GBT222392019信息安全技術網絡安全等級保護二級等保2.0各要求控制點解讀及測評方法及預期證據(jù)

GBT22239-2019信息平安技術網絡平安等級保護二級等保2.0各要求控制點解讀及測評方法及預期證據(jù)平安物理環(huán)境控制點平安要求要求解讀測評方法預期結果或主要證據(jù)物理位置選擇a)機房場地應選擇在具有防震、防風和防雨等能力的建筑內機房場地所在的建筑物要具有防震、防風和防雨等的能力1)核查是否有建筑物抗震設防審批文檔

2)核查是否有雨水滲漏的痕跡

3)核查是否有可靈活開啟的窗戶，假設有窗戶，是否做了封閉、上鎖等防護措施

4)核查屋頂、墻體、門窗和地面等是否有破損開裂的情況1)機房具有驗收文檔

2)天花板、窗臺下無水滲漏的現(xiàn)象

3)機房無窗戶，有窗戶且做了防護措施

4)現(xiàn)場觀測屋頂、墻體、門窗和地面等無開裂的情況b)機房場地應防止設在建筑物的頂層或地下室，否則應加強防水和防潮措施，機房場地要防止設置在建筑物的頂層或地下室。如果因為某些原因無法防止時，設置在建筑物頂層或地下室的機房需要加強防水和防潮措施1)核查機房是否在頂層或地下室

2)假設是，核查機房是否采取了防水和防潮措施1)非建筑物頂層或地下室

2)在頂層或地下室的，做了嚴格的防水防潮措施物理訪問控制機房出入口應配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員為防止非授權人員進入機房，需要安裝電子門禁系統(tǒng)對機房及機房內區(qū)域的出入人員實施訪問控制，防止由于非授權人員的擅自進入，造成系統(tǒng)運行中斷、設備喪失或損壞、數(shù)據(jù)被竊取或篡改，并可利用系統(tǒng)實現(xiàn)對人員進入情況的記錄1)核查出入口是否配置電子門禁系統(tǒng)

2)核查電子門禁系統(tǒng)是否開啟并正常運行

3)核查電子門禁系統(tǒng)是否可以鑒別、記錄進入的人員信息1)機房出入口是配備電子門禁

2)電子門禁系統(tǒng)工作正常，可對進出人員進行鑒別防盜竊和防破壞a)應將設備或主要部件進行固定，并設置明顯的不易除去的標識對于安放在機房內用于保障系統(tǒng)正常運行的設備或主要部件需要進行固定，并設置明顯的不易除去的標記用于識別

1)核查機房內設備或主要部件是否固定

2)核查機房內設備或主要部件上是否設置了明顯且不易除去的標記1)機房內設備均放置在機柜或機架，并已固定

2)設備或主要部件均設置了不易除去的標識、標志，如使用粘貼方式則不能有翹起b)應將通信線纜鋪設在隱蔽平安處機房內通信線纜需要鋪設在隱蔽平安處，防止線纜受損核查機房內通信線纜是否鋪設在隱蔽平安處機房通信線纜鋪設在線槽或橋架里c)應設置機房防盜報警系統(tǒng)或設置有專人值守的視頻監(jiān)控系統(tǒng)機房需要安裝防盜報警系統(tǒng)，或在安裝視頻監(jiān)控系統(tǒng)的同時安排專人進行值守，防止盜竊和惡意破壞行為的發(fā)生1)核查是否配置防盜報警系統(tǒng)或專人值守的視頻監(jiān)控系統(tǒng)

2)核查防盜報警系統(tǒng)或視頻監(jiān)控系統(tǒng)是否開啟并正常運行1)機房內配置了防盜報警系統(tǒng)或專人值守的視頻監(jiān)控系統(tǒng)

2〕現(xiàn)場觀測時監(jiān)控系統(tǒng)正常工作防雷擊a)應將各類機柜、設施和設備等通過接地系統(tǒng)平安接地在機房內對機柜、各類設施和設備采取接地措施，防止雷擊對電子設備產生

損害核查機房內機柜、設施和設備等是否進行接地處理，通常黃綠色相間的電線為接地用線機房內所有機柜、設施和設備等均已采取了接地的控制措施b)應采取措施防止感應雷，例如設置防雷保安器或過壓保護裝置等在機房內安裝防雷保安器或過壓保護等裝置,防止感應雷對電子設備產生損害1)核查機房內是否設置防感應雷措施

2)核查防雷裝置是否通過驗收或國家有關部門的技術檢測1)機房內設置了防感應雷措施，如設置了防雷感應器、防浪涌插座等

2)防雷裝置通過了國家有關部門的技術檢測防火

a)機房應設置火災自動消防系統(tǒng),能夠自動檢測火情、自動報警,并自動滅火機房內需要設置火災自動消防系統(tǒng)，可在發(fā)生火災時進行自動檢測、報警和滅火，如采用自動氣體消防系統(tǒng)、自動噴淋消防系統(tǒng)等1〕核查機房內是否設置火災自動消防系統(tǒng)

2)核查火災自動消防系統(tǒng)是否可以自動檢測火情、自動報警并自動滅火

3)核查火災自動消防系統(tǒng)是否通過驗收或國家有關部門的技術檢測1)機房內設置火災自動消防系統(tǒng)

2)現(xiàn)場觀測時火災自動消防系統(tǒng)工作正常b)機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料機房內需要采用具有耐火等級的建筑材料，防止火災的發(fā)生和火勢蔓延核查機房驗收文檔是否明確所用建筑材料的耐火等級機房所有材料為耐火材料，如使用墻體、防火玻璃等，但使用金屬柵欄的不能算符合c〕應對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設置隔離防火措施機房內需要進行區(qū)域劃分并設置隔離防火措施，防止水災發(fā)生后火勢蔓延1)核查是否進行了區(qū)域劃分

2)核查各區(qū)域間是否采取了防火隔離措施1)機房進行了區(qū)域劃分，如過渡區(qū)、主機房

2)區(qū)域間部署了防火隔離裝置防水和防潮a〕應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透機房內需要采取防滲漏措施，防止窗戶、屋頂和墻壁存在水滲透情況核查窗戶、屋頂和墻壁是否采取了防滲漏的措施機房采取了防雨水滲透的措施，如封鎖了窗戶并采取了防水、屋頂和墻壁均采取了防雨水滲透的措施b)應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透機房內需要采取防結露和排水措施，防止水蒸氣結露和地面產生積水1)核查是否采取了防止水蒸氣結露的措施

