信息系统安全等级保护等保测评网络安全测评.pptx
《信息系统安全等级保护等保测评网络安全测评.pptx》由会员分享,可在线阅读,更多相关《信息系统安全等级保护等保测评网络安全测评.pptx(62页珍藏版)》请在咨信网上搜索。
1、信息系统安全等级保护信息系统安全等级保护网络安全测评网络安全测评武汉安域信息安全技术有限公司武汉安域信息安全技术有限公司余少波余少波 博士博士地址:湖北武汉东湖开发区武大园路6号电话:13281151232电邮: 前言前言1检查范围检查范围2检查内容检查内容3现场测评步骤现场测评步骤4内容内容 1 1、前言、前言标准概述标准概述2007年年43号文号文信息安全等级保护管理办法信息安全等级保护管理办法按照以下相关标准开展等级保护工作:按照以下相关标准开展等级保护工作:计算机信息系统安全保护等级划分准则(GB17859-1999)信息系统安全等级保护定级指南(GB/T22240-2008)信息系统
2、安全等级保护基本要求(GB/T22239-2008)信息系统安全等级保护测评要求(报批稿)信息系统安全等级保护实施指南(报批稿)测评过程中重点依据信息系统安全等级保护基本要求信息系统安全等级保护基本要求、信息系统信息系统安全等级保护测评要求安全等级保护测评要求来进行。1 1、前言、前言标准概述标准概述 基本要求中网络安全的控制点控制点与要求项要求项各级分布:级别控制点要求项139261837334732等级保护基本要求三级网络安全方面涵盖哪些内容?共包含7个控制点33个要求项,涉及到网络安全中的结构安全、安全审计、边界完整性检查、入侵防范、恶意代码防范、访问控制、设备防护等方面。1 1、前言、
3、前言网络安全是指对信息系统所涉及的网络安全是指对信息系统所涉及的通信网络、网络通信网络、网络边界、网络区域和网络设备边界、网络区域和网络设备等进行安全保护。具体等进行安全保护。具体关注内容包括通信过程数据完整性、通信过程数据关注内容包括通信过程数据完整性、通信过程数据保密性、保证通信可靠性的设备和线路冗余、区域保密性、保证通信可靠性的设备和线路冗余、区域网络的边界保护、区域划分、身份认证、访问控制、网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范、网络设备自安全审计、入侵防范、恶意代码防范、网络设备自身保护和网络的网络管理等方面身保护和网络的网络管理等方面 1 1
4、、前言、前言序号安全关注点一级二级三级四级1网络结构安全34+772网络访问控制34+843网络安全审计02464边界完整性检查01225网络入侵防范0122+6恶意代码防范00227网络设备防护3689合计9183332 前言前言1检查范围检查范围2检查内容检查内容3现场测评步骤现场测评步骤4内容内容 2 2、检查范围、检查范围理解标准:理解标准:理解标准中涉及网络部分的每项基本要求。明确目的:明确目的:检查的最终目的是判断该信息系统的网络安全综合防护能力网络安全综合防护能力,如抗攻击能力、防病毒能力等等,不是单一的设备检查不是单一的设备检查。分阶段进行:分阶段进行:共划分为4个阶段,测评准
5、备、方案编制、现场测评、分测评准备、方案编制、现场测评、分析及报告编制析及报告编制。确定检查范围,细化检查项。确定检查范围,细化检查项。通过前期调研获取被测系统的网络结构拓扑、外连线路、网络设备、安全设备等信息。根据调研结果,进行初步分析判断。明确边界设备、核心设备及其他重要设备,确定检查范围。注意事项注意事项 考虑设备的重要程度可以采用抽取的方式。不能出现遗漏,避免出现脆弱点。最终需要在测评方案中与用户明确检查范围网络设备、安全设备列表。2 2、检查范围、检查范围 前言前言1检查范围检查范围2检查内容检查内容3现场测评步骤现场测评步骤4内容内容 3 3、检查内容、检查内容检查内容以等级保护基
6、本要求三级三级为例,按照基本要求7个控制点33个要求项进行检查。一、结构安全(7项)二、访问控制(8项)三、安全审计(4项)四、边界完整性检查(2项)五、入侵防范(2项)六、恶意代码防范(2项)七、网络设备防护(8项)3 3、检查内容、检查内容-结构安全结构安全一、结构安全(项)一、结构安全(项)结构安全是网络安全测评检查的重点,网络结构是否合理直接关系到信息系统的整体安全。条款解读条款解读a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;条款理解条款理解 为了保证信息系统的高可用性,主要网络设备的业务处理能
7、力应具备冗余空间。检查方法检查方法 访谈网络管理员,询问主要网络设备的性能及业务高峰流量。访谈网络管理员,询问采用何种手段对网络设备进行监控。b)应保证网络各个部分的带宽满足业务高峰期需要;应保证网络各个部分的带宽满足业务高峰期需要;条款理解条款理解 对网络各个部分进行分配带宽,从而保证在业务高峰期业务服务的连续性。检查方法检查方法询问当前网络各部分的带宽是否满足业务高峰需要。如果无法满足业务高峰期需要,则需进行带宽分配。检查主要网络设备是否进行带宽分配。3 3、检查内容、检查内容-结构安全结构安全 c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;应在业务终端与业务服务器之间进
