信息安全管理制度網(wǎng)絡(luò)安全設(shè)備配置規(guī)范-2023修改整理

千里之行，始于足下讓知識(shí)帶有溫度。第第2頁(yè)/共2頁(yè)精品文檔推薦信息安全管理制度網(wǎng)絡(luò)安全設(shè)備配置規(guī)范網(wǎng)絡(luò)平安設(shè)備配置規(guī)范

2022年1月

網(wǎng)絡(luò)平安設(shè)備配置規(guī)范

1防火墻

1.1防火墻配置規(guī)范

1.要求管理員分級(jí)，包括超級(jí)管理員、平安管理員、日志管理員等，

并定義相應(yīng)的職責(zé)，維護(hù)相應(yīng)的文檔和記錄。

2.防火墻管理人員應(yīng)定期接受培訓(xùn)。

3.對(duì)防火墻管理的限制，包括，關(guān)閉、、、等，以及使用而不是遠(yuǎn)程

管理防火墻。

4.賬號(hào)管理是否平安，設(shè)置了哪些口令和帳戶策略，員工辭職，如

何舉行口令變更？

1.2變化控制

1.防火墻配置文件是否備份？如何舉行配置同步？

2.轉(zhuǎn)變防火墻缺省配置。

3.是否有適當(dāng)?shù)姆阑饓S護(hù)控制程序？

4.加固防火墻操作系統(tǒng)，并使用防火墻軟件的最新穩(wěn)定版本或補(bǔ)丁，

確保補(bǔ)丁的來(lái)源牢靠。

5.是否對(duì)防火墻舉行堅(jiān)強(qiáng)性評(píng)估/測(cè)試？（隨機(jī)和定期測(cè)試）

1.3規(guī)章檢查

1.防火墻拜訪控制規(guī)章集是否和防火墻策略全都？應(yīng)當(dāng)確保拜訪控

制規(guī)章集依從防火墻策略，如嚴(yán)格禁止某些服務(wù)、嚴(yán)格開(kāi)放某些服務(wù)、缺省時(shí)禁止全部服務(wù)等，以滿足用戶平安需求，實(shí)現(xiàn)平安目標(biāo)。

2.防火墻拜訪控制規(guī)章是否有次序性？是否將常用的拜訪控制規(guī)章

放在前面以增強(qiáng)防火墻的性能？評(píng)估防火墻規(guī)章次序的有效性。

防火墻拜訪控制規(guī)章集的普通次序?yàn)椋?/p>

?反電子哄騙的過(guò)濾（如，阻斷私有地址、從外口浮現(xiàn)的內(nèi)部地

址）

?用戶允許規(guī)章（如，允許到公網(wǎng)服務(wù)器）

?管理允許規(guī)章

?否決并報(bào)警（如，向管理員報(bào)警可疑通信）

?否決并記錄（如，記錄取于分析的其它通信）

防火墻是在第一次匹配的基礎(chǔ)上運(yùn)行，因此，根據(jù)上述的次序配置防火墻，對(duì)于確保排解可疑通信是很重要的。

3.防火墻拜訪控制規(guī)章中是否有庇護(hù)防火墻自身平安的規(guī)章

4.防火墻是否配置成能反抗襲擊？

5.防火墻是否阻斷下述哄騙、私有（1918）和非法的地址

?標(biāo)準(zhǔn)的不行路由地址（255.255.255.255、127.0.0.0）

?私有（1918）地址（10.0.0.0–10.255.255.255、172.16.0.0

–172.31..255.255、192.168.0.0–192.168.255.255）

?保留地址（224.0.0.0）

?非法地址（0.0.0.0）

6.是否確保外出的過(guò)濾？

確保有僅允許源是內(nèi)部網(wǎng)的通信通過(guò)而源不是內(nèi)部網(wǎng)的通信被丟棄的規(guī)章，并確保任何源不是內(nèi)部網(wǎng)的通信被記錄。

