等级保护测评-网络安全

网络安全测评指导书网络全局安全测评序号测评指标测评项检查方法预期结果备注说明1结构安全a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；1）访谈网络管理员了解信息系统的业务高峰流量。2）检查主要网络设备处理能力，查看业务高峰期设备的CPU和内存使用率。（以CISCO设备为例，输入shprocessescpu，shprocessesmemory）1)业务高峰流量不超过设备处理能力。2）设备CPU和内存使用率峰值不大于70%b)应保证网络各个部分的带宽满足业务高峰期需要；1）访谈网络管理员了解各通信链路带宽、高峰流量。1）各通信链路高峰流量均不大于其带宽的70%。c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；1)检查访问路径上的路由设备配置信息，查看是否启用了路由协议认证及其控制策略（以CISCO设备为例，输入showrun命令）有如下类似配置：1）Routerospf100area1authenticationmessage-digestinterfaceFastEthernet0/0ipospfmessage-digest-key1md5xxxx2）routereigrp100redistributeospf100metric1000010012551500route-mapciscod)应绘制与当前运行情况相符的网络拓扑结构图；1)查看网络拓扑图。1）网络拓扑图与当前运行情况一致。e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；1）访谈网络管理员依据何种原则划分不同的子网或网段。并检查相关网络设备配置信息，验证划分的子网或网段是否与访谈结果一致。1）根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段。f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；1）访谈网络管理员并查看网络拓扑图重要网段是否部署在网络边界处且直接连接外部信息系统；2）访谈网络管理员并查看网络拓扑图重要网段与其他网段之间是否采取可靠的技术隔离手段，如网闸、防火墙、ACL等。1）重要网段未部署在网络边界处。2）在重要网段与其他网段之间采取了网闸、防火墙或ACL等技术隔离手段。g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。1）访谈网络管理员了解配置QoS的具体设备（如防火墙、路由、交换设备或专用带宽管理设备），并检查该设备的QoS配置情况。（以CISCO设备为例，输入showrun命令）1）有如下类似配置：class-mapmatch-allvoicematchaccess-group100policy-mapvoice-policyclassvoicebandwidth60interfaceSerial1service-policyoutputvoice-policy2访问控制a）应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；1）访谈网络管理员并查看网络拓扑图，是否所有网络边界都有访问控制措施。1）在网络各个边界处部署了访问控制技术措施，如部署网闸、防火墙或ACL等。3边界完整性检查a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；1）访谈网络管理员是否部署终端管理软件或采用网络准入控制技术手段防止非授权设备接入内部网络，并进行验证。2）检查交换机配置信息，所有闲置端口是否关闭。（以CISCO设备为例，输入showrun命令）1）终端均部署了终端管理软件或交换机上启用了网络准入控制。2）交换机闲置端口均已关闭。应存在如下类似配置：InterfaceFastEthernet0/1shutdownb)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。1）访谈网络管理员是否部署终端管理软件或采取其它技术手段防止非法外联行为，并进行验证。1）部署了终端管理软件或其它技术手段，限制终端设备相关端口的使用，如禁止双网卡、USB接口、Modem、无线网络等。4恶意代码防范a)应在网络边界处对恶意代码进行检测和清除；1）检查是否在网络边界处部署恶意代码防范技术措施，是否启用了检测和阻断功能。1）网络边界处部署了恶意代码防范设备并有相关检测记录。b)应维护恶意代码库的升级和检测系统的更新。1)查看防恶意代码产品特征库的更新情况。1）恶意代码库版本为最新。5入侵防范a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；1）检查在网络边界处是否有对网络攻击进行检测的相关措施。1）在网络边界处部署了IDS（IPS）系统，或UTM启用了入侵检测（保护）功能。b)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。1）检查网络攻击检测日志。2）检查采用何种报警方式。1）有网络攻击相关日志记录。2）在发生严重事件时应能够提供监控屏幕实时报警，最好有主动的声、光、电、短信、邮件等形式的一种或多种报警方式。