2)核查是否采取了排水措施，防止地面產生積水1)機房內配備了專用的精密空調來防止水蒸氣結露的控制措施

2)機房內部署了漏水檢測裝置，可以對漏水進行監(jiān)控報警c)應安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警機房內需要布設對水敏感的檢測裝置，對滲水、漏水情況進行檢測和報警1)核查是否安裝了對水敏感的檢測裝置

2)核查防水檢測和報警裝置是否開啟并正常運行1)機房內部署了漏水檢測裝置，如漏水檢測繩等

2)檢測和報警工作正常防靜電a)應采用防靜電地板或地面并采用必要的接地防靜電措施機房內需要安裝防靜電地板或在地面采取必要的接地措施,防止靜電的產生1)核查是否安裝了防靜電地板

2)核查是否采用了防靜電接地措施1)機房部署了防靜電地板

2)機房采用了接地的防靜電措施b)應采取措施防上靜電的產生，例如采用靜電消除器、佩戴防靜電手環(huán)等。機房內需要配備靜電消除器E佩戴防靜電手環(huán)等消除靜電的設備。核查機房內是否配備了靜電消除設備。機房配備了防靜電設備濕溫度控制應設置溫、濕度自動調節(jié)設施，使機房溫、濕度的變化在設備運行所允許的范圍之內機房內需要安裝溫、濕度自動調節(jié)裝置，如空調、除濕機、通風機等，使機房內溫、濕度的變化在適宜設備運行所允許的范圍之內。通常機房內適宜的溫度范圍是18~27℃，空氣濕度范圍是35~75%1)核查機房內是否配備了專用空調

2)核查機房內溫濕度是否在設備運行所允許的范圍之內1)機房內配備了專用的精密空調

2)機房內溫濕度設置在20-25,濕度為:40%-60%電力供給a)應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備機房供電線路上需要安裝電流穩(wěn)壓器和電壓過載保護裝置,防止電力波動對電子設備造成損害核查供電線路上是否配置了穩(wěn)壓器和過電壓防護設備1)機房的計算機系統(tǒng)供電線路上設置了穩(wěn)壓器和過電壓防護設備

2)現(xiàn)場觀測時穩(wěn)壓器和過電壓防護設備可正常工作b)應提供短期的備用電力供給，至少滿足設備在斷電情況下的正常運行要求機房供電需要配備不間斷電源(UPS)或備用供電系統(tǒng)，如備用發(fā)電機或使用第三方提供的備用供電效勞，防止電力中斷對設備運轉和系統(tǒng)運行造成損害1)核查是否配備不間斷電源(UPS)等備用供電系統(tǒng)

2)核查不間斷電源(UPS)等備用供電系統(tǒng)的運行切換記錄和檢修維護記錄1)機房配備了UPS后備電源系統(tǒng)

2)UPS能夠滿足短期斷電時的供電要求c)應設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電機房供電需要使用冗余或并行的電力電纜線路，防止電力中斷對設備運轉和系統(tǒng)運行造成損害核查是否設置了冗余或并行的電力電纜線路為計算機系統(tǒng)供電為機房配備了冗余的供電線路，如市電雙路接入電磁防護a)電源線和通信線纜應隔離鋪設，防止互相干擾機房內電源線和通信線纜需要隔離鋪設在不同的管道或橋架內,防止電磁輻射和干擾對設備運轉和系統(tǒng)運行產生的影響核查機房內電源線纜和通信線纜是否隔離鋪設機房內電源線纜和通信線纜隔離鋪設，如通過線槽或橋架進行了隔離b)應對關鍵設備實施電磁屏蔽機房內關鍵設備需要安放在電磁屏蔽機柜內或電磁屏蔽區(qū)域內,防止電磁輻

射和干擾對設備運轉和系統(tǒng)運行產生的影響核查機房內是否為關鍵設備配備了電磁屏蔽裝置為關鍵設備采取了電磁屏蔽措施，如配備了屏蔽機柜或屏蔽機房，關鍵設備

如加密機平安通信網絡控制點平安要求要求解讀測評方法預期結果或主要證據(jù)網絡架構

a)應保證網絡設備的業(yè)務處理能力滿足業(yè)務頂峰期需要為了保證主要網絡設備具備足夠處理能力，應定期檢查設備資源占用情況，確保設備的業(yè)務處理能力具備冗余空間。1)應訪談網絡管理員業(yè)務頂峰時期為何時，核查邊界設備和主要網絡設備的處理能力是否滿足業(yè)務頂峰期需要，詢問采用何種手段對主要網絡設備的運行狀態(tài)進行監(jiān)控。

以華為交換機為例，輸入命令"displaycpu-usage","displaymemory-usage"查看相關配置。一般來說，在業(yè)務頂峰期主要網絡設備的CPU內存最大使用率不宜超過70%，也可以通過綜合網管系統(tǒng)查看主要網絡設備的CPU、內存的使用情況

2)應訪談或核查是否因設備處理能力缺乏而出現(xiàn)過宕機情況，可核查綜合網管系統(tǒng)告警日志或設備運行時間等，或者訪談是否因設備處理能力缺乏而進行設備升級。

以華為設備為例，輸入命令"displayversion〞，查看設備在線時長，如設備在線時間在近期有重啟可詢問原因

3)應核查設備在一段時間內的性能峰值，結合設備自身的承載性能，分析是否能夠滿足業(yè)務處理能力1)設備CPU和內存使用率峰值不大于70%，通過命令核查相關使用情況：

<Huawei>displaycpu-usage

CPUUsageStat，Cycle:60(Second)

CPUUsage:3%Max:45%.

CPUUsageStat.Time:2?18-05-2616:58:16

CPUutilizationforfiveseconds:15%:oneminute:15%:fiveminutes:15%

<Huawei>displaymemory-usage

CPUutilizationforfiveseconds:15%:oneminute:15%:fiveminutes:15%

SystemTotalMemoryIs:75312648bytes

TotalMemoryUsedIs:45037704bytes

MemoryUsingPercentageIs:59%

2)未出現(xiàn)宕機情況，網管平臺未出現(xiàn)宕機告警日志，設備運行時間較長:

<Huawei>displayversion

HuaweiVersatileRoutingPlatformSoftware

VRP(R)software,Version5.130(AR1200V200ROO3C0O

Copyright(C)2011-2012HUAWEITECHCo.,LTD

HuaweiAR1220Routeruptimeis0week,0day,0hour,1minute

MPU0(Master):uptimeis0week,0day,0hour,Iminute

3)業(yè)務頂峰流量不超過設備處理能力的70%b)應保證網絡各個局部的帶寬滿足業(yè)務頂峰期需要為了保證業(yè)務效勞的連續(xù)性，應保證網絡各個局部的帶寬滿足業(yè)務頂峰期需要。如果存在帶寬無法滿足業(yè)務頂峰期需要的情況，則需要在主要網絡設備上進行帶寬配置，保證關鍵業(yè)務應用的帶寬需求1)應訪談管理員頂峰時段的流量使用情況，是否部署流量控制設備對關鍵業(yè)務系統(tǒng)的流量帶寬進行控制，或在相關設備上啟用QoS配置，對網絡各個局部進行帶寬分配，從而保證業(yè)務頂峰期業(yè)務效勞的連續(xù)性

2)應該查綜合網管系統(tǒng)在業(yè)務商峰時段的帶寬占用情況，分析是否滿足業(yè)務需求。如果無法滿足業(yè)務高蜂期需要，則需要在主要網絡設備上進行帶寬配置

3)測試驗證網絡各個局部的帶寬是否滿足業(yè)務頂峰期需求1)在各個關鍵節(jié)點部署流量監(jiān)控系統(tǒng)，能夠監(jiān)測網絡中的實時流量，部署流量控制設備，在關鍵節(jié)點設備品置QoS策略，對關健業(yè)務系統(tǒng)的流量帶寬進行控制

2)節(jié)點設備配置了流量監(jiān)管和流量整形策略;

流量監(jiān)管配置:

class-map：class-1

bandwidthpercent50

bandwidth5000(kbps〕maxthreshold64(packets)

class-map：class-2

bandwidthpercent15

bandwidth1500(kbps)maxthreshold64(packets)

流量整形配置:

trafficclassifierc1operatoror

if-matchacl3002

trafficbehaviorb1

remarklocal-precedenceaf3

trafficpolicyp1

classifierc1behaviorb1

interfacegigabitethernet3/0/0

traffic-policyp1inbound

3)各通信鏈路頂峰流量均不大其帶寬的70%c)應劃分不同的網絡區(qū)域，并按照方便管理和控制的原則為各網絡區(qū)域分配地址根據(jù)實際情況和區(qū)域平安防護要求，應在主要網絡設備上進行VLAN劃分。VLAN是一種通過將局域網內的設備邏輯地而不是物理地劃分成不同子網從而實現(xiàn)虛擬工作組的新技術。不同VLAN內的報文在傳輸時是相互隔離的,即一個VLAN內的用戶不能和其它VLAN內的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備實現(xiàn)應訪談網絡管理員，是否依據(jù)部門的工作職能、等級保護對象的重要程度和應用系統(tǒng)的級別等實際情況和區(qū)域平安防護要求劃分了不同的VLAN,并核查相關網絡設備配置信息，驗證劃分的網絡區(qū)域是否與劃分原則一致。

以CiscoIOS為例，輸入命令“showvlanbrief〞,查看相關配置劃分不同的網絡區(qū)域，按照方便管理和控制的原則為各網絡區(qū)域分配地址，不同網絡區(qū)域之間應采取邊界防護措施:

10serveractive

20useractive

30testactive

99managementactived)應防止將重要網絡區(qū)域部署在邊界處，重要網絡區(qū)域與其他網絡區(qū)域之間應采取可靠的技術隔離手段為了保證等級保護對象的平安，應防止將重要網段部署在網絡邊界處且直接連接外部等級保護對象，防止來自外部等級保護對象的攻擊。同時，應在重要網段和其它網段之間配置平安策略進行訪問控制1)應核查網絡拓撲圖是否與實際網絡運行環(huán)境一致

2)應核查重要網絡區(qū)域是否未部署在網絡邊界處；網絡區(qū)域邊界處是否部署了平安防護措施

3)應核查重要網絡區(qū)域與其他網絡區(qū)域之間，例如應用系統(tǒng)區(qū)、數(shù)據(jù)庫系統(tǒng)區(qū)等重要網絡區(qū)域邊界是否采取可靠的技術隔離手段，是否部署了網閘、防火墻和設備訪問控制列表(ACL)等1)網絡拓撲圖與實際網絡運行環(huán)境一致

2〕重要網絡區(qū)域未部署在網絡邊界處

3)在重要網絡區(qū)域與其他網絡區(qū)域之間部署了網閘、防火墻等平安設備實現(xiàn)了技術隔離e)應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗余，保證系統(tǒng)的可用性本要求雖然放在“平安通信網絡〞分類中，實際是要求整個網絡架構設計需要冗余。為了防止網絡設備或通信線路出現(xiàn)故障時引起系統(tǒng)中斷，應采用冗余技術設計網絡拓撲結構，以確保在通信線路或設備故障時提供備用方案，有效增強網絡的可靠性應核查系統(tǒng)的出口路由器、核心交換機、平安設備等關鍵設備是否有硬件冗余和通信線路冗余，保證系統(tǒng)的高可用性采用HSRP、VRRP等冗余技術設計網絡架構，確保在通信線路或設備故障時網絡不中斷，有效增強網絡的可靠性通信傳輸a)應采用校驗技術或密碼技術保證通信過程中數(shù)據(jù)的完整性為了防止數(shù)據(jù)在通信過程中被修改或破壞，應采用校驗技術或密碼技術保證通信過程中數(shù)據(jù)的完整性，這些數(shù)據(jù)包括鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等1)應核查是否在數(shù)據(jù)傳輸過程中使用校驗技術或密碼技術來保證其完整性

2)應測試驗證設備或組件是否保證通信過程中數(shù)據(jù)的完整性。例如使用FileChecksumIntegrityVerifier、SigCheck等工具對數(shù)據(jù)進行完整性校驗1)對鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息數(shù)據(jù)等采用校驗技術或密碼技術保證通信過程中數(shù)據(jù)的完整性;

2)FileChecksumIntegrityVerifier計算數(shù)據(jù)的散列值，驗證數(shù)據(jù)的完整性b)應采用密碼技術保證通信過程中數(shù)據(jù)的保密性根據(jù)實際情況和平安防護要求，為了防止信息被竊聽，應采取技術手段對通信過程中的敏感信息字段或整個報文加密，可采用對稱加密、非對稱加密等方式實現(xiàn)數(shù)據(jù)的保密性1)應核查是否在通信過程中采取保密措施，具體采用哪些技術措施

2)應測試驗證在通信過程中是否對敏感信息字段或整個報文進行加密，可使用Sniffer、Wireshark等測試工具通過流量鏡像等方式抓取網絡中的數(shù)據(jù),驗證數(shù)據(jù)是否加密1)對鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)，重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息數(shù)據(jù)等采用密碼技術保證通信過程中數(shù)據(jù)的保密性

