等級保護(hù)測評指導(dǎo)書

1物理平安測評指導(dǎo)書1.1機(jī)房平安測評序號測評指標(biāo)測評項(xiàng)檢查方法預(yù)期結(jié)果物理位置的選擇a)物理位置的選擇a)通過訪談物理平安負(fù)責(zé)人，檢查機(jī)房，測評機(jī)房物理場所在位置上是否具有防震、防風(fēng)和防雨等多方面的平安防范能力。b)通過訪談物理平安負(fù)責(zé)人，檢查機(jī)房，測評機(jī)房物理場所在位置上是否具有防震、防風(fēng)和防雨等多方面的平安防范能力。訪談：詢問物理平安負(fù)責(zé)人，現(xiàn)有機(jī)房和辦公場地的環(huán)境條件是否具有根本的防震、防風(fēng)和防雨能力。檢查：檢查機(jī)房和辦公場地的設(shè)計(jì)/驗(yàn)收文檔，查看機(jī)房和辦公場所的物理位置選擇是否符合要求。檢查：檢查機(jī)房場地是否防止設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁；檢查機(jī)房場地是否防止設(shè)在強(qiáng)電場、強(qiáng)磁場、強(qiáng)震動源、強(qiáng)噪聲源、重度環(huán)境污染、易發(fā)生水災(zāi)、火災(zāi)、易遭受雷擊的地區(qū)。機(jī)房和辦公場地的設(shè)計(jì)/驗(yàn)收文檔中有關(guān)于機(jī)房和辦公場所的物理位置選擇的內(nèi)容,并符合防震、防風(fēng)和防雨能力要求。1〕機(jī)房沒有在建筑物的高層或地下室，附近無用水設(shè)備；2〕機(jī)房附近無強(qiáng)電場、強(qiáng)磁場、強(qiáng)震動源、強(qiáng)噪聲源、重度環(huán)境污染，機(jī)房建筑地區(qū)不發(fā)生水災(zāi)、火災(zāi)，不易遭受雷擊。物理訪問控制a)檢查機(jī)房出入口等過程，測評信息系統(tǒng)在物理訪問控制方面的平安防范能力。訪談：1〕詢問物理平安負(fù)責(zé)人，了解具有哪些控制機(jī)房進(jìn)出的能力，是否安排專人值守；2〕訪談機(jī)房值守人員，詢問是否認(rèn)真執(zhí)行有關(guān)機(jī)房出入的管理制度，是否對進(jìn)入機(jī)房的人員1〕有專人值守和電子門禁系統(tǒng)；2〕出入機(jī)房需要登記，有相關(guān)記錄。11〕來訪人員進(jìn)入機(jī)房需經(jīng)過申請、審批流程并記錄；2〕進(jìn)入機(jī)房有機(jī)房管理人員檢查機(jī)房 訪談：詢問物理平安出入口等過負(fù)責(zé)人，了解是否有程，測評信關(guān)于機(jī)房來訪人員的息系統(tǒng)在物申請和審批流程，是理訪問控制否限制和監(jiān)控其活動方面的平安范圍。檢查：檢查防范能力。是否有來訪人員進(jìn)入機(jī)房的審批記錄。陪同并監(jiān)控和限制其活動范圍。c〕檢查機(jī)房出入口等過程，測評信息系統(tǒng)在物理訪問控制方面的平安防范能力。訪談：訪談物理平安負(fù)責(zé)人，是否對機(jī)房進(jìn)行了劃分區(qū)域管理，是否對各個區(qū)域都有專門的管理要求；檢查：檢查機(jī)房區(qū)域劃分是否合理，是否在機(jī)房重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域，是否對不同區(qū)域設(shè)置不同機(jī)房或同一機(jī)房的不同區(qū)域之間設(shè)置有效的物理隔離裝置〔如隔離墻等〕。1〕對機(jī)房進(jìn)行了劃分區(qū)域管理；2〕對各個區(qū)域都有專門的管理要求。檢查：重要區(qū)域電子門禁記錄。配置了電子門禁系統(tǒng)，控制、鑒別、記錄進(jìn)入人員信息。主要設(shè)備都放置在機(jī)房內(nèi)。設(shè)備和主要部件是否進(jìn)行了固定和標(biāo)記。檢查：重要區(qū)域電子門禁記錄。配置了電子門禁系統(tǒng)，控制、鑒別、記錄進(jìn)入人員信息。主要設(shè)備都放置在機(jī)房內(nèi)。設(shè)備和主要部件是否進(jìn)行了固定和標(biāo)記。d〕檢查機(jī)房出入口等過程，測評信息系統(tǒng)在物理訪問控制方面的平安防范能力。a〕 檢查機(jī)房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程，測評信息系統(tǒng)是否采取防盜竊和 必要的措施防破壞 預(yù)防設(shè)備、介質(zhì)等喪失和被破壞。b〕 檢查機(jī)房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程，訪談：訪談物理平安負(fù)責(zé)人，采取了哪些防止設(shè)備、介質(zhì)喪失的保護(hù)措施；檢查：檢查主要設(shè)備是否防止在機(jī)房內(nèi)或其他不易被盜竊和破壞的可控范圍內(nèi)。訪談：訪談機(jī)房維護(hù)人員，設(shè)備和主要部件是否進(jìn)行了固定和標(biāo)記；檢查：檢查主要設(shè)備或設(shè)備的主測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等喪失和被破壞。c〕檢查機(jī)房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程，測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等喪失和被破壞。要部件的固定情況，是否不易被移動或被搬走，是否設(shè)置了明顯的不易除去的標(biāo)記。訪談：訪談機(jī)房維護(hù)人員，了解通信線纜是否鋪設(shè)在隱蔽處；是否設(shè)置了冗余或并行的通信線路；檢查：檢查通信線纜鋪設(shè)是否在隱蔽處〔如鋪設(shè)在地下或管道中等〕。通信線纜鋪設(shè)在隱蔽處。d〕檢查機(jī)房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程，測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等喪失和被破壞。訪談：訪談資產(chǎn)管理人員，在介質(zhì)管理中，是否設(shè)置了分類標(biāo)識，是否存放在介質(zhì)庫或檔案室中；詢問對設(shè)備或存儲介質(zhì)攜帶出工作環(huán)境是否規(guī)定了審批程序、內(nèi)容加密、專人檢查等平安保護(hù)的措施；檢查：1〕檢查介質(zhì)的管理情況，查看介質(zhì)是否有正確的分類標(biāo)識，是否存放在介質(zhì)庫或資料室中并且進(jìn)行分類存放〔滿足磁介質(zhì)、紙介質(zhì)等的存放要求〕；2〕檢查有關(guān)設(shè)備或存儲介質(zhì)攜帶出工作環(huán)境的審批記錄，以及專人對內(nèi)容加密進(jìn)行檢查的記錄。介質(zhì)分類標(biāo)識，存儲在介質(zhì)庫或檔案室中。ee〕檢查機(jī)房內(nèi)的主要設(shè)備、介質(zhì)和檢查機(jī)房防盜報警設(shè)施是否正常運(yùn)行，并查看運(yùn)行和報警記機(jī)房防盜報警設(shè)施運(yùn)行正常，并且有運(yùn)行防盜報警設(shè)錄。和報警記錄施等過程，測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等喪失和被破壞。機(jī)房安裝了監(jiān)控攝像頭，監(jiān)控報警系統(tǒng)運(yùn)行正常。f〕檢查機(jī)房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)檢查機(jī)房的攝像、傳施等過程，感等監(jiān)控報警系統(tǒng)是測評信息系否正常運(yùn)行，并查看統(tǒng)是否采取運(yùn)行記錄、監(jiān)控記錄必要的措施和報警記錄。機(jī)房安裝了監(jiān)控攝像頭，監(jiān)控報警系統(tǒng)運(yùn)行正常。預(yù)防設(shè)備、介質(zhì)等喪失和被破壞。4防雷擊a〕檢查機(jī)房設(shè)計(jì)/驗(yàn)收文檔，測評信息系統(tǒng)是否采取相應(yīng)的措施預(yù)防訪談：訪談物理平安負(fù)責(zé)人，機(jī)房建筑是否設(shè)置了避雷裝置，是否通過驗(yàn)收或國家有關(guān)部門的技術(shù)檢測；詢問機(jī)房維護(hù)人員機(jī)房建筑避雷裝置是否有人定期進(jìn)行檢查和維護(hù)；檢查：檢查機(jī)房是否有建筑防雷設(shè)計(jì)/驗(yàn)收文檔，是否符合GB50057-1994?建筑物防雷設(shè)計(jì)標(biāo)準(zhǔn)?〔GB157?建筑物防雷設(shè)計(jì)標(biāo)準(zhǔn)?〕要求，如果是在雷電頻繁區(qū)域，是否裝設(shè)有浪涌電壓吸收裝置等。機(jī)房建筑設(shè)置避雷裝置；設(shè)置防雷保安器，防設(shè)置防雷保安器，防止感應(yīng)雷；b〕檢查機(jī)房 訪談并檢查： 訪談物設(shè)計(jì)/驗(yàn)收 理平安負(fù)責(zé)人，同時文檔，測評檢查是否在電源和信信息系統(tǒng)是號線增加有資質(zhì)的避否采取相應(yīng)雷裝置以防止感應(yīng)雷c)檢查機(jī)房設(shè)計(jì)c)檢查機(jī)房設(shè)計(jì)/驗(yàn)收文檔，測評信息系統(tǒng)是否采取相應(yīng)的措施預(yù)防機(jī)房設(shè)置交流電源地線。的措施預(yù)防擊雷擊訪談：詢問物理平安負(fù)責(zé)人，機(jī)房電腦系統(tǒng)接地是否設(shè)置了專用地線；檢查：檢查機(jī)房是否有機(jī)房接地設(shè)計(jì)/驗(yàn)收文檔，查看是否有地線連接要求的描述，與實(shí)際情況是否一致。