信息系統(tǒng)安全等級(jí)保護(hù)等保測(cè)評(píng) 網(wǎng)絡(luò)安全測(cè)評(píng)

1、信息系統(tǒng)安全等級(jí)保護(hù)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)安全測(cè)評(píng)網(wǎng)絡(luò)安全測(cè)評(píng)武漢安域信息安全技術(shù)有限公司武漢安域信息安全技術(shù)有限公司余少波余少波 博士博士地址：湖北武漢東湖開發(fā)區(qū)武大園路6號(hào)電話郵： 前言前言1檢查范圍檢查范圍2檢查內(nèi)容檢查內(nèi)容3現(xiàn)場(chǎng)測(cè)評(píng)步驟現(xiàn)場(chǎng)測(cè)評(píng)步驟4內(nèi)容內(nèi)容 1 1、前言、前言標(biāo)準(zhǔn)概述標(biāo)準(zhǔn)概述2007年年43號(hào)文號(hào)文信息安全等級(jí)保護(hù)管理辦法信息安全等級(jí)保護(hù)管理辦法按照以下相關(guān)標(biāo)準(zhǔn)開展等級(jí)保護(hù)工作：按照以下相關(guān)標(biāo)準(zhǔn)開展等級(jí)保護(hù)工作： 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999） 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南（GB/T22240-2008） 信

2、息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T22239-2008） 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求（報(bào)批稿） 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南（報(bào)批稿） 測(cè)評(píng)過程中重點(diǎn)依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)安全等級(jí)保護(hù)基本要求、信息系統(tǒng)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求安全等級(jí)保護(hù)測(cè)評(píng)要求來進(jìn)行。 1 1、前言、前言標(biāo)準(zhǔn)概述標(biāo)準(zhǔn)概述 基本要求中網(wǎng)絡(luò)安全的控制點(diǎn)控制點(diǎn)與要求項(xiàng)要求項(xiàng)各級(jí)分布：級(jí)別控制點(diǎn)要求項(xiàng)139261837334732等級(jí)保護(hù)基本要求三級(jí)網(wǎng)絡(luò)安全方面涵蓋哪些內(nèi)容？共包含7個(gè)控制點(diǎn)33個(gè)要求項(xiàng)，涉及到網(wǎng)絡(luò)安全中的結(jié)構(gòu)安全、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、訪問控制、設(shè)備防護(hù)等方面。

3、 1 1、前言、前言網(wǎng)絡(luò)安全是指對(duì)信息系統(tǒng)所涉及的網(wǎng)絡(luò)安全是指對(duì)信息系統(tǒng)所涉及的通信網(wǎng)絡(luò)、網(wǎng)絡(luò)通信網(wǎng)絡(luò)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)區(qū)域和網(wǎng)絡(luò)設(shè)備邊界、網(wǎng)絡(luò)區(qū)域和網(wǎng)絡(luò)設(shè)備等進(jìn)行安全保護(hù)。具體等進(jìn)行安全保護(hù)。具體關(guān)注內(nèi)容包括通信過程數(shù)據(jù)完整性、通信過程數(shù)據(jù)關(guān)注內(nèi)容包括通信過程數(shù)據(jù)完整性、通信過程數(shù)據(jù)保密性、保證通信可靠性的設(shè)備和線路冗余、區(qū)域保密性、保證通信可靠性的設(shè)備和線路冗余、區(qū)域網(wǎng)絡(luò)的邊界保護(hù)、區(qū)域劃分、身份認(rèn)證、訪問控制、網(wǎng)絡(luò)的邊界保護(hù)、區(qū)域劃分、身份認(rèn)證、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備自安全審計(jì)、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備自身保護(hù)和網(wǎng)絡(luò)的網(wǎng)絡(luò)管理等方面身保護(hù)和網(wǎng)絡(luò)的網(wǎng)絡(luò)管

4、理等方面 1 1、前言、前言序號(hào)安全關(guān)注點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)1網(wǎng)絡(luò)結(jié)構(gòu)安全34+772網(wǎng)絡(luò)訪問控制34+843網(wǎng)絡(luò)安全審計(jì)02464邊界完整性檢查01225網(wǎng)絡(luò)入侵防范0122+6惡意代碼防范00227網(wǎng)絡(luò)設(shè)備防護(hù)3689合計(jì)9183332 前言前言1檢查范圍檢查范圍2檢查內(nèi)容檢查內(nèi)容3現(xiàn)場(chǎng)測(cè)評(píng)步驟現(xiàn)場(chǎng)測(cè)評(píng)步驟4內(nèi)容內(nèi)容 2 2、檢查范圍、檢查范圍理解標(biāo)準(zhǔn)：理解標(biāo)準(zhǔn)：理解標(biāo)準(zhǔn)中涉及網(wǎng)絡(luò)部分的每項(xiàng)基本要求。明確目的：明確目的：檢查的最終目的是判斷該信息系統(tǒng)的網(wǎng)絡(luò)安全綜合防護(hù)能網(wǎng)絡(luò)安全綜合防護(hù)能力力，如抗攻擊能力、防病毒能力等等，不是單一的設(shè)備檢查不是單一的設(shè)備檢查。分階段進(jìn)行：分階段進(jìn)行：共劃分為

