等级保护测评网络安全文档格式.docx

1、1） Router ospf 100 area 1 authentication message-digest interface FastEthernet0/0 ip ospf message-digest-key 1 md5 xxxx2） router eigrp 100 redistribute ospf 100 metric 10000 100 1 255 1500 route-map ciscod）应绘制与当前运行情况相符的网络拓扑结构图；1）查看网络拓扑图。1）网络拓扑图与当前运行情况一致。e）应根据各部门的工作职能、 重 要性和所涉及信息的重要程度 等因素，划分不同的子网或网 段

2、，并按照方便管理和控制的 原则为各子网、网段分配地址 段；1）访谈网络管理员依据何种原则划分不同的 子网或网段。并检查相关网络设备配置信息， 验证划分的子网或网段是否与访谈结果一致。1）根据各部门的工作职能、重要性和所涉及信息的重 要程度等因素，划分不同的子网或网段。f）应避免将重要网段部署在网 络边界处且直接连接外部信息 系统，重要网段与其他网段之 间采取可靠的技术隔离手段；1）访谈网络管理员并查看网络拓扑图重要网 段是否部署在网络边界处且直接连接外部信 息系统；2）访谈网络管理员并查看网络拓扑图重要网 段与其他网段之间是否采取可靠的技术隔离 手段，如网闸、防火墙、 ACL 等。1）重要网段

3、未部署在网络边界处。2）在重要网段与其他网段之间采取了网闸、防火墙或ACL 等技术隔离手段。g）应按照对业务服务的重要次 序来指定带宽分配优先级别， 保证在网络发生拥堵的时候优 先保护重要主机。1）访谈网络管理员了解配置 QoS 的具体设备 （如防火墙、 路由、 交换设备或专用带宽管理 设备），并检查该设备的 QoS 配置情况。（以 CISCO 设备为例，输入 show run 命令）1）有如下类似配置： class-map match-all voice match access-group 100 policy-map voice-policy class voice bandwidth

4、60 interface Serial1 service-policy output voice-policy2访问控 制1）访谈网络管理员并查看网络拓扑图，是否 所有网络边界都有访问控制措施。1）在网络各个边界处部署了访问控制技术措施，如部 署网闸、防火墙或 ACL 等。3边界完 整性检 查a）应能够对非授权设备私自联 到内部网络的行为进行检查， 准 确定出位置， 并对其进行有效阻 断；1）访谈网络管理员是否部署终端管理软件或 采用网络准入控制技术手段防止非授权设备 接入内部网络，并进行验证。2）检查交换机配置信息，所有闲置端口是否 关闭。1）终端均部署了终端管理软件或交换机上启用了网络 准

5、入控制。2）交换机闲置端口均已关闭。应存在如下类似配置：Interface FastEthernet 0/1 shutdownb）应能够对内部网络用户私自 联到外部网络的行为进行检查， 准确定出位置， 并对其进行有效 阻断。1）访谈网络管理员是否部署终端管理软件或 采取其它技术手段防止非法外联行为，并进行 验证。1）部署了终端管理软件或其它技术手段，限制终端设 备相关端口的使用， 如禁止双网卡、 USB 接口、Modem 、 无线网络等。4恶意代 码防范a）应在网络边界处对恶意代码进行检测和清除；1）检查是否在网络边界处部署恶意代码防范 技术措施，是否启用了检测和阻断功能。1）网络边界处部署了

6、恶意代码防范设备并有相关检测 记录。b）应维护恶意代码库的升级和 检测系统的更新。1）查看防恶意代码产品特征库的更新情况。1）恶意代码库版本为最新。5入侵防 范a）应在网络边界处监视以下攻 击行为：端口扫描、强力攻击、 木马后门攻击、拒绝服务攻击、 缓冲区溢出攻击、 IP 碎片攻击 和网络蠕虫攻击等；1）检查在网络边界处是否有对网络攻击进行 检测的相关措施。1）在网络边界处部署了 IDS （IPS）系统，或 UTM 启 用了入侵检测（保护）功能。b）当检测到攻击行为时， 记录攻 击源 IP、攻击类型、攻击目的、 攻击时间， 在发生严重入侵事件 时应提供报警。1）检查网络攻击检测日志。2）检查采