a)a)檢查機(jī)房防火方面的平安管理制度，檢查機(jī)房防火設(shè)備等過程，測評信息系統(tǒng)是否采取必要的措施防止火災(zāi)的發(fā)生。檢查機(jī)房是否設(shè)置了自動測火情〔如使用溫感、煙感探測器〕、自動報警、自動滅火的自動消防系統(tǒng)，擺放位置是否合理，有效期是否合格；檢查自動消防系統(tǒng)是否正常工作，查看運(yùn)行記錄、報警記錄、定期檢查和維修記錄；1〕機(jī)房設(shè)置自動測火情〔如使用溫感、煙感探測器〕、自動報警、自動滅火的自動消防系統(tǒng)，擺放位置合理，有效期合格；2〕自動消防系統(tǒng)有運(yùn)行記錄、報警記錄、定期檢查和維修記錄。b)檢查機(jī)房防火方面的平安管理制5防火5防火度，檢查機(jī)房防火設(shè)備等過程，測評信息系統(tǒng)是否采取必要的措施防止火災(zāi)的發(fā)生。檢查是否有機(jī)房以及相關(guān)房間的建筑材料的驗(yàn)收文檔或消防檢查驗(yàn)收文檔。機(jī)房及相關(guān)的工作房間和輔助房采用具有耐火等級的建筑材料。檢查機(jī)房防火方面的平安管理制 檢查是否有機(jī)房區(qū)域不同物理區(qū)域，中間有防火玻璃隔離。度，檢查機(jī) 隔離防火措施的驗(yàn)收不同物理區(qū)域，中間有防火玻璃隔離。房防火設(shè)備文檔；檢查重要設(shè)備等過程，測 是否與其他設(shè)備隔離評信息系統(tǒng) 開。是否采取必要的措施防止火災(zāi)的發(fā)生。aa〕檢查機(jī)房及其除潮設(shè)備等過程，測評信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機(jī)房潮濕。檢查機(jī)房是否避開水源，與機(jī)房無關(guān)的給排水管道是否防止穿過機(jī)房；如果有與機(jī)房相關(guān)的給排水管道穿過主機(jī)房墻壁和樓板處，應(yīng)檢查是否有必要的保護(hù)措施，如設(shè)置套管等。機(jī)房避開了水源，空調(diào)給排水管道周圍有防水隔離帶。機(jī)房采用雙層玻璃，有窗簾，未發(fā)生過漏水和返潮事件機(jī)房采用雙層玻璃，有窗簾，未發(fā)生過漏水和返潮事件b〕檢查機(jī)房及其除潮設(shè)備等過程，測評信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機(jī)房潮濕。防水和防潮訪談：詢問機(jī)房維護(hù)人員，機(jī)房是否出現(xiàn)過漏水和返潮事件；檢查：檢查機(jī)房是否不存在屋頂和墻壁等出現(xiàn)過漏水、滲透和返潮現(xiàn)象，機(jī)房及其環(huán)境是否不存在明顯的漏水和返潮的威脅；檢查機(jī)房如果出現(xiàn)漏水、滲透和返潮現(xiàn)象是否能夠及時修復(fù)解決。c〕檢查機(jī)房及其除潮設(shè)備等過程，測評信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機(jī)房潮濕。訪談：訪談機(jī)房維護(hù)人員，如果出現(xiàn)機(jī)房水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透現(xiàn)象是否采取防范措施；檢查：檢查機(jī)房是否有濕度記錄，是否有除濕裝置并能夠正常運(yùn)行，是否有防止出現(xiàn)機(jī)房地下積水的轉(zhuǎn)移與滲透的措施，是否有防水防潮處理記錄和除濕裝置運(yùn)行記錄，與機(jī)房濕度記錄情況是否一致。機(jī)房有溫度、濕度記錄，運(yùn)轉(zhuǎn)正常。d〕檢查機(jī)房檢查：檢查機(jī)房是否及其除潮設(shè)有濕度記錄，是否有備等過程，對水敏感得檢測儀表機(jī)房空調(diào)有溫濕度控制功能，可以防止機(jī)房水蒸氣結(jié)露。測評信息系或元件對機(jī)房進(jìn)行防統(tǒng)是否采取水檢測和報警，并檢必要措施來查檢測儀表或元件是防止水災(zāi)和否能夠正常運(yùn)行。機(jī)房潮濕。aa〕檢查機(jī)房等過程，測評信息系統(tǒng)是否采取必要措施防止靜電的產(chǎn)生。檢查機(jī)房是否有平安接地，查看機(jī)房的相對濕度記錄是否符合GB2887中的規(guī)定，查看機(jī)房是否不存在明顯的靜電現(xiàn)象。機(jī)房機(jī)柜有效的接地，防止靜電現(xiàn)象發(fā)生。7防靜電7防靜電機(jī)房采用了防靜電地板。b〕檢查機(jī)房等過程，測檢查機(jī)房是否采用了評信息系統(tǒng)如防靜電地板、防靜是否采取必電工作臺、以及靜電要措施防止消除劑和靜電消除器靜電的產(chǎn)等措施。生。溫濕度控制機(jī)房檢查機(jī)房的溫濕度自動調(diào)節(jié)系統(tǒng)，測評信息系統(tǒng)是否采取必要措施對機(jī)房內(nèi)的溫濕度進(jìn)行控制。訪談：訪談物理平安負(fù)責(zé)人，詢問機(jī)房是否配備了恒溫恒濕系統(tǒng)，保證溫濕度能夠滿足電腦設(shè)備運(yùn)行的要求，是否在機(jī)房管理制度中規(guī)定了溫濕度控制的要求，是否有人負(fù)責(zé)此項(xiàng)工作；訪談機(jī)房維護(hù)人員，詢問是否認(rèn)期檢查和維護(hù)機(jī)房的溫濕度自動調(diào)節(jié)設(shè)施，詢問是否出現(xiàn)過溫濕度影響系統(tǒng)運(yùn)行的事件；檢查：檢查機(jī)房是否有溫濕度控制設(shè)計(jì)/驗(yàn)收文檔，是否能夠滿足系統(tǒng)運(yùn)行需要，是否與當(dāng)前情況相符合；檢查恒溫恒濕系統(tǒng)是否能夠正常運(yùn)行，查看是否有溫濕度記錄、運(yùn)行記錄和維護(hù)機(jī)房空調(diào)有溫濕度控制功能，可以自動調(diào)節(jié)，使機(jī)房溫濕度的變化處于允許范圍內(nèi)。機(jī)房溫度26攝氏度，濕度為44%。9電力供應(yīng)記錄，查看機(jī)房溫濕度是否滿足GB2887-89?計(jì)算站場地技術(shù)條件?的要求。a〕檢查機(jī)房供電線路、設(shè)備等過程，測評是否具備為信息系統(tǒng)提供一定電力供給的能力。訪談：訪談物理平安負(fù)責(zé)人,詢問電腦系統(tǒng)供電線路上是否設(shè)置了穩(wěn)壓器和過電壓防護(hù)設(shè)備；詢問機(jī)房維護(hù)人員是否對穩(wěn)壓器、過電壓防護(hù)設(shè)備等進(jìn)行定期檢查和維護(hù)；檢查：1〕檢查機(jī)房是否有電力供應(yīng)平安設(shè)計(jì)/驗(yàn)收文檔，查看文檔中是否標(biāo)明單獨(dú)為電腦系統(tǒng)供電，配備穩(wěn)壓器、過電壓防護(hù)設(shè)備等要求，查看與機(jī)房電力供應(yīng)實(shí)際情況是否一致；檢查機(jī)房，查看電腦系統(tǒng)供電線路上的穩(wěn)壓器和過電壓防護(hù)設(shè)備是否正常運(yùn)行，查看供電電壓是否正常；2〕檢查是否有穩(wěn)壓器、過電壓防護(hù)設(shè)備的檢查和維護(hù)記錄，是否符合系統(tǒng)正常運(yùn)行的要求。機(jī)房供電線路上配置了穩(wěn)壓器和過電壓防護(hù)設(shè)備。b〕檢查機(jī)房供電線路、設(shè)備等過程，測評是否具備為信息系統(tǒng)提供一定電力供給的能力。訪談：訪談物理平安負(fù)責(zé)人,詢問電腦系統(tǒng)供電線路上是否設(shè)置了短期備用電源設(shè)備〔如UPS,供電時間是否滿足系統(tǒng)最低電力供應(yīng)需求；詢問機(jī)房維護(hù)人員是否對短期備用電源設(shè)備進(jìn)行定期檢查和維護(hù)；是否能夠控制電源穩(wěn)壓范圍滿足電腦系統(tǒng)運(yùn)行正常。檢查：檢查機(jī)房是否有電力供給平安設(shè)計(jì)/驗(yàn)收文檔，查看文檔中是否標(biāo)明備用電源設(shè)備要求，查看與機(jī)房電力供應(yīng)實(shí)際情況是否一致；檢查機(jī)房，查看電腦系統(tǒng)供電線路上的短期備用電源設(shè)備是否正常運(yùn)行，查看供電電壓是否正常；檢查是否有短期備用電源設(shè)備的檢查和維護(hù)記錄，是否符合系統(tǒng)正常運(yùn)行的要求。設(shè)置冗余或并行的電力電纜線路為電腦系統(tǒng)供電，輸入電源采用雙路自動切換供電方式訪談：訪談物理平安負(fù)責(zé)人,詢問電腦系統(tǒng)供電線路上是否安裝了冗余或并行的電力電纜線路〔如雙路供電方式〕；詢問機(jī)房維護(hù)人員，冗余或并行的電力電纜線路〔如雙路供電方式〕c)檢查機(jī)房在雙路供電切換時是供電線路、否能夠?qū)﹄娔X系統(tǒng)正設(shè)備等過常供電；檢查：檢程，測評是查機(jī)房是否有電力供否具備為信給平安設(shè)計(jì)/驗(yàn)收文息系統(tǒng)提供檔，查看文檔中是否一定電力供有冗余或并行電力電給的能力。纜線路要求，查看與機(jī)房電力供應(yīng)實(shí)際情況是否一致；檢查是否有冗余或并行電力電纜線路切換記錄，是否符合系統(tǒng)正常運(yùn)行的要求；測試安裝的冗余或并行電力電纜線路是否能夠進(jìn)行雙線路供電切換。設(shè)置冗余或并行的電力電纜線路為電腦系統(tǒng)供電，輸入電源采用雙路自動切換供電方式檢查機(jī)房訪談：訪談物理平安具備相應(yīng)的備用供電10電磁防護(hù)供電線路、負(fù)責(zé)人,詢問電腦系統(tǒng)設(shè)備等過供電線路上是否建立程，測評是了備用供電系統(tǒng)〔如否具備為信備用發(fā)電機(jī)〕；詢問息系統(tǒng)提供機(jī)房維護(hù)人員是否認(rèn)一定電力供期檢查備用供電系統(tǒng)給的能力?！