网络安全测评-于东升

1、信息安全等级测评师培训网络安全测评公安部信息安全等级保护评估中心于东升1内容目录1.前 言2.检 查 范 围3 .检 查 内 容4 .现 场 测 评 步 骤2标准概述o 2007年43号文信息安全等级保护管理办法o 按照以下相关标准开展等级保护工作：o 计算机信息系统安全保护等级划分准则 （GB17859-1999）o 信息系统安全等级保护定级指南 （GB/T22240-2008）o 信息系统安全等级保护基本要求 （GB/T22239-2008）o 信息系统安全等级保护测评要求 （报批稿）o 信息系统安全等级保护实施指南 （报批稿）o 3标准概述o 测评过程中重点依据信息系统安全等级保护基本要

2、求、信息系统安全等级保护测评要求来进行。4标准概述o 基本要求中网络安全的控制点与要求项各级分布：级别 控制点 要求项第一级 3 第二级 6 第三级 7 第四级 7 5标准概述o 等级保护基本要求三级网络安全方面涵盖哪些内容？o 共包含7个控制点33个要求项，涉及到网络安全中的结构安全 、 、安全审计、 、边界完整性检查、入侵防范、恶意代码防范、访问控制、设备防护等方面。6内容目录1.前 言2.检 查 范 围3 .检 查 内 容4. 现 场 测 评 步 骤7检查范围o 理解标准：理解标准中涉及网络部分的每项基本要求。o 明确目的：检查的最终目的是判断该信息系统的网 网络安全综合防护能力， 如抗

3、攻击能力、 、 防病毒能力等等，不是单一的设备检查。o 分阶段进行：共划分为4个阶段，测评准备、方案编制、现场测评、分析及报告编制。8检查范围o 确定检查范围，细化检查项。n 通过前期调研获取被测系统的网络结构拓扑、外连线路、 、网络设备、 安全设备等信息。n 根据调研结果，进行初步分析判断。n 明确边界设备、核心设备及其他重要设备，确定检查范围。9检查范围o 注意事项n 考虑设备的重要程度可以采用抽取的方式。n 不能出现遗漏， 避免出现脆弱点。n 最终需要在测评方案中与用户明确检查范围网络设备、安全设备列表。10SiSiSiSi11内容目录1.前 言2.检 查 范 围3 .检 查 内 容4

4、.现 场 测 评 步 骤12检查内容o 检查内容以等级保护基本要求三级为例，按照基本要求7个控制点33个要求项进行检查。n 一、结构安全 （7项）n 二、访问控制 （8项）n 三、安全审计 （4项）13检查内容n 四、边界完整性检查 （2项）n 五、入侵防范 （2项）n 六 、 恶意代码防范 （2项）n 七、网络设备防护 （8项）14检查内容o 一、结构安全 （项）n 结构安全是网络安全测评检查的重点，网络结构是否合理直接关系到信息系统的整体安全。o 条款解读15结构安全a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；o 条款理解n 为了保证信息系统的高可用性，主要网络设

5、备的业务处理能力应具备冗余空间。o 检查方法n 访谈网络管理员 ，询问主要网络设备的性能及业务高峰流量。n 访谈网络管理员，询问采用何种手段对网络设备进行监控。16结构安全b)应保证网络各个部分的带宽满足业务高峰期需要；(保证接入网络和核心网络的带宽满足业务高峰期需要)o 条款理解n 对网络各个部分进行分配带宽，从而保证在业务高峰期业务服务的连续性。o 检查方法n 询问当前网络各部分的带宽是否满足业务高峰需要。n 如果无法满足业务高峰期需要， 则需进行带宽分配 。检查主要网络设备是否进行带宽分配。17结构安全c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；o 条款理解n 静态路