6备份与恢复c)应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障；1）访谈管理员并查看网络拓扑图，系统是否采用冗余技术设计网络拓扑结构。1）系统采用冗余技术设计网络拓扑结构，关键节点不存在单点故障。d)应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。1）访谈管理员并查看网络拓扑图，系统是否有主要网络设备、通信线路和数据处理系统的硬件冗余。1）网络设备、通信线路、数据处理系统具备硬件冗余。路由器安全测评1）思科路由器序号测评指标测评项检查方法预期结果备注说明1安全审计a)对网络设备进行日志记录检查：输入命令showrunning，检查配置文件中是否存在类似如下配置项：access-list100denyip.0.0.255anylog……loggingtrapdebuggingloggingX.X.X.Xloggingon存在类似如下配置：loggingtrapdebuggingloggingX.X.X.Xloggingonb)分析记录数据，生成审计报表访谈：访谈并查看如何实现审计记录数据的分析和报表生成。生成日志记录的报表。c)审计记录内容检查：查看是否启用了审计功能启用了日志功能。d)保护审计记录。访谈：访谈是否避免了审计日志的未授权修改、删除和破坏。检查：输入命令showlogging，检查配置文件中是否存在类似如下配置项:loggingx.x.x.x有专门的日志服务器存放日志，对这台服务器的访问需经过授权。2访问控制a)应启用路由器的访问控制功能检查：检查网络拓扑结构和相关路由器配置，查看是否在网络边界路由器上启用了访问控制功能。输入命令showrunning-config，检查配置文件中是否存在以下类似配置项：ipaccess-listextended111denyipx.x.x.055anylog存在类似如下配置：ipaccess-listextended111denyipx.x.x.055anylogb)提供访问控制能力，关闭不需要服务检查：输入命令showipaccess-list检查配置文件中是否存在类似如下配置项：ipaccess-listextended111denyipx.x.x.055anyloginterfacef0/0ipaccess-group111in流入流量过滤：过滤掉源地址IP不是公网IP的数据包；流出流量过滤：只允许源地址IP地址是公司内部合法IP的数据包被转发出去。关闭掉路由器的一些不需要的服务，如：nocdprun,nocdpenable，noservicetcp-small-servers，noserviceudp-small-servers，noipfinger，noservicefinger，noipbootpserver，noipsource-route，noipproxy-arp，noipdirected-broadcast，noipdomain-lookup等。存在类似如下配置：ipaccess-listextended111denyipx.x.x.055anyloginterfacef0/0ipaccess-group111in路由器一些不需要的服务都关闭。c)限制网络最大流量数及网络连接数访谈：询问网络管理员，根据网络现状是否需要限制网络最大流量及网络连接数；检查：检查路由器配置，输入命令showrunning-config如限制主机的最大连接数为200，则检查配置文件中是否存在类似如下配置项：ipnattranslationmax-entrieshost200鉴于现在网络应用类型的复杂程度，推荐使用专用的带宽管理设备来实现网络流量的控制。有专用的带宽管理设备来实现网络流量的控制或存在类似如下配置：ipnattranslationmax-entrieshost200d)重要网段防止地址欺骗检查：输入命令showiparp或showrun检查配置文件中是否存在类似如下配置项：arp0000.e268.9980arpa存在类似如下配置:arp0000.e268.9980arpae)控制远程拨号用户对受控系统的资源访问检查：输入命令showrunning-config检查配置文件中是否有类似如下VPN相关配置项：cryptoisakmppolicy10hashmd5authenticationpre-sharecryptoisakmpkeyciscoaddressaccess-list100permittcphosthostcryptoipsectransform-settestah-md5-hmacesp-descryptomaptestmap10ipsec-isakmpsetpeersettracsform-settestmatchaddress100VPN和远程用户访问受控资源需经过认证，存在类似如左配置。f)限制具有拨号访问权限的用户数量。检查：输入命令showrunning-config检查配置文件中是否存在类似如下配置项：encapsulationppppppauthenticationchapdialermapipnamerouterbroadcast7782001pppmultilinkdialeridle-timeout30dialerload-threshold128限制VPN和远程拨号用户的数量，存在类似如左配置。