网络安全-通用网络设备测评指导书-三级-10版.doc

编号： 测 评 指 导 书 《信息系统安全等级保护基本要求》 基础网络安全-通用网络设备-第三级 V1.0 天融信信息安全等保中心 1、测评对象 对象名称及IP地址 备注（测评地点及环境等） 2、入场确认 序号 确认内容 1 测评对象中的关键数据已备份。如果没有备份则不进行测评 2 测评对象工作正常。如工作异常则不进行测评。 开始时间 确认签字 3、离场确认 序号 确认内容 1 测评工作未对测评对象造成不良影响，测评对象工作正常。 结束时间 确认签字  序号 类别 测评项 测评实施 预期结果 1 访问控制 a) 应在网络边界部署访问控制设备，启用访问控制功能； 检查： 检查网络拓扑结构和相关交换机配置，查看是否在交换机上启用了访问控制功能。 输入命令 show access-lists 检查配置文件中是否存在以下类似配置项ip access-list 1 deny x.x.x.x 交换机启用了访问控制功能，根据需要配置了访问控制列表。 b)访问控制设备应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； 检查： 输入命令shou running， 检查访问控制列表的控制粒度是否为端口级，如access-list 101 permit udp any 55 eq 21 根据会话状态信息为数据流提供了明确的访问控制策略，控制粒度为端口级。 c) 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制； 检查： 检查防火墙或IPS安全策略是否对重要数据流启用应用层协议检测、过滤功能。 防火墙或IPS开启了重要数据流应用层协议检测、过滤功能，可以对应用层HTTP、FTP、TELNET、SMTP、POP3等协议进行控制。 d) 应在会话处于非活跃一定时间或会话结束后终止网络连接； 访谈： 访谈系统管理员，是否在会话处于非活跃一定时间或会话结束后终止网络连接； 检查： 输入命令show running，查看配置中是否存在命令设定管理会话的超时时间： line vty 0 4 exec-timeout x x 1）会话处于非活跃一定时间或会话结束后，交换机会终止网络连接； 2）交换机配置中存在会话超时相关配置。 e) 应限制网络最大流量数及网络连接数； 检查： 1）在网络出口和核心网络处的交换机是否配置了网络最大流量数及网络连接数； 2）是否有专用的流量控制设备限制网络最大流量数及网络连接数。 1）网络出口和核心网络处的交换机配置了合理QOS策略，优化了网络最大流量数； 2）通过专用的流量控制设备限制网络最大流量数及网络连接数。 f) 重要网段应采取技术手段防止地址欺骗； 检查： 是否通过IP/MAC绑定手段防止地址欺骗， 输入命令 show running， 检查配置文件中是否存在arp绑定配置： arp x.x.x.x x.x.x.x 1）通过配置命令进行IP/MAC地址绑定防止地址欺骗； 2）通过专用软件或设备进行IP/MAC地址绑定防止地址欺骗。 g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户； 检查： 1）是否针对单个远程拨号用户或VPN用户访问受控资源进行了有效控制； 2）以拨号或VPN等方式接入网络的，是否采用强认证方式。 1）对单个远程拨号用户或VPN用户访问受控资源进行了有效控制； 2）通过拨号或VPN等方式接入网络时，采用了强认证方式（证书、KEY等）。 h) 应限制具有拨号访问权限的用户数量。 检查： 是否限制具有远程访问权限的用户数量。 限制了具有远程访问权限的用户数量。 2 安全审计 a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； 检查： 1）网络系统中的交换机是否开启日志记录功能； 输入show logging命令，检查Syslog logging进程是否为enable状态； 2）是否对交换机的运行状况、网络流量进行监控和记录。 1）交换机开启了日志记录功能，命令show logging的输出配置中显示：Syslog logging:enabled 2）对交换机的运行状况、网络流量进行监控和记录（巡检记录或第三方监控软件）。 b) 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 检查： 查看日志内容，是否包括事件的日期和时间、设备管理员操作行为、事件类型等信息。 日志内容包括事件的日期和时间、设备管理员操作行为、事件类型等信息。 c) 应能