6、由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够自动地建立自己的路由表。n 路由器之间的路由信息交换是基于路由协议实现的，如 OSPF路由协议是一种典型的链路状态的路由协议。n 如果使用动态路由协议应配置使用路由协议认证功能， 保证网络路由安全。18结构安全o 检查方法n 检查边界设备和主要网络设备，查看是否进行了路由控制建立安全的访问路径。n 以CISCO IOS为例，输入命令：show running-config检查配置文件中应当存在类似如下配置项：ip route 93 （静态）router ospf

7、 100 （动态）ip ospf message-digest-key 1 md5 7 XXXXXX（认证码）19结构安全d)应绘制与当前运行情况相符的网络拓扑结构图；o 条款理解n 为了便于网络管理，应绘制与当前运行情况相符的网络拓扑结构图。当网络拓扑结构发生改变时，应及时更新。o 检查方法n 检查网络拓扑图，查看其与当前运行情况是否一致。20结构安全e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；o 条款理解n 根据实际情况和区域安全防护要求，应在主要网络设备上进行VLAN划分或子网划分。n 不同VL

8、AN内的报文在传输时是相互隔离的 。如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备实现。21结构安全o 检查方法n 访谈网络管理员，是否依据部门的工作职能、重要性和应用系统的级别划分了不同的VLAN或子网。n 以CISCO IOS为例，输入命令：show vlan检查配置文件中应当存在类似如下配置项：vlan 2 name infoint e0/2vlan-membership static 222结构安全f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；o 条款理解n 为了保证信息系统的安全，应避免将重要网段部署在网

9、络边界处且直接连接外部信息系统，防止来自外部信息系统的攻击。n 在重要网段和其它网段之间配置安全策略进行访问控制。o 检查方法n 检查网络拓扑结构，查看是否将重要网段部署在网络边界处，重要网段和其它网 段之间 是否配置安 全策略进行访问控制。23结构安全g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。o 条款理解n 为了保证重要业务服务的连续性，应按照对业务服务的重要次序来指定带宽分配优先级别，从而保证在网络发生拥堵的时候优先保护重要主机。o 检查方法n 访谈网络管理员，依据实际应用系统状况，是否进行了带宽优先级分配。24结构安全n 以CISCO

10、 IOS为例，检查配置文件中是否存在类似如下配置项：policy-map barclass voicepriority percent 10class databandwidth percent 30class videobandwidth percent 2025访问控制o 二、访问控制 （8项）n 访问控制是网络测评检查中的核心部分，涉及到大部分网络设备 、 、安全设备。o 条款解读26访问控制a)应在网络边界部署访问控制设备，启用访问控制功能；o 条款理解n 在网络边界部署访问控制设备,防御来自其他网络的攻击，保护内部网络的安全。o 检查方法n 检查网络拓扑结构，查看是否在网络边界处部署

11、了访问控制设备， 是否启用了访问控制功能。27访问控制b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；（控制粒度为网段级）o 条款理解n 在网络边界部署访问控制设备,对进出网络的流量进行过滤，保护内部网络的安全。n 配置的访问控制列表应有明确的源/目的地址、源/目的、协议及服务等。28访问控制o 检查方法n 以CISCO IOS为例，输入命令：show ip access-list检查配置文件中应当存在类似如下配置项：ip access-list extended 111deny ip x.x.x.0 55 any loginterface et

12、h 0/0ip access -group 111 in29访问控制n 以防火墙检查为例，应有明确的访问控制策略，如下图所示：策略说明 允许INTERNET服务器访问前置专用服务器源地址 目的地址 端口 协议 策略策略设置23 1 8080 TCP 允许211.138.235。66 1 89708971TCP 允许30访问控制c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；o 条款理解n 对于一些常用的应用层协议，能够在访问控制设备上实现应用层协议命令级的控制

