信息安全測(cè)評(píng)實(shí)驗(yàn)二

1、.word可編輯.西南科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院實(shí)驗(yàn)報(bào)告實(shí)驗(yàn)名稱(chēng)交換機(jī)安全測(cè)評(píng)及加固實(shí)驗(yàn)地點(diǎn)實(shí)驗(yàn)日期指導(dǎo)教師學(xué)生班級(jí)學(xué)生姓名學(xué)生學(xué)號(hào)提交日期一、實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)對(duì)交換機(jī)進(jìn)行安全測(cè)評(píng)和安全加固，掌握交換機(jī)安全測(cè)評(píng)方案的設(shè)計(jì)、安全測(cè)評(píng)實(shí)施及結(jié)果分析；了解安全加固的方法。二、實(shí)驗(yàn)題目根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求的第三級(jí)基本要求，按照實(shí)驗(yàn)指導(dǎo)書(shū)中的示范，對(duì)交換機(jī)進(jìn)行安全測(cè)評(píng)，安全等級(jí)為三級(jí)。三、實(shí)驗(yàn)設(shè)計(jì)應(yīng)從結(jié)構(gòu)安全、訪(fǎng)問(wèn)控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)這七個(gè)方面入手，按照信息系統(tǒng)安全等級(jí)保護(hù)基本要求的第三級(jí)基本要求進(jìn)行測(cè)評(píng)，重點(diǎn)查看交換機(jī)中的各項(xiàng)配置信息，密碼等設(shè)

2、置是否符合要求。結(jié)構(gòu)安全（Gc）應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪(fǎng)問(wèn)路徑；看主機(jī)所用的路由器是靜態(tài)路由還是動(dòng)態(tài)路由。靜態(tài)路由是管理員手工配置的，動(dòng)態(tài)路由是路由器動(dòng)態(tài)建立的，為了保證網(wǎng)絡(luò)安全，應(yīng)添加認(rèn)證功能。此外，采用內(nèi)部路由和外部路由。對(duì)于外部路由要進(jìn)行驗(yàn)證，例如 ospf協(xié)議要進(jìn)行驗(yàn)證， 對(duì)于內(nèi)部路由要按照訪(fǎng)問(wèn)路徑進(jìn)行訪(fǎng)問(wèn)， 可以tracert 一下，檢查是否按照設(shè)計(jì)的路徑進(jìn)行 訪(fǎng)問(wèn)。f）應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；針對(duì)大型的網(wǎng)絡(luò)，采用動(dòng)態(tài)路由，對(duì)進(jìn)出各區(qū)域的路由進(jìn)行控制 （特別在不同動(dòng)態(tài)路由協(xié)議 之

3、間的重分布如OSPF EIGRP等之間，路由過(guò)濾，路徑選擇等控制），允許必要的外部路 由進(jìn)入，允許向外通告內(nèi)部路由?？赏ㄟ^(guò)詢(xún)問(wèn)管理員的方式看是否采用了隔離手段。g）應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu) 先保護(hù)重要主機(jī)。對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾和流量控制。訪(fǎng)問(wèn)控制（Gc）應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET SMTP POP3等協(xié)議命令級(jí)的控制；詢(xún)問(wèn)系統(tǒng)管理員是否對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾。d）應(yīng)在會(huì)話(huà)處于非活躍一定時(shí)間或會(huì)話(huà)結(jié)束后終止網(wǎng)絡(luò)連接；使會(huì)話(huà)處于非活躍一定時(shí)間或會(huì)話(huà)結(jié)束后看是否終止網(wǎng)絡(luò)連接。e）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)

4、及網(wǎng)絡(luò)連接數(shù)；打開(kāi)防火墻，查看網(wǎng)絡(luò)是否限制了上行和下行的帶寬，以及容許連接的最大值。f）重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；方法：重要網(wǎng)段綁定 MACM址和IP地址。安全審計(jì)（G3）c）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；查看日志系統(tǒng)。d）應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。查看日志系統(tǒng)的讀、寫(xiě)、可執(zhí)行的權(quán)限。邊界完整性檢查（S3）本項(xiàng)要求包括：a）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；b）應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶(hù)私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。手段：訪(fǎng)問(wèn)網(wǎng)絡(luò)管理員，詢(xún)問(wèn)采用了何種技術(shù)手段

