信息系统安全等级保护等保测评网络安全测评.pptx

1、信息系统安全等级保护信息系统安全等级保护网络安全测评网络安全测评前言前言1检查范围检查范围2检查内容检查内容3现场测评步骤现场测评步骤4内容内容1 1、前言、前言标准概述标准概述2007年年43号文号文信息安全等级保护管理办法信息安全等级保护管理办法按照以下相关标准开展等级保护工作：按照以下相关标准开展等级保护工作：计算机信息系统安全保护等级划分准则（GB17859-1999）信息系统安全等级保护定级指南（GB/T22240-2008）信息系统安全等级保护基本要求（GB/T22239-2008）信息系统安全等级保护测评要求（报批稿）信息系统安全等级保护实施指南（报批稿）测评过程中重点依据信息系

2、统安全等级保护基本要求信息系统安全等级保护基本要求、信息系统信息系统安全等级保护测评要求安全等级保护测评要求来进行。1 1、前言、前言标准概述标准概述 基本要求中网络安全的控制点控制点与要求项要求项各级分布：级别控制点要求项139261837334732等级保护基本要求三级网络安全方面涵盖哪些内容？共包含7个控制点33个要求项，涉及到网络安全中的结构安全、安全审计、边界完整性检查、入侵防范、恶意代码防范、访问控制、设备防护等方面。1 1、前言、前言网络安全是指对信息系统所涉及的网络安全是指对信息系统所涉及的通信网络、网络通信网络、网络边界、网络区域和网络设备边界、网络区域和网络设备等进行安全保

3、护。具体等进行安全保护。具体关注内容包括通信过程数据完整性、通信过程数据关注内容包括通信过程数据完整性、通信过程数据保密性、保证通信可靠性的设备和线路冗余、区域保密性、保证通信可靠性的设备和线路冗余、区域网络的边界保护、区域划分、身份认证、访问控制、网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范、网络设备自安全审计、入侵防范、恶意代码防范、网络设备自身保护和网络的网络管理等方面身保护和网络的网络管理等方面1 1、前言、前言序号安全关注点一级二级三级四级1网络结构安全34+772网络访问控制34+843网络安全审计02464边界完整性检查01225网络入侵防范01

4、22+6恶意代码防范00227网络设备防护3689合计9183332前言前言1检查范围检查范围2检查内容检查内容3现场测评步骤现场测评步骤4内容内容2 2、检查范围、检查范围理解标准：理解标准：理解标准中涉及网络部分的每项基本要求。明确目的：明确目的：检查的最终目的是判断该信息系统的网络安全综合防护能力网络安全综合防护能力，如抗攻击能力、防病毒能力等等，不是单一的设备检查不是单一的设备检查。分阶段进行：分阶段进行：共划分为4个阶段，测评准备、方案编制、现场测评、分测评准备、方案编制、现场测评、分析及报告编制析及报告编制。确定检查范围，细化检查项。确定检查范围，细化检查项。通过前期调研获取被测系

5、统的网络结构拓扑、外连线路、网络设备、安全设备等信息。根据调研结果，进行初步分析判断。明确边界设备、核心设备及其他重要设备，确定检查范围。注意事项注意事项 考虑设备的重要程度可以采用抽取的方式。不能出现遗漏，避免出现脆弱点。最终需要在测评方案中与用户明确检查范围网络设备、安全设备列表。2 2、检查范围、检查范围前言前言1检查范围检查范围2检查内容检查内容3现场测评步骤现场测评步骤4内容内容3 3、检查内容、检查内容检查内容以等级保护基本要求三级三级为例，按照基本要求7个控制点33个要求项进行检查。一、结构安全（7项）二、访问控制（8项）三、安全审计（4项）四、边界完整性检查（2项）五、入侵防范

6、（2项）六、恶意代码防范（2项）七、网络设备防护（8项）3 3、检查内容、检查内容-结构安全结构安全一、结构安全（项）一、结构安全（项）结构安全是网络安全测评检查的重点，网络结构是否合理直接关系到信息系统的整体安全。条款解读条款解读a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；条款理解条款理解 为了保证信息系统的高可用性，主要网络设备的业务处理能力应具备冗余空间。检查方法检查方法 访谈网络管理员，询问主要网络设备的性能及业务高峰流量。访谈网络管理员，询问采用何种手段对网络设备进行监控。b)应保证网络各个部

7、分的带宽满足业务高峰期需要；应保证网络各个部分的带宽满足业务高峰期需要；条款理解条款理解 对网络各个部分进行分配带宽，从而保证在业务高峰期业务服务的连续性。检查方法检查方法询问当前网络各部分的带宽是否满足业务高峰需要。如果无法满足业务高峰期需要，则需进行带宽分配。检查主要网络设备是否进行带宽分配。3 3、检查内容、检查内容-结构安全结构安全c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；条款理解条款理解静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够自动地建立自己的路由表。路由器之间的路由信息交换是基

8、于路由协议实现的，如OSPF路由协议是一种典型的链路状态的路由协议。如果使用动态路由协议应配置使用路由协议认证功能，保证网络路由安全。检查方法检查方法检查边界设备和主要网络设备，查看是否进行了路由控制建立安全的访问路径。以CISCO IOS为例，输入命令：show running-config检查配置文件中应当存在类似如下配置项：ip route 192.168.1.0 255.255.255.0 192.168.1.193（静态）router ospf 100（动态）ip ospf message-digest-key 1 md5 7 XXXXXX（认证码）3 3、检查内容、检查内容-结构安