踩鐐溆冒l(fā)電機(jī)〕，是否能夠在規(guī)定時間內(nèi)正常啟動和正常供電；檢查：檢查機(jī)房是否有電力供應(yīng)安全設(shè)計(jì)/驗(yàn)收文檔，查看文檔中是否有備用供電系統(tǒng)要求，查看與機(jī)房電力供應(yīng)實(shí)際情況是否一致；檢查是否有備用供電系統(tǒng)運(yùn)行記錄，是否符合系統(tǒng)正常運(yùn)行的要求；測試備用供電系統(tǒng)是否能夠在規(guī)定時間內(nèi)正常啟動和正常供電。a)檢查主要設(shè)備等過程，測評信息系統(tǒng)是否具備一定的電磁防護(hù)能力。檢查機(jī)房布線是否采用接地方式。系統(tǒng)機(jī)房布線采用接地方式。b)檢查主要設(shè)備等過程，測評信息系統(tǒng)是否具備一定的電磁防護(hù)能力。檢查機(jī)房布線是否做到電源線和通信線纜隔離。電源線和通信線纜隔離鋪設(shè)。c)c)檢查主要設(shè)備等過程，測評信息系統(tǒng)是否具備一定的檢查機(jī)房是否對關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。電磁防護(hù)能2網(wǎng)絡(luò)平安測評指導(dǎo)書2.1網(wǎng)絡(luò)全局平安測評序號測評指標(biāo)測評項(xiàng)檢查方法預(yù)期結(jié)果a)檢查網(wǎng)絡(luò)拓?fù)淝闆r、核查核心交換機(jī)、路由器，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。訪談：詢問是否對主要網(wǎng)絡(luò)設(shè)備性能進(jìn)行監(jiān)控〔CPU內(nèi)存使用等〕。主要網(wǎng)絡(luò)設(shè)備的性能〔CPU內(nèi)存〕具備冗余空間，能夠滿足業(yè)務(wù)頂峰期需求。b)檢查網(wǎng)絡(luò)拓?fù)淝闆r、核查核心交換機(jī)、路由器，測評分析網(wǎng)絡(luò)架構(gòu)結(jié)構(gòu)平安與網(wǎng)段劃分、隔離等情況的合理性和有效性。訪談：詢問在業(yè)務(wù)高峰期內(nèi)，帶寬是否滿足網(wǎng)絡(luò)各局部的需求，是否根據(jù)業(yè)務(wù)重要程度合理分配帶寬。檢查：檢查設(shè)備配置文件，查看是否對帶寬做了Qos參數(shù)配置。通過流量控制軟件或QOS已根據(jù)業(yè)務(wù)重要程度合理分配帶寬，在業(yè)務(wù)頂峰期時現(xiàn)有帶寬能夠滿足網(wǎng)絡(luò)各局部需求。11〕使用靜態(tài)路由協(xié)議，靜態(tài)路由采用最小匹配原那么進(jìn)行規(guī)劃；2丨使用OSP路由協(xié)議，動態(tài)路由采用加密算法，保障網(wǎng)絡(luò)中路由平安認(rèn)證。訪談：通過何種方式c)檢查網(wǎng)絡(luò) 在業(yè)務(wù)終端與業(yè)務(wù)服拓?fù)淝闆r、 務(wù)器之間建立訪問路核查核心交 徑，訪問路徑是否安換機(jī)、路由 全可靠。檢查：是器，測評分 否配置路由控制策略析網(wǎng)絡(luò)架構(gòu) 建立平安的訪問路與網(wǎng)段劃 徑。輸入命令：show分、隔離等 running-config如果情況的合理 使用靜態(tài)路由協(xié)議，性和有效 檢查配置文件中應(yīng)當(dāng)性。 存在類似如下配置項(xiàng)：iproutex.x.x.xx.x.x.xx.x.x.x如果使用OSPF路由協(xié)議，檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)：routerosp100ipospfauthenticationipospfmessagedigest-key1md57******檢查網(wǎng)絡(luò)拓?fù)淝闆r、核查核心交換機(jī)、路由器，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。檢查網(wǎng)絡(luò)拓?fù)淝闆r、核查核心交換機(jī)、路由器，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。檢查網(wǎng)絡(luò)拓?fù)淝闆r、核查核心交換機(jī)、路由器，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效檢查：查看網(wǎng)絡(luò)拓?fù)鋱D與當(dāng)前運(yùn)行情況是否一致。檢查：是否進(jìn)行了子網(wǎng)劃分。輸入命令：showvlan檢查配置文件中是否出現(xiàn)類似如下配置項(xiàng)：vlan2nameinfo檢查：1〕查看網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，重要網(wǎng)段是否不在網(wǎng)絡(luò)邊界處；2〕重要網(wǎng)段和其他網(wǎng)段之間是否隔離部署。網(wǎng)絡(luò)拓?fù)鋱D與當(dāng)前運(yùn)行情況一致。1〕已根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，配置文件中存在如下配置項(xiàng)：Vlan2nameinfo；2〕按照方便管理和控制的原那么為各子網(wǎng)、網(wǎng)段分配地址段；1〕重要網(wǎng)段未部署在網(wǎng)絡(luò)邊界處；2〕重要網(wǎng)段和其他網(wǎng)段之間采取可靠的技術(shù)手段隔離部署。性。g)檢查網(wǎng)絡(luò)拓?fù)淝闆r、核查核心交換機(jī)、路由按照業(yè)務(wù)效勞的重要器，測評分檢查：是否按照業(yè)務(wù)次序制定了帶寬分配析網(wǎng)絡(luò)架構(gòu)效勞的重要次序配置優(yōu)先級別，在網(wǎng)絡(luò)發(fā)與網(wǎng)段劃了帶寬控制策略。生擁堵的時候優(yōu)先保分、隔離等護(hù)重要主機(jī)。情況的合理性和有效性。檢查邊界完整性檢查設(shè)備,接入邊界完整性檢查設(shè)備進(jìn)行測試等過程，測評分析信息系統(tǒng)私自聯(lián)到外部網(wǎng)絡(luò)的行邊界完整 為。性檢查 b)檢查邊界完整性檢查設(shè)備,接入邊界完整性檢查設(shè)備進(jìn)行測試等過程，測評分析信息系統(tǒng)私自聯(lián)到外部網(wǎng)絡(luò)的行為。a)測評分析信息系統(tǒng)對入侵防范攻擊行為的識別和處理情況。訪談：詢問如何檢查和阻斷“非法內(nèi)聯(lián)〞行為。檢查：是否有包括網(wǎng)絡(luò)接入控制、關(guān)閉網(wǎng)絡(luò)設(shè)備未使用端口、IP/MAC地址綁定等技術(shù)手段檢查和阻斷“非法內(nèi)聯(lián)〞。訪談：詢問如何檢查和阻斷“非法外聯(lián)〞行為。檢查：在網(wǎng)絡(luò)管理員配合下驗(yàn)證有效性。訪談：訪談是否部署了包含入侵防范功能的設(shè)備。檢查：檢查設(shè)備是否能夠?qū)Χ丝趻呙枘抉R后門攻擊、拒絕效勞攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲1〕通過網(wǎng)絡(luò)接入控制對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷；2〕已關(guān)閉未使用的網(wǎng)絡(luò)端口，并通過IP/MAC地址綁定等技術(shù)手段檢查和阻斷“非法內(nèi)聯(lián)〞行為。通過桌面管理軟件能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷。部署了入侵防范功能設(shè)備，能夠?qū)Χ丝趻呙?、?qiáng)力攻擊、木馬后門攻擊、拒絕效勞攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等攻擊行為進(jìn)行檢測。攻擊等攻擊行為進(jìn)行檢測。檢查設(shè)備規(guī)那么庫更新程度；驗(yàn)證監(jiān)控策略有效性。bb〕測評分析信息系統(tǒng)對攻擊行為的識別和處理情況。檢查：檢查設(shè)備的日志記錄，查看是否記錄了攻擊源IP、攻擊類型、攻擊目的和攻擊時間等信息，查看設(shè)備采用何種方式進(jìn)行報警。入侵防范系統(tǒng)能夠記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，并在發(fā)生嚴(yán)重入侵事件時提供報警。在網(wǎng)絡(luò)邊界處部署了惡意代碼防范系統(tǒng)，對惡意代碼能夠進(jìn)行檢測和去除在網(wǎng)絡(luò)邊界處部署了惡意代碼防范系統(tǒng)，對惡意代碼能夠進(jìn)行檢測和去除。惡意代碼防范系統(tǒng)定期升級惡意代碼庫。a〕檢查網(wǎng)絡(luò)防惡意代碼產(chǎn)品等過程，測評分析信息系統(tǒng)網(wǎng)絡(luò)邊界和核心網(wǎng)段對病毒等惡意代碼的防護(hù)惡意代碼 情況。防范 b〕檢查網(wǎng)絡(luò)防惡意代碼產(chǎn)品等過程，測評分析信息系統(tǒng)網(wǎng)絡(luò)邊界和核心網(wǎng)段對病毒等惡意代碼的防護(hù)情況。訪談：訪談是否部署了防惡意代碼產(chǎn)品。檢查：查看是否啟用了惡意代碼檢測及阻斷功能，并查看日志記錄中是否有相關(guān)阻斷信息。訪談：詢問是否進(jìn)行特征庫升級及具體的升級方式。檢查：登錄并查看相關(guān)設(shè)備的特征庫是否為最新版本。2.2思科防火墻平安測評序號測評指標(biāo)測評項(xiàng) 檢查方法預(yù)期結(jié)果防火墻啟用了訪問控制功能，根據(jù)需要配置了訪問控制列表。