5、或管理措施對(duì)“非法外聯(lián)”行為進(jìn)行檢查,以及對(duì)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查。在網(wǎng)絡(luò)管理員配合下驗(yàn)證其有效性。入侵防范（G3）b）當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類(lèi)型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。詢(xún)問(wèn)管理員是否有報(bào)警措施。惡意代碼防范（G3）a）應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；查看防火墻設(shè)置，是否安裝殺毒軟件。b）應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。查看是否安裝殺毒軟件，殺毒軟件版本是否是最新。查看系統(tǒng)版本信息。網(wǎng)絡(luò)設(shè)備防護(hù)（G3）d）主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶(hù)選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別；重新啟動(dòng)設(shè)備，查看登錄設(shè)備所需的條件

6、。（即是否進(jìn)行認(rèn)證，認(rèn)證方法有幾種）h）應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶(hù)的權(quán)限分離。查看是否有管理員，審計(jì)員等除了管理員的其他特權(quán)用戶(hù)，查看用戶(hù)的權(quán)限。四、實(shí)驗(yàn)記錄結(jié)構(gòu)安全本項(xiàng)要求包括：a)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿(mǎn)足業(yè)務(wù)高峰期需要；1.打開(kāi)PuTTY ,輸入用戶(hù)名和密碼，登錄終端<H3C-S3100>display connection Uit 1Index= 1 f User name=scudeiit-0systemIP=5Index=4 f User name=scudejit-0system IP=7Indexes t User name=s

7、cmejit-0systemIP=8Index= 6 f User name=scucleiit0syBCew IP=2Inciex-7 y Username=scudent0syscew IP-8On Unit 1 :Total 5 connections w&tched, 5 listed.Total 5 connections matched, 5 listed.實(shí)際情況：CPU內(nèi)存使用率不超過(guò) 50%, connection 會(huì)話(huà)數(shù)不超過(guò)最大值 70%。b）應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿(mǎn)足業(yè)務(wù)高峰期需要。專(zhuān)業(yè).專(zhuān)注(1) 鍵入

8、display brief interface,查看端口使用情況,<H3C-53IOC丁nlay btiEf int一tf&ttInterface:Eth - Ethernet GE - GigatoitEthernet TENGE - tenGigabitEt-tiLoop - LoopBack Vian - Vian-interface Cas - Cascade Speed/Duplex:A - auto-negot iationInterfaceL inkSpeedDuplexTypePVID DescriptionAuxl/0/0UPEthl/O/iDOWNAacces

9、s1Ethl/0/2DOWMAAaccess1Ethl/0/3UP IA100MAfullaccess1Ethl/0/4UPA100MAiul 1access1Ethl/0/5UPA100MAfullaccess1ri-.M /n/ fiTTP 1A10HAfullaccess1Ethl/0/7DOWNAAaccess1Ethl/0/8DOUNkAaccess1Ethl/0/9DOWkAaccess1Ethl/0/10DOWAAaccess1Ethl/0/11Halt /ri，wUPTTFiA100Nx 彳 inriwrAf ull K N + 1_1access- l* -r -7 r_14

10、實(shí)際結(jié)果：Eth1/0/1 處于 DOWPK態(tài)，Eth1/0/3 , Eth1/0/4 , Eth1/0/5 , Eth1/0/11 等處于UP狀態(tài)。2)找到處于 UP 狀態(tài)的端口 Eth1/0/3 ,鍵入 display interface Eth1/0/3,查看接口Eth1/0/3 的詳細(xì)信息。<H3C-S3100>display interface Evhl/0/3Ethernet 1/0/3 current state : UPIP Sending Frames * Format is PKTFMT ETHNT 2 r Hardware address is OOOf-e2