5、4個(gè)階段，測(cè)評(píng)準(zhǔn)備、方案編制、現(xiàn)場(chǎng)測(cè)評(píng)、分測(cè)評(píng)準(zhǔn)備、方案編制、現(xiàn)場(chǎng)測(cè)評(píng)、分析及報(bào)告編制析及報(bào)告編制。確定檢查范圍，細(xì)化檢查項(xiàng)。確定檢查范圍，細(xì)化檢查項(xiàng)。 通過前期調(diào)研獲取被測(cè)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)?、外連線路、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等信息。 根據(jù)調(diào)研結(jié)果，進(jìn)行初步分析判斷。 明確邊界設(shè)備、核心設(shè)備及其他重要設(shè)備，確定檢查范圍。注意事項(xiàng)注意事項(xiàng) 考慮設(shè)備的重要程度可以采用抽取的方式。 不能出現(xiàn)遺漏，避免出現(xiàn)脆弱點(diǎn)。 最終需要在測(cè)評(píng)方案中與用戶明確檢查范圍網(wǎng)絡(luò)設(shè)備、安全設(shè)備列表。 2 2、檢查范圍、檢查范圍 前言前言1檢查范圍檢查范圍2檢查內(nèi)容檢查內(nèi)容3現(xiàn)場(chǎng)測(cè)評(píng)步驟現(xiàn)場(chǎng)測(cè)評(píng)步驟4內(nèi)容內(nèi)容 3 3、檢查內(nèi)容、

6、檢查內(nèi)容檢查內(nèi)容以等級(jí)保護(hù)基本要求三級(jí)三級(jí)為例，按照基本要求7個(gè)控制點(diǎn)33個(gè)要求項(xiàng)進(jìn)行檢查。 一、結(jié)構(gòu)安全（7項(xiàng)） 二、訪問控制（8項(xiàng)） 三、安全審計(jì)（4項(xiàng)） 四、邊界完整性檢查（2項(xiàng)） 五、入侵防范（2項(xiàng)） 六、惡意代碼防范（2項(xiàng)） 七、網(wǎng)絡(luò)設(shè)備防護(hù)（8項(xiàng)） 3 3、檢查內(nèi)容、檢查內(nèi)容- -結(jié)構(gòu)安全結(jié)構(gòu)安全一、結(jié)構(gòu)安全（項(xiàng)）一、結(jié)構(gòu)安全（項(xiàng)） 結(jié)構(gòu)安全是網(wǎng)絡(luò)安全測(cè)評(píng)檢查的重點(diǎn)，網(wǎng)絡(luò)結(jié)構(gòu)是否合理直接關(guān)系到信息系統(tǒng)的整體安全。條款解讀條款解讀a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；條款理解條款理解 為

7、了保證信息系統(tǒng)的高可用性，主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力應(yīng)具備冗余空間。檢查方法檢查方法 訪談網(wǎng)絡(luò)管理員，詢問主要網(wǎng)絡(luò)設(shè)備的性能及業(yè)務(wù)高峰流量。 訪談網(wǎng)絡(luò)管理員，詢問采用何種手段對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控。 b)應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；條款理解條款理解 對(duì)網(wǎng)絡(luò)各個(gè)部分進(jìn)行分配帶寬，從而保證在業(yè)務(wù)高峰期業(yè)務(wù)服務(wù)的連續(xù)性。檢查方法檢查方法詢問當(dāng)前網(wǎng)絡(luò)各部分的帶寬是否滿足業(yè)務(wù)高峰需要。如果無法滿足業(yè)務(wù)高峰期需要，則需進(jìn)行帶寬分配。檢查主要網(wǎng)絡(luò)設(shè)備是否進(jìn)行帶寬分配。3 3、檢查內(nèi)容、檢查內(nèi)容- -結(jié)構(gòu)安全結(jié)構(gòu)安全 c)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行

8、路由控制建立安全的訪問路徑；應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；條款理解條款理解靜態(tài)路由是指由網(wǎng)絡(luò)管理員手工配置的路由信息。動(dòng)態(tài)路由是指路由器能夠自動(dòng)地建立自己的路由表。路由器之間的路由信息交換是基于路由協(xié)議實(shí)現(xiàn)的，如OSPF路由協(xié)議是一種典型的鏈路狀態(tài)的路由協(xié)議。如果使用動(dòng)態(tài)路由協(xié)議應(yīng)配置使用路由協(xié)議認(rèn)證功能，保證網(wǎng)絡(luò)路由安全。檢查方法檢查方法檢查邊界設(shè)備和主要網(wǎng)絡(luò)設(shè)備，查看是否進(jìn)行了路由控制建立安全的訪問路徑。以CISCO IOS為例，輸入命令：show running-config檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)：ip route 25