9、全结构安全d)应绘制与当前运行情况相符的网络拓扑结构图；应绘制与当前运行情况相符的网络拓扑结构图；条款理解条款理解为了便于网络管理，应绘制与当前运行情况相符的网络拓扑结构图。当网络拓扑结构发生改变时，应及时更新。检查方法检查方法检查网络拓扑图，查看其与当前运行情况是否一致。3 3、检查内容、检查内容-结构安全结构安全e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；条款理解条

10、款理解根据实际情况和区域安全防护要求，应在主要网络设备上进行VLAN划分或子网划分。不同VLAN内的报文在传输时是相互隔离的。如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备实现。检查方法检查方法访谈网络管理员，是否依据部门的工作职能、重要性和应用系统的级别划分了不同的VLAN或子网。以CISCO IOS为例，输入命令：show vlan检查配置文件中应当存在类似如下配置项：vlan 2 name infoint e0/2vlan-membership static 23 3、检查内容、检查内容-结构安全结构安全f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要

11、网应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；段与其他网段之间采取可靠的技术隔离手段；条款理解条款理解为了保证信息系统的安全，应避免将重要网段部署在网络边界处且直接连接外部信息系统，防止来自外部信息系统的攻击。在重要网段和其它网段之间配置安全策略进行访问控制。检查方法检查方法检查网络拓扑结构，查看是否将重要网段部署在网络边界处，重要网段和其它网段之间是否配置安全策略进行访问控制。3 3、检查内容、检查内容-结构安全结构安全g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生应按照对业务服务的重要次序来指定带宽分配优先级别

12、，保证在网络发生拥堵的时候优先保护重要主机。拥堵的时候优先保护重要主机。条款理解条款理解 为了保证重要业务服务的连续性，应按照对业务服务的重要次序来指定带宽分配优先级别，从而保证在网络发生拥堵的时候优先保护重要主机。检查方法检查方法 访谈网络管理员，依据实际应用系统状况，是否进行了带宽优先级分配。以CISCO IOS为例，检查配置文件中是否存在类似如下配置项：policy-map barclass voicepriority percent 10class databandwidth percent 30class videobandwidth percent 203 3、检查内容、检查内容-

13、结构安全结构安全3 3、检查内容、检查内容-访问控制访问控制二、访问控制（二、访问控制（8项）项）访问控制是网络测评检查中的核心部分，涉及到大部分网络设备、访问控制是网络测评检查中的核心部分，涉及到大部分网络设备、安全设备。安全设备。条款解读条款解读a)应在网络边界部署访问控制设备，启用访问控制功能；应在网络边界部署访问控制设备，启用访问控制功能；条款理解条款理解 在网络边界部署访问控制设备在网络边界部署访问控制设备,防御来自其他网络的攻击，保护内部网络防御来自其他网络的攻击，保护内部网络的安全。的安全。检查方法检查方法 检查网络拓扑结构，查看是否在网络边界处部署了访问控制设备，是否检查网络拓

14、扑结构，查看是否在网络边界处部署了访问控制设备，是否启用了访问控制功能。启用了访问控制功能。3 3、检查内容、检查内容-访问控制访问控制b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；条款理解 在网络边界部署访问控制设备,对进出网络的流量进行过滤，保护内部网络的安全。配置的访问控制列表应有明确的源/目的地址、源/目的、协议及服务等。检查方法检查方法 以以CISCO IOS为例，输入命令：为例，输入命令：show ip access-list检查配置文件中应当存在类似如下配置项：检查配置文件中应当存在类似如下配置项：ip access-list extended

15、 111deny ip x.x.x.0 0.0.0.255 any loginterface eth 0/0ip access-group 111 in3 3、检查内容、检查内容-访问控制访问控制 以防火墙检查为例，应有明确的访问控制策略，如下图所示：以防火墙检查为例，应有明确的访问控制策略，如下图所示：3 3、检查内容、检查内容-访问控制访问控制c)应对进出网络的信息内容进行过滤，实现对应用层应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；等协议命令级的控制；条款理解条款理解 对于一些常用的应用层协议，能够在访问控制设备上实现

16、应用层协议命令级的控制和内容检查，从而增强访问控制粒度。检查方法检查方法 该测评项一般在防火墙、入侵防御系统上检查。首先查看防火墙、入侵防御系统是否具有该功能，然后登录设备查看是否启用了相应的功能。3 3、检查内容、检查内容-访问控制访问控制 以联想网域防火墙为例，如下图所示：以联想网域防火墙为例，如下图所示：d)应在会话处于非活跃一定时间或会话结束后终止网络连接；应在会话处于非活跃一定时间或会话结束后终止网络连接；条款理解条款理解 当恶意用户进行网络攻击时，有时会发起大量会话连接，建立会话后长当恶意用户进行网络攻击时，有时会发起大量会话连接，建立会话后长时间保持状态连接从而占用大量网络资源，最终将网络资源耗尽的情况。时间保持状态连接从而占用大量网络资源，最终将网络资源耗尽的情况。应在会话终止或长时间无响应的情况下终止网络连接，释放被占用网络应在会话终止或长时间无响应的情况下终止网络连接，释放被占用网络资源，保证业务可以被正常访问。资源，保证业务可以被正常访问。检查方法检查方法 该测评项一般在防火墙上检查。该测评项一般在防火墙上检查。登录防火墙，查看是否设置了会话连接超时，设置的超时时