11、bS-f Media type is t-vistea pair, loopback not setPort hardware type is 100_BASE_TX lOOMbp3-speed modef full'duplex mode Link speed type is autonegotiationf lin* duplex type is autonegotiation FLow-control is not enabledTh已 Haximuin Fraire Length is 153 5Broadcast MAX-ratio: 100PVID： 1Mdi type:

12、autoPort link-type: accessTagged VLAN ID : none-UREagcfEd VLAN ID m 1Last 300 seconds input:1 packets/sec 114 toytes/secLast 300 seconds output:5 packets/sec 482 bytes/secInput(total)：0379 packetsf 1049103 toytes119 tiroadcascs, 537 multicasts, 0 pausesInput(normal) :8379 packetst 1049103 bytes119 l

13、oroadcastsz 537 multicastsy 0 pausesEth1/0/3-(114+482)/(100*1024*1024)=596/104857600<1%-untaggeci vlapj_ITILast. 300 seconds input:3 pnckets/sec 565 bytes/secLast 300 seconds output:9 packets/sec 4078 bytes/secEth1/0/4-(565 + 4078)/(100*1024*1024)=4643/104857600<1%Last 300 seconds input:21 pac

14、kets/sec 1495口 bytes/secLast 300 seconds output114 packets/sec 2006 bytes/secEth1/0/5-(14950 + 2006)/(100*1024*1024)=16956/104857600<1%Last 3口口 seconds input:1 packets/sec 211 bytes/secLast 300 seconds output;6 packecs/sec 1200 bytes/secEth1/0/11-(211 + 1200)/(100*1024*1024)=1411/104857600<1%實(shí)

15、際結(jié)果：所有端口使用率計(jì)算都小于寬帶的70%C)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪(fǎng)問(wèn)路徑；方法：看主機(jī)所用的路由器是靜態(tài)路由還是動(dòng)態(tài)路由。靜態(tài)路由是管理員手工配置的，動(dòng)態(tài)路由是路由器動(dòng)態(tài)建立的，為了保證網(wǎng)絡(luò)安全，應(yīng)添加認(rèn)證功能。輸入display ip routing-table查看靜態(tài)路由F U11JL ULIgn J,乙UL4H3C disp lay ip Rout1ng Table:I-. LJILUtlBUlLl J_U LU1L1 ELrouting-table public netpLJ B J_ L ±U1L .Destination/MaskProt

16、ocolPreCostNexthapInterface<STATfc>JC 一 *-一6 口Vian-interface110i11.5.0/24DIRECT010411.5.252Vian-interface 110.11*5.252/32DIRECT00127*0*0.1InLoopBackO127.0.0,0/8DIRECT0InLoopEackO/32 H3C|direct00127,0,0.1InLoopBacEOf）應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)， 重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段

17、；采用內(nèi)網(wǎng)和外網(wǎng)分離開(kāi)。通過(guò)咨詢(xún)管理員的方式。結(jié)果：使用的是內(nèi)網(wǎng)。g）應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)方法：詢(xún)問(wèn)管理員是否實(shí)現(xiàn)了數(shù)據(jù)包的過(guò)濾及流量控制。結(jié)果：實(shí)現(xiàn)了數(shù)據(jù)包的過(guò)濾及流量控制。訪(fǎng)問(wèn)控制本項(xiàng)要求包括:a）應(yīng)在網(wǎng)絡(luò)邊界部署訪(fǎng)問(wèn)控制設(shè)備，啟用訪(fǎng)問(wèn)控制功能；結(jié)果：訪(fǎng)問(wèn)管理員，沒(méi)有部署訪(fǎng)問(wèn)控制設(shè)備及措施。b）應(yīng)能根據(jù)會(huì)話(huà)狀態(tài)信息為數(shù)據(jù)流提供明確的允許 /拒絕訪(fǎng)問(wèn)的能力，控制粒度為端口級(jí)；c）應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾， 實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTR TELNETSMTPPOP/協(xié)議命令級(jí)的控制；結(jié)果：交換機(jī)沒(méi)有對(duì)其做出限制控制。d