9、 93 （靜態(tài)）router ospf 100 （動(dòng)態(tài)）ip ospf message-digest-key 1 md5 7 XXXXXX（認(rèn)證碼）3 3、檢查內(nèi)容、檢查內(nèi)容- -結(jié)構(gòu)安全結(jié)構(gòu)安全 d)應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；條款理解條款理解為了便于網(wǎng)絡(luò)管理，應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)生改變時(shí)，應(yīng)及時(shí)更新。檢查方法檢查方法檢查網(wǎng)絡(luò)拓?fù)鋱D，查看其與當(dāng)前運(yùn)行情況是否一致。3 3、檢查內(nèi)容、檢查內(nèi)容- -結(jié)構(gòu)安全結(jié)構(gòu)安全 e)應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信

10、息的重要程度等因素，劃分不應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；條款理解條款理解根據(jù)實(shí)際情況和區(qū)域安全防護(hù)要求，應(yīng)在主要網(wǎng)絡(luò)設(shè)備上進(jìn)行VLAN劃分或子網(wǎng)劃分。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的。如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備實(shí)現(xiàn)。檢查方法檢查方法訪談網(wǎng)絡(luò)管理員，是否依據(jù)部門的工作職能、重要性和應(yīng)用系統(tǒng)的級(jí)別劃分了不同的VLAN或子網(wǎng)。以CISCO IOS為例，輸入命令：show vlan檢查

11、配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)：vlan 2 name infoint e0/2vlan-membership static 23 3、檢查內(nèi)容、檢查內(nèi)容- -結(jié)構(gòu)安全結(jié)構(gòu)安全 f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；條款理解條款理解為了保證信息系統(tǒng)的安全，應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，防止來自外部信息系統(tǒng)的攻擊。在重要網(wǎng)段和其它網(wǎng)段之間配置安全策略進(jìn)行訪問控制。檢查方法檢查方法檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，查看

12、是否將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處，重要網(wǎng)段和其它網(wǎng)段之間是否配置安全策略進(jìn)行訪問控制。3 3、檢查內(nèi)容、檢查內(nèi)容- -結(jié)構(gòu)安全結(jié)構(gòu)安全 g)應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。條款理解條款理解 為了保證重要業(yè)務(wù)服務(wù)的連續(xù)性，應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，從而保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。檢查方法檢查方法 訪談網(wǎng)絡(luò)管理員，依據(jù)實(shí)際應(yīng)用系統(tǒng)狀況，是否進(jìn)行了帶寬優(yōu)先級(jí)分配。 以CISCO IOS為例，檢查配置文件中是否存在類

13、似如下配置項(xiàng)：policy-map barclass voicepriority percent 10class databandwidth percent 30class videobandwidth percent 203 3、檢查內(nèi)容、檢查內(nèi)容- -結(jié)構(gòu)安全結(jié)構(gòu)安全 3 3、檢查內(nèi)容、檢查內(nèi)容- -訪問控制訪問控制二、訪問控制（二、訪問控制（8項(xiàng)）項(xiàng)）訪問控制是網(wǎng)絡(luò)測(cè)評(píng)檢查中的核心部分，涉及到大部分網(wǎng)絡(luò)設(shè)備、訪問控制是網(wǎng)絡(luò)測(cè)評(píng)檢查中的核心部分，涉及到大部分網(wǎng)絡(luò)設(shè)備、安全設(shè)備。安全設(shè)備。條款解讀條款解讀 a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用

14、訪問控制功能； 條款理解條款理解 在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,防御來自其他網(wǎng)絡(luò)的攻擊，保護(hù)內(nèi)部網(wǎng)防御來自其他網(wǎng)絡(luò)的攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。絡(luò)的安全。 檢查方法檢查方法 檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，查看是否在網(wǎng)絡(luò)邊界處部署了訪問控制設(shè)備，是否檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，查看是否在網(wǎng)絡(luò)邊界處部署了訪問控制設(shè)備，是否啟用了訪問控制功能。啟用了訪問控制功能。3 3、檢查內(nèi)容、檢查內(nèi)容- -訪問控制訪問控制 b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級(jí)； 條款理解 在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,對(duì)進(jìn)出網(wǎng)絡(luò)的流量進(jìn)行過濾，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。 配置的訪問控制列表應(yīng)

15、有明確的源/目的地址、源/目的、協(xié)議及服務(wù)等。 檢查方法檢查方法 以以CISCO IOS為例，輸入命令：為例，輸入命令：show ip access-list檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)：檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)：ip access-list extended 111deny ip x.x.x.0 55 any loginterface eth 0/0ip access-group 111 in3 3、檢查內(nèi)容、檢查內(nèi)容- -訪問控制訪問控制 以防火墻檢查為例，應(yīng)有明確的訪問控制策略，如下圖所示：以防火墻檢查為例，應(yīng)有明確的訪問控制策略，如下圖所示：3 3、檢

