重点领域网与络与信息安全检查方法.ppt

重点领域网络与信息安全 检查方法 贵州亨达集团信息安全技术有限公司 * 概述 为贯彻落实中央领导同志和《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》（国办函〔2012〕102号），开展网络与信息安全检查专项行动，每周五上报工作进展情况。2012年9月15日~25日总结上报检查结果，孙国强副省长作重要讲话，对通信、钢铁、有色、化工、装备制造五个重点行业开展网络与信息安全检查，通过检查发现存在的问题和薄弱环节，分析评估面临的安全威胁和风险，有针对性地采取防范对策和改进措施，切实保障网络与信息安全。 检查方法 按照《检查通知》，此次检查按照“谁主管谁负责、谁运行谁负责”的原则，采取自查与抽查相结合、以自查为主，点和面结合的方式开展。抽查采取现场检查和外部检测两种方式进行。 调研 工具检查 人工检查 渗透测试 调研 利用调查表收集检查对象现状信息，调查表由检查人员在现场访谈时使用，调查表包括： 组织基本信息调查：网络与信息系统组织架构、岗位职责、人员安排、信息系统目标使命等。 网络现状调查：链路状况、网络拓扑、设备产品部署、管理平台/手段、配置状况（IP、端口、服务）、安全措施。 系统现状调查：操作系统版本、补丁状况、口令帐号管理、文件管理、服务管理、备份、安全措施等。 业务及应用现状调查：业务种类、业务路径、应用架构、开发文档、数据库、安全功能。 管理现状调查：组织结构、制度流程、培训。 工具检查 为了充分了解本次检查工作中各网络与信息系统当前的网络安全现状及其安全威胁，因此需要利用基于各种评估侧面的评估工具对抽检对象进行扫描评估，自动化测试工具包括扫描工具、口令破解攻击、攻击工具等。用于检测系统可能存在的漏洞或弱点。对象包括各类主机系统、网络设备等，扫描评估的结果将作为整个检查内容的一个重要参考依据。 在本检查工作中，我们采用的工具是业内主流的扫描工具。 人工检查 工具扫描因为其固定的模板，适用的范围，特定的运行环境，以及它的缺乏智能性等诸多因素，因而有着很大的局限性；而人工检查与工具扫描相结合，可以完成许多工具所无法完成的事情，从而得出全面的、客观的评估结果。 人工检查，技术人员主要是依靠亨达集团具有丰富经验的安全专家在各本次检查工作中通过针对不同的检查对象采用顾问访谈，业务流程了解等方式，对检查对象进行全面的评估。。 利用Checklist检查系统是否存在弱点， Checklist由检查人员在安全访谈、检查与测试时使用，本次安全检查使用的Checklist可能包括物理安全、网络设计安全、网络设备安全、安全设备、操作系统、中间件、数据库、SCADA、DCS、PLC等内容。 渗透测试 为了解检查网络单元的安全现状，在许可和控制的范围内，对网络与信息系统进行渗透性检测，从攻击者的角度来对网络与信息系统的安全程度进行评估。 渗透测试将作为安全检查的一个重要组成部分。 组织专业技术力量，采取模拟攻击方式对系统进行渗透测试，检验系统防入侵、防攻击、防泄漏、防篡改等能力。 通信行业技术检测内容1 通信运营商抽查的网络单元以服务于电子政务外网的基础通信网络为选择原则。本次检查抽查通信运营企业的IP城域网及其相应的网管措施。主要检查以下内容。 IP承载网节点重要部件和模块的冗余措施； IP承载网是否采取必要的链路冗余以保证网络具有抗灾以及灾难恢复能力； 城域网出口带宽冗余量是否满足出口链路单链路故障时出入城域网业务流量的需要？ IP承载网相关关键数据（如业务、设备的配置数据等）的数据备份情况； 通信行业技术检测内容2 IP城域网汇聚层节点是否配置为双上行链路冗余保护；节点间是否设计并采用冗余链路。 IP城域网核心层的网络结构。城域网核心层设备间是否采用全网状连接？ IP承载网网管网络与业务网络应严格隔离。 网络维护终端是否专机专用？ 相关维护终端是否均不能访问互联网？ 是否建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定。 是否有承载网络日志记录及保存时间相关方面的管理规定和明确要求？ 通信行业技术检测内容3 是否有承载网络日志记录及保存时间相关方面的管理规定和明确要求？ 是否有承载网络安全策略相关方面的管理规定和明确要求？ 是否有承载网络设备升级与安全补丁相关方面的管理规定和明确要求？ 是否有承载网络用户帐号及口令更新相关方面的管理规定和明确要求？ IP承载网网络管理应使用用户安全鉴别和认证措施。对于网管系统相关用户是否有用户安全鉴别及认证措施的管理规定和要求？ 网管系统是否提供相关用户鉴别信息（如，口令等）的复杂度检查功能？ 通信行业技术检测内容4 网管系统是否提供相关用户鉴别信息（如，口令）强制更新的功能？ 网管系统相关用户帐号的口令长度是