防火墻啟用了訪問控制功能，根據(jù)需要配置了訪問控制列表。a〕檢查防火墻等網(wǎng)絡(luò)訪訪問控制問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情檢查：檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和相關(guān)交換機(jī)配置，查看是否在交換機(jī)上啟用了訪問控制功能。輸入命令showaccess-lists況等，測評檢查配置文件中是否分析信息系存在以下類似配置統(tǒng)對網(wǎng)絡(luò)區(qū)項(xiàng)：access-list域邊界相關(guān)100denyipanyany的網(wǎng)絡(luò)隔離access-group100in與訪問控制interfaceoutside能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查：輸入命令shourunning，檢查訪問控制列表的控制粒度是否為端口級，如access-list110permittcpanyhostx.x.x.xeqftp根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供了明確的訪問控制策略，控制粒度為端口級。檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安檢查：輸入命令shourunning，檢查訪問控制列表的控制粒度是否為端口級，如access-list110permittcpanyhostx.x.x.xeqftp根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供了明確的訪問控制策略，控制粒度為端口級。c)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安c)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系檢查：檢查防火墻或IPS平安策略是否對重要數(shù)據(jù)流啟用應(yīng)用層協(xié)議檢測、過濾功防火墻或IPS開啟了重要數(shù)據(jù)流應(yīng)用層協(xié)議檢測、過濾功能，可以對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議進(jìn)行控制。統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。d〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情訪談：訪談系統(tǒng)管理況等，測評員，是否在會話處于分析信息系非活潑一定時間或會 1〕會話處于非活潑定時間或會話結(jié)束后，路由器會終止網(wǎng)絡(luò)連接；2〕路由器配置中存在會話超時相關(guān)配置。統(tǒng)對網(wǎng)絡(luò)區(qū)話結(jié)束后終止網(wǎng)絡(luò)連域邊界相關(guān)接；檢查：輸入命的網(wǎng)絡(luò)隔離令showrunning，查與訪問控制看配置中是否存在命能力；檢查令設(shè)定管理會話的超撥號接入路時時間：ssh由器，測評timeout10分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和定時間或會話結(jié)束后，路由器會終止網(wǎng)絡(luò)連接；2〕路由器配置中存在會話超時相關(guān)配置。ee〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制檢查：1〕在網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的防火墻是否配置了網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；2〕是否有專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。1〕網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的防火墻配置了合理QOS策略，優(yōu)化了網(wǎng)絡(luò)最大流量數(shù)；2〕通過專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。1〕通過防火墻配置命令進(jìn)行IP/MAC地址綁定防止地址欺騙；2〕通過專用軟件或設(shè)備進(jìn)行IP/MAC地址綁定防止地址欺騙。f)1〕通過防火墻配置命令進(jìn)行IP/MAC地址綁定防止地址欺騙；2〕通過專用軟件或設(shè)備進(jìn)行IP/MAC地址綁定防止地址欺騙。域邊界相關(guān) 地址欺騙，輸入命令的網(wǎng)絡(luò)隔離 showrunning，檢查與訪問控制配置文件中是否存在能力；檢查arp綁定配置：撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。g)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)1〕對單個遠(yuǎn)程撥號用戶或1〕對單個遠(yuǎn)程撥號用戶或VPN用戶訪問受控資源進(jìn)行了有效控制；2〕通過撥號或VPN等方式接入網(wǎng)絡(luò)時，采用了強(qiáng)認(rèn)證方式〔證書、KEY等〕。統(tǒng)對外暴露檢查：1〕是否針對平安漏洞情單個遠(yuǎn)程撥號用戶或況等，測評 VPN用戶訪問受控資分析信息系源進(jìn)行了有效控制；統(tǒng)對網(wǎng)絡(luò)區(qū) 2〕以撥號或VPN等方域邊界相關(guān)式接入網(wǎng)絡(luò)的，是否的網(wǎng)絡(luò)隔離采用強(qiáng)認(rèn)證方式。與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。h)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系檢查：是否限制具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。限制了具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查：是否限制具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。限制了具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。2平安2平安審計(jì)a)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計(jì)情況等，測評分析信息系統(tǒng)審計(jì)配置和審計(jì)記錄保護(hù)情況。檢查：1〕網(wǎng)絡(luò)系統(tǒng)中的防火墻是否開啟日志記錄功能；輸入showlogging命令，檢查Sysloglogging進(jìn)程是否為enable狀態(tài)；2〕是否對防火墻的運(yùn)行狀況、網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和記錄。1〕防火墻開啟了日志記錄功能，命令showlogging的輸出配置中顯示：Sysloglogging:enabled；2〕對防火墻的運(yùn)行狀況、網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和記錄〔巡檢記錄或第三方監(jiān)控軟件〕。b)b)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計(jì)情況等，測評分析信息系檢查：查看日志內(nèi)容，是否包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。日志內(nèi)容包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。統(tǒng)審計(jì)配置和審計(jì)記錄保護(hù)情況。檢查：查看如何實(shí)現(xiàn)審計(jì)記錄數(shù)據(jù)的分析和報表生成。定期對審計(jì)記錄數(shù)據(jù)進(jìn)行分析并生成紙質(zhì)或電子的審計(jì)報表。檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計(jì)情況等，測評分析信息系統(tǒng)審計(jì)配置和審計(jì)記錄保護(hù)情況。檢查：查看如何實(shí)現(xiàn)審計(jì)記錄數(shù)據(jù)的分析和報表生成。定期對審計(jì)記錄數(shù)據(jù)進(jìn)行分析并生成紙質(zhì)或電子的審計(jì)報表。網(wǎng)絡(luò)設(shè)備防護(hù)d)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計(jì)情況等，測評分析信息系統(tǒng)審計(jì)配置和審計(jì)記錄保護(hù)情況。檢查：檢查對審計(jì)記錄監(jiān)控和保護(hù)的措施。例如：通過專用日志效勞器或存儲設(shè)備對審計(jì)記錄進(jìn)行備份，并防止對審計(jì)記錄未預(yù)期的修改、刪除或覆蓋。檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項(xiàng)：1〕輸入命令showrunning檢查配置文件中存在配置，把設(shè)備日志發(fā)送到平安的日志效勞器或第三方審計(jì)設(shè)備；2〕由專人對審計(jì)記錄進(jìn)行管理，防止審計(jì)記錄受到未預(yù)期的刪除、修改或覆蓋。