16、查內(nèi)容、檢查內(nèi)容- -訪問控制訪問控制 c)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；等協(xié)議命令級(jí)的控制； 條款理解條款理解 對(duì)于一些常用的應(yīng)用層協(xié)議，能夠在訪問控制設(shè)備上實(shí)現(xiàn)應(yīng)用層協(xié)議命令級(jí)的控制和內(nèi)容檢查，從而增強(qiáng)訪問控制粒度。 檢查方法檢查方法 該測(cè)評(píng)項(xiàng)一般在防火墻、入侵防御系統(tǒng)上檢查。 首先查看防火墻、入侵防御系統(tǒng)是否具有該功能，然后登錄設(shè)備查看是否啟用了相應(yīng)的功能。3 3、檢查內(nèi)容、檢查內(nèi)容- -訪問控制訪問控制 以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：以聯(lián)想網(wǎng)域防火墻為例，

17、如下圖所示： d)應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接； 條款理解條款理解 當(dāng)惡意用戶進(jìn)行網(wǎng)絡(luò)攻擊時(shí)，有時(shí)會(huì)發(fā)起大量會(huì)話連接，建立會(huì)話后當(dāng)惡意用戶進(jìn)行網(wǎng)絡(luò)攻擊時(shí)，有時(shí)會(huì)發(fā)起大量會(huì)話連接，建立會(huì)話后長時(shí)間保持狀態(tài)連接從而占用大量網(wǎng)絡(luò)資源，最終將網(wǎng)絡(luò)資源耗盡的情況。長時(shí)間保持狀態(tài)連接從而占用大量網(wǎng)絡(luò)資源，最終將網(wǎng)絡(luò)資源耗盡的情況。 應(yīng)在會(huì)話終止或長時(shí)間無響應(yīng)的情況下終止網(wǎng)絡(luò)連接，釋放被占用網(wǎng)應(yīng)在會(huì)話終止或長時(shí)間無響應(yīng)的情況下終止網(wǎng)絡(luò)連接，釋放被占用網(wǎng)絡(luò)資源，保證業(yè)務(wù)可以被正常訪問。絡(luò)資源，保證業(yè)務(wù)可以被正常訪問。 檢查方法檢查方法

18、該測(cè)評(píng)項(xiàng)一般在防火墻上檢查。該測(cè)評(píng)項(xiàng)一般在防火墻上檢查。 登錄防火墻，查看是否設(shè)置了會(huì)話連接超時(shí)，設(shè)置的超時(shí)時(shí)間是多少，登錄防火墻，查看是否設(shè)置了會(huì)話連接超時(shí)，設(shè)置的超時(shí)時(shí)間是多少，判斷是否合理。判斷是否合理。3 3、檢查內(nèi)容、檢查內(nèi)容- -訪問控制訪問控制 以天融信防火墻為例，如下圖所示：以天融信防火墻為例，如下圖所示： e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)； 條款理解條款理解 可根據(jù)IP地址、端口、協(xié)議來限制應(yīng)用數(shù)據(jù)流的最大流量，還可以根據(jù)IP地址來限制網(wǎng)絡(luò)連接數(shù)，從而保證業(yè)務(wù)帶寬不被占用，業(yè)務(wù)系統(tǒng)可以對(duì)外正常提供業(yè)務(wù)。 檢查方法檢查方法 該測(cè)評(píng)項(xiàng)一般在防

19、火墻上檢查。訪談系統(tǒng)管理員，依據(jù)實(shí)際網(wǎng)絡(luò)狀況是否需要限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。 登錄設(shè)備查看是否設(shè)置了最大流量數(shù)和連接數(shù)，并做好記錄。 以天融信防火墻為例，如下圖所示：3 3、檢查內(nèi)容、檢查內(nèi)容- -訪問控制訪問控制 f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙； 條款理解條款理解 地址欺騙在網(wǎng)絡(luò)安全中比較重要的一個(gè)問題地址欺騙在網(wǎng)絡(luò)安全中比較重要的一個(gè)問題,這里的地址這里的地址,可以是可以是MAC地址地址,也可以是也可以是IP地址。在關(guān)鍵設(shè)備上，采用地址。在關(guān)鍵設(shè)備上，采用IP/MAC地址地址綁定方式防止地址欺騙。綁定方式防止地址欺騙。 檢查方法檢查方法

20、以以CISCO IOS為例，輸入為例，輸入show ip arp檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)：檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)：arp 0000.e268.9980 arpa 以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：3 3、檢查內(nèi)容、檢查內(nèi)容- -訪問控制訪問控制 g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶；統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶； 條款理解條款理解 對(duì)于遠(yuǎn)程撥號(hào)用戶，應(yīng)在相關(guān)設(shè)備上提供用戶認(rèn)證功能。對(duì)于遠(yuǎn)