7.是否執(zhí)行，配置是否適當(dāng)？

任何和外網(wǎng)有信息溝通的機(jī)器都必需經(jīng)過(guò)地址轉(zhuǎn)換（）才允許拜訪外網(wǎng)，同樣外網(wǎng)的機(jī)器要拜訪內(nèi)部機(jī)器，也只能是其經(jīng)過(guò)后的，以保證系統(tǒng)的內(nèi)部地址、配置和有關(guān)的設(shè)計(jì)信息如拓?fù)浣Y(jié)構(gòu)等不能泄露到不行信的外網(wǎng)中去。

8.在適當(dāng)?shù)牡胤?，防火墻是否有下面的控制?/p>

如，過(guò)濾、端口阻斷、防哄騙、過(guò)濾進(jìn)入的或、防病毒等。

9.防火墻是否支持“否決全部服務(wù)，除非明確允許”的策略？

1.4審計(jì)監(jiān)控

1.具有特權(quán)拜訪防火墻的人員的活動(dòng)是否鑒別、監(jiān)控和檢查？

對(duì)防火墻的管理人員的活動(dòng)，防火墻應(yīng)當(dāng)有記錄，并要求記錄不能修改，以明確責(zé)任，同時(shí)能檢查對(duì)防火墻的變化。

2.通過(guò)防火墻的通信活動(dòng)是否日志？在適當(dāng)?shù)牡胤剑欠裼斜O(jiān)控和

響應(yīng)任何不適當(dāng)?shù)幕顒?dòng)的程序？

確保防火墻能夠日志，并標(biāo)識(shí)、配置日志主機(jī)，確保日志平安傳輸。管理員通過(guò)檢查日志來(lái)識(shí)別可能顯示襲擊的任何潛在模式，

使用審計(jì)日志可以監(jiān)控破壞平安策略的進(jìn)入服務(wù)、外出服務(wù)和嘗試拜訪。

3.是否精確設(shè)置并維護(hù)防火墻時(shí)光？

配置防火墻使得在日志記錄中包括時(shí)光信息。精確設(shè)置防火墻的時(shí)光，使得管理員追蹤網(wǎng)絡(luò)襲擊更精確?????。

4.是否根據(jù)策略檢查、回顧及定期存檔日志，并存儲(chǔ)在平安介質(zhì)上？

確保對(duì)防火墻日志舉行定期存儲(chǔ)并檢查，產(chǎn)生防火墻報(bào)告，為管理人員提供必須的信息以協(xié)助分析防火墻的活動(dòng)，并為管理部門(mén)提供防火墻效率狀況。

1.5應(yīng)急響應(yīng)

1.重事件件或活動(dòng)是否設(shè)置報(bào)警？是否有對(duì)可以襲擊的響應(yīng)程序？

如適當(dāng)設(shè)置入侵檢測(cè)功能，或者協(xié)作使用（入侵檢測(cè)系統(tǒng)），以防止某些類型的襲擊或預(yù)防未知的襲擊。

2.是否有災(zāi)害恢復(fù)方案？恢復(fù)是否測(cè)試過(guò)？

評(píng)估備份和恢復(fù)程序（包括持續(xù)性）的適當(dāng)性，考慮：對(duì)重要防火墻的熱備份、備份多長(zhǎng)時(shí)光做一次、執(zhí)行備份是否加密、最近勝利備份測(cè)試的結(jié)果等。

2交換機(jī)

2.1交換機(jī)配置文件是否離線保存、解釋、保密、有限拜訪，并保持

與運(yùn)行配置同步

2.2是否在交換機(jī)上運(yùn)行最新的穩(wěn)定的版本

2.3是否定期檢查交換機(jī)的平安性？特殊在轉(zhuǎn)變重要配置之后。2.4是否限制交換機(jī)的物理拜訪？?jī)H允許授權(quán)人員才可以拜訪交換

