信息安全測(cè)評(píng)實(shí)驗(yàn)二概要

1、一、實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)對(duì)交換機(jī)進(jìn)行安全測(cè)評(píng)和安全加固，掌握交換機(jī)安全測(cè)評(píng)方案的設(shè)計(jì)、安全測(cè) 評(píng)實(shí)施及結(jié)果分析；了解安全加固的方法。二、實(shí)驗(yàn)題目根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求的第三級(jí)基本要求，按照實(shí)驗(yàn)指導(dǎo)書(shū)中的 示范，對(duì)交換機(jī)進(jìn)行安全測(cè)評(píng)，安全等級(jí)為三級(jí)。三、實(shí)驗(yàn)設(shè)計(jì)應(yīng)從結(jié)構(gòu)安全、訪問(wèn)控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防 范、網(wǎng)絡(luò)設(shè)備防護(hù)這七個(gè)方面入手，按照信息系統(tǒng)安全等級(jí)保護(hù)基本要求的第三級(jí) 基本要求進(jìn)行測(cè)評(píng)，重點(diǎn)查看交換機(jī)中的各項(xiàng)配置信息，密碼等設(shè)置是否符合要求。結(jié)構(gòu)安全（G3）c）應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑；看主機(jī)所用的路由器是靜態(tài)路由還是動(dòng)態(tài)路

2、由。靜態(tài)路由是管理員手工配置的，動(dòng)態(tài)路由是 路由器動(dòng)態(tài)建立的，為了保證網(wǎng)絡(luò)安全，應(yīng)添加認(rèn)證功能。此外，采用內(nèi)部路由和外部路由。對(duì)于外部路由要進(jìn)行驗(yàn)證，例如ospf協(xié)議要進(jìn)行驗(yàn)證， 對(duì)于內(nèi)部路由要按照訪問(wèn)路徑進(jìn)行訪問(wèn)，可以tracert 一下，檢查是否按照設(shè)計(jì)的路徑進(jìn)行 訪問(wèn)。f）應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之 間采取可靠的技術(shù)隔離手段；針對(duì)大型的網(wǎng)絡(luò)，采用動(dòng)態(tài)路由，對(duì)進(jìn)出各區(qū)域的路由進(jìn)行控制（特別在不同動(dòng)態(tài)路由協(xié)議 之間的重分布如OSPF，EIGRP等之間，路由過(guò)濾，路徑選擇等控制），允許必要的外部 路由進(jìn)入，允許向外通告內(nèi)部路由?？赏ㄟ^(guò)詢問(wèn)管理員

3、的方式看是否采用了隔離手段。g）應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu) 先保護(hù)重要主機(jī)。對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾和流量控制。訪問(wèn)控制（G3）c）應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3 等協(xié)議命令級(jí)的控制；詢問(wèn)系統(tǒng)管理員是否對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾。d）應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；使會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后看是否終止網(wǎng)絡(luò)連接。e）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；打開(kāi)防火墻，查看網(wǎng)絡(luò)是否限制了上行和下行的帶寬，以及容許連接的最大值。f）重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；方

4、法：重要網(wǎng)段綁定MAC地址和IP地址。安全審計(jì)（G3）c）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；查看日志系統(tǒng)。d）應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。查看日志系統(tǒng)的讀、寫(xiě)、可執(zhí)行的權(quán)限。邊界完整性檢查（S3）本項(xiàng)要求包括：a）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有 效阻斷；b）應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行 有效阻斷。手段：訪問(wèn)網(wǎng)絡(luò)管理員，詢問(wèn)采用了何種技術(shù)手段或管理措施對(duì)“非法外聯(lián)”行為進(jìn)行檢查， 以及對(duì)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查。在網(wǎng)絡(luò)管理員配合下驗(yàn)證其有效性。入侵

