信息安全等级评测师课堂笔记.docVIP

网络安全测评 1.1网络全局 1.1.1结构安全 应该保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要;〃硬 件要达标，也就是硬件的性能不能局限于刚好够用的地步 应该保证网络的各个部分的带宽满足业务高峰期需要；/佈宽要达标 应在业务终端与服务器之间进行路由控制，简历安全的访问路径；〃传输过程中的 信息要加密,节点和节点之间要进行认证，例如OSPF的认证：检测方法： Cisco show ru display cu 绘制与当前运行状况相符合的网络拓扑结构图； 根据各个部门工作智能”重要性和所涉及信息的重要程度等一些因素，划分不同的 子网或者网段,并按照方便管理和控制的原则为各子网，网段分配地址段；//划分 VLAN 最合适，检测方法:Cisco show vlan Huawei display vlan all 避免将重要的网段不是在网络边界处且直接连接到外部信息系统,重要网段与其他 网段之间采取可靠的技术手段隔离；〃重要网段与其他网段之间采用访问控制策略, 安全区域边界处要采用防火墙，网闸等设备 按照对业务的重要次序来指定带宽的分配优先级别，保证在网络发生拥堵时优先保 护重要主机；〃有防火墙是否存在策略带宽配置,边界网络设备是否存在相关策略 酉己置（仅仅在边界进行检查？） 1.1.2边界完整性检查 能够应对非授权的设备私自连接到内部网络的行为进行检查，能够做到准确定位， 并能够对其进行有效阻断；〃防止外部未经授权的设备逬来 2?应该能够对内部网络用户私自连接到外部网络的行为进行检查，能够做到准确定位, 并对其进行有效的阻断；〃防止内部设备绕过安全设备出去 1.1.3入侵防范 应该在网络边界处监视以下行为的攻击：端口扫描,强力攻击，木马后门攻击，拒 绝服务攻击，缓冲区溢出攻击，IP碎片攻击和网络蠕虫攻击〃边界网关处是否部署 了相应的设备，部署的设备是否能够完成上述功能 当检测到攻击行为时,能够记录攻击源IP ,攻击类型，攻击目的，攻击时间，在发 生严重入侵事件时应该提供报警；〃边界网关处事都部署了包含入侵防范功能的设 备,如果部署了,是否能够完成上述功能 1.1.4恶意代码防范 应该在网络边界处对恶意代码进行检查和清除；〃网络中应该有防恶意代码的产品， 可以是防病毒网关，可以是包含防病毒模块的多功能安全网关，也可以是网络版的 防病毒系统产品 维护恶意代码库的升级和检测系统升级；〃应该能够更新自己的代码库文件 1.2路由器 1.2.1访问控制 应在网络边界部署访问控制设备,启用访问控制功能；〃路由器本身就具有访问控 制功能”看看是否开启了,如果在网络边界处单独布置了其他访问控制的产品，那 就更好了 2 ?应能根据会话状态的信息为数据流提供明确的允许/拒绝访问的能力，控制力度为 端口级;〃要求 ACL 为扩展的 ACL ,检测:showip access-list display aclconfig all 依据安全策略，下列的服务建议关闭： 序号 服务名称 描述 关闭方式 1 CDP Cisco设备间特有的2 层协议 No cdp run No cdp enable 2 TCPUDP small service 标准TCP UDP的网络 服务：回应,生成字符 等 No service tcp-small-service No service ucp-small-service 3 Finger UNIX用户查找服务， 允许用户远程列表 No ip fin ger No service fin ger 4 BOOTP 允许其他服务器从这个 路由器引导 No ipbootp server 5 Ipsouer routi ng IP特性允许数据包指定 他们自己的路由 No ip source-route 6 ARP-Proxy 启用它容易引起路由表 混乱 No ip proxy-arp 7 IP directed broadcast 数据包能为广播识别目 的的VLAN No ip directed broadcast 8 WINS 和 DNS 路由器能实行DNS解 析 No ip domain-lookup .应对进岀网络的信息内容进行过滤，实现对应用层HTTP , FTP , TELNET z SMTP , POP3等协议命令级的控制；〃网络中如果部署了防火墙，这个一般要在防火墙上 实现 ?应该在会话处于非活跃一段时间后自动终止连接；〃防止无用的连接占用较多的资 源，也就是会话超时自动退岀 .应该限制网络最大流量数及网络连接数；〃根据IP地址,端口，协议来限制应用数 据流的最大带宽，从而保证业务带宽不被占用，如果网络中有防火墙,—般要在防 火墙上面实现 .重要网络应该采取技术手段防止地址欺骗；//ARP欺骗，解决方法：