a)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。訪談、檢查：1〕訪談設(shè)備管理員，詢問登錄設(shè)備的身份標(biāo)識和鑒別機(jī)制采用何種措施實(shí)現(xiàn)；2〕登錄防火墻，查看是否提示輸入用戶口令，然后以正確口令登錄系統(tǒng)，再以錯誤口令或空口令重新登錄，觀察是否成功。1〕防火墻使用口令鑒別機(jī)制對登錄用戶進(jìn)行身份標(biāo)識和鑒別；2〕登錄時提示輸入用戶名和口令；以錯誤口令或空口令登錄時提示登錄失敗，驗(yàn)證了登錄控制功能的有效性；3〕防火墻中不存在密碼為空的用戶。b)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)b)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。配置了合理的訪問控制列表限制對防火墻進(jìn)行登錄的管理員地址。檢查：輸入命令showrunning，查看配置文件里是否存在類似如下配置項(xiàng)限制管理員登錄地址：Sshx.x.x.xx.x.x.xinsidec)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。檢查：1〕檢查防火墻標(biāo)識是否唯一；2〕檢查同一防火墻的用戶標(biāo)識是否唯一；3〕檢查是否不存在多個人員共用一個賬號的現(xiàn)象。1〕防火墻標(biāo)識唯一；2〕同一防火墻的用戶標(biāo)識唯一；3〕不存在多個人員共用一個賬號的現(xiàn)象。d)檢查交換機(jī)、路由器訪談：訪談采用了何等網(wǎng)絡(luò)互聯(lián)種鑒別技術(shù)實(shí)現(xiàn)雙因設(shè)備以及防子鑒別，并在網(wǎng)絡(luò)管火墻等網(wǎng)絡(luò)理員的配合下驗(yàn)證雙平安設(shè)備，因子鑒別的有效性。查看它們的用戶的認(rèn)證方式選擇兩種或兩種以上組合的鑒別技術(shù)，只用一種技術(shù)無法認(rèn)證成功。平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。訪談、檢查：1〕訪談防火墻管理員,詢問用戶口令是否滿足復(fù)雜性要求；2〕檢查配置文件中口令是否加密存儲。1〕防火墻用戶口令長度不小于訪談、檢查：1〕訪談防火墻管理員,詢問用戶口令是否滿足復(fù)雜性要求；2〕檢查配置文件中口令是否加密存儲。1〕防火墻用戶口令長度不小于8位，由字母、數(shù)字和特殊字符構(gòu)成，并定期更換；2〕在配置文件中，口令為加密存儲。f)f)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時訪談：訪談設(shè)備管理員，防火墻是否設(shè)置了登錄失敗處理功能。檢查：在允許的情況下，根據(jù)使用的登錄失敗處理方式，采用如下測試方法進(jìn)行測試：a)以錯誤的口令登錄防火墻，觀察反響；b)當(dāng)網(wǎng)絡(luò)登錄連接超時時，觀察連接終端反應(yīng)。1〕以錯誤的口令登錄防火墻，嘗試次數(shù)超過閥值，防火墻自動斷開連接或鎖定一段時間；2〕正常登錄防火墻后不做任何操作，超過設(shè)定的超時時間后，登錄連接自動退出。等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。g)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。h)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。訪談：詢問設(shè)備管理員，是否采用了平安的遠(yuǎn)程管理方法。檢查：輸入命令showrunning查看配置文件中是否存在類似如下配置項(xiàng):sshx.x.x.xx.x.x.xinside1〕使用SSH協(xié)議對防火墻進(jìn)行遠(yuǎn)程管理；2〕沒有采用明文的傳輸協(xié)議對防火墻進(jìn)行遠(yuǎn)程管理；3〕采用第三方管理工具保證遠(yuǎn)程管理的鑒別信息保密。訪談、檢查：1〕訪談設(shè)備管理員，是否實(shí)現(xiàn)了特權(quán)用戶的權(quán)限別離；2〕輸入命令showrunning，檢查配置文件中是否存在類似如下配置項(xiàng)：usernamecisco1privilege0password0ciscousernamecisco1privilege15password0cisco3〕檢查是否部署了日志效勞器對管理員的操作進(jìn)行審計(jì)記錄；4〕審計(jì)記錄是否有專人管理，非授權(quán)用戶是否無法進(jìn)行操作。1〕實(shí)現(xiàn)了防火墻特權(quán)用戶的權(quán)限別離，不同類型的賬號擁有不同權(quán)限；2〕部署了專用日志效勞器對管理員的操作進(jìn)行審計(jì)并記錄；4〕審計(jì)記錄有專人管理，非授權(quán)用戶無法進(jìn)行操作。2.3通用平安設(shè)備平安測評序號測評指標(biāo)測評項(xiàng)檢查方法預(yù)期結(jié)果1訪問控制a〕 檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露檢查：檢查網(wǎng)絡(luò)拓?fù)淦桨猜┒辞榻Y(jié)構(gòu)和相關(guān)交換機(jī)配況等，測評置，查看是否在交換分析信息系機(jī)上啟用了訪問控制統(tǒng)對網(wǎng)絡(luò)區(qū) 功能。輸入命令域邊界相關(guān) showaccess-lists的網(wǎng)絡(luò)隔離檢查配置文件中是否與訪問控制存在以下類似配置能力；檢查項(xiàng)：access-list撥號接入路 100denyipanyany由器，測評 access-group100in分析信息系interfaceoutside統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。b〕 檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評檢查：輸入命令分析信息系shourunning，檢查統(tǒng)對網(wǎng)絡(luò)區(qū)訪問控制列表的控制域邊界相關(guān)粒度是否為端口級，的網(wǎng)絡(luò)隔離如access-list110與訪問控制 permittcpanyhost能力；檢查 x.x.x.xeqftp撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性防火墻啟用了訪問控制功能，根據(jù)需要配置了訪問控制列表。根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供了明確的訪問控制策略，控制粒度為端口級。和平安性。c〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查：檢查防火墻或IPS平安策略是否對重要數(shù)據(jù)流啟用應(yīng)用層協(xié)議檢測、過濾功防火墻或IPS開啟了重要數(shù)據(jù)流應(yīng)用層協(xié)議檢測、過濾功能，可以對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議進(jìn)行控制。d〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露1〕會話處于非活潑一定時間或會話結(jié)束后，路由器會終止網(wǎng)絡(luò)連接；2〕路由器配置中存在會話超時相關(guān)配置。平安漏洞情訪談：訪談系統(tǒng)管理況等，測評員，是否在會話處于分析信息系非活潑一定時間或會統(tǒng)對網(wǎng)絡(luò)區(qū)話結(jié)束后終止網(wǎng)絡(luò)連域邊界相關(guān)接；檢查：輸入命的網(wǎng)絡(luò)隔離令showrunning，查與訪問控制看配置中是否存在命能力；檢查令設(shè)定管理會話的超撥號接入路時時間：1〕會話處于非活潑一定時間或會話結(jié)束后，路由器會終止網(wǎng)絡(luò)連接；2〕路由器配置中存在會話超時相關(guān)配置。統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。1〕網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的防火墻配置了e〕檢查防火檢查：11〕網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的防火墻配置了墻等網(wǎng)絡(luò)訪口和核心網(wǎng)絡(luò)處的防