2)Sniffer.Wireshak可以監(jiān)視到信息的傳送，但是顯示的是加密報文可信驗證可基于可信根對通信設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和通信應用程序等進行可信驗證，并在應用程序的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至平安管理中心通信設備可能包括交換機、路由器或其他通信設備等，通過設備的啟動過程和運行過程中對預裝軟件(包括系統(tǒng)引導程序、系統(tǒng)程序、相關應用程序和重要配置參數(shù))的完整性驗證或檢測，確保對系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和關鍵應用程序的篡改行為能被發(fā)現(xiàn)，并報警便于后續(xù)的處置動作1)應核查是否基于可信根對設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和關鍵應用程序等進行可信驗證

2)應核查是否在應用程序的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證

3)應測試驗證當檢測到設備的可信性受到破壞后是否進行報警

4)應測試驗證結果是否以審計記錄的形式送至平安管理中心

(2.3)1)通信設備、交換機、路由器或其他通信設備具有可信根芯片或硬件

2)啟動過程基于可信根對系統(tǒng)引導程序、系統(tǒng)程序，重要配置參數(shù)和關鍵應用程序等進行可信驗證度量

3)在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至平安管理中心

4)平安管理中心可以接收設備的驗證結果記錄

(2.3)平安區(qū)域邊界控制點平安要求要求解讀測評方法預期結果或主要證據(jù)邊界防護a)應保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設備提供的受控接口進行通信為了保障數(shù)據(jù)通過受控邊界，應明確網絡邊界設備，并明確邊界設備物理端口，網絡外連鏈路僅能通過指定的設備端口進行數(shù)據(jù)通信1)應核查網絡拓撲圖與實際的網絡鏈路是否一致，是否明確了網絡邊界，且明確邊界設備端口。

2)應核查路由配置信息及邊界設備配置信息，確認是否指定物理端口進行跨越邊界的網絡通信。

以CiscoI0S為例，輸入命令“router#showrunning-config〞，查看相關配置。

3)應采用其他技術手段核查是否不存在其他未受控端口進行跨越邊界的網絡通信,例如檢測無線訪問情況，可使用無線嗅探器、無線入侵檢測/防御系統(tǒng)、手持式無線信號檢測系統(tǒng)等相關工具進行檢測

1)查看網絡拓撲圖，并比對實際的網絡鏈路，確認網絡邊界設備及鏈路接入端口無誤

2)通過相關命令顯示設備端口、Vlan信息

interfaceIP-Address0K?MethodStatusProtocol

FastEehernet0/0YESmanualupup

FastEehernet0/1YESmanualupup

Vlan1unassignedYESmanualdowndown(administratively)

顯示路由信息IProute.192.168.12

3)通過網絡管理系統(tǒng)的自動拓撲發(fā)現(xiàn)功能，監(jiān)控是否存在非授權的網絡出口鏈路;通過無線嗅探器排查無線網絡的使用情況，確認無非授權WiFi

b)應能夠對非授權設備私自聯(lián)到內部網絡的行為進行檢查或限制設備的“非授權接入〞可能會破壞原有的邊界設計謀略，可以采用技術手段和管理措施對“非授權接入〞行為進行檢查。技術手段包括部署內網平安管理系統(tǒng)，關閉網絡設備未使用的端口，綁定IP/MAC地址等1)應訪談網絡管理員，詢問采用何種技術手段或管理措施對非授權設備私自聯(lián)到內部網絡的行為進行管控，并在網絡管理員的配合下驗證其有效性

2)應核查所有路由器和交換機等設備閑置端口是否均已關閉。

以CiscoI0S為例，輸入命令"showipinterfacesbrief〞

3)如通過部署內網平安管理系統(tǒng)實現(xiàn)系統(tǒng)準入，應檢查各終端設備是否統(tǒng)一進行了部署，是否存在不可控特殊權限接入設備

4〕如果采用了IP/MAC地址綁定的方式進行準入控制，應核查接入層網絡設備是否配置了IP/MAC地址綁定等措施以CiscoI0S為例，輸入命令"showiparp〞1)非使用的端口均已關閉，查看設備配置中是否存在如下類似配置：

InterfaceFastEthernet0/1shutdown

2)網絡中部署的終端管理系統(tǒng)已啟用，且各終端設備均已有效部署，無特權設備

3)IP/MAC地址綁定結果，查看設備配置中是否存在如下類似配置：

arp0000.e268.9890arpac)應能夠對內部用戶非授權連到外部網絡的行為進行檢查或限制內網用戶設備上的外部連接端口的“非授權外聯(lián)“行為也可能破壞原有的過界設計謀略，可以通成內網平安管理系統(tǒng)的非授權外聯(lián)管控功能或者防非法外聯(lián)系統(tǒng)實現(xiàn)“非授權外聯(lián)〞行為的控制，由于內網平安管理系統(tǒng)可實現(xiàn)包括非授權外連管控在內的眾多的管理功能，建議c采用該項措施。通過對用戶非授權建立網絡連接訪問非可信網絡的行為進行管控，從而減少平安風險的引入1)應核查是否采用內網平安管理系統(tǒng)或其它技術手段，對內部用戶非授權連接到外部網絡的行為進行限制或檢查

2)應核查是否限制終端設備相關端口的使用，如禁用雙網卡、USB接口、Modem、無線網絡等，防止內部用戶非授權外連行為1)網絡中部署有終端平安管理系統(tǒng)，或非授權外聯(lián)管控系統(tǒng)

2)網絡中各類型終端設備均已正確部署了終端平安管理系統(tǒng)或外聯(lián)管控系統(tǒng)，并啟用了相關策略，如禁止更改網絡配置，禁用雙網卡、USB接口.、Mode、無線網絡等a)應限制無線網絡的使用，保證無線網絡通過受控的邊界設備接入內部網絡為了防止未經授權的無線網絡接入行為，無線網絡應單獨組網并通過無線接入網關等受控的邊界防護設備接入到內部有線網絡。同時，應部署無線網絡管控措施，對分非授權無線網絡進行檢測、屏蔽1)應訪談網絡管理員是否有授權的無線網絡，是否單獨組網后接入到有線網絡

2)應核查無線網絡部署方式，是否部署無線接入網關，無線網絡控制器等設備。應檢查該類型設備配置是否合理，如無線網絡設備信道使用是否合理，用戶口令是否具備足夠強度、是否使用WPA2加密方式等