7、用何种报警方式。1）有网络攻击相关日志记录。2）在发生严重事件时应能够提供监控屏幕实时报警， 最好有主动的声、光、电、短信、邮件等形式的一种或 多种报警方式。6备份与恢复c）应采用冗余技术设计网络拓 扑结构，避免关键节点存在单点 故障；1）访谈管理员并查看网络拓扑图，系统是否 采用冗余技术设计网络拓扑结构。1）系统采用冗余技术设计网络拓扑结构，关键节点不 存在单点故障。d）应提供主要网络设备、 通信线 路和数据处理系统的硬件冗余， 保证系统的高可用性。1）访谈管理员并查看网络拓扑图，系统是否 有主要网络设备、通信线路和数据处理系统的 硬件冗余。1）网络设备、通信线路、数据处理系统具备硬件冗余。

8、2.路由器安全测评1）思科路由器序 号安全审计a）对网络设备进行日志记录检查：输入命令 show running ，检查配置文件中是否存在类似如下配 置项：access-list 100 deny ip 192.168.0.0.0.0.255 any log logging trap debugginglogging X.X.X.Xlogging on存在类似如下配置： logging trap debugging logging X.X.X.X logging onb）分析记录数据，生成审计报表访谈： 访谈并查看如何实现审计记录数据的分析和报表生成。生成日志记录的报表。c）审计记录内容 查看

9、是否启用了审计功能启用了日志功能。d）保护审计记录。 访谈是否避免了审计日志的未授权修改、删除和破坏。输入命令 show logging ，检查配置文件中是否存在类似如下配 置项 :logging x.x.x.x有专门的日志服务器存放日志， 对这台 服务器的访问需经过授权。访问控制a）应启用路由器的访问控制功 能检查网络拓扑结构和相关路由器配置，查看是否在网络 边界路由器上启用了访问控制功能。输入命令 show running-config ，检查配置文件中是否存在以下 类似配置项：ip access-list extended 111deny ip x.x.x.0 0.0.0.255 any

10、 logip access-list extended 111 deny ip x.x.x.0 0.0.0.255 any logb）提供访问控制能力，关闭不需要服务输入命令 show ip access-list 检查配置文件中是否存在类似如下 配置项：interface f 0/0ip access-group 111 in 流入流量过滤：过滤掉源地址 IP 不是公网 IP 的数据包； 流出流量过滤： 只允许源地址 IP 地址是公司内部合法 IP 的数据 包被转发出去。关闭掉路由器的一些不需要的服务，如： no cdp run, no cdpenable，no service tcp-sm

11、all-servers ，no service udp-small- servers ， no ip finger ，no service finger ，no ip bootp server ，no ip source-route， no ip proxy-arp ，no ip directed-broadcast ， no ip domain-lookup 等。ip access-list extended 111 deny ip x.x.x.0 0.0.0.255 any log interface f 0/0ip access-group 111 in 路由器一些不需要的服务都关闭。c

12、）限制网络最大流量数及网络连接数 询问网络管理员，根据网络现状是否需要限制网络最大流量及 网络连接数； 检查路由器配置，输入命令 show running-config 如限制主机 10.1.1.1 的最大连接数为 200，则检查配置文件中是 否存在类似如下配置项：ip nat translation max-entries host 10.1.1.1 200 鉴于现在网络应用类型的复杂程度，推荐使用专用的带宽管理 设备来实现网络流量的控制。有专用的带宽管理设备来实现网络流 量的控制或存在类似如下配置： ip nat translation max-entries host 10.1.1.1

13、200d）重要网段防止地址欺骗输入命令 show ip arp 或 show run 检查配置文件中是否存在类 似如下配置项：arp 10.0.0.1 0000.e268.9980 arpa存在类似如下配置 :e）控制远程拨号用户对受控系统的资源访问输入命令 show running-config 检查配置文件中是否有类似如下 VPN 相关配置项：crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key cisco address 10.0.0.1 255.255.255.0 access-list

14、100 permit tcp host 1.1.1.1 host 2.2.2.2 crypto ipsec transform-set test ah-md5- hmac esp-des crypto map testmap 10 ipsec-isakmp set peer 10.0.0.1 set tracsform-set test match address 100VPN 和远程用户访问受控资源需经过 认证，存在类似如左配置。f）限制具有拨号访问权限的用户 数量。输入命令 show running-config 检查配置文件中是否存在类似如 下配置项：encapsulation pppp

