《信息安全系统等级测评师培训教程(初级)》学习笔记12169.pdf

实用文档 第一章 网络安全测评 1.1 网络全局 1.1.1 结构安全 a）应保证主要网络设备的业务处理能力有冗余空间，满足业务高峰期需要 b）应保证网络各个部分的带宽满足业务高峰期需要； c ）应在业务终端与业务服务器之间进行路由控制建立安全的访问路径； d）应绘制与当前运行情况相符的网络拓扑结构图； e）应根据各部分的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网和 网段，并按照方便管理和控制的原则为各子网、网段分配地址段 f ）应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之 间采取可靠的技术隔离手段 g）应按照对业务服务的重要次序来制定带宽分配优先级别，保证在网络发生拥堵时优先保 护重要主机。 1.1.2 边界完整性检查 a）应能够对非授权设备私自联到内部网络的行为进行检查，准确定位，并对其进行有效阻 断； 技术手段 ：网络接入控制，关闭网络设备未使用的端口、 IP/MAC 地址绑定等 管理措施 ：进入机房全程陪同、红外视频监控等 b）应能够对内部网络用户私自联到外部网络的行为进行检查，准确定位，并对其进行有效 阻断； 1.1.3 入侵防范 a）应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻 击、缓冲区溢出攻击、 IP 碎片攻击和网络蠕虫攻击等； b）当检测到攻击行为时，记录攻击源 IP 、攻击类型、攻击目的、攻击时间，在发生严重入 侵事件时应提供报警 文案大全 实用文档 1.1.4 恶意代码防范 a）应在网络边界处对恶意代码进行检测和清除； b）应维护恶意代码库的升级和检测系统的更新 1.2 路由器 1.2.1 访问控制 a）应在网络边界处部署访问控制设备，启用访问控制功能； 能够起访问控制功能的设备有： 网闸、防火墙、路由器和三层路由交换机 等 b）应能根据会话状态信息为数据流提供明确的允许 / 拒绝访问的能力，控制粒度为 端口级 ； c ）应对进出网络的信息内容进行过滤，实现对应用层 HTTP, FTP, TELNET, SMTP, POP3 等 协议命令级的控制 d）应在会话处于非活跃一定时间或会话结束后终止网络连接； e）应限制网络最大流量数及网络连接数； 路由器可根据 IP 地址、端口、协议 来限制应用 数据流的最大流量； 根据 IP 地址 来限制 网络连接数 路由器的带宽策略一般采用 分层 的带宽管理机制，管理员可以通过设置细粒度的带宽策略， 对数据报文做 带宽限制 和 优先级别 设定， 还可以通过 源地址、 目的地址、 用户和协议 4 个方 面来限制带宽 f ）重要网段应采取技术手段防止地址欺骗 地址欺骗中的地址可以使 MAC地址，也可以使 IP 地址。目前发生比较多的是 ARP地址欺骗， ARP地址欺骗是 MAC地址欺骗的一种。 ARP（Address Resolution Protocol ，地址解析协议） 是一个位于 TCP/IP 协议栈中的低层协议，负责将某个 IP 地址解析成对应的 MAC地址。 ARP欺骗分为 2 种，一种是对网络设备 ARP表的欺骗，另一种是对内网 PC的网关欺骗。 解决方法： 1 在网络设备中把所有 PC的 IP-MAC 输入到一个静态表中，这叫 IP-MAC 绑定； 2. 在内网所有 PC上设置网关的静态 ARP信息，这叫 PC IP-MAC 绑定。 一般要求 2 个工作都要做，称为 IP-MAC 双向绑定 g）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问， 控制粒度为单个用户 h）应限制具有拨号访问权限的用户数量 文案