21、程撥號(hào)用戶，應(yīng)在相關(guān)設(shè)備上提供用戶認(rèn)證功能。 通過配置用戶、用戶組，并結(jié)合訪問控制規(guī)則可以實(shí)現(xiàn)對(duì)認(rèn)證通過配置用戶、用戶組，并結(jié)合訪問控制規(guī)則可以實(shí)現(xiàn)對(duì)認(rèn)證成功的用戶允許訪問受控資源。成功的用戶允許訪問受控資源。 檢查方法檢查方法 登錄相關(guān)設(shè)備查看是否對(duì)撥號(hào)用戶進(jìn)行身份認(rèn)證，是否配置訪登錄相關(guān)設(shè)備查看是否對(duì)撥號(hào)用戶進(jìn)行身份認(rèn)證，是否配置訪問控制規(guī)則對(duì)認(rèn)證成功的用戶允許訪問受控資源。問控制規(guī)則對(duì)認(rèn)證成功的用戶允許訪問受控資源。3 3、檢查內(nèi)容、檢查內(nèi)容- -訪問控制訪問控制 h)應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。 條款理解條款理解 應(yīng)限制通過遠(yuǎn)程采用撥號(hào)方式或通過

22、其他方式連入系統(tǒng)內(nèi)部的用戶應(yīng)限制通過遠(yuǎn)程采用撥號(hào)方式或通過其他方式連入系統(tǒng)內(nèi)部的用戶數(shù)量。數(shù)量。 檢查方法檢查方法 詢問系統(tǒng)管理員，是否有遠(yuǎn)程撥號(hào)用戶，采用什么方式接入系統(tǒng)部，詢問系統(tǒng)管理員，是否有遠(yuǎn)程撥號(hào)用戶，采用什么方式接入系統(tǒng)部，采用何種方式進(jìn)行身份認(rèn)證，具體用戶數(shù)量有多少。采用何種方式進(jìn)行身份認(rèn)證，具體用戶數(shù)量有多少。3 3、檢查內(nèi)容、檢查內(nèi)容- -訪問控制訪問控制 3 3、檢查內(nèi)容、檢查內(nèi)容- -安全審計(jì)安全審計(jì) 三、安全審計(jì)（三、安全審計(jì)（4項(xiàng)）項(xiàng)） 安全審計(jì)要對(duì)相關(guān)事件進(jìn)行日志記錄，還要求對(duì)形成的記錄能安全審計(jì)要對(duì)相關(guān)事件進(jìn)行日志記錄，還要求對(duì)形成的記錄能夠分析、形成報(bào)表。夠分析

23、、形成報(bào)表。 條款解讀條款解讀 a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄； 條款理解條款理解 為了對(duì)網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量、管理記錄等進(jìn)行檢測(cè)和記錄，需要啟為了對(duì)網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量、管理記錄等進(jìn)行檢測(cè)和記錄，需要啟用系統(tǒng)日志功能。系統(tǒng)日志信息通常輸出至各種管理端口、內(nèi)部緩存或者日志服用系統(tǒng)日志功能。系統(tǒng)日志信息通常輸出至各種管理端口、內(nèi)部緩存或者日志服務(wù)器。務(wù)器。 檢查方法檢查方法 檢查測(cè)評(píng)對(duì)象，查看是否啟用了日志記錄，日志記錄是本地保存，還是轉(zhuǎn)發(fā)到檢查測(cè)評(píng)對(duì)象，查看是否啟用了日志

24、記錄，日志記錄是本地保存，還是轉(zhuǎn)發(fā)到日志服務(wù)器。記錄日志服務(wù)器的地址。日志服務(wù)器。記錄日志服務(wù)器的地址。以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：3 3、檢查內(nèi)容、檢查內(nèi)容- -安全審計(jì)安全審計(jì) b)審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；及其他與審計(jì)相關(guān)的信息； 條款理解條款理解 日志審計(jì)內(nèi)容需要記錄時(shí)間、類型、用戶、事件類型、事件是否成功等相關(guān)信息。 檢查方法檢查方法 登錄測(cè)評(píng)對(duì)象或日志服務(wù)器，查看日志記錄是否包含了事件的日期和時(shí)間、用戶、事件類型、事件是否成功等信息。3 3、檢查內(nèi)容、檢查

25、內(nèi)容- -安全審計(jì)安全審計(jì) c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表； 條款理解條款理解 為了便于管理員對(duì)能夠及時(shí)準(zhǔn)確地了解網(wǎng)絡(luò)設(shè)備運(yùn)行狀況和發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為，需要對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行分析和生成報(bào)表。 檢查方法檢查方法 訪談并查看網(wǎng)絡(luò)管理員采用了什么手段實(shí)現(xiàn)了審計(jì)記錄數(shù)據(jù)的分析和報(bào)表生成。3 3、檢查內(nèi)容、檢查內(nèi)容- -安全審計(jì)安全審計(jì) d)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。 條款理解條款理解 審計(jì)記錄能夠幫助管理人員及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行狀況和網(wǎng)絡(luò)攻擊行為，因此需要對(duì)審