18、）應(yīng)在會(huì)話(huà)處于非活躍一定時(shí)間或會(huì)話(huà)結(jié)束后終止網(wǎng)絡(luò)連接；結(jié)果：系統(tǒng)會(huì)自動(dòng)斷開(kāi)長(zhǎng)時(shí)間沒(méi)動(dòng)作的連接。e）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；方法：詢(xún)問(wèn)系統(tǒng)管理員是否限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。結(jié)果：大多數(shù)端口都有最大流量限制100兆，和最大連接數(shù)限制 10個(gè)。f）重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；結(jié)果：重要網(wǎng)段沒(méi)有采用其他技術(shù)手段。g）應(yīng)按用戶(hù)和系統(tǒng)之間的允許訪(fǎng)問(wèn)規(guī)則，決定允許或拒絕用戶(hù)對(duì)受控系統(tǒng)進(jìn)行資源訪(fǎng)問(wèn)，控制粒度為單個(gè)用戶(hù)；登錄設(shè)備查看是否對(duì)撥號(hào)用戶(hù)進(jìn)行身份認(rèn)證，是否配置訪(fǎng)問(wèn)控制規(guī)則對(duì)認(rèn)證成功的用戶(hù)允許訪(fǎng)問(wèn)受控資源。預(yù)期結(jié)果：對(duì)于遠(yuǎn)程撥號(hào)用戶(hù)，設(shè)備上提供用戶(hù)認(rèn)證功能；有通過(guò)配置用戶(hù)、用戶(hù)組

19、，并 結(jié)合訪(fǎng)問(wèn)控制規(guī)則實(shí)現(xiàn)對(duì)認(rèn)證成功的用戶(hù)允許訪(fǎng)問(wèn)受控資源。步驟：鍵入display acl all ,查看是否配置訪(fǎng)問(wèn)控制列表 。<H3C-S310O>display acl allTotal ACL Nutinber: Q實(shí)際結(jié)果：訪(fǎng)問(wèn)控制列表為空，說(shuō)明系統(tǒng)未部署任何訪(fǎng)問(wèn)控制規(guī)則。h）應(yīng)限制具有撥號(hào)訪(fǎng)問(wèn)權(quán)限的用戶(hù)數(shù)量；（1）詢(xún)問(wèn)系統(tǒng)管理員，是否有遠(yuǎn)程撥號(hào)用戶(hù)，采用什么方式接入系統(tǒng)，采用何種方式進(jìn)行 身份認(rèn)證，具體用戶(hù)數(shù)量有多少。步驟1 :輸入display version查看系統(tǒng)的授權(quán)信息I<H3C-53lay u®工號(hào)ionH3C Compare PLatfo

20、rm SoftwareCoinware Sof tuarSj Version 3 * ID, Release 2107Copyright (c) 2004-2008 Hangzhou H3C Technologies C口.， Lvd. ill rights reservedH3C S3100-16C-SI uptime is 0 ueek； d曰y, 8 hours, 40 minutesiH3C S3100-16C-SI with 1 Processor 64Mbytes SDRAM811bytes Flash Hemory1 Config Register points t-o FLAS

21、HHardustre Version is REV.C Bootrom Vers ion is S19 Subslot 0 16FEHardware Version is REV.C步驟2 :輸入display current-configuration查看系統(tǒng)配置信息，確認(rèn)撥號(hào)用戶(hù)數(shù)的數(shù)量配置；<H3C-S31OO><H3C-S31005|disp Lay current-conf igurat ionsysnarae H3C-S3100radius scheme system i#domain systemlocal-user student password simpl

22、e student service-type ssh teInet 1 eve 1 1vlan 1#interface Vian'interface 1 ip address 51 25S.255.2S5.0測(cè)試結(jié)果：限制具有撥號(hào)訪(fǎng)問(wèn)權(quán)限的用戶(hù)數(shù)量，數(shù)量為 1。安全審計(jì)本項(xiàng)要求包括：a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等進(jìn)行日志記錄；目的：查看是否啟用了日志記錄，日志記錄是本地保存，還是轉(zhuǎn)發(fā)到日志服務(wù)器。記錄日志服務(wù)器的地址(1)輸入display logbuffer ,顯示系統(tǒng)日志緩沖區(qū)和配置信息；<H3C-S3100>displa7

