网络安全 - 通用网络设备测评指导书 - 三级 - 1.0版.doc

1、天融信信息安全等保中心编号： 测 评 指 导 书信息系统安全等级保护基本要求基础网络安全-通用网络设备-第三级V1.0天融信信息安全等保中心天融信信息安全等保中心1、测评对象对象名称及IP地址 备注（测评地点及环境等）2、入场确认序号 确认内容1 测评对象中的关键数据已备份。如果没有备份则不进行测评2 测评对象工作正常。如工作异常则不进行测评。开始时间 确认签字3、离场确认序号 确认内容1 测评工作未对测评对象造成不良影响，测评对象工作正常。结束时间 确认签字天融信信息安全等保中心序号 类别 测评项 测评实施 预期结果 符合情况a) 应在网络边界部署访问控制设备，启用访问控制功能；检查：检查网

2、络拓扑结构和相关交换机配置，查看是否在交换机上启用了访问控制功能。输入命令 show access-lists检查配置文件中是否存在以下类似配置项ip access-list 1 deny x.x.x.x交换机启用了访问控制功能，根据需要配置了访问控制列表。b)访问控制设备应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；检查：输入命令 shou running，检查访问控制列表的控制粒度是否为端口级，如 access-list 101 permit udp any 192.168.10.0 0.0.0.255 eq 21根据会话状态信息为数据流提供了明确的访问控制

3、策略，控制粒度为端口级。c) 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP 、TELNET 、SMTP、POP3 等协议命令级的控制；检查：检查防火墙或 IPS 安全策略是否对重要数据流启用应用层协议检测、过滤功能。防火墙或 IPS 开启了重要数据流应用层协议检测、过滤功能，可以对应用层HTTP、FTP 、TELNET 、SMTP、POP3 等协议进行控制。d) 应在会话处于非活跃一定时间或会话结束后终止网络连接；访谈：访谈系统管理员，是否在会话处于非活跃一定时间或会话结束后终止网络连接；检查：输入命令 show running，查看配置中是否存在命令设定管理会话的超时时间：l

4、ine vty 0 4exec-timeout x x1）会话处于非活跃一定时间或会话结束后，交换机会终止网络连接；2）交换机配置中存在会话超时相关配置。1 访问控制e) 应限制网络最大流量数及网络连接数；检查：1）在网络出口和核心网络处的交换机是否配置了网络最大流量数及网络连接数；2）是否有专用的流量控制设备限制网络最大流量数及网络连接数。1）网络出口和核心网络处的交换机配置了合理 QOS 策略，优化了网络最大流量数；2）通过专用的流量控制设备限制网络最大流量数及网络连接数。天融信信息安全等保中心序号 类别 测评项 测评实施 预期结果 符合情况f) 重要网段应采取技术手段防止地址欺骗；检查：

5、是否通过 IP/MAC 绑定手段防止地址欺骗，输入命令 show running，检查配置文件中是否存在 arp 绑定配置：arp x.x.x.x x.x.x.x1）通过配置命令进行 IP/MAC 地址绑定防止地址欺骗；2）通过专用软件或设备进行IP/MAC 地址绑定防止地址欺骗。g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；检查：1）是否针对单个远程拨号用户或 VPN 用户访问受控资源进行了有效控制；2）以拨号或 VPN 等方式接入网络的，是否采用强认证方式。1）对单个远程拨号用户或 VPN 用户访问受控资源进行了有效控制；2）通过拨号

6、或 VPN 等方式接入网络时，采用了强认证方式（证书、KEY 等） 。h) 应限制具有拨号访问权限的用户数量。 检查：是否限制具有远程访问权限的用户数量。 限制了具有远程访问权限的用户数量。a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；检查：1）网络系统中的交换机是否开启日志记录功能；输入 show logging 命令，检查 Syslog logging 进程是否为 enable 状态；2）是否对交换机的运行状况、网络流量进行监控和记录。1）交换机开启了日志记录功能，命令 show logging 的输出配置中显示：Syslog logging:enabled2）