26、計(jì)記錄實(shí)施技術(shù)上和管理上的保護(hù)，防止未授權(quán)修改、刪除和破壞。 檢查方法檢查方法 訪談網(wǎng)絡(luò)設(shè)備管理員采用了何種手段避免了審計(jì)日志的未授權(quán)修改、刪除和破壞。如可以設(shè)置專門的日志服務(wù)器來接收路由器等網(wǎng)絡(luò)設(shè)備發(fā)送出的報(bào)警信息。3 3、檢查內(nèi)容、檢查內(nèi)容- -安全審計(jì)安全審計(jì)以聯(lián)想網(wǎng)域防火墻為例，如下圖所示： 3 3、檢查內(nèi)容、檢查內(nèi)容- -邊界完整性檢查邊界完整性檢查 四、邊界完整性檢查四、邊界完整性檢查（2項(xiàng)） 邊界完整性檢查主要檢查在全網(wǎng)中對(duì)網(wǎng)絡(luò)的連接狀態(tài)進(jìn)行監(jiān)控，發(fā)現(xiàn)非法接入、非法外聯(lián)時(shí)能夠準(zhǔn)確定位并能及時(shí)報(bào)警和阻斷。 條款解讀 a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位應(yīng)

27、能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；置，并對(duì)其進(jìn)行有效阻斷； 條款理解條款理解 可以采用技術(shù)手段和管理措施對(duì)“非法接入”行為進(jìn)行檢查。技術(shù)手段包括網(wǎng)絡(luò)接入控制、IP/MAC地址綁定。 檢查方法檢查方法 訪談網(wǎng)絡(luò)管理員，詢問采用何種技術(shù)手段或管理措施對(duì)“非法接入”進(jìn)行檢查，對(duì)于技術(shù)手段，在網(wǎng)絡(luò)管理員配合下驗(yàn)證其有效性。3 3、檢查內(nèi)容、檢查內(nèi)容- -邊界完整性檢查邊界完整性檢查 以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：3 3、檢查內(nèi)容、檢查內(nèi)容- -邊界完整性檢查邊界完整性檢查 b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)

28、應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。行有效阻斷。 條款理解條款理解 可以采用技術(shù)手段和管理措施對(duì)可以采用技術(shù)手段和管理措施對(duì)“非法外聯(lián)非法外聯(lián)”行為進(jìn)行檢查。技術(shù)手段可以采取部行為進(jìn)行檢查。技術(shù)手段可以采取部署桌面管理系統(tǒng)或其他技術(shù)措施控制。署桌面管理系統(tǒng)或其他技術(shù)措施控制。 檢查方法檢查方法 訪問網(wǎng)絡(luò)管理員，詢問采用了何種技術(shù)手段或管理措施對(duì)訪問網(wǎng)絡(luò)管理員，詢問采用了何種技術(shù)手段或管理措施對(duì)“非法外聯(lián)非法外聯(lián)”行為進(jìn)行檢行為進(jìn)行檢查，對(duì)于技術(shù)手段，在網(wǎng)絡(luò)管理員配合下驗(yàn)證其有效性。查，對(duì)于技術(shù)手段，在網(wǎng)絡(luò)管理員配合下驗(yàn)證其有效性。3 3、檢查內(nèi)

29、容、檢查內(nèi)容- -邊界完整性檢查邊界完整性檢查以聯(lián)想網(wǎng)域防火墻為例，如下圖所示： 3 3、檢查內(nèi)容、檢查內(nèi)容- -入侵防范入侵防范 五、入侵防范（五、入侵防范（2項(xiàng)）項(xiàng)） 對(duì)入侵事件不僅能夠檢測(cè)，并能發(fā)出報(bào)警，對(duì)于入侵防御系統(tǒng)要求對(duì)入侵事件不僅能夠檢測(cè)，并能發(fā)出報(bào)警，對(duì)于入侵防御系統(tǒng)要求定期更新特征庫，發(fā)現(xiàn)入侵后能夠報(bào)警并阻斷。定期更新特征庫，發(fā)現(xiàn)入侵后能夠報(bào)警并阻斷。 條款解讀條款解讀 a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊

30、和網(wǎng)絡(luò)蠕蟲攻擊等；碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等； 條款理解條款理解 要維護(hù)系統(tǒng)安全，必須在網(wǎng)絡(luò)邊界處對(duì)常見的網(wǎng)絡(luò)攻擊行為進(jìn)行監(jiān)視，以便及時(shí)發(fā)現(xiàn)攻擊行為。 檢查方法檢查方法 檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，查看在網(wǎng)絡(luò)邊界處是否部署了包含入侵防范功能的設(shè)備。登錄相應(yīng)設(shè)備，查看是否啟用了檢測(cè)功能。以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：3 3、檢查內(nèi)容、檢查內(nèi)容- -入侵防范入侵防范 b)當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。 條款理解條款理解 當(dāng)檢測(cè)到攻擊行為時(shí)，應(yīng)對(duì)攻

