网络安全---通用网络设备测评指导书---三级---1.0版.doc

编号: 　测　评　指 导 书《信息系统安全级别保护基本规定》基本网络安全-通用网络设备-第三级V1.0天融信信息安全等保中心1、测评对象对象名称及IＰ地址备注（测评地点及环境等）2、入场确认序号确认内容1测评对象中的核心数据已备份如果没有备份则不进行测评2测评对象工作正常如工作异常则不进行测评开始时间确认签字3、离场确认序号确认内容1测评工作未对测评对象导致不良影响,测评对象工作正常结束时间确认签字序号类别测评项测评实行预期成果符合状况1访问控制a) 应在网络边界部署访问控制设备,启用访问控制功能；检查:检查网络拓扑构造和有关互换机配备，查看与否在互换机上启用了访问控制功能输入命令　ｓhoｗ　accｅsｓ-lists检查配备文献中与否存在如下类似配备项ｉp　ａｃcess-list　1 deｎy ｘ.ｘ.x.ｘ互换机启用了访问控制功能,根据需要配备了访问控制列表b)访问控制设备应能根据会话状态信息为数据流提供明确的容许/回绝访问的能力,控制粒度为端口级;检查:输入命令sｈou　running,检查访问控制列表的控制粒度与否为端口级,如acceｓs-liｓt 1０１ peｒmit udｐ ａｎy 1９2.168．10.０ 0．0.０．255 eq ２1根据会话状态信息为数据流提供了明确的访问控制方略，控制粒度为端口级。

ｃ) 应对进出网络的信息内容进行过滤,实现相应用层HTTP、FTP、TＥLＮET、SMTＰ、PＯP3等合同命令级的控制;检查：检查防火墙或IPＳ安全方略与否对重要数据流启用应用层合同检测、过滤功能防火墙或ＩPS启动了重要数据流应用层合同检测、过滤功能,可以相应用层HTＴＰ、FTP、TELNET、SMTＰ、ＰOP3等合同进行控制d) 应在会话处在非活跃一定期间或会话结束后终结网络连接;访谈：访谈系统管理员,与否在会话处在非活跃一定期间或会话结束后终结网络连接；检查：输入命令show running，查看配备中与否存在命令设定管理睬话的超时时间：ｌine vty 0 4exec-timeout ｘ x1）会话处在非活跃一定期间或会话结束后，互换机会终结网络连接；2)互换机配备中存在会话超时有关配备ｅ) 应限制网络最大流量数及网络连接数;检查：１)在网络出口和核心网络处的互换机与否配备了网络最大流量数及网络连接数；2）与否有专用的流量控制设备限制网络最大流量数及网络连接数１)网络出口和核心网络处的互换机配备了合理QＯS方略，优化了网络最大流量数;2)通过专用的流量控制设备限制网络最大流量数及网络连接数。

ｆ） 重要网段应采用技术手段避免地址欺骗;检查：与否通过IP／MAC绑定手段避免地址欺骗，输入命令 ｓｈｏw runｎiｎｇ,检查配备文献中与否存在arp绑定配备：ａｒp x.x．ｘ．x x.x.x.ｘ１)通过配备命令进行IP/MAC地址绑定避免地址欺骗;2)通过专用软件或设备进行IＰ/MAC地址绑定避免地址欺骗g) 应按顾客和系统之间的容许访问规则，决定容许或回绝顾客对受控系统进行资源访问,控制粒度为单个顾客；检查：1）与否针对单个远程拨号顾客或VＰN顾客访问受控资源进行了有效控制；2）以拨号或VPN等方式接入网络的,与否采用强认证方式1）对单个远程拨号顾客或ＶPN顾客访问受控资源进行了有效控制；2)通过拨号或VPN等方式接入网络时，采用了强认证方式（证书、KEY等）h) 应限制具有拨号访问权限的顾客数量检查:与否限制具有远程访问权限的顾客数量限制了具有远程访问权限的顾客数量2安全审计a) 应对网络系统中的网络设备运营状况、网络流量、顾客行为等进行日记记录;检查:１）网络系统中的互换机与否启动日记记录功能;输入shoｗ　loｇｇing命令，检查Sｙslｏg　loｇｇing进程与否为enａble状态;2)与否对互换机的运营状况、网络流量进行监控和记录。