3)應核查網絡中是否部署了對非授權無線設備管控措施，能夠對非授權無線設備進行檢查、屏蔽。如使用無線嗅探器、無線入侵檢測/防御系統(tǒng)、手持式無線信號檢測系統(tǒng)等相關工具進行檢測、限制1)授權的無限網絡通過無線接入網管，并通過防火墻等訪問控制設備接入到有限網絡。無線網絡使用了1信道，防止設備間互相干擾;使用WPA2進行加密;且用戶密碼具備復雜度要求，如:口令長度8位以上，由數(shù)字、字母、大小寫及特殊字符組成

2)通過無線嗅探器未發(fā)現(xiàn)非授權無線設備訪問控制a)應在網絡邊界或區(qū)域之間根據(jù)訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信應在網絡邊界或區(qū)域之間部署網閘，防火墻、路由器、交換機和無線接入網關等提供訪問控制功能的設備或相關組件，想據(jù)訪問控制策略設置有效的訪問控制規(guī)則，訪問控制規(guī)測采用白名單機制1)應核查在網絡邊界或區(qū)域之間是否部署訪問控制設備，是否啟用訪問控制策略

2)應核查設備的訪問控制策略是否為白名單機制，僅允許授權的用戶訪問網絡資源，禁止其他所有的網絡訪問行為

3)應該檢查配置的訪問控制策略是否實際應用到相應的接口的進或出方向。

以CiscoI0S為例，輸入命令""Showrunning-config"，檢查配置文件中訪問控制策略設備訪問控制策略具體如下：

access-list100permittcp55host0eq3389

access-list100permittcp0.0.0.255host1eq3389

access-list100denyipanyany

interfaceGigabitEthernet1/1

ipaccess-group100inb)應刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化根據(jù)實際業(yè)務需求配置訪問控制策略，僅開放業(yè)務必須的端口，禁止配置全通策略，保證邊界訪問控制設備平安策略的有效性。不同訪問控制策略之間的邏輯關系應合理，訪問控制策略之間不存在相互沖突，重疊或包含的情況;同時，應保障訪問控制規(guī)則數(shù)量最小化。1)應訪談平安管理員訪問控制策略配置情況,核查相關平安設備的訪問控制策略與業(yè)務及管理需求的一致性，結合策略命中數(shù)分析策略是否有效

2)應檢查訪問控制策略中是否已禁止了全通策略或端口、地址限制范圍過大的策略。

3)應核查設備的不同訪問控制策略之間的邏輯關系是否合理。

以CiscoIOS為例，輸入命令〞showrunning-config“,檢查配置文件中訪問控制列表配置項1)訪問控制需求與策略保持一致

2)應合理配置訪問控制策略的優(yōu)先級，如

access-list100permittcp192.168.255.255host0

access-list100denytcp192.168.1.00.0.0.255host0

上述訪問控制策略排列順序不合理,第二條策略應在前面,否則不能被命中

3)應禁用全通策略，如access-list100permittcpanyhostanyeqany

4)應合并相互包含的策略，如:

access-list100permittcp.55host0

access-list100permittcp.55host0

第二條策略不起作用，可直接刪除c)應對源地址、目的地址，源端口、目的端口和協(xié)議等進行檢查，以允許/拒絕數(shù)數(shù)據(jù)包進出應對網絡中網閘、防火墻、路由器、交換機和無線接入網關等提供訪問控制功能的設備或相關組件進行檢查，訪問控制策略應明確源地址、目的地址,源端口、目的端口和協(xié)議，以允許/拒絕數(shù)據(jù)包進出應核查設備中訪問控制策略是否明確設定了源地址、目的地址、源端口、目的端只和協(xié)議等相關配置參數(shù)。

以CisoIOS為例拒絕所有從到的ftp通信流量通過F0/0接口，輸入命令：〞showrunning-config“,檢查配置文件中訪問控制列表配置項檢查配置文件中是否存在類似如下配置項：

access-list101denytcp.55.55eq21

access-list101permitipanyany

interfacefastetnernet0/0

ipaccess-group101outd)應能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力防火墻能夠根據(jù)數(shù)據(jù)包的源地址、目標地址、協(xié)議類型、源端口、目標端口等對數(shù)據(jù)包進行控制，而且能夠記錄通過防火墻的連接狀態(tài)，直接對包里的數(shù)據(jù)進行處理。防火墻還應具有完備的狀態(tài)檢測表來追蹤連接會話狀態(tài)，并結合前后數(shù)據(jù)包的關系進行綜合判斷，然后決定是否允許該數(shù)據(jù)包通過，通過連接狀態(tài)進行更迅速更平安地過濾應核查狀態(tài)檢測防火墻訪問控制策略中是否明確設定了源地址、目的地址、源端口、目的端口和協(xié)議

以CiscoIOS為例，輸入命令:showrunning0-config.檢查配置文件中應當存在類似如下配置項:

access-list101permittcp.55host00eq21

access-list101permittcp55host0eq80

access-list101denyipanyanye)應對進出網絡的數(shù)據(jù)流實現(xiàn)基于應用協(xié)議和應用內容的訪問控制在網絡邊界采用下-代防火墻或相關平安組件,實現(xiàn)基于應用協(xié)議和應用內容的訪問控制1)應核查在關鍵網絡節(jié)點處是否部署訪問控制設備

2)應檢查訪問控制設備是否配置了相關策略，對應用協(xié)議、應用內容進行訪問控制，并對策略有效性進行測試防火墻配置應用訪問控制策略，從應用協(xié)議、應用內容進行訪問控制，對QQ聊天工具、優(yōu)酷視頻以及各、Web效勞、FTP效勞等進行管控入侵防范a)應在關鍵網絡節(jié)點處檢測、防止或限制從外部發(fā)起的網絡攻擊行為要維護系統(tǒng)平安，必須進行主動監(jiān)視，以檢查是否發(fā)生了入侵和攻擊。監(jiān)視入侵和平安事件既包括被動任務也也包括主動任務。很多入侵都是在發(fā)生攻擊之后，通過檢查日志文件才檢測到的。這種攻擊之后的檢測通常被稱為被動入侵檢測;只有通過檢查日志文件，攻擊才得以根據(jù)日志信息進行復查和再現(xiàn)。其他入侵嘗試可以在攻擊發(fā)生的同時檢測到，這種方法稱為〞主動“入侵檢測，它會查找的攻擊模式或命令，并阻止這些命令的執(zhí)行。

完整的入侵防范應首先實現(xiàn)對事件的特征分析功能，以發(fā)現(xiàn)潛在的攻擊行為，應能發(fā)現(xiàn)目前主流的各種攻擊行為，如端口掃描、強力攻擊、木馬后門攻擊、拒絕效勞攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等。

