文档介绍:(优选)信息系统安全等级保护等保测评网络安全测评
第一页,共六十一页。
前言
1
检查范围
2
检查内容
3
现场测评步骤
4
内容
第二页,共六十一页。
1、前言
标准
3、检查内容-结构安全
第十三页,共六十一页。
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
条款理解
静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够自动地建立自己的路由表。
路由器之间的路由信息交换是基于路由协议实现的,如OSPF路由协议是一种典型的链路状态的路由协议。
如果使用动态路由协议应配置使用路由协议认证功能,保证网络路由安全。
检查方法
检查边界设备和主要网络设备,查看是否进行了路由控制建立安全的访问路径。
以CISCO IOS为例,输入命令:show running-config
检查配置文件中应当存在类似如下配置项:
ip route (静态)
router ospf 100 (动态)
ip ospf message-digest-key 1 md5 7 XXXXXX(认证码)
3、检查内容-结构安全
第十四页,共六十一页。
d)应绘制与当前运行情况相符的网络拓扑结构图;
条款理解
为了便于网络管理,应绘制与当前运行情况相符的网络拓扑结构图。当网络拓扑结构发生改变时,应及时更新。
检查方法
检查网络拓扑图,查看其与当前运行情况是否一致。
3、检查内容-结构安全
第十五页,共六十一页。
e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
条款理解
根据实际情况和区域安全防护要求,应在主要网络设备上进行VLAN划分或子网划分。
不同VLAN内的报文在传输时是相互隔离的。如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备实现。
检查方法
访谈网络管理员,是否依据部门的工作职能、重要性和应用系统的级别划分了不同的VLAN或子网。
以CISCO IOS为例,输入命令:show vlan
检查配置文件中应当存在类似如下配置项:
vlan 2 name info
int e0/2
vlan-membership static 2
3、检查内容-结构安全
第十六页,共六十一页。
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
条款理解
为了保证信息系统的安全,应避免将重要网段部署在网络边界处且直接连接外部信息系统,防止来自外部信息系统的攻击。
在重要网段和其它网段之间配置安全策略进行访问控制。
检查方法
检查网络拓扑结构,查看是否将重要网段部署在网络边界处,重要网段和其它网段之间是否配置安全策略进行访问控制。
3、检查内容-结构安全
第十七页,共六十一页。
g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
条款理解
为了保证重要业务服务的连续性,应按照对业务服务的重要次序来指定带宽分配优先级别,从而保证在网络发生拥堵的时候优先保护重要主机。
检查方法
访谈网络管理员,依据实际应用系统状况,是否进行了带宽优先级分配。
以CISCO IOS为例,检查配置文件中是否存在类似如下配置项:
policy-map bar
class voice
priority percent 10
class data
bandwidth percent 30
class video
bandwidth percent 20
3、检查内容-结构安全
第十八页,共六十一页。
3、检查内容-访问控制
二、访问控制(8项)
访问控制是网络测评检查中的核心部分,涉及到大部分网络设备、安全设备。
条款解读
第十九页,共六十一页。
a)应在网络边界部署访问控制设备,启用访问控制功能;
条款理解
在网络边界部署访问控制设备,防御来自其他网络的攻击,保护内部网络的安全。
检查方法
检查网络拓扑结构,查看是否在网络边界处部署了访问控制设备,是否启用了访问控制功能。
3、检查内容-访问控制
第二十页,共六十一页。
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
条款理解
在网络边界部署访问控制设备,对进出网络的流量进行过滤,保护内部网络的安全。
配置的访问控制列表应有明确的源/目的地址、源/目的、协议及服务等。
检查方法