5、防范（G3）b）當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源ip、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入 侵事件時(shí)應(yīng)提供報(bào)警。詢問(wèn)管理員是否有報(bào)警措施。惡意代碼防范（G3）a）應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；查看防火墻設(shè)置，是否安裝殺毒軟件。b）應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。查看是否安裝殺毒軟件，殺毒軟件版本是否是最新。查看系統(tǒng)版本信息。網(wǎng)絡(luò)設(shè)備防護(hù)（G3）d）主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別； 重新啟動(dòng)設(shè)備，查看登錄設(shè)備所需的條件。（即是否進(jìn)行認(rèn)證，認(rèn)證方法有幾種）h）應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。查看是否有管理員，審計(jì)員等除了管理員的其他特權(quán)用

6、戶，查看用戶的權(quán)限。四、實(shí)驗(yàn)記錄結(jié)構(gòu)安全本項(xiàng)要求包括：a）設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要;Board 019CPU busy status: inlast5 seconds22inlast1 minute20%inlastS minutes打開(kāi)PuTTY，輸入用戶名和密碼，登錄終端輸入display memory查看內(nèi)存使用情況H3 C-S3 100t-display meniotryUnit 1System kvailatole Heniory (bytes) : 33 141504System Ilsd Memory (bytesJ : 944 6366 j ITsed

7、. Rate : 281輸入display connection查看會(huì)話連接數(shù)情況H3C-S31005-display coiinect-ionUnit iIndex=lUser naitie = student 5 vs teniIP=5Index=4User naitie = student 373 teniIP=71 Index=5 U3er= student systemIP=8Index = 6f User najne = studentsystemIP=2Index=7sUsername=studentsystemIP=6On Unit. 1:Total 5 con.nect.io

8、n5 matched 5 listed.I Total 5 connections mat-ched, 5 listed.實(shí)際情況：CPU、內(nèi)存使用率不超過(guò)50%, connection會(huì)話數(shù)不超過(guò)最大值70%。b）應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要。（1）鍵入display brief interface，查看端口使用情況，displav brief interfaceInteraee:Eth 一 Et-heriiet.GE- GiitEthernet TENGE 一 t.eiiGig：=Jj itEthLonp - LcicpB =5ic kV1an - V1an-int euf

9、ace Cas一 Case adeSpeed/Dup1e: :A - auto-negijt iat. i iiInterfaceL inkSpeed Di.iplex Type PVID Jescr ip t ion.Auk1/0/0VP Ethl/0/1TOTTaccess 1Ethl/0/2access 1Ethl/0/3UPAIODM Afull iaccess 1Ethl/0/4UPAIODM Afull iaccess 1Ethl/0/5UPAIODM Afull iaccess 1Frhl /n/ inTTFAIOM Afull iaccess 1Ethl/0/7DOOTJlki

10、access 1Ethl/O/BDOOTJlkiaccess 1Ethl/0/9DoraAA:access 1Ethl/0/10DoraAA:access 1Ethl/0/11UPHOail Afull :access 1Ti-v.r 1 ri I rnna 1 ririMh4=，r 1 1,r l jm 1J實(shí)際結(jié)果：Eth1/0/1 處于 DOWN 狀態(tài)，Eth1/0/3，Eth1/0/4，Eth1/0/5, Eth1/0/11 等處 于UP狀態(tài)。2)找到處于 UP 狀態(tài)的端口 Eth1/0/3,鍵入 display interface Eth1/0/3,查看接口 Eth1/0/3的詳細(xì)信

11、息。H3 C-S3 ：1口口4目：13口intsmEzEmum EtLhl/Ci/MEthernetI/O/3 current otQtc : UrIP Sending Frames1 Fomat is PKTFMT_ETHTJT_2, Hardware address is 000f-e2to8- M&dia tvpe is twisted pairloopbacJc not setPort haudwaue type is 100 EASE T2J 100Mbps-speed moder full-duplex mode Link speed type is autonegotiation

12、f 1 ink duplex type is autonegotiation Flou-Eontuol is not enabledThe Max irciuin Fuaitie Length is 153 6Broadcast MAX-uatio; 100PV1D; 1Hdi type: autoPort. Linlr-type: accessTagged VLAN ID : noneUiit熠輔eW MLAN 工 : ：LLast. 300 seconds input: 1 packets/sec 114 loytes/sec Last. 300 seconds output:5 pack