問控制設(shè)火墻是否配置了網(wǎng)絡(luò)備，測試系最大流量數(shù)及網(wǎng)絡(luò)連統(tǒng)對外暴露接數(shù)；2〕是否有專平安問控制設(shè)火墻是否配置了網(wǎng)絡(luò)備，測試系最大流量數(shù)及網(wǎng)絡(luò)連統(tǒng)對外暴露接數(shù)；2〕是否有專平安漏洞情用的流量控制設(shè)備限況等，測評制網(wǎng)絡(luò)最大流量數(shù)及分析信息系網(wǎng)絡(luò)連接數(shù)。統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。合理QOS策略，優(yōu)化了網(wǎng)絡(luò)最大流量數(shù)；2〕通過專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。域邊界相關(guān) 地址欺騙，輸入命令的網(wǎng)絡(luò)隔離 showrunning，檢查與訪問控制配置文件中是否存在能力；檢查arp綁定配置：撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。1〕通過防火墻配置命令進(jìn)行IP/MAC地址綁定防止地址欺騙；2〕通過專用軟件或設(shè)備進(jìn)行1〕通過防火墻配置命令進(jìn)行IP/MAC地址綁定防止地址欺騙；2〕通過專用軟件或設(shè)備進(jìn)行IP/MAC地址綁定防止地址欺騙。1〕對單個遠(yuǎn)程撥號用戶或VPN用戶訪問受控資源進(jìn)行了有效控制；2〕通過撥號或平安漏洞情式接入網(wǎng)絡(luò)的，是否況等，測評采用強(qiáng)認(rèn)證方式。分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。時，采用了強(qiáng)認(rèn)證方式〔證書、KEY等〕。h)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查：是否限制具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。限制了具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。2平安2平安審計(jì)a)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計(jì)情況等，測評分析信息系統(tǒng)審計(jì)配置檢查：1〕網(wǎng)絡(luò)系統(tǒng)中的防火墻是否開啟日志記錄功能；輸入showlogging命令，檢查Sysloglogging進(jìn)程是否為enable狀態(tài)；2〕是否對防火墻的運(yùn)行狀況、網(wǎng)絡(luò)1〕防火墻開啟了日志記錄功能，命令showlogging的輸出配置中顯示：Sysloglogging:enabled；2〕對防火墻的運(yùn)行狀況、網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和記錄〔巡檢記錄保護(hù)情況。錄。b)b)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計(jì)情況等，測評分析信息系統(tǒng)審計(jì)配置和審計(jì)記錄保護(hù)情況。檢查：查看日志內(nèi)容，是否包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。日志內(nèi)容包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。檢查：查看如何實(shí)現(xiàn)審計(jì)記錄數(shù)據(jù)的分析和報表生成。定期對審計(jì)記錄數(shù)據(jù)進(jìn)行分析并生成紙質(zhì)或電子的審計(jì)報表。c)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計(jì)情況等，測評分析信息系統(tǒng)審計(jì)配置和審計(jì)記錄保護(hù)情況。檢查：查看如何實(shí)現(xiàn)審計(jì)記錄數(shù)據(jù)的分析和報表生成。定期對審計(jì)記錄數(shù)據(jù)進(jìn)行分析并生成紙質(zhì)或電子的審計(jì)報表。d)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計(jì)情況等，測評分析信息系統(tǒng)審計(jì)配置和審計(jì)記錄保護(hù)情況。a)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)網(wǎng)絡(luò)設(shè)備 設(shè)備以及防防護(hù) 火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情檢查：檢查對審計(jì)記錄監(jiān)控和保護(hù)的措施。例如：通過專用日志效勞器或存儲設(shè)備對審計(jì)記錄進(jìn)行備份，并防止對審計(jì)記錄未預(yù)期的修改、刪除或覆蓋。檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項(xiàng)：訪談、檢查：1〕訪談設(shè)備管理員，詢問登錄設(shè)備的身份標(biāo)識和鑒別機(jī)制采用何種措施實(shí)現(xiàn)；2〕登錄防火墻，查看是否提示輸入用戶口令，然后以正確口令登錄系1〕輸入命令showrunning檢查配置文件中存在配置，把設(shè)備日志發(fā)送到平安的日志效勞器或第三方審計(jì)設(shè)備；2〕由專人對審計(jì)記錄進(jìn)行管理，防止審計(jì)記錄受到未預(yù)期的刪除、修改或覆蓋。1〕防火墻使用口令鑒別機(jī)制對登錄用戶進(jìn)行身份標(biāo)識和鑒別；2〕登錄時提示輸入用戶名和口令；以錯誤口令或空口令登錄時提示登錄失敗，驗(yàn)證了登錄控制功能的有況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。統(tǒng)，再以錯誤口令或空口令重新登錄，觀察是否成功。效性；3〕防火墻中不存在密碼為空的用戶。b)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。檢查：輸入命令showrunning，查看配置文件里是否存在類似如下配置項(xiàng)限制管理員登錄地址：.x.xinside配置了合理的訪問控制列表限制對防火墻進(jìn)行登錄的管理員地址。c)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)檢查：1〕檢查防火墻標(biāo)識是否唯一；2〕檢查同一防火墻的用戶標(biāo)識是否唯一；3〕檢查是否不存在多個人員共用一個賬號的現(xiàn)象。1〕防火墻標(biāo)識唯一；2〕同一防火墻的用戶標(biāo)識唯一；3〕不存在多個人員共用一個賬號的現(xiàn)象。絡(luò)設(shè)備自身的平安防范情況。d)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。訪談：訪談采用了何種鑒別技術(shù)實(shí)現(xiàn)雙因子鑒別，并在網(wǎng)絡(luò)管理員的配合下驗(yàn)證雙因子鑒別的有效性。用戶的認(rèn)證方式選擇兩種或兩種以上組合的鑒別技術(shù)，只用一種技術(shù)無法認(rèn)證成功。e)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。訪談、檢查：1〕訪談防火墻管理員,詢問用戶口令是否滿足復(fù)雜性要求；2〕檢查配置文件中口令是否加密存儲。1〕防火墻用戶口令長度不小于8位，由字母、數(shù)字和特殊字符構(gòu)成，并定期更換；2〕在配置文件中，口令為加密存儲。f)檢查交換訪談：訪談設(shè)備管理機(jī)、路由器員，防火墻是否設(shè)置等網(wǎng)絡(luò)互聯(lián)了登錄失敗處理功1〕以錯誤的口令登錄防火墻，嘗試次數(shù)超過閥值，防火墻自動設(shè)備以及防能。檢查：在允許斷開連接或鎖定一段火墻等網(wǎng)絡(luò)火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。的情況下，根據(jù)使用的登錄失敗處理方式，采用如下測試方法進(jìn)行測試：a)以錯誤的口令登錄防火墻，觀察反響；b)當(dāng)網(wǎng)絡(luò)登錄連接超時時，觀察連接終端反應(yīng)。時間；2〕正常登錄防火墻后不做任何操作，超過設(shè)定的超時時間后，登錄連接自動退出。g)g)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。訪談：詢問設(shè)備管理員，是否采用了平安的遠(yuǎn)程管理方法。檢查：輸入命令showrunning查看配置文件中是否存在類似如下配置項(xiàng):sshx.x.x.xx.x.x.xinside1〕使用SSH協(xié)議對防火墻進(jìn)行遠(yuǎn)程管理；2〕沒有采用明文的傳輸協(xié)議對防火墻進(jìn)行遠(yuǎn)程管理；3〕采用第三方管理工具保證遠(yuǎn)程管理的鑒別信息保密。11〕實(shí)現(xiàn)了防火墻特權(quán)用戶的權(quán)限別離，不同類型的賬號擁有不同權(quán)限；2〕部署了專用日志效勞器對管理員的操作進(jìn)行審計(jì)并記錄；4〕審計(jì)記錄有專人管理，非授權(quán)用戶無法進(jìn)行操作。h)檢查交換訪談、檢查：1〕訪機(jī)、路由器談設(shè)備管理員，是否等網(wǎng)絡(luò)互聯(lián)實(shí)現(xiàn)了特權(quán)用戶的權(quán)設(shè)備以及防限別離；2〕輸入命火墻等網(wǎng)絡(luò)令showrunning，平安設(shè)備，檢查配置文件中是否查看它們的存在類似如下配置平安配置情項(xiàng)：username況，包括身cisco1privilege0份鑒別、登password0cisco錄失敗處usernamecisco1