13、和内容检查，从而增强访问控制粒度。o 检查方法n 该测评项一 般在防火墙、 入侵防御系统上检查。n 首先查看防火墙、入侵防御系统是否具有该功能，然后登录设备查 看是否启 用了相应的 功能。31访问控制n 以联想网域防火墙为例，如下图所示：32访问控制d)应在会话处于非活跃一定时间或会话结束后终止网络连接；o 条款理解n 当恶意用户进行网络攻击时，有时会发起大量会话连接，建立会话后长时间保持状态连接从而占用大量网络资源，最终将网络资源耗尽的情况。n 应在会话终止或长时间无响应的情况下终止网络连接，释放被占用网络资源， 保证业务可以被正常访问。33访问控制o 检查方法n 该测评项一般在防火墙上检查

14、。n 登录防火墙，查看是否设置了会话连接超时，设置的超时时间是多少，判断是否合理。34访问控制n 以天融信防火墙为例，如下图所示：35访问控制e)应限制网络最大流量数及网络连接数；o 条款理解n 可根据IP地址、端口、协议来限制应用数据流的最大流量，还可以根据IP地址来限制网络连接数，从而保证业务带宽不被占用，业务系统可以对外正常提供业务。o 检查方法n 该测评项 一般在防火墙上检查。 访谈系统管理员 ，依据实际网络状况是否需要限制网络最大流量数及网络连接数。n 登录设备查看 是否设置了最大流量 数 和连接数 ，并 做好记录。36访问控制n 以天融信防火墙为例，如下图所示：37访问控制f)重要

15、网段应采取技术手段防止地址欺骗；o 条款理解n 地址欺骗在网络安全中比较重要的一个问题,这里的地址,可以是MAC地址,也可以是IP地址。在关键设备上，采用IP/MAC地址绑定方式防止地址欺骗。o 检查方法n 以CISCO IOS为例， 输入 sh ow ip arp检查配置文件中应当存在类似如下配置项：arp 0000.e268.9980 arpa38访问控制n 以联想网域防火墙为例，如下图所示：39访问控制g)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；o 条款理解n 对于远程拨号用户，应在相关设备上提供用户认证功能。

16、n 通过配置用户、用户组，并结合访问控制规则可以实现对认证成功的用户允许访问受控资源。o 检查方法n 登录相关设备查看是否对拨号用户进行身份认证，是否配置访问控制 规则对认证成功 的 用户允许访问 受控资源。40访问控制h)应限制具有拨号访问权限的用户数量。o 条款理解n 应限制通过远程采用拨号方式或通过其他方式连入系统内部的用户数量。o 检查方法n 询问系统管理员，是否有远程拨号用户，采用什么方式接入系统部， 采用何种方式进行身份认证， 具体用户数量有多少。41安全审计o 三、安全审计 （4项）n 安全审计要对相关事件进行日志记录，还要求对形成的记录能够分析 、 形成报表。o 条款解读42安

17、全审计a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；o 条款理解n 为了对网络设备的运行状况、网络流量、管理记录等进行检测和记录，需要启用系统日志功能。系统日志信息通常输出至各种管理端口、内部缓存或者日志服务器。o 检查方法n 检查测评对象，查看是否启用了日志记录，日志记录是本地保存， 还是转发到日志服务器。 记录日志服务器的地址。43安全审计n 以联想网域防火墙为例，如下图所示：44安全审计b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；o 条款理解n 日志审计内容需要记录时间、类型、用户、事件类型、事件是否成功等相关信息。

18、o 检查方法n 登录测评对象或日志服务器， 查看日志记录是否包含了事件的日期和时间、用户、事件类型、事件是否成功等信息。45安全审计c)应能够根据记录数据进行分析，并生成审计报表；o 条款理解n 为了便于管理员对能够及时准确地了解网络设备运行状况和发现网络入侵行为，需要对审计记录数据进行分析和生成报表。o 检查方法n 访谈并查看网络管理员采用了什么手段实现了审计记录数据的分析和报表生成。46安全审计d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。o 条款理解n 审计记录能够帮助管理人员及时发现系统运行状况和网络攻击行为，因此需要对审计记录实施技术上和管理上的保护，防止未授权修改、