機(jī)。

2.51中不允許引入用戶數(shù)據(jù)，只能用于交換機(jī)內(nèi)部通訊。

2.6考慮使用，隔離一個(gè)中的主機(jī)。

2.7考慮設(shè)置交換機(jī)的，陳述“未授權(quán)的拜訪是被禁止的”。

2.8是否關(guān)閉交換機(jī)上不須要的服務(wù)？包括：和小服務(wù)、、等。

2.9必須的服務(wù)打開(kāi)，是否平安地配置這些服務(wù)？。

2.10庇護(hù)管理接口的平安

2.11全部不用的端口。并將全部未用端口設(shè)置為第3層銜接的。2.12加強(qiáng)、、等端口的平安。

2.13將密碼加密，并使用用戶的方式登陸。

2.14使用代替，并設(shè)置強(qiáng)壯口令。無(wú)法避開(kāi)時(shí)，是否為的使用設(shè)置了

一些限制？

2.15采納帶外方式管理交換機(jī)。假如帶外管理不行行，那么應(yīng)當(dāng)為帶

內(nèi)管理指定一個(gè)自立的號(hào)。

2.16設(shè)置會(huì)話超時(shí)，并配置特權(quán)等級(jí)。

2.17使失效，即，不使用掃瞄器配置和管理交換機(jī)。

2.18假如使用，建議使用2，并使用強(qiáng)壯的?；蛘卟皇褂脮r(shí)，使失

效。

2.19實(shí)現(xiàn)端口平安以限定基于地址的拜訪。使端口的失效。

2.20使用交換機(jī)的端口映像功能用于的接入。

2.21使不用的交換機(jī)端口失效，并在不使用時(shí)為它們分配一個(gè)號(hào)。

2.22為端口分配一個(gè)沒(méi)有被任何其他端口使用的號(hào)。

2.23限制能夠通過(guò)傳輸，除了那些的確是必須的。

2.24使用靜態(tài)配置。

2.25假如可能，使失效。否則，為設(shè)置：管理域、口令和。然后設(shè)置

為透亮?????模式。

2.26在適當(dāng)?shù)牡胤绞褂冒菰L控制列表。

2.27打開(kāi)功能，并發(fā)送日志到專用的平安的日志主機(jī)。

2.28配置使得包括精確?????的時(shí)光信息，使用和時(shí)光戳。

2.29依照平安策略的要求對(duì)日志舉行檢查以發(fā)覺(jué)可能的大事并舉行

存檔。

2.30為本地的和遠(yuǎn)程的拜訪交換機(jī)使用特性。

3路由器

1.是否有路由器的平安策略？

明確各區(qū)域的平安策略

●物理平安

設(shè)計(jì)誰(shuí)有權(quán)安裝、拆除、移動(dòng)路由器。

設(shè)計(jì)誰(shuí)有權(quán)維護(hù)和更改物理配置。

設(shè)計(jì)誰(shuí)有權(quán)物理銜接路由器

設(shè)計(jì)誰(shuí)有權(quán)物理在端口銜接路由器

設(shè)計(jì)誰(shuí)有權(quán)恢復(fù)物理?yè)p壞并保留證據(jù)

●靜態(tài)配置平安

設(shè)計(jì)誰(shuí)有權(quán)在端口登錄路由器。

設(shè)計(jì)誰(shuí)有權(quán)管理路由器。

設(shè)計(jì)誰(shuí)有權(quán)更改路由器配置

設(shè)計(jì)口令權(quán)限并管理口令更新

設(shè)計(jì)允許進(jìn)出網(wǎng)絡(luò)的協(xié)議、地址

設(shè)計(jì)日志系統(tǒng)

限制的管理權(quán)限

定義管理協(xié)議（,,,）與更新時(shí)限

定義加密密鑰使用時(shí)限

●動(dòng)態(tài)配置平安

識(shí)別動(dòng)態(tài)服務(wù)，并對(duì)使用動(dòng)態(tài)服務(wù)作一定的限制

識(shí)別路由器協(xié)議，并設(shè)置平安功能

設(shè)計(jì)自動(dòng)更新系統(tǒng)時(shí)光的機(jī)制（）

如有，設(shè)計(jì)使用的密鑰商議和加密算法

●網(wǎng)絡(luò)平安

列出允許和過(guò)濾的協(xié)議、服務(wù)、端口、對(duì)每個(gè)端口或連

接的權(quán)限。

●危害響應(yīng)