3网络设备防护a)登录用户身份鉴别检查：输入命令showrunning-config1)查看配置文件，是否存在类似如下登录口令设置：linevty04loginpassword******lineaux0loginpassword******linecon0loginpasswrod******2)使用enablesecret命令为特权用户设置口令，如：enblesecret******3)如果设备启用了AAA认证，查看配置文件中是否存在类似如下配置项：aaanew-modeltacacs-serverhostsigle-connecting或radius-serverhostsigle-connectingradius-serverkeysharedllivevty04aaaauthorizationlogin存在类似如下配置linevty04loginpassword******linecon0loginpasswrod******enblesecret******aaanew-modeltacacs-serverhost192.168.1.1sigle-connecting或radius-serverhost192.168.1.1sigle-connectingradius-serverkeysharedllivevty04aaaauthorizationloginb)登录地址限制检查：输入命令showrunning-config查看配置文件里是否存在类似如下配置项：access-list3permitx.x.x.xlinevty04access-class3in存在类似如下配置：access-list3permitx.x.x.xlinevty04access-class3inc)用户标识唯一检查：输入命令showrunning-config检查配置文件是否存在类似如下配置项：usernameadminprivilege10passwordadminusernameuserprivilege1passworduser存在类似如下配置：usernameadminprivilege10passwordadminusernameuserprivilege1passworduserd)两种或两种以上身份鉴别技术访谈：访谈采用了何种鉴别技术实现双因子鉴别，并在网络管理员的配合下验证双因子鉴别的有效性。两种认证方式同时作用鉴别身份。e)身份鉴别信息复杂访谈：询问网络管理员使用口令的组成、长度和更改周期等。检查：输入命令showrunning-config检查配置文件中是否存在类似如下配置项：servicepassword-encryption口令组成满足复杂性和长度要求并定期更新，存在类似如下配置：servicepassword-encryptionf)具有登录失败处理功能检查：输入命令showrunning-config检查配置文件中是否存在类似如下配置项：linevty04exec-timeout50lineaux0exec-timeout50linecon0exec-timeout50存在类似如下配置：linevty04exec-timeout50linecon0exec-timeout50g)安全的远程管理方法访谈：询问是否采用安全的远程管理方法。检查：输入命令showrunning-config查看配置文件中是否存在类似如下配置项：ipsshauthentication-reties3linevty04transportinputssh使用SSH或SSL等安全的远程管理方法，存在类似如下配置：ipsshauthentication-reties3linevty04transportinputsshh)特权用户权限分离检查：输入命令showrunning-config检查配置文件中是否存在类似如下配置项：usernamerootprivilege10G00DpASSW0rdprivilegeexeclevel10sshprivilegeexeclevel10showlog存在类似如下配置：usernamerootprivilege10G00DpASSW0rdprivilegeexeclevel10sshprivilegeexeclevel10showlog4备份和恢复a)提供本地数据备份与恢复访谈：访谈设备配置文件备份策略。检查：输入命令showrunning-config检查配置文件中是否存在类似如下配置项：ipftpusernamexxxipftppasswordxxx存在类似如下配置ipftpusernamexxxipftppasswordxxxb)提供异地数据备份功能c)冗余的网络拓扑结构检查：查看网络拓扑结构看是否采用了冗余技术来避免关键节点存在单点障。拓扑结构冗余。d)提供硬件冗余。检查：查看主要路由器是否有硬件冗余。设备硬件冗余。2）华为路由器序号测评指标测评项检查方法预期结果备注说明1安全审计a)对网络设备进行日志记录检查：输入命令displaycurrent-configuration检查配置文件中是否存在类似如下配置项：aclnumberXXrule5permitsourceX.X.X.Xinfo-centerloghostX.X.X.Xinfo-centerenable存在类似如下配置：info-centerloghostX.X.X.Xinfo-centerenableb)分析记录数据，生成审计报表访谈：访谈并查看如何实现审计记录数据的分析和报表生成。