19、删除和破坏。o 检查方法n 访谈网络设备管理员采用了何种手段避免了审计日志的未授权修改、删除和破坏。如可以设置专门的日志服务器来接收路由器等网 络设 备发送 出的报 警信息。47安全审计n 以联想网域防火墙为例，如下图所示：48边界完整性检查o 四、边界完整性检查 （2项）n 边界完整性检查主要检查在全网中对网络的连接状态进行监控， 发现非法接入 、非法外联时能够准确定位并能及时报警和阻断。o 条款解读49边界完整性检查a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；o 条款理解n 可以采用技术手段和管理措施对“非法接入”行为进行检查。技术手段包括网络接

20、入控制、I P/MAC地址绑定。o 检查方法n 访谈网络管理员， 询问采用何种技术手段或管理措施对“非法接入”进行检查，对于技术手段，在网络管理员配合下验证其有效性。50ARP方式：边界完整性检查n 以联想网域防火墙为例，如下图所示：51边界完整性检查n 以联想网域防火墙为例，如下图所示：52边界完整性检查b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。（应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查）o 条款理解n 可以采用技术手段和管理措施对“非法外联”行为进行检查。技术手段可以采取部署桌面管理系统或其他技术措施控制。o

21、检查方法n 访问网络管理员， 询问采用了何种技术手段或管理措施对“非法外联”行为进行检查，对于技术手段，在网络管理员配合下验证其有效性。53边界完整性检查n 以联想网域防火墙为例，如下图所示：54入侵防范o 五、入侵防范 （2项）n 对入侵事件不仅能够检测，并能发出报警，对于入侵防御系统要求定期更新特征库 ，发现入侵后能够报警并阻断。o 条款解读55入侵防范a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；o 条款理解n 要维护系统安全，必须在网络边界处对常见的网络攻击行为进行监视，以便及时发现攻击行为。o 检查方

22、法n 检查网络拓扑结构，查看在网络边界处是否部署了包含入侵防范功 能的设 备。 登录相应 设备 ，查 看是否启 用了检测功能 。56入侵防范n 以联想网域防火墙为例，如下图所示：57入侵防范b)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。o 条款理解n 当检测到攻击行为时，应对攻击信息进行日志记录。在发生严重入侵事件时应能通过短信、邮件等向有关人员报警。o 检查方法n 查看在网络边界处是否部署了包含入侵防范功能的设备。n 如果部署了相应设备，则检查设备的日志记录是否完备，是否提供了 报警功 能。58恶意代码防范o 六、恶意代码防范 （2项）

23、n 恶意代码防范是综合性的多层次的，在网络边界处需要对恶意代码进行防范。o 条款解读59恶意代码防范a)应在网络边界处对恶意代码进行检测和清除；o 条款理解n 计算机病毒、木马和蠕虫的泛滥使得防范恶意代码的破坏显得尤为重要。在网络边界处部署防恶意代码产品进行恶意代码防范是最为直接和高效的办法。o 检查方法n 检查网络拓扑结构， 查看在网络边界处是否部署了防恶意代码产品。如果部署了相关产品，则查看是否启用了恶意代码检测及阻断功能， 并查看 日志记 录中是 否有相 关 阻断信息。60恶意代码防范n 以联想网域防火墙为例，如下图所示：61恶意代码防范b)应维护恶意代码库的升级和检测系统的更新。o 条

24、款理解n 恶意代码具有特征变化快，特征变化快的特点。因此对于恶意代码检测重要的特征库更新，以及监测系统自身的更新，都非常重要。o 检查方法n 访谈网络管理员， 询问是否对防恶意代码产品的特征库进行升级及具体是升级方式。登录相应的防恶意代码产品，查看其特征库、 系统软件 升级情况 ，查看 当前 是否为 最新 版本。62网络设备防护o 七、网络设备防护 （8项）n 网络设备的防护主要是对用户登录前后的行为进行控制， ，对网络设备的权限进行管理。o 条款解读63网络设备防护a)应对登录网络设备的用户进行身份鉴别；o 条款理解n 对于网络设备，可以采用CON、AUX、VTY等方式登录。n 对于安全设备