列出危害響應(yīng)中個(gè)人或組織的注重事項(xiàng)

定義系統(tǒng)被入侵后的響應(yīng)過(guò)程

收集可捕捉的和其遺留的信息

●沒(méi)有明確允許的服務(wù)和協(xié)議就否決

2.路由器的平安策略的修改

●內(nèi)網(wǎng)和外網(wǎng)之間增強(qiáng)新的銜接。

●管理、程序、和職員的重大變動(dòng)。

●網(wǎng)絡(luò)平安策略的重大變動(dòng)。

●增加了新的功能和組件。（)

察覺(jué)受到入侵或特別的危害。

3.定期維護(hù)平安策略

拜訪平安

1.保證路由器的物理平安

2.嚴(yán)格控制可以拜訪路由器的管理員

3.口令配置是否平安

534242w

4.使路由器的接口更平安

5.使路由器的控制臺(tái)、輔助線路和虛擬終端更平安

控制臺(tái)

#t

,..

()#0

()#

()#

()#50

()#

()#

設(shè)置一個(gè)用戶

()#1g0055w0

()#

關(guān)閉輔助線路#t

,..()#0

()#

()#

()#01()#

()#

關(guān)閉虛擬終端#t

,..()#90()#90()#04()#90()#

()#

()#01()#

()#

拜訪列表

1.實(shí)現(xiàn)拜訪列表及過(guò)濾

●否決從內(nèi)網(wǎng)發(fā)出的源地址不是內(nèi)部網(wǎng)絡(luò)合法地址的信

息流。

()#102

()#102ip14.2.6.00.0.0.255

()#102

()#0/1

()#""

()#14.2.6.250255.255.255.0

()#102

●否決從外網(wǎng)發(fā)出的源地址是內(nèi)部網(wǎng)絡(luò)地址的信息流

●否決全部從外網(wǎng)發(fā)出的源地址是保留地址、非法地址、

廣播地址的信息流

()#100

()#100ip14.2.6.00.0.0.255

()#100127.0.0.00.255.255.255

()#100ip10.0.0.00.255.255.255

()#100ip0.0.0.00.255.255.255

()#100172.16.0.00.15.255.255

()#100192.168.0.00.0.255.255

()#100192.0.2.00.0.0.255

()#100169.254.0.00.0.255.255

()#100224.0.0.015.255.255.255

()#100255.255.255.255

()#10014.2.6.00.0.0.255

()#0/0

()#""

()#14.1.1.20255.255.0.0

()#100

()#

()#0/1

()#""

()#14.2.6.250255.255.255.0

()#

入路由器外部接口堵塞下列哀求進(jìn)入內(nèi)網(wǎng)的端口。

1(&)

7(&)

9(&)

13(&)

15()

19(&)

37(&)

43()

67()

69()

93()

111(&)

135(&)

137(&)

138(&)

139(&)

177()

445()()

512()

515()

517()

518()

540()

1900,5000(&)

6000-6063()X

6667()

12345()

12346()

31337(&)

161(&)

162(&)

513()

513()

514(),,,

514()

2.關(guān)閉路由器上不須要的服務(wù)（可運(yùn)行命令顯示）

3.是否過(guò)濾通過(guò)路由器的通信？

1)是否設(shè)置地址哄騙庇護(hù)？

2)是否設(shè)置漏洞庇護(hù)（）？

功擊

設(shè)置在的外網(wǎng)口，只允許從內(nèi)部建立銜接

()#10614.2.6.00.0.0.255

()#106

()#0/0

()#""

