通用安全设备安全测评指导书.doc

通用安全设备安全测评指导书 序号 测评指标 测评项 检查方法 预期结果 1 访问控制 a)检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。 检查： 检查网络拓扑结构和相关交换机配置，查看是否在交换机上启用了访问控制功能。 输入命令 show access-lists 检查配置文件中是否存在以下类似配置项： access-list 100 deny ip any any access-group 100 in interface outside 防火墙启用了访问控制功能，根据需要配置了访问控制列表。 b)检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。 检查： 输入命令shou running， 检查访问控制列表的控制粒度是否为端口级，如access-list 110 permit tcp any host x.x.x.x eq ftp 根据会话状态信息为数据流提供了明确的访问控制策略，控制粒度为端口级。 c)检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。 检查： 检查防火墙或IPS安全策略是否对重要数据流启用应用层协议检测、过滤功能。 防火墙或IPS开启了重要数据流应用层协议检测、过滤功能，可以对应用层HTTP、FTP、TELNET、SMTP、POP3等协议进行控制。 d)检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。 访谈： 访谈系统管理员，是否在会话处于非活跃一定时间或会话结束后终止网络连接； 检查： 输入命令show running，查看配置中是否存在命令设定管理会话的超时时间： ssh timeout 10 1）会话处于非活跃一定时间或会话结束后，路由器会终止网络连接； 2）路由器配置中存在会话超时相关配置。 e)检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。 检查： 1）在网络出口和核心网络处的防火墙是否配置了网络最大流量数及网络连接数； 2）是否有专用的流量控制设备限制网络最大流量数及网络连接数。 1）网络出口和核心网络处的防火墙配置了合理QOS策略，优化了网络最大流量数； 2）通过专用的流量控制设备限制网络最大流量数及网络连接数。 f)检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。 检查： 1、是否通过IP/MAC绑定手段防止地址欺骗， 输入命令 show running， 检查配置文件中是否存在arp绑定配置： arp inside x.x.x.x x.x.x.x 1）通过防火墙配置命令进行IP/MAC地址绑定防止地址欺骗； 2）通过专用软件或设备进行IP/MAC地址绑定防止地址欺骗。 g)检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。 检查： 1）是否针对单个远程拨号用户或VPN用户访问受控资源进行了有效控制； 2）以拨号或VPN等方式接入网络的，是否采用强认证方式。 1）对单个远程拨号用户或VPN用户访问受控资源进行了有效控制； 2）通过拨号或VPN等方式接入网络时，采用了强认证方式（证书、KEY等）。 h)检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。 检查： 是否限制具有远程访问权限的用户数量。 限制了具有远程访问权限的用户数量。 2 安全审计 a)检查核心交换机、路由器等网络互联设备的安全审计情况等，测评分析信息系统审计配置和审计记录保护情况。 检查： 1）网络系统中的防火墙是否开启日志记录功能； 输入show logging命