生成日志记录的报表。c)审计记录内容检查：查看是否启用了审计功能启用了日志功能。d)保护审计记录。访谈：访谈是否避免了审计日志的未授权修改、删除和破坏。检查：输入命令showlogging，检查配置文件中是否存在类似如下配置项:info-centerloghostX.X.X.X有专门的日志服务器存放日志，对这台服务器的访问需经过授权。2访问控制a)应启用路由器的访问控制功能检查：检查网络拓扑结构和相关路由器配置，查看是否在网络边界路由器上启用了访问控制功能。输入命令displaycurrent-configuration检查配置文件中是否存在以下类似配置项：aclnumber2000rule5permitsourceX.X.X.X存在类似如左配置b)提供访问控制能力，关闭不需要服务检查：输入命令displaycurrent-configuration检查配置文件中是否存在类似如下配置项：aclnumber2000rule5denysourceX.X.X.Xinterfacef0/0ipaccess-group111in流入流量过滤：过滤掉源地址IP不是公网IP的数据包；流出流量过滤：只允许源地址IP地址是公司内部合法IP的数据包被转发出去。关闭掉路由器的一些不需要的服务，如：noipfinger，noservicefinger，noipbootpserver，noipsource-route，noipproxy-arp，noipdirected-broadcast，noipdomain-lookup等。存在类似配置，路由器一些不需要的服务都关闭。c)限制网络最大流量数及网络连接数访谈：询问网络管理员，根据网络现状是否需要限制网络最大流量及网络连接数；检查：检查路由器配置，输入命令displaycurrent-configuration，如限制主机的最大连接数为200，则检查配置文件中是否存在类似如下配置项：aclnumber2000rule0permitsourceconnection-limitpolicy0limit0acl2000per-sourceamount101natconnection-limit-policy0鉴于现在网络应用类型的复杂程度，推荐使用专用的带宽管理设备来实现网络流量的控制。有专用的带宽管理设备来实现网络流量的控制或存在类似如左配置。d)重要网段防止地址欺骗检查：输入命令displayiparp或displaycurrent-configuration，检查配置文件中是否存在类似如下配置项：arpstatic0000-00-00-00-00存在类似如下配置：arp0000.e268.9980arpae)控制远程拨号用户对受控系统的资源访问检查：输入命令displaycurrent-configuration检查配置文件中是否有类似如下VPN相关配置项：cryptoisakmppolicy10hashmd5authenticationpre-sharecryptoisakmpkeyciscoaddressaccess-list100permittcphosthostcryptoipsectransform-settestah-md5-hmacesp-descryptomaptestmap10ipsec-isakmpsetpeersettracsform-settestmatchaddress100VPN和远程用户访问受控资源需经过认证，存在类似如左配置。f)限制具有拨号访问权限的用户数量。检查：输入命令displaycurrent-configuration检查配置文件中是否存在类似如下配置项：encapsulationppppppauthenticationchapdialermapipnamerouterbroadcast7782001pppmultilinkdialeridle-timeout30dialerload-threshold128限制VPN和远程拨号用户的数量，存在类似如左配置。3网络设备防护a)登录用户身份鉴别检查：输入命令displaycurrent-configuration1)查看配置文件，是否存在类似如下登录口令设置：user-interfacevty04authentication-modeschemeuserprivilegelevel3lineaux0authentication-modepasswordsetauthenticationpasswordcipherxxxlinecon0authentication-modepasswordsetauthenticationpasswordcipher******2)使用cipher命令为特权用户设置口令如superpasswordlevel3cipher******3)如果设备启用了radius认证，查看配置文件中是否存在类似如下配置项：User-interfacevty04authentication-modeschemeradiusschemexxxprimaryauthenticationxxxxkeyauthentication***存在类似如左配置。