13、ets/sec 482 loyt&s/s&cInput Ctotal) :B379 packets_1049103 toytes119 tiroadcasts, 537 multicasts, 0 pausesInput Cnoritial) :8379 packets1049103 bytes119 broadcasts, 537 multicasts, 0 pausesEth1/0/3-(114+482)/(100*1024*1024)=596/1048576001%untaggea vlatj id:ILast 300 seconds input:3 packets/sec 565 to

14、ytes/secLast 300 seconds output:9 packets/sec 407S Joytes/secEth1/0/4-(565 + 4078)/(100*1024*1024)=4643/1048576001%Last 300 seconds iuput:2 1 packEts/sec 14950 luytes/secLast 300 seconds utput:14 packets/sec 26 bytes/secEth1/0/5-(14950 + 2006)/(100*1024*1024)=16956/1048576001%Last 300 seconds input:

15、1 packets/sec 211 byt-es/secLasr 300 secon.As oiatput: S packers/sec 1200 bytes/secEth1/0/11-(211 + 1200)/(100*1024*1024)=1411/104857600=L1LL-L J_ !_ L411.L4 Cl L-p 二 J_H3C display ip routing-tableIJexthopI titer faceRouting Tahle: Dest inat ion./ Mas kpuJa 1 ic net.:Protocol PreCostaV lari- i nt er

16、 ac e 1/24.rfRECt, a52V lari- i nt er ac e 152/32DIRECT aIriLoopBackO/S DIRECT IriLoopBacku/32IriLoopBackuf）應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與 其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；采用內(nèi)網(wǎng)和外網(wǎng)分離開(kāi)。通過(guò)咨詢管理員的方式。結(jié)果：使用的是內(nèi)網(wǎng)。g）應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁 堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)方法：詢問(wèn)管理員是否實(shí)現(xiàn)了數(shù)據(jù)包的過(guò)濾及流量控制。結(jié)果：實(shí)現(xiàn)了數(shù)據(jù)包的過(guò)濾及流量控制。訪問(wèn)控制本項(xiàng)要求包括：a）應(yīng)在網(wǎng)絡(luò)

17、邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；結(jié)果：訪問(wèn)管理員，沒(méi)有部署訪問(wèn)控制設(shè)備及措施。b）應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度 為端口級(jí)；c）應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；結(jié)果：交換機(jī)沒(méi)有對(duì)其做出限制控制。d）應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；結(jié)果：系統(tǒng)會(huì)自動(dòng)斷開(kāi)長(zhǎng)時(shí)間沒(méi)動(dòng)作的連接。e）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；方法：詢問(wèn)系統(tǒng)管理員是否限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。結(jié)果：大多數(shù)端口都有最大流量限制100兆，和最大連接數(shù)限制10個(gè)。f）重要網(wǎng)段應(yīng)采取技術(shù)

18、手段防止地址欺騙；結(jié)果：重要網(wǎng)段沒(méi)有采用其他技術(shù)手段。g）應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行 資源訪問(wèn)，控制粒度為單個(gè)用戶；登錄設(shè)備查看是否對(duì)撥號(hào)用戶進(jìn)行身份認(rèn)證，是否配置訪問(wèn)控制規(guī)則對(duì)認(rèn)證成功的用戶允 許訪問(wèn)受控資源。預(yù)期結(jié)果：對(duì)于遠(yuǎn)程撥號(hào)用戶，設(shè)備上提供用戶認(rèn)證功能；有通過(guò)配置用戶、用戶組，并 結(jié)合訪問(wèn)控制規(guī)則實(shí)現(xiàn)對(duì)認(rèn)證成功的用戶允許訪問(wèn)受控資源。步驟：鍵入display acl all，查看是否配置訪問(wèn)控制列表。display acl allTotal ACL Nuinkier: 0實(shí)際結(jié)果：訪問(wèn)控制列表為空，說(shuō)明系統(tǒng)未部署任何訪問(wèn)控制規(guī)則。h）應(yīng)限制具有