理、限制非privilege15法登錄和登password0cisco錄連接超時3〕檢查是否部署了日等，考察網(wǎng)志效勞器對管理員的絡(luò)設(shè)備自身操作進(jìn)行審計(jì)記錄；的平安防范4〕審計(jì)記錄是否有專情況。人管理，非授權(quán)用戶是否無法進(jìn)行操作。2.4思科路由器平安測評預(yù)期結(jié)果序號測評指標(biāo)測評項(xiàng)檢查方法預(yù)期結(jié)果a〕檢查防火a〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評訪問控制分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查：檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和相關(guān)路由器配置，查看是否在路由器上啟用了訪問控制功能。輸入命令showaccess-lists檢查配置文件中是否存在以下類似配置項(xiàng)：路由器啟用了訪問控制功能，根據(jù)需要配置了訪問控制列表。根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供了明確的訪問控制策略，控制粒度為端口級。根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供了明確的訪問控制策略，控制粒度為端口級。b〕檢查防火墻等網(wǎng)絡(luò)訪 檢查：輸入命令問控制設(shè) shourunning，檢查備，測試系 訪問控制列表的控制統(tǒng)對外暴露 粒度是否為端口級，平安漏洞情 例如：access-list況等，測評 101permitudpany分析信息系 統(tǒng)對網(wǎng)絡(luò)區(qū) 55eq21域邊界相關(guān)

的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。c)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查：檢查防火墻或IPS平安策略是否對重要數(shù)據(jù)流啟用應(yīng)用層協(xié)議檢測、過濾功防火墻或IPS開啟了重要數(shù)據(jù)流應(yīng)用層協(xié)議檢測、過濾功能，可以對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議進(jìn)行控制。d)d)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查訪談：訪談系統(tǒng)管理員，是否在會話處于非活潑一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；檢查：輸入命令showrunning，查看配置中是否存在命令設(shè)定管理會話的超時時間：linevty04exec-timeoutxx1〕會話處于非活潑一定時間或會話結(jié)束后，路由器會終止網(wǎng)絡(luò)連接；2〕路由器配置中存在會話超時相關(guān)配置。撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查：1檢查：1〕在網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的網(wǎng)絡(luò)設(shè)備是否配置了網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；2〕是否有專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。1〕網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的網(wǎng)絡(luò)設(shè)備配置了合理QOSfi略，優(yōu)化了網(wǎng)絡(luò)最大流量數(shù)；2〕通過專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。e)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。f)f)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離檢查：是否通過IP/MAC綁定手段防止地址欺騙，輸入命令showrunning，檢查配置文件中是否存在arp綁定配置：.x1〕通過網(wǎng)絡(luò)設(shè)備配置命令進(jìn)行IP/MAC地址綁定防止地址欺騙；2〕通過專用軟件或設(shè)備進(jìn)行IP/MAC地址綁定防止地址欺騙。與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。g〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查：1〕是否針對單個遠(yuǎn)程撥號用戶或VPN用戶訪問受控資源進(jìn)行了有效控制；2〕以撥號或VPN等方式接入網(wǎng)絡(luò)的，是否采用強(qiáng)認(rèn)證方式。1〕對單個遠(yuǎn)程撥號用戶或VPN用戶訪問受控資源進(jìn)行了有效控制；2〕通過撥號或VPN等方式接入網(wǎng)絡(luò)時，采用了強(qiáng)認(rèn)證方式〔證書、KEY等〕。h〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性檢查：是否限制具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。限制了具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。和平安性。a)a)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計(jì)情況等，測評分析信息系統(tǒng)審計(jì)配置和審計(jì)記錄保護(hù)情況。檢查：1〕網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備是否開啟日志記錄功能；輸入showlogging命令，檢查Sysloglogging進(jìn)程是否為enable狀態(tài)；2〕是否對網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和記錄。1〕網(wǎng)絡(luò)設(shè)備開啟了日志記錄功能，命令showlogging的輸出配置中顯示：Sysloglogging:enabled2 〕對網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和記錄〔巡檢記錄或第三方監(jiān)控軟件〕。b)b)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計(jì)情況等，測評分析信息系統(tǒng)審計(jì)配置檢查：查看日志內(nèi)容，是否包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。日志內(nèi)容包括事件的日期和時間、設(shè)備管理員操作行為、事件類型等信息。2平安審計(jì)和審計(jì)記錄保護(hù)情況。c)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計(jì)情況等，測評分析信息系檢查：查看如何實(shí)現(xiàn)審計(jì)記錄數(shù)據(jù)的分析和報表生成。定期對審計(jì)記錄數(shù)據(jù)進(jìn)行分析并生成紙質(zhì)或電子的審計(jì)報表。統(tǒng)審計(jì)配置和審計(jì)記錄保護(hù)情況。d)d)檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的平安審計(jì)情況等，測評分析信息系統(tǒng)審計(jì)配置和審計(jì)記錄保護(hù)情況。檢查：檢查對審計(jì)記錄監(jiān)控和保護(hù)的措施。例如：通過專用日志效勞器或存儲設(shè)備對審計(jì)記錄進(jìn)行備份，并防止對審計(jì)記錄未預(yù)期的修改、刪除或覆蓋。檢查：輸入命令showrunning檢查配置文件中是否存在類似如1〕輸入命令showrunning檢查配置文件中是否存在類似如下配置項(xiàng)：，把設(shè)備日志發(fā)送到平安的日志效勞器或第三方審計(jì)設(shè)備；2〕由專人對審計(jì)記錄進(jìn)行管理，防止審計(jì)記錄受到未預(yù)期的刪除、修改或配置項(xiàng)：a)a)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。訪談、檢查：1〕訪談設(shè)備管理員，詢問登錄設(shè)備的身份標(biāo)識和鑒別機(jī)制采用何種措施實(shí)現(xiàn)；2〕登錄網(wǎng)絡(luò)設(shè)備，查看是否提示輸入用戶口令，然后以正確口令登錄系統(tǒng)，再以錯誤口令或空口令重新登錄，觀察是否成功。1〕網(wǎng)絡(luò)設(shè)備使用口令鑒別機(jī)制對登錄用戶進(jìn)行身份標(biāo)識和鑒別；2〕登錄時提示輸入用戶名和口令；以錯誤口令或空口令登錄時提示登錄失敗，驗(yàn)證了登錄控制功能的有效性；3〕網(wǎng)絡(luò)設(shè)備中不存在密碼為空的用戶。網(wǎng)絡(luò)設(shè)備防護(hù)b)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。檢查：輸入命令showrunning，查看配置文件里是否存在類似如下配置項(xiàng)限制管理員登錄地址：access-list1permitx.x.x.xlinevty04accessclass1in配置了合理的訪問控制列表限制對網(wǎng)絡(luò)設(shè)備進(jìn)行登錄的管理員地址。c)c)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備，檢查：1〕檢查網(wǎng)絡(luò)設(shè)備標(biāo)識是否唯一；2〕檢查同一網(wǎng)絡(luò)設(shè)備的用戶標(biāo)識是否唯一；3〕檢查是否不存在多個人員共用一1〕網(wǎng)絡(luò)設(shè)備標(biāo)識唯一；2〕同一網(wǎng)絡(luò)設(shè)備的用戶標(biāo)識唯一；3〕不存在多個人員共用一個賬號的現(xiàn)象。