b)登录地址限制检查：输入命令displaycurrent-configuration查看配置文件里是否存在类似如下配置项：aclnumber2000rule0permitsourcex.x.x.xuser-interfacevty04access-class2000inbound存在类似配置c)用户标识唯一检查：输入命令displaycurrent-configuration检查配置文件是否存在类似如下配置项local-userxxxservice-typetelnetlevel3passwordcipher***存在类似配置d)两种或两种以上身份鉴别技术访谈：访谈采用了何种鉴别技术实现双因子鉴别，并在网络管理员的配合下验证双因子鉴别的有效性。两种认证方式同时作用鉴别身份。e)身份鉴别信息复杂访谈：询问网络管理员使用口令的组成、长度和更改周期等。检查：输入命令displaycurrent-configuration检查配置文件中是否存在类似如下配置项：superpasswordlevel3cipher******口令组成满足复杂性和长度要求并定期更新，存在类似如下配置：superpasswordlevel3cipher******f)具有登录失败处理功能检查：输入命令displaycurrent-configuration检查配置文件中是否存在类似如下配置项：user-interfacevty04idle-timeout50user-interfaceaux0idle-timeout50user-interfacecon0idle-timeout50存在类似配置g)安全的远程管理方法访谈：询问是否采用安全的远程管理方法。检查：输入命令displaycurrent-configuration查看配置文件中是否存在类似如下配置项user-interfacevty04protocolinboundssh使用SSH或SSL等安全的远程管理方法，存在类似如下配置：user-interfacevty04protocolinboundsshh)特权用户权限分离检查：输入命令displaycurrent-configuration检查配置文件中是否存在类似如下配置项：superpasswordlevel3cipher***存在类似配置4备份和恢复a)提供本地数据备份与恢复访谈：访谈设备配置文件备份策略。访谈b)提供异地数据备份功能c)冗余的网络拓扑结构检查：查看网络拓扑结构，看是否采用了冗余技术来避免关键节点存在单点障。拓扑结构冗余。d)提供硬件冗余。检查：查看主要路由器是否有硬件冗余。设备硬件冗余。交换机安全测评1）华为交换机序号测评指标测评项检查方法预期结果备注说明1安全审计a)对网络设备进行日志记录检查：输入命令displaycurrent-configuration检查配置文件中是否存在类似如下配置项：logging-hostx.x.x.x存在类似如下配置：logging-hostx.x.x.xb)审计记录内容检查：查看是否启用了审计功能生成日志记录的报表。c)分析记录数据生成审计报表访谈：访谈并查看如何实现审计记录数据的分析和报表生成。启用了日志功能。d)保护审计记录。访谈：访谈是否避免了审计日志的未授权修改、删除和破坏。检查：输入命令displaycurrent-configuration检查配置文件中是否存在类似如下配置项：logging-hostx.x.x.x有专门的日志服务器存放日志，对这台服务器的访问需经过授权。2访问控制a)启用访问控制功能检查：检查网络拓扑结构和相关交换机配置，查看是否在交换机上启用了访问控制功能。输入命令displaycurrent-configuration检查配置文件中是否存在以下类似配置项：aclnametestbasicrule1denysourcex.x.x.x存在类似如下配置：aclnametestbasicrule1denysourcex.x.x.xb)提供访问控制能力检查：输入命令displaycurrent-configuration检查配置文件中是否存在类似如下配置项：aclnametestbasicrule1denysourcex.x.x.xpacket-filterip-grouptest存在类似如下配置aclnametestbasicrule1denysourcex.x.x.xpacket-filterip-grouptestc)限制网络最大流量数访谈：询问网络管理员，根据网络现状是否需要限制网络最大流量。有专用的带宽管理设备来实现网络流量的控制或有相关QOS配置d)重要网段防止地址欺骗检查：输入命令displaycurrent-configuration检查配置文件中是否存在类似如下配置项：arpstatic0000.e268.9980存在类似如下配置：arpstatic0000.e268.99803网络设备防护a)登录用户身份鉴别检查：输入命令displaycurrent-configuration1)查看配置文件，是否存在类似如下登录口令设置：user-interfacevty04userprivilegelevel3setauthenticationpasswordciper******2)如果设备启用了AAA认证，查看配置文件中是否存在类似如下配置项：radiusschemeradius1primaryauthenticationprimaryaccounting存在类似如下配置：1)user-interfacevty04userprivilegelevel3setauthenticationpasswordciper******2)radiusschemeradius1primaryauthenticationprimaryaccountingb)登录地址限制检查：输入命令displaycurrent-configuration查看配置文件里是否存在类似如下配置项：user-interfacevty04acl2000inbound存在类似如下配置：user-interfacevty04acl2000inboundc)用户标识唯一检查：输入命令displaycurrent-configuration检查配置文件是否存在类似如下配置项：local-useruser1passwordcipherO`WE!