。 检查方法
询问当前网络各部分的带宽是否满足业务高峰需要。 如果无法满足业务高峰期需要,则需进行带宽分配。检查主要网络设 备是否进行带宽分配。
3、检查内容-结构安全
1、前言
序号
安全关注点
1 网络结构安全
2 网络访问控制
3 网络安全审计
4 边界完整性检查
5 网络入侵防范
6 恶意代码防范
7 网络设备防护 合计
一级 3 3 0 0 0 0 3 9
二级 4+ 4+ 2 1 1 0 6 18
三级 7 8 4 2 2 2 8 33
四级 7 4 6 2 2+ 2 9 32
3、检查内容-结构安全
一、结构安全(7项) 结构安全是网络安全测评检查的重点,网络结构是否合理直接关系到信息
系统的整体安全。
条款解读
a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
条款理解 为了保证信息系统的高可用性,主要网络设备的业务处理能力应具备冗余
空间。
检查方法 访谈网络管理员,询问主要网络设备的性能及业务高峰流量。 访谈网络管理员,询问采用何种手段对网络设备进行监控。
测评过程中重点依据《信息系统安全等级保护基本要求》、《信息系统 安全等级保护测评要求》来进行。
1、前言
标准概述
基本要求中网络安全的控制点与要求项各级分布:
级别 1 2 3 4
控制点 3 6 7 7
要求项 9 18 33 32
等级保护基本要求三级网络安全方面涵盖哪些内容?
共包含7个控制点33个要求项,涉及到网络安全中的结构安全、 安全审计、边界完整性检查、入侵防范、恶意代码防范、访问 控制、设备防护等方面。
(优选)信息系统安全等级保 护等保测评网络安全测评
内容
1
源自文库
前言
2
检查范围
3
检查内容
4
现场测评步骤
1、前言
标准概述
2007年43号文《信息安全等级保护管理办法》
按照以下相关标准开展等级保护工作: 《计算机信息系统安全保护等级划分准则》(GB17859-1999) 《信息系统安全等级保护定级指南》(GB/T22240-2008) 《信息系统安全等级保护基本要求》(GB/T22239-2008) 《信息系统安全等级保护测评要求》(报批稿) 《信息系统安全等级保护实施指南》(报批稿) .......
3、检查内容-结构安全
d)应绘制与当前运行情况相符的网络拓扑结构图; 条款理解
为了便于网络管理,应绘制与当前运行情况相符的网络拓扑结 构图。当网络拓扑结构发生改变时,应及时更新。 检查方法
检查网络拓扑图,查看其与当前运行情况是否一致。
3、检查内容-结构安全
e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不 同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段; 条款理解
确定检查范围,细化检查项。 通过前期调研获取被测系统的网络结构拓扑、外连线路、网络设备、
安全设备等信息。 根据调研结果,进行初步分析判断。 明确边界设备、核心设备及其他重要设备,确定检查范围。
注意事项 考虑设备的重要程度可以采用抽取的方式。 不能出现遗漏,避免出现脆弱点。 最终需要在测评方案中与用户明确检查范围-网络设备、安全设备
列表。
2、检查范围
内容
1
前言
2
检查范围
3
检查内容
4
现场测评步骤
3、检查内容
检查内容以等级保护基本要求三级为例,按照基本要求7个控制 点33个要求项进行检查。
一、结构安全(7项) 二、访问控制(8项) 三、安全审计(4项) 四、边界完整性检查(2项) 五、入侵防范(2项) 六、恶意代码防范(2项) 七、网络设备防护(8项)
检查方法 检查边界设备和主要网络设备,查看是否进行了路由控制建立安全
的访问路径。 以CISCO IOS为例,输入命令:show running-config 检查配置文件中应当存在类似如下配置项: ip route 192.168.1.0 255.255.255.0 192.168.1.193 (静态) router ospf 100 (动态) ip ospf message-digest-key 1 md5 7 XXXXXX(认证码)
1、前言
• 网络安全是指对信息系统所涉及的通信网络、网络 边界、网络区域和网络设备等进行安全保护。具体 关注内容包括通信过程数据完整性、通信过程数据 保密性、保证通信可靠性的设备和线路冗余、区域 网络的边界保护、区域划分、身份认证、访问控制、 安全审计、入侵防范、恶意代码防范、网络设备自 身保护和网络的网络管理等方面
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径; 条款理解
静态路由是指由网络管理员手工配置的路由信息。动态路由是指路 由器能够自动地建立自己的路由表。
路由器之间的路由信息交换是基于路由协议实现的,如OSPF路由协 议是一种典型的链路状态的路由协议。
如果使用动态路由协议应配置使用路由协议认证功能,保证网络路 由安全。
内容
1
前言
2
检查范围
3
检查内容
4
现场测评步骤
2、检查范围
理解标准:理解标准中涉及网络部分的每项基本要求。
明确目的:检查的最终目的是判断该信息系统的网络安全综合防护能 力,如抗攻击能力、防病毒能力等等,不是单一的设备检查。
分阶段进行:共划分为4个阶段,测评准备、方案编制、现场测评、分 析及报告编制。
根据实际情况和区域安全防护要求,应在主要网络设备上进行VLAN划 分或子网划分。
不同VLAN内的报文在传输时是相互隔离的。如果不同VLAN要进行通 信,则需要通过路由器或三层交换机等三层设备实现。
检查方法 访谈网络管理员,是否依据部门的工作职能、重要性和应用系统的级
别划分了不同的VLAN或子网。 以CISCO IOS为例,输入命令:show vlan 检查配置文件中应当存在类似如下配置项: vlan 2 name info int e0/2 vlan-membership static 2