信息安全等級(jí)測(cè)評(píng)考試筆記

信息安全等級(jí)測(cè)評(píng)考試筆記信息安全等級(jí)測(cè)評(píng)考試筆記信息安全等級(jí)測(cè)評(píng)考試筆記V:1.0精細(xì)整理，僅供參考信息安全等級(jí)測(cè)評(píng)考試筆記日期：20xx年X月

網(wǎng)絡(luò)安全測(cè)評(píng)

1.1

網(wǎng)絡(luò)全局

1.1.1

結(jié)構(gòu)安全

a）應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力有冗余空間，滿足業(yè)務(wù)高峰期需要

b）應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；

c）應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；

d）應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；

e）應(yīng)根據(jù)各部分的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)和網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段

f）應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段

g）應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來制定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵時(shí)優(yōu)先保護(hù)重要主機(jī)。

1.1.2

邊界完整性檢查

a）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定位，并對(duì)其進(jìn)行有效阻斷；

技術(shù)手段：網(wǎng)絡(luò)接入控制，關(guān)閉網(wǎng)絡(luò)設(shè)備未使用的端口、IP/MAC地址綁定等

管理措施：進(jìn)入機(jī)房全程陪同、紅外視頻監(jiān)控等

b）應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定位，并對(duì)其進(jìn)行有效阻斷；

1.1.3

入侵防范

a）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；

b）當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警

1.1.4

惡意代碼防范

a）應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；

b）應(yīng)維護(hù)惡意代碼庫的升級(jí)和檢測(cè)系統(tǒng)的更新

1.2

路由器

1.2.1

訪問控制

a）應(yīng)在網(wǎng)絡(luò)邊界處部署訪問控制設(shè)備，啟用訪問控制功能；

能夠起訪問控制功能的設(shè)備有：網(wǎng)閘、防火墻、路由器和三層路由交換機(jī)等

b）應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級(jí)；

c）應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP,FTP,TELNET,SMTP,POP3等協(xié)議命令級(jí)的控制

d）應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；

e）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；

路由器可根據(jù)IP地址、端口、協(xié)議來限制應(yīng)用數(shù)據(jù)流的最大流量；

根據(jù)IP地址來限制網(wǎng)絡(luò)連接數(shù)

路由器的帶寬策略一般采用分層的帶寬管理機(jī)制，管理員可以通過設(shè)置細(xì)粒度的帶寬策略，對(duì)數(shù)據(jù)報(bào)文做帶寬限制和優(yōu)先級(jí)別設(shè)定，還可以通過源地址、目的地址、用戶和協(xié)議4個(gè)方面來限制帶寬

f）重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙

地址欺騙中的地址可以使MAC地址，也可以使IP地址。目前發(fā)生比較多的是ARP地址欺騙，ARP地址欺騙是MAC地址欺騙的一種。ARP（Address

Resolution

Protocol，地址解析協(xié)議）是一個(gè)位于TCP/IP協(xié)議棧中的低層協(xié)議，負(fù)責(zé)將某個(gè)IP地址解析成對(duì)應(yīng)的MAC地址。

ARP欺騙分為2種，一種是對(duì)網(wǎng)絡(luò)設(shè)備ARP表的欺騙，另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。

解決方法：1在網(wǎng)絡(luò)設(shè)備中把所有PC的IP-MAC輸入到一個(gè)靜態(tài)表中，這叫IP-MAC綁定；

2.在內(nèi)網(wǎng)所有PC上設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息，這叫PC