$@=MA4<1!!level1local-useruser2passwordcipherO`WE!$@=MA4<1!!level3存在类似配置d)两种或两种以上身份鉴别技术访谈：访谈采用了何种鉴别技术实现双因子鉴别，并在网络管理员的配合下验证双因子鉴别的有效性。两种认证方式同时作用鉴别身份。e)身份鉴别信息复杂访谈：询问网络管理员使用口令的组成、长度和更改周期等。检查：输入命令displaycurrent-configuration检查配置文件中是否存在类似如下配置项：passwordcipherO`WE!$@=MA4<1!!口令组成满足复杂性和长度要求并定期更新；密码密文显示，举例如下：passwordcipherO`WE!$@=MA4<1!!f)具有登录失败处理功能检查：输入命令displaycurrent-configuration检查配置文件中是否存在类似如下配置项：user-interfacevty04idle-timeout50存在类似如下配置：user-interfacevty04idle-timeout50g)安全的远程管理方法访谈：询问是否采用安全的远程管理方法。检查：输入命令displaycurrent-configuration查看配置文件中是否存在类似如下配置项：user-interfacevty04protocolinboundssh使用SSH或SSL等安全的远程管理方法，存在类似如下配置：user-interfacevty04protocolinboundsshh)特权用户权限分离。检查：输入命令displaycurrent-configuration检查配置文件中是否存在类似如下配置项：local-useruser1level1local-useruser2level3存在多个不同权限用户，做到权限分离，如下配置：local-useruser1level1local-useruser2level34备份和恢复a)提供本地数据备份与恢复访谈：访谈设备配置文件备份策略。检查：是否定期备份配置文件和设备软件。定期备份配置文件和设备软件b)提供异地数据备份功能访谈：现场访谈并查看用户是否采用了异地备份。使用了异地备份功能。c)冗余的网络拓扑结构检查：查看网络拓扑结构，看是否采用了冗余技术来避免关键节点存在单点故障。拓扑结构冗余。d)提供硬件冗余。检查：查看主要交换机是否有硬件冗余。设备硬件冗余。2）思科交换机序号测评指标测评项检查方法预期结果备注说明1安全审计a)对网络设备进行日志记录检查：输入命令showrunning检查配置文件中是否存在类似如下配置项：access-list100denyip.0.0.255anylog……loggingtrapdebuggingloggingX.X.X.Xloggingon存在类似如下配置：loggingtrapdebuggingloggingX.X.X.Xloggingonb)审计记录内容检查：查看是否启用了审计功能生成日志记录的报表。c)分析记录数据生成审计报表访谈：访谈并查看如何实现审计记录数据的分析和报表生成。启用了日志功能。d)保护审计记录。访谈：访谈是否避免了审计日志的未授权修改、删除和破坏。检查：输入命令showrunning检查配置文件中是否存在类似如下配置项：loggingx.x.x.x有专门的日志服务器存放日志，对这台服务器的访问需经过授权。2访问控制a)启用访问控制功能检查：检查网络拓扑结构和相关交换机配置，查看是否在交换机上启用了访问控制功能。输入命令showrunning-config检查配置文件中是否存在以下类似配置项：ipaccess-listextended111denyipx.x.x.055anylog存在类似如下配置：ipaccess-listextended111denyipx.x.x.055anylogb)提供访问控制能力关闭不需要服务检查：输入命令showipaccess-list检查配置文件中是否存在类似如下配置项：ipaccess-listextended111denyipx.x.x.055anyloginterfacef0/0ipaccess-group111in关闭掉交换机默认开启的一些实际使用中不需要的服务：如nocdprun，nocdpenable，noservicetcp-small-servers，noserviceudp-small-servers，noipfinger，noservicefinger，noipbootpserver，noipsource-oute，noipproxy-arp，noipdirected-roadcast，noipdomain-lookup等。存在类似如下配置：ipaccess-listextended111denyipx.x.x.055anyloginterfacef0/0ipaccess-group111in交换机一些不需要的服务都关闭。