23、 logfouiferLodging' bullet_conTTguration-and-contents; enato led Allowed max buffer size : 10Z4 Actual buffer size : S12 Channel nuinber : 4 T Channe 1 name ： logbuffen Dropped messages ： 口 Overwritten iftessages : 0 Currerit imessajges : 17Skpr 1 23;55:07: 3舊0 2000 H3C-S31O0 IC/7/SYS_RESTART:Sy

24、stem restarted =- H3C Comware Software(2)輸入display diagnostic-information顯示系統(tǒng)當(dāng)前各個(gè)功能模塊運(yùn)行的統(tǒng)計(jì)信息。display diagnostic-information命令一次性收集了配置如下各條命令后終端顯示的信息，包括： display clock 、 display version 、 display device 、 display current-configuration 等。將此信息存入任意.diag 文件(如 aa.diag ):tew minutes, continue7Y/Nysaved to F

25、lash or dispLayed(Y=3ave N=display)?Y/Wy (*.diag flash:/default.diag:曰呂目再在用戶(hù)視圖下執(zhí)行 "more aa.diag ”命令，配合使用<Space>/<Enter>鍵，可以查看aa.diag 文件的記錄的內(nèi)容。；H3C>rffiore aa.diag display version 13C Comware Plac±orm Softwfire Zottware SoftwareVers ion 3.10, Pelease 2107 Zomvare Platforwi So

26、itware Version COHWAREV3OORCO2Bl6D019SP15 13C S3100-16C-SI Softwrate Version V200POO1B60D007SP02 13C S3100-16C-SI Product Version S3100-16C-SI-2107:cipyright(c) 2004-2008 Han9zhou H3C Technologies Co, , Ltd. All rights reserve Zcmpiled Apr 26 2003 11; 58:43, RELEASE SQFTUilPE 13C 33100-16C-SI uptin&

27、gt;e is 0 week, 01 hour, 9 minutes13C S3100-16C-SI with 1 ProcessorMHbytes SDRAMSMbytes Flash McTticcyZcnf ig Register points to FLASHiardvare Version is PEV.C )ootroici Version is 519 Subjlet 0 L$FEHardvare Vers Ian is PEV.C顯示的操作記錄，用戶(hù)的行為:登錄的情況:VLAN的1/1/1端口運(yùn)行情況:itEther net1/1/1 current st ate: DOWNI

28、P Packet FEwre Type: PKTFHT_ETHNT_2, Mard«z：e Address; OOD£-c2Clfl-bto0 Desetiptrion； GiQaEiicEcbecMiet 1/1/1 interface Loopback is not set Hcdia type is not sure； Port hardware typt is No eonntetor Unknovn-speed node； unlcnovn-duplex mod占Link jpeed t7peautonegciation, 1 ink duplex type is

29、 ttutonegotiationFiDiT-control is not enatiled The Muxtmum Frame Length i= 10240 Broadcasc MAZ-ratio: 1QQ* PVID: 1 Port link-type: access Tagged VLAN ID : nene Unoged VLAN ID : 1Pqu prioriy: 0 Last 300 seconds Inputi paekets/sec 0 bytes/seeLast 300 seconds output:0 packets/sec Q bytes/secNULL0 接口: 它

30、是個(gè)偽接口，不能配地址，也不能被封裝， 它總是UP的，但是從來(lái)不轉(zhuǎn)發(fā)或接受任何通 信量，對(duì)于所有發(fā)到該接口的通信量都直接丟棄。NULLO current stare: UPLine protocol current state： UP (spoofing) Descr iption; NULLO InterfacePhysical is NULL DEV LaaC 300 seconds Last 300 seconds 0 packets Input.The HixLmum Teon3mit Unit is 1500input!0 bytes/aec 0 pftcJcets/sec, utp