7、对交换机的运行状况、网络流量进行监控和记录（巡检记录或第三方监控软件） 。b) 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；检查：查看日志内容，是否包括事件的日期和时间、设备管理员操作行为、事件类型等信息。日志内容包括事件的日期和时间、设备管理员操作行为、事件类型等信息。c) 应能够根据记录数据进行分析，并生成审计报表；检查：查看如何实现审计记录数据的分析和报表生成。定期对审计记录数据进行分析并生成纸质或电子的审计报表。2 安全审计d) 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。检查：1）检查对审计记录监控和保护的措施。例如：通过专用日

8、志服务器或存储设备对审计记录进行备份，并避免对审计记录未预1）设置了交换机日志服务器地址，交换机日志发送到安全的日志服务器或第三方审计设备；2、由专人对审计记录进行管理，避天融信信息安全等保中心序号 类别 测评项 测评实施 预期结果 符合情况期的修改、删除或覆盖；2）输入命令 show running检查配置文件中是否存在类似如下配置项logging x.x.x.x免审计记录受到未预期的删除、修改或覆盖。a) 应对登录网络设备的用户进行身份鉴别；访谈、检查：1）访谈设备管理员，询问登录设备的身份标识和鉴别机制采用何种措施实现；2）登录交换机，查看是否提示输入用户口令，然后以正确口令登录系统，再

9、以错误口令或空口令重新登录，观察是否成功。1）交换机使用口令鉴别机制对登录用户进行身份标识和鉴别；2）登录时提示输入用户名和口令；以错误口令或空口令登录时提示登录失败，验证了登录控制功能的有效性；3）交换机中不存在密码为空的用户。b) 应对网络设备的管理员登录地址进行限制；检查：输入命令 show running，查看配置文件里是否存在类似如下配置项限制管理员登录地址：access-list 1 permit x.x.x.xline vty 0 4access-class 1 in配置了合理的访问控制列表限制对交换机进行登录的管理员地址。c) 网络设备用户的标识应唯一；检查：1）检查交换机标识

10、是否唯一；2）检查同一交换机的用户标识是否唯一；3）检查是否不存在多个人员共用一个账号的现象。1）交换机标识唯一；2）同一交换机的用户标识唯一；3）不存在多个人员共用一个账号的现象。d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；访谈：访谈采用了何种鉴别技术实现双因子鉴别，并在网络管理员的配合下验证双因子鉴别的有效性。用户的认证方式选择两种或两种以上组合的鉴别技术，只用一种技术无法认证成功。3 网络设备 防护e) 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；访谈、检查：1）访谈交换机管理员,询问用户口令是否满足复杂性要求；2）检查配置文件中口

11、令是否加密存储。1）交换机用户口令长度不小于 8 位，由字母、数字和特殊字符构成，并定期更换；2）在配置文件中，口令为加密存储。天融信信息安全等保中心序号 类别 测评项 测评实施 预期结果 符合情况f) 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；访谈：访谈设备管理员，交换机是否设置了登录失败处理功能。检查：在允许的情况下，根据使用的登录失败处理方式，采用如下测试方法进行测试：a)以错误的口令登录交换机，观察反应；b)当网络登录连接超时时，观察连接终端反应。1）以错误的口令登录交换机，尝试次数超过阀值，交换机自动断开连接或锁定一段时间；2）正常登

12、录交换机后不做任何操作，超过设定的超时时间后，登录连接自动退出。g) 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；访谈：询问设备管理员，是否采用了安全的远程管理方法。检查：输入命令 show running查看配置文件中是否存在类似如下配置项:line vty 0 4transport input ssh1）使用 SSH 协议对交换机进行远程管理；2）没有采用明文的传输协议对交换机进行远程管理；3）采用第三方管理工具保证远程管理的鉴别信息保密。h) 应实现设备特权用户的权限分离。访谈、检查：1）访谈设备管理员，是否实现了特权用户的权限分离；2）输入命令 show running，检查配置文件中是否存在类似如下配置项：username cisco1 privilege 0 password 0 ciscousername cisco1 privilege 15 password 0 cisco3）检查是否部署了日志服务器对管理员的操作进行审计记录；4）审计记录是否有专人管理，非授权用户是否无法进行操作。1）实现了交换机特权用户的权限分离，不同类型的账号拥有不同权限；2）部署了专用日志服务器对管理员的操作进行审计并记录；3）审计记录有专人管理，非授权用户无法进行操作。