c)限制网络最大流量数访谈：询问网络管理员，根据网络现状是否需要限制网络最大流量。有专用的带宽管理设备来实现网络流量的控制或有相关QOS配置d)重要网段防止地址欺骗检查：输入命令showiparp或showrun检查配置文件中是否存在类似如下配置项：arp0000.e268.9980arpa存在类似如下配置：arp0000.e268.9980arpa3网络设备防护a)登录用户身份鉴别检查：输入命令showrunning-config1)查看配置文件，是否存在类似如下登录口令设置：linevty04loginpassword******linecon0loginpasswrod******2)使用enablesecret命令为特权用户设置口令，如：enblesecret******3)如果设备启用了AAA认证，查看配置文件中是否存在类似如下配置项：aaanew-modeltacacs-serverhostsigle-connecting或radius-serverhostsigle-connectingradius-serverkeysharedllivevty04aaaauthorizationlogin存在类似配置b)登录地址限制检查：输入命令showrunning-config查看配置文件里是否存在类似如下配置项：access-list3permitx.x.x.xlinevty04access-class3in存在类似如下配置：access-list3permitx.x.x.xlinevty04access-class3inc)用户标识唯一检查：输入命令showrunning-config检查配置文件是否存在类似如下配置项：usernameadminprivilege10passwordadminusernameuserprivilege1passworduser存在类似如下配置：usernameadminprivilege10passwordadminusernameuserprivilege1passwordd)两种或两种以上身份鉴别技术访谈：访谈采用了何种鉴别技术实现双因子鉴别，并在网络管理员的配合下验证双因子鉴别的有效性。两种认证方式同时作用鉴别身份。e)身份鉴别信息复杂访谈：询问网络管理员使用口令的组成、长度和更改周期等。检查：输入命令showrunning-config检查配置文件中是否存在类似如下配置项：servicepassword-encryption口令组成满足复杂性和长度要求并定期更新，存在类似如下配置：servicepassword-encryptionf)具有登录失败处理功能检查：输入命令showrunning-config检查配置文件中是否存在类似如下配置项：linevty04exec-timeout50linecon0exec-timeout50存在类似如下配置：linevty04exec-timeout50linecon0exec-timeout50g)安全的远程管理方法访谈：询问是否采用安全的远程管理方法。检查：输入命令showrunning-config查看配置文件中是否存在类似如下配置项：ipsshauthentication-reties3linevty04transportinputssh使用SSH或SSL等安全的远程管理方法，存在类似如下配置：ipsshauthentication-reties3linevty04transportinputsshh)特权用户权限分离。检查：输入命令showrunning-config检查配置文件中是否存在类似如下配置项：usernamerootprivilege10G00DpASSW0rdprivilegeexeclevel10sshprivilegeexeclevel10showlog存在类似如下配置：usernamerootprivilege10G00DpASSW0rdprivilegeexeclevel10sshprivilegeexeclevel10showlog4备份和恢复a)提供本地数据备份与恢复访谈：访谈设备配置文件备份策略。检查：是否定期备份配置文件和设备软件。定期备份配置文件和设备软件b)提供异地数据备份功能访谈：现场访谈并查看用户是否采用了异地备份。使用了异地备份功能。c)冗余的网络拓扑结构检查：查看网络拓扑结构，看是否采用了冗余技术来避免关键节点存在单点故障。拓扑结构冗余。d)提供硬件冗余。检查：查看主要交换机是否有硬件冗余。设备硬件冗余。防火墙安全测评PIX525防火墙序号测评指标测评项检查方法预期结果备注说明1安全审计a)对网络设备进行日志记录检查：输入命令showrunning检查配置文件中是否存在类似如下配置项：loggingenableloggingtrapxxxlogginghostx.x.x.x存在类似如下配置：loggingenableloggingtrapxxxlogginghostx.x.x.xb)分析记录数据，生成审计报表访谈：访谈并查看如何实现审计记录数据的分析和报表生成。生成日志记录的报表。c)审计记录内容检查：查看是否启用了审计功能启用了日志功能。d)保护审计记录。访谈：访谈是否避免了审计日志的未授权修改、删除和破坏。检查：输入命令showrunning检查配置文件中是否存在类似如下配置项：logginghostx.x.x.x有专门的日志服务器存放日志，对这台服务器的访问需经过授权。