IP-MAC綁定。

一般要求2個(gè)工作都要做，稱為IP-MAC雙向綁定

g）應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶

h）應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量

1.2.2

安全審計(jì)

a）應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；

b）審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；

c）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；

d）應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等；

1.2.3

網(wǎng)絡(luò)設(shè)備防護(hù)

a）應(yīng)對(duì)登陸網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；

——用戶登錄路由器的方式包括：

&1利用控制臺(tái)端口（Console）通過串口進(jìn)行本地連接登錄；

&2利用輔助端口（AUX）通過MODEM進(jìn)行遠(yuǎn)程撥號(hào)連接登錄

&3利用虛擬終端（VTY）通過TCP/IP網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程登錄

——無論哪一種登錄方式，都需要對(duì)用戶身份進(jìn)行鑒別，口令是路由器用來防止非授權(quán)訪問的常用手段，是路由器安全的一部分。

——需要加強(qiáng)對(duì)路由器口令的管理，包括口令的設(shè)置和存儲(chǔ)，最好的口令存儲(chǔ)方式是保存在TACACS+或RADIUS認(rèn)證服務(wù)器上。

檢查方法：

1）

在特權(quán)模式下輸入命令show

running-config會(huì)輸出該路由器相關(guān)配置信息

2）

檢查配置信息中是否存在類似如下的配置信息

Line

vty

0

4

（虛擬終端）

Login

Password

xxxxx

Line

aux

0（輔助端口）

Login

Password

xxxxxx

Line

con

0（控制臺(tái)端口）

Login

Password

xxxxx

3）

為特權(quán)用戶設(shè)置口令時(shí)，應(yīng)當(dāng)使用enable

secret命令

該命令用于設(shè)定具有管理員權(quán)限的口令，enable

secret命令采用的是MD5算法，這種算法比enable

password加密算法強(qiáng)，不容易被破解。

4）

如果設(shè)備啟用了AAA認(rèn)證，則查看配置信息應(yīng)當(dāng)存在類似如下配置信息

aaa

new-model

tacacs-server

host

single-connecting

tacacs-server

key

shared1

aaa

new-model

radius-server

host

radius-server

key

shared1

line

vty

0

4

aaa

authorization

login

b）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；

c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；

d）主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇2種或2種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；

雙因子鑒別還需要訪問者擁有鑒別特征：采用令牌、智能卡、數(shù)字證書和生物信息等

e）身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；

f）應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；

g）當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；

不應(yīng)當(dāng)使用明文傳送的Telnet、http服務(wù)，應(yīng)當(dāng)采用SSH、HTTPS等加密協(xié)議等方式來進(jìn)行交互式管理

h）應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離；

1.3

交換機(jī)

1.3.1

訪問控制

a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；

b）應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級(jí)

c）應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、Telnet、SMTP、POP3等協(xié)議命令級(jí)的控制

d）應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；

e）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)

交換機(jī)可根據(jù)IP地址、端口、協(xié)議來限制應(yīng)用數(shù)據(jù)流的最大流量；

根據(jù)IP地址來限制網(wǎng)絡(luò)連接數(shù)

交換機(jī)的帶寬策略一般采用分層的帶寬管理機(jī)制，管理員可以通過設(shè)置細(xì)粒度的帶寬策略，對(duì)數(shù)據(jù)報(bào)文做帶寬限制和優(yōu)先級(jí)別設(shè)定，還可以通過源地址、目的地址、用戶和協(xié)議4個(gè)方面來限制帶寬

f）重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙

g）應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶。

1.3.2

安全審計(jì)

a）應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；

b）審計(jì)記錄應(yīng)包括：時(shí)間的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；

c）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表

d）應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或者覆蓋等

1.3.3

網(wǎng)絡(luò)設(shè)備保護(hù)

a）應(yīng)對(duì)登陸網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；

b）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登陸地址進(jìn)行限制

c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)須唯一

d）主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇2種或者2種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；

e）身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；

f）應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；

g）當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽

h）應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離

1.3.3

網(wǎng)絡(luò)設(shè)備防護(hù)

a）應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別

b）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；

c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；

d）主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇2種或2種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別

e）身邊鑒別信息應(yīng)該具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜程度要求并定期更換；

f）應(yīng)具有登錄失敗處理的功能，可采取結(jié)束會(huì)話，限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出的措施；

g）當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息