31、擊信息進(jìn)行日志記錄。在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)能通過短信、郵件等向有關(guān)人員報(bào)警。 檢查方法檢查方法 查看在網(wǎng)絡(luò)邊界處是否部署了包含入侵防范功能的設(shè)備。 如果部署了相應(yīng)設(shè)備，則檢查設(shè)備的日志記錄是否完備，是否提供了報(bào)警功能。3 3、檢查內(nèi)容、檢查內(nèi)容- -入侵防范入侵防范 3 3、檢查內(nèi)容、檢查內(nèi)容- -惡意代碼防范惡意代碼防范 六、惡意代碼防范（六、惡意代碼防范（2項(xiàng)）項(xiàng)） 惡意代碼防范是綜合性的多層次的，在網(wǎng)絡(luò)邊界處需要對(duì)惡意代碼進(jìn)行惡意代碼防范是綜合性的多層次的，在網(wǎng)絡(luò)邊界處需要對(duì)惡意代碼進(jìn)行防范。防范。 條款解讀條款解讀 a)應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)

32、行檢測(cè)和清除； 條款理解條款理解 計(jì)算機(jī)病毒、木馬和蠕蟲的泛濫使得防范惡意代碼的破壞顯得尤為重要。在網(wǎng)絡(luò)邊界處部署防惡意代碼產(chǎn)品進(jìn)行惡意代碼防范是最為直接和高效的辦法。 檢查方法檢查方法 檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，查看在網(wǎng)絡(luò)邊界處是否部署了防惡意代碼產(chǎn)品。如果部署了相關(guān)產(chǎn)品，則查看是否啟用了惡意代碼檢測(cè)及阻斷功能，并查看日志記錄中是否有相關(guān)阻斷信息。以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：3 3、檢查內(nèi)容、檢查內(nèi)容- -惡意代碼防范惡意代碼防范 b)應(yīng)維護(hù)惡意代碼庫的升級(jí)和檢測(cè)系統(tǒng)的更新。應(yīng)維護(hù)惡意代碼庫的升級(jí)和檢測(cè)系統(tǒng)的更新。 條款理解條款理解 惡意代碼具有特征變化快，特征變化快的特點(diǎn)。因此對(duì)于惡意代碼檢

33、測(cè)重要的特征庫更新，以及監(jiān)測(cè)系統(tǒng)自身的更新，都非常重要。 檢查方法檢查方法 訪談網(wǎng)絡(luò)管理員，詢問是否對(duì)防惡意代碼產(chǎn)品的特征庫進(jìn)行升級(jí)及具體是升級(jí)方式。登錄相應(yīng)的防惡意代碼產(chǎn)品，查看其特征庫、系統(tǒng)軟件升級(jí)情況，查看當(dāng)前是否為最新版本。3 3、檢查內(nèi)容、檢查內(nèi)容- -惡意代碼防范惡意代碼防范 3 3、檢查內(nèi)容、檢查內(nèi)容- -網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù) 七、網(wǎng)絡(luò)設(shè)備防護(hù)七、網(wǎng)絡(luò)設(shè)備防護(hù)（8項(xiàng)） 網(wǎng)絡(luò)設(shè)備的防護(hù)主要是對(duì)用戶登錄前后的行為進(jìn)行控制，對(duì)網(wǎng)絡(luò)設(shè)備的權(quán)限進(jìn)行管理。 條款解讀 a)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別； 條款理解條款理解 對(duì)于網(wǎng)絡(luò)設(shè)備，可以采用CO

34、N、AUX、VTY等方式登錄。 對(duì)于安全設(shè)備，可以采用WEB、GUI、命令行等方式登錄。 檢查方法檢查方法 檢查測(cè)評(píng)對(duì)象采用何種方式進(jìn)行登錄，是否對(duì)登錄用戶的身份進(jìn)行鑒別，是否修改了默認(rèn)的用戶名及密碼。 以CISCO IOS為例， 檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)：line vty 0 4loginpassword xxxxxxxline aux 0loginpassword xxxxxxxline con 0loginpassword xxxxxxx3 3、檢查內(nèi)容、檢查內(nèi)容- -網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù) b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；

35、條款理解條款理解 為了保證安全，需要對(duì)訪問網(wǎng)絡(luò)設(shè)備的登錄地址進(jìn)行限制，避免未授權(quán)的訪問。 檢查方法檢查方法 以CISCO IOS為例，輸入命令：show running-configaccess-list 3 permit x.x.x.x logaccess-list 3 deny anyline vty 0 4access-class 3 in以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：3 3、檢查內(nèi)容、檢查內(nèi)容- -網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù) c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一； 條款理解 不允許在網(wǎng)絡(luò)設(shè)備上配置用戶名相同的用戶，要防止多人共用一個(gè)帳戶，實(shí)行分帳戶管理，每名管理員設(shè)置一個(gè)單獨(dú)的帳戶，避免出現(xiàn)