()#106

只允許到達(dá)可達(dá)用戶

()#10014.1.1.2014.1.1.20

()#100

()#0/0

()#14.1.0.0/16

()#14.1.1.20255.255.0.0

()#100

()#

不允許向內(nèi)部網(wǎng)絡(luò)發(fā)送廣播包

()#11014.2.6.255

()#11014.2.6.0

()#0/0

()#110

()#

和功能的設(shè)置

禁止內(nèi)網(wǎng)

()#100

()#100

()#100

()#10014.2.6.00.0.0.255()#1003340034400允許外網(wǎng)

()#102

()#102

()#102

()#102

()#102

()#1023340034400

()

17027665

17031335

17027444

!

17016660

17065000

!3

17033270

17039168

!

1706776

1706669

1702222

1707000

4.是否過(guò)濾拜訪路由器自身的通信？

路由協(xié)議平安

協(xié)議、、、、、

1.:

2..

3..

4..

建議：

1.小型網(wǎng)絡(luò)應(yīng)用靜態(tài)路由

#t

,..

()#14.2.6.0255.255.255.014.1.1.20120

()#

#

2.使用動(dòng)態(tài)路由設(shè)置帶權(quán)限的路由信息更新。

#t

,..

()#1

()#14.1.0.00.0.255.2550

()#0

()#

()#0/1

()#15r04

()#

#

#t

,..

()#1

()#0

()#14.1.0.00.0.255.2550

()#14.2.6.00.0.0.2550

()#

()#0

()#15r04

()#

2支持此功能

#t

,..

()#

()#1

()#

()#

()#2

()#

()#

#

#t

,..()#

()#1

()#

()#

()#2

()#

()#

#t

,..()#0/1()#

()#5()#

#

#t

,..

()#0/0

()#

()#5

()#

#

#t

,.

()#100

()#14.1.0.0255.255.0.0()#

()#0/1

()#1005

()#100

()#

()#

()#1

()#

()#00:00:0012022

()#00:00:0012022

00:00:0072022

()#

#

#t

,..

()#100

()#14.1.0.0255.255.0.0()#14.2.6.0255.255.255.0()#1

()#

()#0

()#1005

()#100

()#

()#

()#1

()#

()#00:00:0012022

00:00:0012022

()#00:00:0012022

()#

#

關(guān)閉功能

#t

,..

()#0/0

()#

()#

()#0/1

()#

()#

(被動(dòng)態(tài)接口)

1#

.

.

14.1.0.0

14.1.15.250255.255.0.0

!

1

14.2.0.0

14.2.13.150255.255.0.0

!

2

14.3.0.0

14.3.90.50255.255.0.0

!

1

14.0.0.00.0.0.2550

2

說(shuō)明只在1、2上運(yùn)行協(xié)議。在2上禁止

#t

,..

()#

()#0/0

()#

#

#t

()#5514.2.10.00.0.0.255()#55

()#

#

#t

,..

()#1

()#55

()#

#

協(xié)議

#t

,..

()#5514.2.10.00.0.0.255()#55

()#

()#55

()#

#

5

#t

()#26625

()#14.2.0.25027701

()#14.2.0.250r04

()#

#

7#t

,..

7()#27701

7()#14.2.0.2026625

7()#14.2.0.20r04

7()#

7#

管理路由器

1.設(shè)置管理路由器的登錄機(jī)制。

●在專用的管理子網(wǎng)

●只允許本地固定管理路由器

●管理路由器的主機(jī)與路由器間的信息加密(使用)

2.更新路由器

惟獨(dú)在下列狀況下更新路由器

●修復(fù)平安堅(jiān)強(qiáng)性

●增強(qiáng)新的功能

●增強(qiáng)內(nèi)存

●設(shè)置和測(cè)試管理主機(jī)和路由器間的文件傳輸能力

●按方案停止運(yùn)行路由器和網(wǎng)絡(luò)

重啟后

●關(guān)停端口

●備份配置文件

●安裝新的配置文件