查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。個賬號的現(xiàn)象d)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。訪談：訪談采用了何種鑒別技術(shù)實(shí)現(xiàn)雙因子鑒別，并在網(wǎng)絡(luò)管理員的配合下驗(yàn)證雙因子鑒別的有效性。用戶的認(rèn)證方式選擇兩種或兩種以上組合的鑒別技術(shù)，只用一種技術(shù)無法認(rèn)證成功。e)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)e)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登訪談、檢查：1〕訪談網(wǎng)絡(luò)設(shè)備管理員,詢問用戶口令是否滿足復(fù)雜性要求；2〕檢查配置文件中口令是否加密存儲。1〕網(wǎng)絡(luò)設(shè)備用戶口令長度不小于8位，由字母、數(shù)字和特殊字符構(gòu)成，并定期更換；2〕在配置文件中，口令為加密存儲。錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。f)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)f)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。g)檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。訪談：訪談設(shè)備管理員，網(wǎng)絡(luò)設(shè)備是否設(shè)置了登錄失敗處理功能。檢查：在允許的情況下，根據(jù)使用的登錄失敗處理方式，采用如下測試方法進(jìn)行測試：a)以錯誤的口令登錄網(wǎng)絡(luò)設(shè)備，觀察反響；b)當(dāng)網(wǎng)絡(luò)登錄連接超時時，觀察連接終端反應(yīng)。訪談：詢問設(shè)備管理員，是否采用了平安的遠(yuǎn)程管理方法。檢查：輸入命令showrunning查看配置文件中是否存在類似如下配置項(xiàng):linevty04transportinputssh1〕以錯誤的口令登錄網(wǎng)絡(luò)設(shè)備，嘗試次數(shù)超過閥值，網(wǎng)絡(luò)設(shè)備自動斷開連接或鎖定一段時間；2〕正常登錄網(wǎng)絡(luò)設(shè)備后不做任何操作，超過設(shè)定的超時時間后，登錄連接自動退出。1〕使用SSH協(xié)議對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理；2〕沒有采用明文的傳輸協(xié)議對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理；3〕采用第三方管理工具保證遠(yuǎn)程管理的鑒別信息保密。h)檢查交換機(jī)、路由器訪談、檢查：1〕訪談設(shè)備管理員，是否1〕實(shí)現(xiàn)了網(wǎng)絡(luò)設(shè)備特權(quán)用戶的權(quán)限別離，等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)平安設(shè)備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡(luò)設(shè)備自身的平安防范情況。實(shí)現(xiàn)了特權(quán)用戶的權(quán)限別離；2〕輸入命令showrunning，檢查配置文件中是否存在類似如下配置項(xiàng)：usernamecisco1privilege0password0ciscousernamecisco1privilege15password0cisco3〕檢查是否部署了日志效勞器對管理員的操作進(jìn)行審計(jì)記錄；4〕審計(jì)記錄是否有專人管理，非授權(quán)用戶是否無法進(jìn)行操作。不同類型的賬號擁有不同權(quán)限；2〕部署了專用日志效勞器對管理員的操作進(jìn)行審計(jì)并記錄；3〕審計(jì)記錄有專人管理，非授權(quán)用戶無法進(jìn)行操作。2.5思科交換機(jī)平安測評預(yù)期結(jié)果序號測評指標(biāo)測評項(xiàng)檢查方法預(yù)期結(jié)果交換機(jī)啟用了訪問控制功能，根據(jù)需要配置了訪問控制列表。交換機(jī)啟用了訪問控制功能，根據(jù)需要配置了訪問控制列表。a〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)訪問控制的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查：檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和相關(guān)交換機(jī)配置，查看是否在交換機(jī)上啟用了訪問控制功能。輸入命令showaccess-lists檢查配置文件中是否存在以下類似配置項(xiàng)shourunning，檢查訪問控制列表的控制粒度是否為端口級，如shourunning，檢查訪問控制列表的控制粒度是否為端口級，如access-list101permitudpany55eq21數(shù)據(jù)流提供了明確的訪問控制策略，控制粒度為端口級。墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。c)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安c)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路檢查：檢查防火墻或IPS平安策略是否對重要數(shù)據(jù)流啟用應(yīng)用層協(xié)議檢測、過濾功1〕會話處于非活潑一定時間或會話結(jié)束后，交換時機(jī)終止網(wǎng)防火墻或IPS開啟了重要數(shù)據(jù)流應(yīng)用層協(xié)議檢測、過濾功能，可以對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議進(jìn)行控制。由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。d)檢查防火訪談：訪談系統(tǒng)管理墻等網(wǎng)絡(luò)訪員，是否在會話處于問控制設(shè)非活潑一定時間或會備，測試系話結(jié)束后終止網(wǎng)絡(luò)連絡(luò)連接；2〕交換機(jī)統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。接；檢查：輸入命令showrunning，查看配置中是否存在命令設(shè)定管理會話的超時時間：linevty04exec-timeoutxx配置中存在會話超時相關(guān)配置。e)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查：1〕在網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的交換機(jī)是否配置了網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；2〕是否有專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。1〕網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)處的交換機(jī)配置了合理QOS策略，優(yōu)化了網(wǎng)絡(luò)最大流量數(shù)；2〕通過專用的流量控制設(shè)備限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。f)f)檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評檢查：是否通過IP/MAC綁定手段防止地址欺騙，輸入命令showrunning，檢查配置文件中是否存在arp綁定配置：1〕通過配置命令進(jìn)行IP/MAC地址綁定防止地址欺騙；2〕通過專用軟件或設(shè)備進(jìn)行IP/MAC地址綁定防止地址欺騙。分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。g〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。檢查：1〕是否針對單個遠(yuǎn)程撥號用戶或VPN用戶訪問受控資源進(jìn)行了有效控制；2〕以撥號或VPN等方式接入網(wǎng)絡(luò)的，是否采用強(qiáng)認(rèn)證方式。1〕對單個遠(yuǎn)程撥號用戶或VPN用戶訪問受控資源進(jìn)行了有效控制；2〕通過撥號或VPN等方式接入網(wǎng)絡(luò)時，采用了強(qiáng)認(rèn)證方式〔證書、KEY等〕。h〕檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)檢查：是否限制具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。限制了具有遠(yuǎn)程訪問權(quán)限的用戶數(shù)量。的網(wǎng)絡(luò)隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠(yuǎn)程撥號訪問控制規(guī)那么的合理性和平安性。a)a)檢查核心交換機(jī)、路由