8、行路由控制建立安全的访问路径;条款理解条款理解静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够自动地建立自己的路由表。路由器之间的路由信息交换是基于路由协议实现的,如OSPF路由协议是一种典型的链路状态的路由协议。如果使用动态路由协议应配置使用路由协议认证功能,保证网络路由安全。检查方法检查方法检查边界设备和主要网络设备,查看是否进行了路由控制建立安全的访问路径。以CISCO IOS为例,输入命令:show running-config检查配置文件中应当存在类似如下配置项:ip route 192.168.1.0 255.255.255.0 192.168.1.193(静态)
9、router ospf 100(动态)ip ospf message-digest-key 1 md5 7 XXXXXX(认证码)3 3、检查内容、检查内容-结构安全结构安全 d)应绘制与当前运行情况相符的网络拓扑结构图;应绘制与当前运行情况相符的网络拓扑结构图;条款理解条款理解为了便于网络管理,应绘制与当前运行情况相符的网络拓扑结构图。当网络拓扑结构发生改变时,应及时更新。检查方法检查方法检查网络拓扑图,查看其与当前运行情况是否一致。3 3、检查内容、检查内容-结构安全结构安全 e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不应根据各部门的工作职能、重要性和所涉及信息的
10、重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;条款理解条款理解根据实际情况和区域安全防护要求,应在主要网络设备上进行VLAN划分或子网划分。不同VLAN内的报文在传输时是相互隔离的。如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备实现。检查方法检查方法访谈网络管理员,是否依据部门的工作职能、重要性和应用系统的级别划分了不同的VLAN或子网。以CISCO IOS为例,输入命令:show vlan检查配置文件中应当存在类似如下配置项:vlan 2 name infoin
11、t e0/2vlan-membership static 23 3、检查内容、检查内容-结构安全结构安全 f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;段与其他网段之间采取可靠的技术隔离手段;条款理解条款理解为了保证信息系统的安全,应避免将重要网段部署在网络边界处且直接连接外部信息系统,防止来自外部信息系统的攻击。在重要网段和其它网段之间配置安全策略进行访问控制。检查方法检查方法检查网络拓扑结构,查看是否将重要网段部署在网络边界处,重要网段和其它网段之间是否配置安全策略进行
12、访问控制。3 3、检查内容、检查内容-结构安全结构安全 g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。拥堵的时候优先保护重要主机。条款理解条款理解 为了保证重要业务服务的连续性,应按照对业务服务的重要次序来指定带宽分配优先级别,从而保证在网络发生拥堵的时候优先保护重要主机。检查方法检查方法 访谈网络管理员,依据实际应用系统状况,是否进行了带宽优先级分配。以CISCO IOS为例,检查配置文件中是否存在类似如下配置项:policy-map barclass voicepriority
13、 percent 10class databandwidth percent 30class videobandwidth percent 203 3、检查内容、检查内容-结构安全结构安全 3 3、检查内容、检查内容-访问控制访问控制二、访问控制(二、访问控制(8项)项)访问控制是网络测评检查中的核心部分,涉及到大部分网络设备、访问控制是网络测评检查中的核心部分,涉及到大部分网络设备、安全设备。安全设备。条款解读条款解读 a)应在网络边界部署访问控制设备,启用访问控制功能;应在网络边界部署访问控制设备,启用访问控制功能;条款理解条款理解 在网络边界部署访问控制设备在网络边界部署访问控制设备,防
14、御来自其他网络的攻击,保护内部网络防御来自其他网络的攻击,保护内部网络的安全。的安全。检查方法检查方法 检查网络拓扑结构,查看是否在网络边界处部署了访问控制设备,是否检查网络拓扑结构,查看是否在网络边界处部署了访问控制设备,是否启用了访问控制功能。启用了访问控制功能。3 3、检查内容、检查内容-访问控制访问控制 b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;条款理解 在网络边界部署访问控制设备,对进出网络的流量进行过滤,保护内部网络的安全。配置的访问控制列表应有明确的源/目的地址、源/目的、协议及服务等。检查方法检查方法 以以CISCO IOS为例,输入命令