15、pp authentication chapdialer map ip 200.10.1.1 name router broadcast 7782001 ppp multilinkdialer idle-timeout 30dialer load-threshold 128限制 VPN 和远程拨号用户的数量，存 在类似如左配置。网络设备 防护a）登录用户身份鉴别 输入命令 show running-config1） 查看配置文件，是否存在类似如下登录口令设置：存在类似如下配置line vty 0 4loginpassword *line con 0line aux 0passwrod *enb

16、le secret *aaa new-modeltacacs-server host 192. 168.1.1 sigle-connecting或2） 使用 enable secret 命令为特权用户设置口令， 如：enble secretradius-server host 192. 168.1.1sigle-connecting3） 如果设备启用了 AAA 认证，查看配置文件中是否存在类似radius-server key sharedl如下配置项：live vty 0 4tacacs-server host 192.168.1.1 sigle- connecting 或radius-se

17、rver host 192.168.1.1 sigle- connecting radius-server key sharedlaaa authorization login输入命令 show running-config 查看配置文件里是否存在类似如b）登录地址限制下配置项：access-list 3 permit x.x.x.xaccess-list 3 permit x.x. x.x line vty 0 4access-class 3 inc）用户标识唯一输入命令 show running-config 检查配置文件是否存在类似如下 配置项：username admin privil

18、ege 10 password admin username user privilege 1 password userusername admin privilege 10 password adminusername user privilege 1 password userd）两种或两种以上身份鉴别技术访谈采用了何种鉴别技术实现双因子鉴别，并在网络管 理员的配合下验证双因子鉴别的有效性。两种认证方式同时作用鉴别身份。e）身份鉴别信息复杂询问网络管理员使用口令的组成、长度和更改周期等。 检查：service password-encryption口令组成满足复杂性和长度要求并定 期更新

19、，存在类似如下配置： service password- encryptionf）具有登录失败处理功能line vty 0 4 exec-timeout 50 line aux 0 exec-timeout 50 line con 0 exec-timeout 50 line vty 0 4 exec-timeout 50 line con 0 exec-timeout 50g）安全的远程管理方法 询问是否采用安全的远程管理方法。输入命令 show running-config 查看配置文件中是否存在类似如 下配置项：ip ssh authentication-reties 3 line vt

20、y 0 4 transport input ssh使用 SSH 或 SSL 等安全的远程管理方 法，存在类似如下配置： ip ssh authentication -reties 3 line vty 0 4 transport input sshh）特权用户权限分离username root privilege 10 G00DpASSW0rd privilege exec level 10 ssh privilege exec level 10 show logusername root privilege 10G00DpASSW0rdprivilege exec level 10 sshp

21、rivilege exec level 10 show log备份和恢 复a）提供本地数据备份与恢复 访谈设备配置文件备份策略。ip ftp username xxx ip ftp password xxxb）提供异地数据备份功能c）冗余的网络拓扑结构 查看网络拓扑结构看是否采用了冗余技术来避免关键节点存在 单点障。拓扑结构冗余。d）提供硬件冗余。 查看主要路由器是否有硬件冗余。设备硬件冗余。2）华为路由器输入命令 display current-configuration 检查配置文件中是否存在 类似如下配置项：acl number XXrule 5 permit source X.X.X.

22、X info-center loghost X.X.X.X info-center enable info-center loghost X.X. X.X info-center enableinfo-center loghost X.X.X.Xa）应启用路由器的访问控制功能输入命令 display current-configuration 检查配置文件中是否存 在以下类似配置项：acl number 2000rule 5 permit source X.X.X.X存在类似如左配置acl number 2000 rule 5 deny source X.X.X.X interface f 0/0 ip access-group 111 in 流入流量过滤：关闭掉路由器的一些不需要的服务， 如： no ip finger ，no service finger ， no ip bootp server ，no ip source-route ， no ip proxy-arp ， no ip directed-broadcast ， no ip domain-lookup 等。存在类似配置， 路由器一些不需要的服 务都关闭。