目前對入侵防范的實現(xiàn)主要是通過在網絡邊界部署包含入侵防范功能的平安設備，如抗APT攻擊系統(tǒng)、網絡回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊系統(tǒng)、入侵檢測系統(tǒng)(IDS)，入侵防御系統(tǒng)(IPS)、包含入侵防范模塊的多功能平安網關(UTM)等。

為了有效檢測，防止或限制從外部發(fā)起的網絡攻擊行為，應在網絡邊界、核心等關鍵網絡節(jié)點處部署IPS等系統(tǒng)，或在防火墻、UTM啟用入侵防護功能1)應核查相關系統(tǒng)或設備是否能夠檢測從外部發(fā)起的網絡玫擊行為

2)應核查相關系統(tǒng)或設備的規(guī)則庫版本是否已經更新到最新版本

3)應核查相關系統(tǒng)或設備配置信息或平安策略是否能夠覆蓋網絡所有關鍵節(jié)點

4)應測試驗證相關系統(tǒng)或設備的平安策略是否有效1)相關系統(tǒng)或設備有檢測到外部發(fā)起攻擊行為的信息;

2)相關系統(tǒng)或設備的規(guī)則庫進行了更新，更新時間與測評時間較為接近

3)配置信息、平安策略中制定的規(guī)則覆蓋系統(tǒng)關鍵節(jié)點的IP地址等

4)監(jiān)測到的攻擊日志信息與平安第略相符b)應在關鍵網絡節(jié)點處檢測、防止或限制從內部發(fā)起的網絡政擊行為為了有效檢測、防止或限制從內部發(fā)起的網絡攻擊行為，應在網絡邊界、核心等關鍵網絡節(jié)點處部署IPS等系統(tǒng)，或在防火墻、UTM啟用入侵防護功能1)應核查相關系統(tǒng)或設備是否能夠檢測到從內部發(fā)起的網絡攻擊行為

2)應核查相關系統(tǒng)或設備的規(guī)則庫版本是否已經更新到最新版本

3)應核查相關系統(tǒng)或設備配置信息或平安策略是否能夠覆蓋網絡所有關鍵節(jié)點

4)應測試驗證相關系統(tǒng)或設備的平安策略是否有效1)相關系統(tǒng)或設備有檢測到外部發(fā)起攻擊行為的信息;

2)相關系統(tǒng)或設備的規(guī)則庫進行了更新，更新時間與測評時間較為接近

3)配置信息、平安策略中制定的規(guī)則覆蓋系統(tǒng)關鍵節(jié)點的IP地址等

4)監(jiān)測到的攻擊日志信息與平安策略相符的c)應在關鍵網絡節(jié)點處檢測、防止或限制從內部發(fā)起的網絡政擊行為為了有效檢測、防止或限制從內部發(fā)起的網絡功擊行為，應在網絡邊界、核心等關鍵網絡節(jié)點處部署IPS等系統(tǒng)，或在防火墻，UTM啟用入侵防護功能1)應核查相關系統(tǒng)或設備是否能夠檢測到從內部發(fā)起的網絡攻擊行為

2)應核查相關系統(tǒng)或設備的規(guī)則庫版本是否已經更新到最新版本

3)應核查相關系統(tǒng)或設備配置信息或平安策略是否能夠覆蓋網絡所有關鍵節(jié)點

4)應測試驗證相關系統(tǒng)或設備的平安策略是否有效1)相關系統(tǒng)或設備有檢測到內部發(fā)起攻擊行為的信息

2)相關系統(tǒng)或設備的規(guī)則庫進行了更新，更新時間與測評時間較為接近

3)配置信息、平安策略中制定的規(guī)則覆蓋系統(tǒng)關鍵節(jié)點的IP地址等

4)監(jiān)測到的攻擊日志信息與平安策略相符d)應采取技術措施對網絡行為進行分析，實現(xiàn)對網絡攻擊特別是新型網絡攻擊行為的分析部署網絡回溯系統(tǒng)或抗APT攻擊系統(tǒng)等實現(xiàn)對新型網絡攻擊行為進行檢測和分析1)應核查是否部署回溯系統(tǒng)或抗APT攻擊系統(tǒng)，實現(xiàn)對新型網絡攻擊行為進行檢測和分析

2)應核查相關系統(tǒng)或設備的的規(guī)則庫版本是否已經更新到最新版本

3)應測試驗證是否對網絡行為進行分析，實現(xiàn)對網絡攻擊特別是未知的新型網絡攻擊的檢測和分析1)系統(tǒng)內部署網絡回溯系統(tǒng)或抗APT攻擊系統(tǒng)，系統(tǒng)內包含對新型網絡攻擊的檢測和分析功能

2)網絡回溯系統(tǒng)或抗APT攻擊系統(tǒng)的規(guī)則庫進行了更新，更新時間與測評時間較為接近

3)經測試驗證系統(tǒng)可對網絡行為進行分析，且能夠對未知新型網絡攻擊檢測和分析e)當檢測到攻擊行為時，記錄攻擊源P、攻擊類型、攻擊目標、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。為了保證系統(tǒng)受到攻擊時能夠及時準確的記錄攻擊行為并進行平安應急響應，當檢測到攻擊行為時，應對攻擊源IP、攻擊類型、攻擊目標和攻擊時間等信息進行日志記錄。通過這些日志記錄，可以對攻擊行為進行審計分析。當發(fā)生嚴重入侵事件時，應能夠及時向有關人員報警，報警方式包括短信、郵件等。1)訪談網絡管理員和查看網絡拓撲結構，查看在網絡邊界處是否部署了包含入侵防范功能的設備。如果部署了相應設備，則檢查設備的日志記錄,查看是否記錄了攻擊源IP、攻擊類型、攻擊目的和攻擊時間等信息，查看設備采用何種方式進行報警

2)應測試驗證相關系統(tǒng)或設備的報警策略是否有效1)相關具有入侵防范功能的設備日志記錄了攻擊源IP、攻擊類型、攻擊目標、攻擊時間等信息

2)設備的報警功能已開啟且處于正常使用狀態(tài)惡意代碼和垃圾郵件防范a)應在關鍵網絡節(jié)點處對惡意代碼進行檢測和去除,并維護惡意代碼防護機制的升級和更新計算機病毒、木馬和蠕蟲的泛濫使得防范惡意代碼的破壞顯得尤為重要。惡意代碼是指懷有惡意目的可執(zhí)行程序。目前惡意代碼主要都是通過網頁、郵件等網絡載體進行傳播。因此在網絡邊界處部署防惡意代碼產品進行惡意代碼防范是最為直接和高效的方法。