25、，可以采用WEB、GUI、命令行等方式登录。o 检查方法n 检查测评对象采用何种方式进行登录，是否对登录用户的身份进行鉴别， 是否修改了默认的用户名及密码。64网络设备防护n 以CISCO IOS为例， 检查配置文件中应当存在类似如下配置项：line vty 0 4loginpassword xxxxxxxline aux 0l oginpassword xxxxxxxline con 0loginpassword xxxxxxx65网络设备防护b)应对网络设备的管理员登录地址进行限制；o 条款理解n 为了保证安全，需要对访问网络设备的登录地址进行限制，避免未授权的访问。o 检查方法n 以CI

26、SCO IOS为例，输入命令：show running-configaccess-list 3 permit x. x .x .x logaccess-list 3 deny anyline vty 0 4access-class 3 in66网络设备防护n 以联想网域防火墙为例，如下图所示：67网络设备防护c)网络设备用户的标识应唯一；o 条款理解n 不允许在网络设备上配置用户名相同的用户，要防止多人共用一个帐户，实行分帐户管理，每名管理员设置一个单独的帐户，避免出现问题后不能及时进行追查。o 检查方法n 登录网络设备， 查看设置的用户是否有相同用户名 。询问网络管理员，是否为每个管理员设置

27、了单独的账户。68网络设备防护d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；o 条款理解n 采用双因子鉴别是防止身份欺骗的有效方法，双因子鉴别不仅要求访问者知道 一些鉴别信息，还需要访问者拥有鉴别特征，例如采用令牌、智能卡等。o 检查方法n 访谈网络设备管理员，询问采用了何种鉴别技术实现了双因子鉴别 ，并在管理 员的配 合下验证双因子鉴别 的有效性。69网络设备防护n 以联想网域防火墙为例，如下图所示：70网络设备防护e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；o 条款理解n 为避免身份鉴别信息被冒用，可以通过采用令牌、认证服务器等措施，

28、加强身份鉴别信息的保护。如果仅仅基于口令的身份鉴别，应当保证口令复杂度和定期更改的要求。o 检查方法n 询问网络管理员对身份鉴别所采取的具体措施，使用口令的组成 、长度和 更改周 期等。71网络设备防护n 以联想网域防火墙为例，如下图所示：72网络设备防护f)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；o 条款理解n 应对登录失败进行处理，避免系统遭受恶意的攻击。o 检查方法n 以CISCO IOS为例，输入命令：show running-config检查配置文件中应当存在类似如下配置项：line vty 0 4exec-timeout 5 07

29、3网络设备防护n 以联想网域防火墙为例，如下图所示：74网络设备防护g)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；o 条款理解n 对网络设备进行管理时，应采用SSH、HTTPS等加密协议，防止鉴别信息被窃听。o 检查方法n 以CISCO IOS为例 ，输入命令 ：sh ow runni ng-config检查配置文件中应当存在类似如下配置项：li ne vt y 0 4transport input ssh75网络设备防护h)应实现设备特权用户的权限分离。o 条款理解n 应根据实际需要为用户分配完成其任务的最小权限。o 检查方法n 登录设备 ，查看有多少管理员账户， 每个管理员账户是否仅分配完成其任务的最小权限。一般应该有三类账户：普通账户，审计账户、 配置更改账户。76网络设备防护n 以联想网域防火墙为例，如下图所示：77内容目录1.前 言2.检 查 范 围3 .检 查 内 容4 .现 场 测 评 步 骤78现场测评步骤o 现场网络测评步骤：n 1、网络全局性测评n 2 、网络设备、 安全设备测评n 3、测评结果汇总整理79现场测评步骤o 1、网络全局性测评n 结构安全n 边界完整性检查n 入