信息系统安全等级保护 等保测评 网络安全测评.ppt

b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； ? 条款理解 ? 日志审计内容需要记录时间、类型、用户、事件类型、事件是否成功等相关信息。 ? 检查方法 ? 登录测评对象或日志服务器，查看日志记录是否包含了事件的日期和时间、用户、事件类型、事件是否成功等信息。 3、检查内容-安全审计 c)应能够根据记录数据进行分析，并生成审计报表； ? 条款理解 ? 为了便于管理员对能够及时准确地了解网络设备运行状况和发现网络入侵行为，需要对审计记录数据进行分析和生成报表。 ? 检查方法 ? 访谈并查看网络管理员采用了什么手段实现了审计记录数据的分析和报表生成。 3、检查内容-安全审计 d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。 ? 条款理解 ? 审计记录能够帮助管理人员及时发现系统运行状况和网络攻击行为，因此需要对审计记录实施技术上和管理上的保护，防止未授权修改、删除和破坏。 ? 检查方法 ? 访谈网络设备管理员采用了何种手段避免了审计日志的未授权修改、删除和破坏。如可以设置专门的日志服务器来接收路由器等网络设备发送出的报警信息。 3、检查内容-安全审计 以联想网域防火墙为例，如下图所示： 3、检查内容-边界完整性检查 ? 四、边界完整性检查（2项） ? 边界完整性检查主要检查在全网中对网络的连接状态进行监控，发现非法接入、非法外联时能够准确定位并能及时报警和阻断。 ? 条款解读 a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断； ? 条款理解 ? 可以采用技术手段和管理措施对“非法接入”行为进行检查。技术手段包括网络接入控制、IP/MAC地址绑定。 ? 检查方法 ? 访谈网络管理员，询问采用何种技术手段或管理措施对“非法接入”进行检查，对于技术手段，在网络管理员配合下验证其有效性。 3、检查内容-边界完整性检查 以联想网域防火墙为例，如下图所示： 3、检查内容-边界完整性检查 b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。 ? 条款理解 ? 可以采用技术手段和管理措施对“非法外联”行为进行检查。技术手段可以采取部署桌面管理系统或其他技术措施控制。 ? 检查方法 ? 访问网络管理员，询问采用了何种技术手段或管理措施对“非法外联”行为进行检查，对于技术手段，在网络管理员配合下验证其有效性。 3、检查内容-边界完整性检查 以联想网域防火墙为例，如下图所示： 3、检查内容-入侵防范 ? 五、入侵防范（2项） ? 对入侵事件不仅能够检测，并能发出报警，对于入侵防御系统要求定期更新特征库，发现入侵后能够报警并阻断。 ? 条款解读 a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等； ? 条款理解 ? 要维护系统安全，必须在网络边界处对常见的网络攻击行为进行监视，以便及时发现攻击行为。 ? 检查方法 ? 检查网络拓扑结构，查看在网络边界处是否部署了包含入侵防范功能的设备。登录相应设备，查看是否启用了检测功能。 以联想网域防火墙为例，如下图所示： 3、检查内容-入侵防范 b)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 ? 条款理解 ? 当检测到攻击行为时，应对攻击信息进行日志记录。在发生严重入侵事件时应能通过短信、邮件等向有关人员报警。 ? 检查方法 ? 查看在网络边界处是否部署了包含入侵防范功能的设备。 ? 如果部署了相应设备，则检查设备的日志记录是否完备，是否提供了报警功能。 3、检查内容-入侵防范 3、检查内容-恶意代码防范 ? 六、恶意代码防范（2项） ? 恶意代码防范是综合性的多层次的，在网络边界处需要对恶意代码进行防范。 ? 条款解读 a)应在网络边界处对恶意代码进行检测和清除； ? 条款理解 ? 计算机病毒、木马和蠕虫的泛滥使得防范恶意代码的破坏显得尤为重要。在网络边界处部署防恶意代码产品进行恶意代码防范是最为直接和高效的办法。 ? 检查方法 ? 检查网络拓扑结构，查看在网络边界处是否部署了防恶意代码产品。如果部署了相关产品，则查看是否启用了恶意代码检测及阻断功能，并查看日志记录中是否有相关阻断信息。 以联想网域防火墙为例，如下图所示： 3、检查内容-恶意代码防范 b)应维护恶意代码库的升级和检测系统的更新。 ? 条款理解 ? 恶意代码具有特征变化快，特征变化快的特点。因此对于恶意代码检测重要的特征库更新，以及监测系统自身的更新，都非常重要。 ? 检查方法 ? 访谈网络管理员，询问是否对防恶意代码产品的特征库进行升级及具体是升级方式。登录相应的防恶意代码产品，查看其