19、撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量；（1）詢問(wèn)系統(tǒng)管理員，是否有遠(yuǎn)程撥號(hào)用戶，采用什么方式接入系統(tǒng)，采用何種方式進(jìn)行 身份認(rèn)證，具體用戶數(shù)量有多少。步驟1：輸入display version查看系統(tǒng)的授權(quán)信息H3C-S3 100H3C Coniware Flatlooxi SoifwareComware SoftwareVers ion 3.10； R已.已a(bǔ)se 2107Copyright (cj 2004-2006 Hangshou H3 C Tecliao logi已己 Go. ； Ltd. ALL rights reserved.H3C S3100-16C-SI upt line is 0 m已已

20、It, 0 day, 8 hours, 4。 ininut.esH3C S3100-16C-SI with 1 Processor64Mbytes SDRAHBNbytes Flash HemoryConfig Register points to FLASHHardware Vers ion is REV.CBootconi Version is -5ISSutoslot lFEHard-ware Version is REV. C步驟2：輸入display current-configuration查看系統(tǒng)配置信息，確認(rèn)撥號(hào)用戶數(shù)的數(shù) 量配置； display current-config

21、uration月 svsname H3C-S3100radius scheine syst-em肯domain systemlocal-user studen.t-password simple student service-type ssh. telnet level 1vlan 1interface Vian-in.t.erfacetip address 51 測(cè)試結(jié)果：限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量，數(shù)量為1。安全審計(jì)本項(xiàng)要求包括：a）應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；目的：查看是否啟用了日志記錄，日志記錄是本地保存，還是轉(zhuǎn)發(fā)到日志服務(wù)器。記錄日志 服

22、務(wù)器的地址（1）輸入display logbuffer，顯示系統(tǒng)日志緩沖區(qū)和配置信息； display device display current-configuration 等。將此信 息存入任意.diag文件（如aa.diag）：display diagnostic-irifoirtriatiorLIhiLS_operation may taRze_a ew minulLes, yDiagnostic-infouination is saved to Flash or displayed (Y=save H=d.isplay)yPlease input, the file name (*

23、. diag flash;/default. diag ; aa.diag 玄 Output information to file: flash:/aa.diag.Please wait再在用戶視圖下執(zhí)行“more aa.diag”命令，配合使用/鍵，可以查看aa.diag 文件的記錄的內(nèi)容。aa.diagClLSp VEEB1OH13C Coinware PLatfcriti Softwareunware Software, Uersion 3.10, Release 2107Amware Platform Software Version COMWAREV300R002BL6D0135f

24、15 iSC 53100-16C-S1 Software Version ViDORJOaiBCDDOOTSPaZ 13C 53100-1 6C-SI Product VisIqei S3 100-1 6C-SI-2 107opyriht (c) 2004-2IOS Hanzliou R3C Technologies Co. , Ltd, All riglit3 reserve owpiled JLpr 2S 2008 11: 5S:4S, PELEiSE SOFTWAREI3C S3100-1SC-SI uptime- is 口 veekr 0 dayf 1 houirT 9 min-i-t

25、es13匚 S3100-16C-SI with 1 Prccessor4Hbytes SCPKMJNbytes Flash Mernary；onfkg J?effistet points to FLASHiardware Vers ion is REViCJcotroin Version Is 519Subslo Q 16FEVacsin if REV. C顯示的操作記錄，用戶的行為:all history coiranandDateTimeUserCommand05/08/200017:55:56 vtO6studentCind : disp 1 aydiagno31 ic - inf or

26、inat ion05/0S/200017:53:26 vtO6studentCmd;displaylagijuf er05/06/200017 ; 51; 52 vtl6st-udentCitid; dis sshserver session登錄的情況:VLAN的1/1/1端口運(yùn)行情況:Clgati 1 cE cJnernecl/ 1/ 1 current state : OOtlNip paeitet Ffaire Type: PKmn_ETHNT_2, H&rduare Aieiress: 000i-eSfl6-L4riBJescrlpclcrL： GlgatolLELheruetlf 1

27、/1 inLertacreLCDphacx is noc- actHed.xfi e.yIs not sure：, Pore haidtisare type is Nci coxiiiect-orUnkno wn-ipeed inode.r unknoTwri- dmp Le x modeLink speed type is antonegotiat.lan f link duplex type is autonsgatiat ionT lo kt-co n_tro 1 is not enab ledThe M耳ximuni FraitfS Lengt h is 10240Broadcs-st