防惡意代碼產品目前生要包括防病毒網關，包含防病毒模塊的多功能平安網關等產品。其至少應具備的功能包括:對惡意代碼的分析檢查能力，對惡意代碼的去除或阻斷能力，以及發(fā)現(xiàn)惡意代碼后記錄日志和審計，并包含對惡意代碼特征庫的升級和檢測系統(tǒng)的更新能力。

惡意代碼具有特征變化快的特點。因此對于惡意代碼檢測重要的特征庫更新，以及監(jiān)測系統(tǒng)自身的更新，都非常重要。

產品應具備通過多種方式實現(xiàn)惡意代碼特征庫和檢測系統(tǒng)更新的能力。如自動遠程更新，手動選程更新，手動本地更新等方1)應訪談網絡管理員和檢查網絡拓結構，查看在網絡邊界處是否部署了防惡意代碼產品。如果部署了相關產品，則查看是否啟用了惡意代碼檢測并查看白志記錄中是否有相關阻斷信息

2)應訪談網絡管理員，是否對防惡意代碼產品的特征庫進升級及具體的升級方式，并登錄相應的防惡意代碼產品，核查其特征庫升級情況，當前是否為最新版本

3)應測試驗證相關系統(tǒng)或設備的平安策略是否有效1)在網絡邊界處及部署防惡意代碼產品或組件，防惡意代碼的功能正常開啟且具有對惡意代碼檢測和去除的功能

2)防惡意代碼的特征庫進行了開級，且升級時間與測評時間較為接近b)應在關鍵網絡節(jié)點處對垃圾郵件進行檢測和防護并維護垃圾郵件防護機制的升級和更新垃圾郵件是指電子郵件使用者事先未提出要求或同意接收的電子郵件,應部署相應設備或系統(tǒng)對垃圾郵件進行識別和處理，包括部署透明的防垃圾郵件網關?；谵D發(fā)的防垃圾郵件系統(tǒng)、安裝于郵件效勞器的防垃圾郵件軟件，以及與郵件效勞器一體的防垃圾郵件的郵件效勞器等，并保證規(guī)則庫已經更新到最新1)應核查在關鍵網絡節(jié)點處是否部署了防垃圾郵件設備或系統(tǒng)

2)應核查防垃圾郵件產品運行是否正常，防垃投郵件規(guī)則庫是否已經更新到最新。

3)應測試驗證相關系統(tǒng)或設備的平安策略是否有效1〕在網絡關鍵節(jié)點處部署了防垃投郵件設備的產品或組件，防垃級郵件設備的功能正常開啟

2)防垃報郵件防護機制的進行了升級和更新，且升級時間與測評時間較為接近

3)測試結果顯示系統(tǒng)或設備能夠對垃圾郵件成功的阻斷平安審計a)應在網絡邊界、重要網絡節(jié)點進行平安審計，審計覆蓋到每個用戶，對重要的用戶行為和重要平安事件進行審計為了對重要用戶行為和重要平安事件進行審計,需要在網絡邊界部署相關系統(tǒng)，啟用重要網絡節(jié)點日志功能，將系統(tǒng)日志信息輸出至各種管理端口、內部緩存或者日志效勞器1)核查是否部署了綜合平安審計系統(tǒng)或類似功能的系統(tǒng)平臺

2)核查平安審計范圍是否覆蓋到每個用戶并對重要的用戶行為和重要平安事件進行了審計1)在網絡邊界處、重要網絡節(jié)點處部界了審計設備

2〕審計的范圍能夠覆蓋到每個用戶，且審計記錄包合了重要的用戶行為和重要平安事件b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息審計記錄包含內容是否全面將直接影響審計的有效性，網絡邊界處和重要網絡節(jié)點的日志審計內容應記錄事件的時間、類型、用戶、事件類型、事件是否成功等必要信息核查審計記錄信意是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。

-般來說，對于主流路由器和交換機設備，可以實現(xiàn)對系統(tǒng)錯誤、網絡和接口的變化、登錄失敗、ACL匹配等進行審計，審計內容向括了時間、類型、用戶等相關信息。因此，只要這些路由器和交換機設備啟用審計功能就能符合該項要求。但對于防火墻等平安設備來說，由于其訪同控制策略命中日志需要手動啟用，因此應重點核查其訪問控制策命中日志是否啟用審計記錄包含了事件的日期和時間、用戶、事件類型、事件是否成功等信息c)應對審計記錄進行保護，定期備份，防止受到未預期的刪除、修改或覆蓋審計記錄能夠幫助管理人員及時發(fā)現(xiàn)系統(tǒng)運行狀況和網絡攻擊行為，因此需要對審計記錄實施技術上和管理上的保護，防止未授權修改、刪除和破壞?？梢栽O置專門的日志效勞器來接收設備發(fā)送出的報警信息。非授權用戶(審計員除外)無權刪除本地和日志效勞器上的審計記錄1)核查是否采取了技術措施對審計記錄進行保護

2)核查審計記錄的備份機制和備份策略是否合理1)審計系統(tǒng)開啟了日志外發(fā)功能，日志轉發(fā)至日志效勞器

2)審計記錄存儲超過6個月以上d)應能對遠程訪問的用戶行為、訪問互聯(lián)網的用戶行為等單獨進行行為審計和數(shù)據(jù)分析對于遠程訪問用戶，應在相關設備上提供用戶認證功能。通過配置用戶、用戶組，并結合訪問控制規(guī)則可以實現(xiàn)對認證成功的用戶允許訪問受控資源。此外，還需對內部用戶訪問互聯(lián)網的行為進行審計分析核查是否對遠程訪問用戶及互聯(lián)風訪問用戶行為單獨進行審計分析，并核查審計分析的記錄是否包含了用于管理遠程訪同行為、訪問互聯(lián)網用戶行為必要的信息在網絡邊界處的審計系統(tǒng)對遠程訪問的用戶行為進行了審計,審計系統(tǒng)對訪問互聯(lián)網的行為進行了單獨的審計可信驗證可甚于可信根對邊界設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應用程序等進行可信驗證，并在應用程序的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至平安管理中心邊界設備可能包括網閘、防火墻、交換機、路由器或其他邊界防護設備等，通過設備的啟動過程和運行過程中對預裝軟件(包括系統(tǒng)引導程序、系統(tǒng)程序、相關應用程序和重要配置參數(shù))的完整性驗證或檢測，確保對系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和關鍵應用程序的篡改行為能被發(fā)現(xiàn)，并報警便于后續(xù)的處置動作1)應核查是否基于可信根對設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和關鍵應用程序等進行可信驗證