2访问控制a)启用访问控制功能检查：检查网络拓扑结构和防火墙配置，查看是否在防火墙上启用了访问控制功能。输入命令showrunning-config检查配置文件中是否存在以下类似配置项：access-list115denytcpanyanyeq135access-list115denyudpanyanyeq135存在类似如下配置：access-list115denytcpanyanyeq135access-list115denyudpanyanyeq135b)提供访问控制能力检查：登录到防火墙上，查看相关访问控制策略，分析其可用性和有效性。防火墙配置了合理的访问控制策略。c)内容过滤检查：在showrunning输出配置中检查对HTTP、FTP、TELNET、SMTP、POP3协议的内容过滤配置。存在类似如下配置：access-listoutpermittcpanyhost2eqwwwaccess-listoutpermittcpanyhost2eq25d)会话控制检查检查：输入命令showrunning-config检查配置文件中是否存在以下类似配置项：timeoutxlate3:00:00timeoutconn1:00:00half-closed存在类似如下配置：timeoutxlate3:00:00timeoutconn1:00:00half-closede)流量数及连接数控制检查：输入命令showrunning-config检查配置文件中是否存在以下类似配置项：nat(inside)1500存在类似如下配置：nat(inside)1500f)重要网段防止地址欺骗检查：输入命令showrunning-config检查配置文件中是否存在以下类似配置项：arpinsidex.x.x.xxxxx.xxxx.xxxx存在类似如下配置：arpinsidex.x.x.xxxxx.xxxx.xxxxg)用户对受控系统资源访问控制检查：是否有远程VPN访问用户，远程用户访问收控资源有无控制对远程VPN访问用户限制了访问范围，如：access-list110permitiph)限制具有拨号访问权限的用户数量。检查：当有远程VPN访问用户时，限制可访问的用户数量。存在类似如下配置：vpngrouptestvpn-simultaneous-logins303网络设备防护a)登录用户身份鉴别检查：输入命令showrunning-config检查配置文件中是否存在以下类似配置项：usernameciscopassword******或aaa-server3araduisaaa-server3ahostx.x.x.xcisco存在类似如下配置：usernameciscopassword******或aaa-server3araduisaaa-server3ahostx.x.x.xciscob)登录地址限制检查：输入命令showrunning-config检查配置文件中是否存在以下类似配置项：telnetx.x.x.xx.x.x.xinside存在类似如下配置：telnetx.x.x.xx.x.x.xinsidec)用户标识唯一检查：输入命令showrunning-config检查配置文件中是否存在以下类似配置项：usernameciscopassword******usernamepixpassword******帐号专用，不存在混用现象，存在类似如下配置：usernameciscopassword******usernamepixpassword******d)两种或两种以上身份鉴别技术检查：查看用户的认证方式是否选择两种或两种以上组合的鉴别技术。用户的认证方式选择两种或两种以上组合的鉴别技术，只用一种技术无法认证成功。e)身份鉴别信息访谈：询问管理员对身份鉴别所采取的具体措施，使用口令的长度以及复杂度等。口令满足复杂性和长度要求，并定期修改。f)具有登录失败处理功能检查：输入命令showrunning-config检查配置文件中是否存在以下类似配置项：telnettimeout10sshtimeout10存在类似如下配置：telnettimeout10sshtimeout10g)安全的远程管理方法检查：输入命令showrunning-config检查配置文件中是否存在以下类似配置项：sshx.x.x.xx.x.x.xoutside不使用Telnet，使用SSH进行远程管理，存在类似如下配置：sshx.x.x.xx.x.x.xoutsideh)特权用户权限分离。检查：输入命令showrunning-config检查配置文件中是否存在以下类似配置项：usernameciscopassword******privilege15usernameguestpassword******privilege2存在不同权限用户，类似如下配置usernameciscopassword******privilege15usernameguestpassword******privilege24备份和恢复a)提供本地数据备份与恢复访谈：访谈设备配置文件备份策略。检查：是否定期备份配置文件和设备软件，是否有异地备份机制。定期备份配置文件和设备软件b)提供异地数据备份功能访谈：现场访谈并查看用户是否采用了异地备份。使用了异地备份功能。c)冗余的网络拓扑结构检查：查看网络拓扑结构，判断是否采用了冗余技术设计网络拓扑结构。拓扑结构冗余。d)提供硬件冗余。