信息安全等级测评师培训教程初级学习笔记.pdfVIP

信息安全等级测评师培训教程（初级）

目录

信息安全等级测评师培训教程（初级）

本书主要以三级系统S3A3G3测评为例

标记说明：保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改

的信息安全类要求（简记为S）；

保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务

保证类要求（简记为A）；

通用安全保护类要求（简记为G）

后面的数字3是说S、A、G三类的要符合等保的三级要求，比如S3就是要达到S类的

3级标准

其中G是通用要求，G的级别为S、A中最高的数字级别

通过不同的组合，得到系统的最终等级。

安全保护等级信息系统定级结果的组合

Ⅰ级S1A1G1

Ⅱ级S1A2G2，S2A2G2，S2A1G2

Ⅲ级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3

Ⅳ级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4

Ⅴ级S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5

第1章网络安全测评

网络全局

结构安全（G3）

a）应保证主要网络设备的业务处理能力有冗余空间，满足业务高峰期需要

b）应保证网络各个部分的带宽满足业务高峰期需要；

c）应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；

d）应绘制与当前运行情况相符的网络拓扑结构图；

e）应根据各部分的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子

网和网段，并按照方便管理和控制的原则为各子网、网段分配地址段

f）应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网

段之间采取可靠的技术隔离手段（在网络边界处部署：防火墙、网闸、或边界网络设

备配置并启用acl）

g）应按照对业务服务的重要次序来制定带宽分配优先级别，保证在网络发生拥堵时优

先保护重要主机。（检查防火墙是否存在策略带宽配置）

注释：

1）静态路由是指由网络管理员手工配置的路由信息，当网络的拓扑结构或链路的状态发生变化

时，网络管理员需要手工修改路由表中相关的静态路由信息。

2）动态路由是指路由器能够自动地建立自己的路由表，并且能够根据实际情况的变化适时的进行调

整。动态路由机制的运作依赖路由的两个基本功能：对路由表的维护和路由器之间适时的路由信

息交换。路由器之间的信息交换是基于路由协议实现的，如ospf路由协议是一种典型的链路状态

路由协议，它通过路由器之间通告网络接口的状态，来建立链路状态数据库，生成最短路径树，

每个OSPF路由器使用这些最短路径构造路由表。如果使用动态路由协议应配置使用路由协议认证

功能，保证网络路由安全。

3）vlan是一种通过将局域网内的设备逻辑而不是物理划分成不同子网从而实现虚拟工作组的新技术。

不同vlan内的报文在传输时是相互隔离的。如果不同vlan要进行通信，则需要通过路由器或三层交

换机等三层设备实现。思科华为

4）是否存在路由协议认证：showrunning-configdisplaycurrent-configuration

查看vlan划分情况：showvlandisplayvlanall

边界完整性检查（S3）

a）应能够对非授权设备私自联到内部网络的行为进行检查，准确定位，并对其进行有

效阻断；

技术手段：网络接入控制，关闭网络设备未使用的端口、IP/MAC地址绑定等

管理措施：进入机房全程陪同、红外视频监控等

b）应能够对内部网络用户私自联到外部网络的行为进行检查，准确定位，并对其进行

有效阻断；（）

方法：非法外联监控功能、非法外联软件

入侵防范（G3）

a）应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服

务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；（入侵防范的技术：入侵检

测系统IDS，包含入侵防范模块的多功能安全网关UTM）

b）当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严

重入侵事件时应提供报警（报警方式：短信、邮件、声光报警等）.

注释：

1）入侵检测的分类：主动入侵检测、被动入侵检测。

主动入侵检测：在攻击的同时检测到。它会查找已知的攻击模式或命令，并阻止这些命令的执行。

被动入侵检测：攻击之后的检测。只有