15、:为例,输入命令:show ip access-list检查配置文件中应当存在类似如下配置项:检查配置文件中应当存在类似如下配置项:ip access-list extended 111deny ip x.x.x.0 0.0.0.255 any loginterface eth 0/0ip access-group 111 in3 3、检查内容、检查内容-访问控制访问控制 以防火墙检查为例,应有明确的访问控制策略,如下图所示:以防火墙检查为例,应有明确的访问控制策略,如下图所示:3 3、检查内容、检查内容-访问控制访问控制 c)应对进出网络的信息内容进行过滤,实现对应用层应对进出网络的信息内容
16、进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;等协议命令级的控制;条款理解条款理解 对于一些常用的应用层协议,能够在访问控制设备上实现应用层协议命令级的控制和内容检查,从而增强访问控制粒度。检查方法检查方法 该测评项一般在防火墙、入侵防御系统上检查。首先查看防火墙、入侵防御系统是否具有该功能,然后登录设备查看是否启用了相应的功能。3 3、检查内容、检查内容-访问控制访问控制 以联想网域防火墙为例,如下图所示:以联想网域防火墙为例,如下图所示:d)应在会话处于非活跃一定时间或会话结束后终止网络连接;应在会话处于非活跃一定时间或会话结束后终止网络连接;
17、条款理解条款理解 当恶意用户进行网络攻击时,有时会发起大量会话连接,建立会话后长当恶意用户进行网络攻击时,有时会发起大量会话连接,建立会话后长时间保持状态连接从而占用大量网络资源,最终将网络资源耗尽的情况。时间保持状态连接从而占用大量网络资源,最终将网络资源耗尽的情况。应在会话终止或长时间无响应的情况下终止网络连接,释放被占用网络应在会话终止或长时间无响应的情况下终止网络连接,释放被占用网络资源,保证业务可以被正常访问。资源,保证业务可以被正常访问。检查方法检查方法 该测评项一般在防火墙上检查。该测评项一般在防火墙上检查。登录防火墙,查看是否设置了会话连接超时,设置的超时时间是多少,登录防火墙
18、,查看是否设置了会话连接超时,设置的超时时间是多少,判断是否合理。判断是否合理。3 3、检查内容、检查内容-访问控制访问控制 以天融信防火墙为例,如下图所示:以天融信防火墙为例,如下图所示:e)应限制网络最大流量数及网络连接数;应限制网络最大流量数及网络连接数;条款理解条款理解 可根据IP地址、端口、协议来限制应用数据流的最大流量,还可以根据IP地址来限制网络连接数,从而保证业务带宽不被占用,业务系统可以对外正常提供业务。检查方法检查方法 该测评项一般在防火墙上检查。访谈系统管理员,依据实际网络状况是否需要限制网络最大流量数及网络连接数。登录设备查看是否设置了最大流量数和连接数,并做好记录。以
19、天融信防火墙为例,如下图所示:3 3、检查内容、检查内容-访问控制访问控制 f)重要网段应采取技术手段防止地址欺骗;重要网段应采取技术手段防止地址欺骗;条款理解条款理解 地址欺骗在网络安全中比较重要的一个问题地址欺骗在网络安全中比较重要的一个问题,这里的地址这里的地址,可以是可以是MAC地址地址,也可以是也可以是IP地址。在关键设备上,采用地址。在关键设备上,采用IP/MAC地址地址绑定方式防止地址欺骗。绑定方式防止地址欺骗。检查方法检查方法 以以CISCO IOS为例,输入为例,输入show ip arp检查配置文件中应当存在类似如下配置项:检查配置文件中应当存在类似如下配置项:arp 10
20、.10.10.1 0000.e268.9980 arpa 以联想网域防火墙为例,如下图所示:以联想网域防火墙为例,如下图所示:3 3、检查内容、检查内容-访问控制访问控制 g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;统进行资源访问,控制粒度为单个用户;条款理解条款理解 对于远程拨号用户,应在相关设备上提供用户认证功能。对于远程拨号用户,应在相关设备上提供用户认证功能。通过配置用户、用户组,并结合访问控制规则可以实现对认证通过配置用户、用户组,并结合访问控制规则可以实现对认证成功的
21、用户允许访问受控资源。成功的用户允许访问受控资源。检查方法检查方法 登录相关设备查看是否对拨号用户进行身份认证,是否配置访登录相关设备查看是否对拨号用户进行身份认证,是否配置访问控制规则对认证成功的用户允许访问受控资源。问控制规则对认证成功的用户允许访问受控资源。3 3、检查内容、检查内容-访问控制访问控制 h)应限制具有拨号访问权限的用户数量。应限制具有拨号访问权限的用户数量。条款理解条款理解 应限制通过远程采用拨号方式或通过其他方式连入系统内部的用户应限制通过远程采用拨号方式或通过其他方式连入系统内部的用户数量。数量。检查方法检查方法 询问系统管理员,是否有远程拨号用户,采用什么方式接入系
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全 等级 保护 测评 网络安全
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。