31、ut:0 bytes/sec 0 packets/sec0 bytes drops0 packets output, 0 JoyLesf 0 dropsrunning task inlormationnaineTidVOS_T1C1priority1StatusTot-al/MAjc/Liisc (MlllflecslEA'jTclcO1210eventblocR0/0/0DrvT39ac190100eventblzck53012 50/27/vtO35£9H83100eventblock1741/47/0VIDL“98“日q1prserupt ready960004532/

32、9/gTICKs145prerrj: tre ndy128r?S91/0STMR3990713ti150evencbJock1392175/1/03 QfinSpfi7ino2/2測(cè)試結(jié)果：能查看網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等。b）審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息；登錄測(cè)評(píng)對(duì)象或日志服務(wù)器，事件是否成功等信息。步驟：輸入 display logbuffer查看日志記錄是否包含了事件的日期和時(shí)間、,查看日志緩沖區(qū)和配置信息;用戶(hù)、事件類(lèi)型、<H3C-S3100>tlisplay IcgtoufferL gg 1 ng b uf

33、 fer coni Igurac i O n-and-oolite nt a : enafa ledAllowed ma Ji buffer size : 102 4Actual buffer size ; 512Channel nuitiber : 4 * Channel name :Dropped messages ; Overwritten messages : 0Current messages : 1S5logbuifer%Apr 1 23:55:07:360 System restarted - H3G Copmrare Scitware %Apt 1 23：55；18：234 A

34、pr 1 23:55:16:5S0 and: aysnaine H3C-S3 100 %Apr 1 23:55:18:SSD and:vlan 1%Apr 1 23:55:16:551 and:vlan ID%Apr 1 23:55:18:55120002000200020002000£000H3C-53100H3C-S310QH3C-S3100H3C-S3100H3C-S3100H3C-S3100and:interface VIan-interface 1 Apr 1 23;55:16:552 ZQQQ H3C-S3100IC/7/SYS RESTART;-StartingHTTP

35、serverL-task:CFHip:user:才ATCO-task:CFM1 p : t Tuser:希森CO-task: CF.Hip: *user:CO-task:CFHir w工user sCO-task; Cmip:*user;COSHELL/5/CKD:- 1SHELL/5/CHDi- 1SHELL/5/CHD:- 1SHELL/ 5/CT5D:- 1HTTPD/5/Log：- 1SHELL/5/CMD:- 1測(cè)試結(jié)果：能查看事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息。C）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；訪(fǎng)談并查看網(wǎng)絡(luò)管理員采用了什么手段實(shí)現(xiàn)了

36、審計(jì)記錄數(shù)據(jù)的分析和報(bào)表生成。d）應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。訪(fǎng)談網(wǎng)絡(luò)設(shè)備管理員采用了何種手段避免了審計(jì)日志的未授權(quán)修改、刪除和破壞。惡意代碼防范（G3）本項(xiàng)要求包括：a）應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；b）應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。步驟：詢(xún)問(wèn)管理員系統(tǒng)中是否安裝防病毒軟件。詢(xún)問(wèn)管理員病毒庫(kù)更新策略。查看病毒庫(kù)的最新版本更新日期是否超過(guò)一個(gè)星期。7）網(wǎng)絡(luò)設(shè)備防護(hù)本項(xiàng)要求包括：a）應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶(hù)進(jìn)行身份鑒別；目的：檢查測(cè)評(píng)對(duì)象采用何種方式進(jìn)行登錄，是否對(duì)登錄用戶(hù)的身份進(jìn)行鑒別，是否修改了默認(rèn)的用戶(hù)名及密碼。步驟1 :輸入display

37、current-configuration ,查看用戶(hù)名密碼機(jī)認(rèn)證配置。<H3C-S3100>display current-configuration# sysname H3C-S3100#radius scheme 3yst.eradomain systetrlocal-user studentpassword simple studentservice-type ssh telnetip uoute-static o.0.o0 10.115.1 puefeuence 60ssh user student authentication-type password