28、 MifE-r-aX io s 100：PVID： 1Port linlc-type: acicessTagged VLMN ID ; 口口眼Vmwggd VUAW ID s 1Pctrt priority: 0Lasc 300 seconds iDDUt! 0 jackets/sec D tovtes/secLesc 300 seconds output: packets/ec 0 byte3/3=ecNULL0 接口：它是個(gè)偽接口，不能配地址，也不能被封裝，它總是UP的，但是從來(lái)不轉(zhuǎn)發(fā)或接受任何 通信量，對(duì)于所有發(fā)到該接口的通信量都直接丟棄。NULLO eutirerLt state: U

29、PLine protocol eurrent state: UP (spoofing-)Description: NULLO InterfaceThe Maxinium Transmit Unit is 1-500Physical is NULL DEVLast. 300 seconds input.;0 toytes/sec 0 pacfcet.s/ secLast 300 seconds output:0 loytes/sec 0 pacIcets/sec0 packets inputs 0 bytes, 0 drops 0 packzets output0 bytes, 0 drops1

30、runniB task inlcmuatlorinajiiend vos_Tid pt latlfystatusTa tai/Hax/Lasr (Mill secs iE AGTafcTf ieC12 !tventi 1 tuikL/0/DrvT2100#v#BtblcjckE3 012E8/27/VTD3S691fe3100eventblock1741/47/VIEL399BcIS41preemptready96OOE4E32/9/TICK3994 氏口白SUSrueeniptceadyISSlSGSt/0/5T7IR 33907S6玷口1392175/1/vmj_7inn21DDD900u

31、測(cè)試結(jié)果：能查看網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等。b）審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān) 的信息；登錄測(cè)評(píng)對(duì)象或日志服務(wù)器，查看日志記錄是否包含了事件的日期和時(shí)間、用戶、事件類型、 事件是否成功等信息。步驟：輸入display logbuffer，查看日志緩沖區(qū)和配置信息；1U2 4Actual juffer size.E12C hanne 1 nurib 已 r : Dropped messages Cvertiteit-ten nie3sagesChanne 1 nizttne :lugbufferCurrent, messages : 18

32、-5 % Apr 1 2 3:55:07:3 80 System restarted - H3 C Cumware 3olware2 UOUH3C-S31JUIC/7/SYS RESTART:%Apr 1 23:55:18:234%Apr 1 23:55:18:550and: sysnarn已 H3 C-S3 10U%Apr 1 23:55:18:550and:vlan 1% Apr 1 2 3:55:18:551and:vlan 102 non2 non2 UOU2 UOUH3C-S31JUH3C-S31JUH3C-S31JUH3C-S31JU% Apr 1 2 3:55:18:551and

33、: int.erf ace Vlan-interf ace 120 OUH3C-S31JU%Apr 1 23:55:18:552 2000 H3C-S3100HTTPD/S/lrig:-SHELL/S/CMD:-SHELL/5/CMD:-SHELL/5/CMD:-SHELL/5/CMD:-SHELL/.5/CMD:-Start, ing-task:CFM-task:CFM-task:CFM-task:CFM-task:CFMHTTPip:ip:ip:server .user :user :user:*-user :-user :co:co:co:co:co:H3C-S3 lOOclisplay

34、 logbufferLogging buf f 已r conf igi_；Ear.ion and 二ont.ents : enab 1 eel Alluwed max bi.iffer測(cè)試結(jié)果：能查看事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的 信息。c）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；訪談并查看網(wǎng)絡(luò)管理員采用了什么手段實(shí)現(xiàn)了審計(jì)記錄數(shù)據(jù)的分析和報(bào)表生成。d）應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。訪談網(wǎng)絡(luò)設(shè)備管理員采用了何種手段避免了審計(jì)日志的未授權(quán)修改、刪除和破壞。惡意代碼防范（G3）本項(xiàng)要求包括：a）應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除

