网络安全现场检测表-入侵检测.docxVIP

编号：BC-2012-1019/19重要信息系统安全等级测评现场检测表被测单位名称：被测系统名称：测试对象编号：测试对象名称：配合人员签字：测试人员签字：核实人员签字：测试日期：测评中心测试类别等级测评（二级）测试对象测试类网络安全测试项安全审计测试要求：应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。测试内容：应访谈安全审计员，询问边界和关键网络设备是否开启审计功能，审计内容包括哪些项；询问审计记录的主要内容有哪些；应检查边界和关键网络设备，查看其审计策略是否包括网络设备运行状况、网络流量、用户行为等；应检查边界和关键网络设备，查看其事件审计记录是否包括：事件的日期和时间、用户、事件类型、事件成功情况及其他与审计相关的信息。测试记录：入侵检测设备是否启用系统日志功能？□否□是网络中是否部署网管软件？□否□是，软件名称为：________________日志记录是否包括设备运行状况、网络流量、用户行为等？□否□是日志审计内容包括：□ 时间□ 类型 □用户 □ 事件类型□事件是否成功□ 其他_________备注：测试类别等级测评（二级）测试对象测试类网络安全测试项入侵防范测试要求：能在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、 拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击、网络蠕虫攻击等入侵事件的发生。测试内容：访谈安全管理员，询问网络入侵防范措施有哪些；询问是否有专门设备对网络入侵进行防范；评测网络入侵防范设备，查看是否能检测以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等；评测网络入侵防范设备，查看其规则库是否为最新；测试网络入侵防范设备，验证其检测策略是否有效。测试记录：查看入侵检测设备检测的攻击行为是否包含以下类别？□端口扫描□强力攻击□木马后门攻击□拒绝服务攻击□缓冲区溢出攻击□IP碎片攻击□网络蠕虫攻击□其他________________查看入侵检测系统的规则库是否为最新？□否□是，最后更新时间：________________入侵检测系统是否启用了相应的检测规则？□否□是入侵检测系统是否对检测到的行为进行日志记录：□否□是，记录保存时间（多长）：_______________备注：测试类别等级测评（二级）测试对象测试类网络安全测试项网络设备防护测试要求：应对登录网络设备的用户进行身份鉴别；应对网络设备的管理员登录地址进行限制；网络设备用户的标识应唯一；身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。测试内容：应访谈网络管理员，询问边界和关键网络设备的防护措施有哪些；询问边界和关键网络设备的登录和验证方式做过何种配置；询问远程管理的设备是否采取措施防止鉴别信息被窃听；应访谈网络管理员，询问网络设备的口令策略是什么；应检查边界和关键网络设备，查看是否配置了对登录用户进行身份鉴别的功能，口令设置是否有复杂度和定期修改要求；应检查边界和关键网络设备，查看是否配置了鉴别失败处理功能；应检查边界和关键网络设备，查看是否配置了对设备远程管理所产生的鉴别信息进行保护的功能；应检查边界和关键网络设备，查看是否对网络设备管理员登录地址进行限制；应对边界和关键网络设备进行渗透测试，通过使用各种渗透测试技术对网络设备进行渗透测试，验证网络设备防护能力是否符合要求。测试记录：登录入侵检测设备是否为默认账号及口令？□否□是，账号/口令为：_________________是否对远程管理入侵检测设备的登录地址进行限制，避免未授权的访问？□否□是，地址为：____________________是否为每名管理员设置一个单独的账户，防止多人共用一个账户，实行分账户管理？□否□是防止入侵检测设备身份鉴别信息被冒用的措施有：□令牌□认证服务器□口令○口令组成：△ 数字 △ 字母 △ 特殊字符○ 口令长度：__________位○ 更改周期：____________□其它_____________入侵检测设备登录失败处理功能包括：□ 无□ 结束会话□ 限制非法登录次数，次数为：______次□ 其他措施__________________入侵检测设备是否配置登录超时时间？□否□是，时长为______秒备注：测试类别等级测评（二级）测试对象测试类数据安全测试项备份和恢复测试要求：应能够对重要信息进行备份和恢复；应提供关键网络设备、通信线路和数据处理系统的硬件冗余，保