36、問題后不能及時(shí)進(jìn)行追查。 檢查方法 登錄網(wǎng)絡(luò)設(shè)備，查看設(shè)置的用戶是否有相同用戶名。詢問網(wǎng)絡(luò)管理員，是否為每個(gè)管理員設(shè)置了單獨(dú)的賬戶。3 3、檢查內(nèi)容、檢查內(nèi)容- -網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù) d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別； 條款理解 采用雙因子鑒別是防止身份欺騙的有效方法，雙因子鑒別不僅要求訪問者知道一些鑒別信息，還需要訪問者擁有鑒別特征，例如采用令牌、智能卡等。 檢查方法 訪談網(wǎng)絡(luò)設(shè)備管理員，詢問采用了何種鑒別技術(shù)實(shí)現(xiàn)了雙因子鑒別，并在管理員的配合下驗(yàn)證雙因子鑒別的有效性。以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：3 3、檢查內(nèi)容、檢查內(nèi)容- -網(wǎng)絡(luò)設(shè)備防

37、護(hù)網(wǎng)絡(luò)設(shè)備防護(hù) e)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換； 條款理解 為避免身份鑒別信息被冒用，可以通過采用令牌、認(rèn)證服務(wù)器等措施，加強(qiáng)身份鑒別信息的保護(hù)。如果僅僅基于口令的身份鑒別，應(yīng)當(dāng)保證口令復(fù)雜度和定期更改的要求。 檢查方法 詢問網(wǎng)絡(luò)管理員對(duì)身份鑒別所采取的具體措施，使用口令的組成、長度和更改周期等。以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：3 3、檢查內(nèi)容、檢查內(nèi)容- -網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù) f)應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施； 條款理解 應(yīng)對(duì)登錄失敗進(jìn)行處理，避免系統(tǒng)遭受惡意的攻擊。 檢查方法 以CI

38、SCO IOS為例，輸入命令：show running-config檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)：line vty 0 4exec-timeout 5 0以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：3 3、檢查內(nèi)容、檢查內(nèi)容- -網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù) g)當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽； 條款理解 對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理時(shí)，應(yīng)采用SSH、HTTPS等加密協(xié)議，防止鑒別信息被竊聽。 檢查方法 以CISCO IOS為例，輸入命令：show running-config檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)：line vty 0 4transport inp

39、ut ssh3 3、檢查內(nèi)容、檢查內(nèi)容- -網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù) h)應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。 條款理解條款理解 應(yīng)根據(jù)實(shí)際需要為用戶分配完成其任務(wù)的最小權(quán)限。 檢查方法檢查方法 登錄設(shè)備，查看有多少管理員賬戶，每個(gè)管理員賬戶是否僅分配完成其任務(wù)的最小權(quán)限。一般應(yīng)該有三類賬戶：普通賬戶，審計(jì)賬戶、配置更改賬戶。以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：3 3、檢查內(nèi)容、檢查內(nèi)容- -網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù) 前言前言1檢查范圍檢查范圍2檢查內(nèi)容檢查內(nèi)容3現(xiàn)場(chǎng)測(cè)評(píng)步驟現(xiàn)場(chǎng)測(cè)評(píng)步驟4內(nèi)容內(nèi)容 4 4、現(xiàn)場(chǎng)測(cè)評(píng)步驟、現(xiàn)場(chǎng)測(cè)評(píng)步驟 現(xiàn)場(chǎng)網(wǎng)絡(luò)測(cè)評(píng)步驟：現(xiàn)場(chǎng)網(wǎng)絡(luò)測(cè)評(píng)步驟： 1、網(wǎng)絡(luò)全局性測(cè)評(píng) 2、網(wǎng)絡(luò)設(shè)備、安全設(shè)備測(cè)評(píng) 3、測(cè)評(píng)結(jié)果匯總整理 4 4、現(xiàn)場(chǎng)測(cè)評(píng)步驟、現(xiàn)場(chǎng)測(cè)評(píng)步驟- -網(wǎng)絡(luò)全局性測(cè)評(píng)網(wǎng)絡(luò)全局性測(cè)評(píng) 1、網(wǎng)絡(luò)全局性測(cè)評(píng)、網(wǎng)絡(luò)全局性測(cè)評(píng) 結(jié)構(gòu)安全 邊界完整性檢查 入侵防范 惡意代碼防范 4 4、現(xiàn)場(chǎng)測(cè)評(píng)步驟、現(xiàn)場(chǎng)測(cè)評(píng)步驟- -網(wǎng)絡(luò)設(shè)備、安全設(shè)備測(cè)評(píng)網(wǎng)絡(luò)設(shè)備、安全設(shè)備測(cè)評(píng)2、網(wǎng)絡(luò)設(shè)備、安全設(shè)備測(cè)評(píng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備測(cè)評(píng) 訪問控制 安全審計(jì) 網(wǎng)絡(luò)