38、 ssh user student service-type stelnetuser-interface aux 0 user-interface vty 0 4I 忌u t henticatio ivino 日 e sc heme user privilege level 1 protocol inbound ssh#return<H3C-S3100>|local-user student password siiwp 1 e student service-type ssh telnet level 1其中，authentication-mode password表示進(jìn)行本地口

39、令認(rèn)證；authentication-modescheme表示進(jìn)行本地或遠(yuǎn)端用戶(hù)名和口令認(rèn)證。Ssh telnet使用遠(yuǎn)程控制WEBI艮務(wù)器,必須輸入用戶(hù)名和密碼來(lái)登錄 服務(wù)器。步驟2 :輸入display users all ,查看所有用戶(hù)信息和用戶(hù)級(jí)別：UserwinterfaceUser-interfaceis active.is active and workinstsync mode *<H3C-S3100>display users all0UIAUX 0DelayTypeIpaddressUsernaineUser level+1VTY 00:04:06SSH10,1

40、1,5.46student1+2VTY 100:00:00SSH10.11,5.S5student1+3VTY 200:00:02SSH4studsnt13VTY 35VTY 4測(cè)試結(jié)果：記錄了 IP地址等，實(shí)現(xiàn)了對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶(hù)進(jìn)行身份鑒別；b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；目的：查看是否有控制列表對(duì)管理員登錄進(jìn)行控制；步驟：輸入display acl all ,查看是否有控制列表對(duì)管理員登錄進(jìn)行控制;<H3C-S3100>dispLay ac1 allTotal ACL Nuitiber: 0<H3C-S3100>j測(cè)試結(jié)果：沒(méi)有控制列

41、表對(duì)管理員登錄進(jìn)行控制；c)網(wǎng)絡(luò)設(shè)備用戶(hù)的標(biāo)識(shí)應(yīng)唯一；手段：登錄網(wǎng)絡(luò)設(shè)備，查看設(shè)置的用戶(hù)是否有相同用戶(hù)名。詢(xún)問(wèn)網(wǎng)絡(luò)管理員，是否為每個(gè)管 理員設(shè)置了單獨(dú)的賬戶(hù)。方法；輸入 display current-configuration,查看設(shè)置的用戶(hù)名。Local-user student password simp1e student service-type ssh telnet level 1測(cè)試結(jié)果：權(quán)限不夠，無(wú)法看到是否有重復(fù)的用戶(hù)名。d)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；(1)詢(xún)問(wèn)網(wǎng)絡(luò)管理員對(duì)身份鑒別所采取的具體措施，使用口令的組成、 長(zhǎng)度和更改周期等;(

42、2)通過(guò)訪(fǎng)談檢查設(shè)備的用戶(hù)、口令信息及是否定期更換，display cur查看系統(tǒng)配置；<H3C-S3100><H3C-S3100>dlsplay Cursysnawie H3C-S3 10D身radius scheme systeio#domain system#local-user studentpasswcrd simple student service-type ssh telnet level 1vlan 1測(cè)試結(jié)果：能保證口令復(fù)雜度和定期更改的要求。e)應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話(huà)、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí) 自動(dòng)退出等措施；目的：查看

43、系統(tǒng)配置中對(duì)登錄失敗的處理機(jī)制。方法：以CISCO IOS為例，輸入命令：show running-config檢查配置文件中應(yīng)當(dāng)存在類(lèi)似如下配置項(xiàng) line vty 0 4;display current-configuration查看系統(tǒng)配置；退出系統(tǒng)重新登錄，輸入錯(cuò)誤密碼進(jìn)行嘗試，查看系統(tǒng)反應(yīng)。1L5.253 - PuTTIlogin ：as: studentstudenlLElO- 11.5.253 1 s password: Access deniedstudenlLElO- 11.5.253 1 s password: Access deniedstudenlLElO- 11.5.253 1 s password: D測(cè)試結(jié)果：登錄失敗時(shí)系統(tǒng)采取結(jié)束會(huì)話(huà)、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出。f)當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；11) display current-configuration(2)查看配置是否開(kāi)啟 ssh ,如：aaa authentication ssh console LOCALdomain systeiti卜local-user studentpassucrd simp 1 e student, servic