35、；b）應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。步驟：詢問(wèn)管理員系統(tǒng)中是否安裝防病毒軟件。詢問(wèn)管理員病毒庫(kù)更新策略。查看病毒 庫(kù)的最新版本更新日期是否超過(guò)一個(gè)星期。7）網(wǎng)絡(luò)設(shè)備防護(hù)本項(xiàng)要求包括：a）應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；目的：檢查測(cè)評(píng)對(duì)象采用何種方式進(jìn)行登錄，是否對(duì)登錄用戶的身份進(jìn)行鑒別，是否修改了 默認(rèn)的用戶名及密碼。步驟1：輸入display current-configuration，查看用戶名密碼機(jī)認(rèn)證配置。display current-configuuation sVSname H3C-S3100radius sehetwe system存domain system肯l

36、ocal-user studentpassword siinple studentservice-type ssli telnetip route-static preference 60ssh user student authentieation-tvpe password ssh user student service-type ateInetuser-interface aux 0user-interface vty 0 4aut he nt i c at i o n-ino de_schemeuer privilege level 1 protocol inbound sshret

37、-i.iirn|local-user student password bimple student service-type ssh telnet levs1 1其中，authentication-mode password 表示進(jìn)行本地口令認(rèn)證；authentication-mode scheme 表 示進(jìn)行本地或遠(yuǎn)端用戶名和口令認(rèn)證。Ssh telnet使用遠(yuǎn)程控制WEB服務(wù)器，必須輸入用 戶名和密碼來(lái)登錄服務(wù)器。步驟2：輸入display users all，查看所有用戶信息和用戶級(jí)別：-JL -display users allUIDelayType AUX 0- -cIpaddre

38、ssUsernaineUserleve1+ 1VT 0:04:06SSH6student1+ 2VT 1SSH6student1+ 3VTY 2:00:02SSH4student.14VT? 35VTY丹+: User-interfaceis active.F TTF L: User-interface_l-i r nc、is active and workin async mode.測(cè)試結(jié)果：記錄了 IP地址等，實(shí)現(xiàn)了對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別;b）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；目的：查看是否有控制列表對(duì)管理員登錄進(jìn)行控制;步驟：輸入display acl all，查看是否有控

39、制列表對(duì)管理員登錄進(jìn)行控制;T；13 U L 11L-I= J_ J_ 或_L # 1=ZIL1I-LLU J L m-3. Z- y il i_-ILIi-i L-LC .d.ispLay ael allTotal ACL Wuinber: 0|測(cè)試結(jié)果：沒(méi)有控制列表對(duì)管理員登錄進(jìn)行控制;c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；手段：登錄網(wǎng)絡(luò)設(shè)備，查看設(shè)置的用戶是否有相同用戶名。詢問(wèn)網(wǎng)絡(luò)管理員，是否為每個(gè)管 理員設(shè)置了單獨(dú)的賬戶。方法；輸入display current-configuration，查看設(shè)置的用戶名。Local-user stu.dent passuord s imple studen

40、t service-type ssh telnet leve1 1測(cè)試結(jié)果：權(quán)限不夠，無(wú)法看到是否有重復(fù)的用戶名。d）身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；（1）詢問(wèn)網(wǎng)絡(luò)管理員對(duì)身份鑒別所采取的具體措施，使用口令的組成、長(zhǎng)度和更改周期等;（2）通過(guò)訪談檢查設(shè)備的用戶、口令信息及是否定期更換，display cur查看系統(tǒng)配置；H3C-S3 lOOMisplay cursystiaje H3 C-S3 100 radius scheme system dornain. system local-user student password simple student

41、service-type ssh telnet1 eve 1 1visa 1測(cè)試結(jié)果：能保證口令復(fù)雜度和定期更改的要求。e）應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí) 自動(dòng)退出等措施；目的：查看系統(tǒng)配置中對(duì)登錄失敗的處理機(jī)制。方法：以CISCO IOS為例，輸入命令：show running-config檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng) line vty 0 4；display current-configuration 查看系統(tǒng)配置；退出系統(tǒng)重新登錄，輸入錯(cuò)誤密碼進(jìn)行嘗試，查看系統(tǒng)反應(yīng)。.11.5.253 - PumLogin 心= studentstudent10 -11. 5.1531s password: Access denied3tudent10-11.5.2531s passnord: Access deniedstudentl? 531 s pass nor d:DPuTTT Fat al ErrorS heyht SHn+ iiscoriiLtict