1）互换机启动了日记记录功能,命令show loｇｇinｇ的输出配备中显示：Ｓｙslｏg　loggｉnｇ:enａbled2)对互换机的运营状况、网络流量进行监控和记录(巡检记录或第三方监控软件）b) 审计记录应涉及:事件的日期和时间、顾客、事件类型、事件与否成功及其她与审计有关的信息;检查:查看日记内容,与否涉及事件的日期和时间、设备管理员操作行为、事件类型等信息日记内容涉及事件的日期和时间、设备管理员操作行为、事件类型等信息ｃ) 应可以根据记录数据进行分析,并生成审计报表;检查:查看如何实现审计记录数据的分析和报表生成定期对审计记录数据进行分析并生成纸质或电子的审计报表d） 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等检查：1）检核对审计记录监控和保护的措施例如：通过专用日记服务器或存储设备对审计记录进行备份，并避免对审计记录未预期的修改、删除或覆盖;2)输入命令shｏｗ ｒｕｎniｎｇ检查配备文献中与否存在类似如下配备项ｌｏgging ｘ．x．x.x1）设立了互换机日记服务器地址，互换机日记发送到安全的日记服务器或第三方审计设备;2、由专人对审计记录进行管理,避免审计记录受到未预期的删除、修改或覆盖。

3网络设备防护a）　应对登录网络设备的顾客进行身份鉴别；访谈、检查:1)访谈设备管理员，询问登录设备的身份标记和鉴别机制采用何种措施实现;2）登录互换机,查看与否提示输入顾客口令,然后以对的口令登录系统,再以错误口令或空口令重新登录，观测与否成功1)互换机使用口令鉴别机制对登录顾客进行身份标记和鉴别;2)登录时提示输入顾客名和口令；以错误口令或空口令登录时提示登录失败,验证了登录控制功能的有效性;3)互换机中不存在密码为空的顾客b）　应对网络设备的管理员登录地址进行限制;检查：输入命令　ｓｈｏｗ ｒunnｉnｇ，查看配备文献里与否存在类似如下配备项限制管理员登录地址：accｅss-lｉｓt １ pｅrmit ｘ.ｘ.x.xｌinｅ vｔy 0 4 ａccｅｓs－ｃlass １ in配备了合理的访问控制列表限制对互换机进行登录的管理员地址ｃ) 网络设备顾客的标记应唯一;检查：1）检查互换机标记与否唯一;2）检查同一互换机的顾客标记与否唯一;３)检查与否不存在多种人员共用一种账号的现象１)互换机标记唯一；2)同一互换机的顾客标记唯一；3）不存在多种人员共用一种账号的现象d）　重要网络设备应对同一顾客选择两种或两种以上组合的鉴别技术来进行身份鉴别;访谈:访谈采用了何种鉴别技术实现双因子鉴别，并在网络管理员的配合下验证双因子鉴别的有效性。

顾客的认证方式选择两种或两种以上组合的鉴别技术，只用一种技术无法认证成功e) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度规定并定期更换;访谈、检查：1)访谈互换机管理员,询问顾客口令与否满足复杂性规定；2）检查配备文献中口令与否加密存储1)互换机顾客口令长度不不不小于8位，由字母、数字和特殊字符构成，并定期更换；2）在配备文献中，口令为加密存储ｆ) 应具有登录失败解决功能,可采用结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;访谈:访谈设备管理员，互换机与否设立了登录失败解决功能检查:在容许的状况下，根据使用的登录失败解决方式，采用如下测试措施进行测试:a)以错误的口令登录互换机，观测反映;b)当网络登录连接超时时,观测连接终端反映1)以错误的口令登录互换机,尝试次数超过阀值,互换机自动断开连接或锁定一段时间；2）正常登录互换机后不做任何操作,超过设定的超时时间后，登录连接自动退出g)　当对网络设备进行远程管理时,应采用必要措施避免鉴别信息在网络传播过程中被窃听;访谈:询问设备管理员，与否采用了安全的远程管理措施检查：输入命令shｏw runninｇ查看配备文献中与否存在类似如下配备项:ｌｉne vty 0 4tｒansport ｉnpｕt ssh1)使用SＳH合同对互换机进行远程管理;2）没有采用明文的传播合同对互换机进行远程管理;3)采用第三方管理工具保证远程管理的鉴别信息保密。

ｈ) 应实现设备特权顾客的权限分离访谈、检查:１）访谈设备管理员,与否实现了特权顾客的权限分离;2）输入命令show ｒunning,检查配备文献中与否存在类似如下配备项：username cisco1　ｐrｉｖｉｌegｅ 0 paｓswoｒd 0 cisｃousｅrname　ｃiｓco1 ｐrivilege　１５ paｓswoｒd 0 cisco3）检查与否部署了日记服务器对管理员的操作进行审计记录;4)审计记录与否有专人管理,非授权顾客与否无法进行操作1)实现了互换机特权顾客的权限分离，不同类型的账号拥有不同权限；2)部署了专用日记服务器对管理员的操作进行审计并记录;3）审计记录有专人管理，非授权顾客无法进行操作。