2)應核查是否應用程序的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證3)應測試驗證當檢測到設備的可信性受到破壞后是否進行報警

4)應測試驗證結果是否以審計記錄形式送至平安管理中心

(3.6)1)邊界設備〔網閘、防火墻、交換機、路由器或其他邊界防護設備〕具有可信根芯片或硬件

2)啟動過程基于可信根對系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和關鍵應用程序等進行可信驗證度量

3)在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至平安管理中心

4)平安管理中心可以接收設備的驗證結果記錄

(3.6)平安計算環(huán)境控制點平安要求要求解讀測評方法預期結果或主要證據(jù)身份鑒別a)應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換一般來說，用戶登錄路由器的方式包話:利用控制臺端口(Console)通過串口進行本地登錄連接。利用輔助端口(AUX)通過Modem進行遠程撥號連接登錄或者利用虛擬終端〔VTY〕通過TCP/IP網絡進行TelnetT登錄等。無論是哪一種登錄方式，都需要對用戶身份進行鑒別，口令是路由器用來防止非受權訪問的常用手段，是路由器本身平安的一局部，因此需要加強對路由器口令的管理,包括口令的設置和存儲，最好的口令存儲方法是保存在TACACS+或RADIUS認證效勞器上。管理員應當依據(jù)需要為路由器相應的端口加上身份簽別最根本的平安控制。

路由器不允許配置用戶名相同的用戶，同時要防止多人共用一個賬戶，實行分賬戶管理，每名管理員設置一個單獨的賬戶，防止出現(xiàn)問題后不能及時進行追查。

為防止身份鑒別信息被冒用，可以通過采用今牌、認證效勞器等措施，加強身份鑒別信息的保護。如果僅僅基于口令的身份鑒別，應當保證口令復雜度和定期更改的要求。

使用“servicepassword-encryption"命令對存儲在配置文件中的所有口令和類似數(shù)據(jù)進行加密，防止通過讀取配置文件而獲取口令的明文1)應核查用戶在登錄時是否采用了身份簽別措施

2)應核查用戶列表，測試用戶身份標識是否具有唯一性

以華為路由器為例，輸入“displaycurrent-configuration"命令

3)應核查用戶配置信息或訪談系統(tǒng)管理員，核查是否不存在空口令用戶

4)應核查用戶鑒別信息是否具有復雜度要求并定期更換1、

a、路由器使用口令鑒別機制對登錄用戶進行身份標識和鑒別

b、登錄時提示輸入用戶名和口令:以錯誤口令或空口令登錄時提示登錄失敗，驗證了登錄控制功能的有效性

C、路由器中不存在密碼為空的用戶

2、

Cisco:輸入showrun命令，存在如下類似用戶列表配置:

usernameadminprivilege15password0xxxxxxxxx

usernameauditprivilege10password0xxxxxxxxx

或啟用AAA效勞器進行身份認證

aaanew-model

aaaauthenticationlogindefaultgrouptacacs+localenable

aaaauthenticationenabledefaultgrouptacacs+enable

華為/H3C:輸入displaycurrent-configuration命令，存在如下類似用戶列表配置:

local-usernetadminpasswordirreversible-cipherxxxxxx

或啟用AAA效勞器進行身份認證

hwtacacsschemexxxxx

primaryauthenticationxxxxx

primaryauthorizationxxxxx

primaryaccountingxxxxx

keyauthenticationcipherxxxxx

keyauthorizationcipherxxxxx

keyaccountingcipherxxxxx

3、

Cisco:輸入showrun命今，存在如下類似配置:

usernameadminprivilege15password0xxxxxxxxx

usermameauditprivilege10password0xxxxxxxxx

華為/H3C:輸入diplaycurrent-configuration命令,查看是否存在如下類似配置:

local-usernetadminpasswordirreversible-cipherxxxxx

4、

口今組成:應由數(shù)字、字母、特殊字符組成

口今長度:應大于8位

口令更換周期:口今一般三個月?lián)Q一次

H3C:輸入displaypassward-control,查看是否存在如下配置：

passward-controlaging90

passward-controllength8

passward-controlhistory10

passward-controlcompositiontype-number3type-length4

H3C:輸入diplaypassword-control命令,查看是否存在如下配置:

password-controlaging90

password-controllength8

password-controlhistory10

password-controlcompositiontype-number3typelength4b)應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關措施可以通過配置結束會話、限制管理員的最大登錄失敗次數(shù)、網絡連接超時自動退出等多種措施實現(xiàn)登錄失敗處理功能。例如，可以利用“exec-timeout"命令.配置VTY的超時。防止一個空閑的任務一直占用VTY，從而防止惡意的攻擊或遠端系統(tǒng)的意外崩潰導致的資源獨占。設置管理員最大登錄失敗次數(shù)，一旦該管理員的登錄失敗次數(shù)超過設定數(shù)值，系統(tǒng)將對其進行登錄鎖定，從而防止非法用戶通過暴力破解的方式登錄到路由器1)應核查是否配置并啟用了登錄失敗處理功能:如果網絡中部署堡壘主機，先核查堡壘主機是否具有登錄失敗處理功能，如果沒有部署堡壘主機，則設置默認登錄失敗3次，退出登錄界面

2)應核查是否配置并啟用了限制非法登錄到達一定次數(shù)后實現(xiàn)賬戶鎖定功能

3)應核查是否配置并啟用了遠程登錄連接超時并自動退出功能

以華為路由器為例，設置超時時間為5分鐘，輸入"displaycurrent-configuration〞命令，在VTY下查看是否存在如下類似配置:

linevty04

access-list101in

transportinputssh

idle-timeout51.網絡設備默認啟用登錄失敗處理功能。

2.堡壘機設置限制非法登錄到達一定次數(shù)后實現(xiàn)賬戶鎖定功能或

a、H3C:輸入displaypassword-control

存在如下配置：password-controllogin-attempt3exceedlocktime360

b、Cisco華為路由器連續(xù)d登錄5次鎖定10分鐘

3、堡壘機啟用選程登錄連接超時并自動退出功能

或

Ciso路由器:輸入showrun命今，存在如下類似配置:

exec-timcout20

華為/H3C路由器:

輸入displaycurrent-configuration命令,存在如下類似配置

idle-timeout20c)當進行遠程管理時，應采取必要措施、防止鑒別信息在網絡傳輸過程中被竊聽當對網絡設備進行遠程管理時，為防止口令傳輸過程中別竊取，不應當使用明文傳送的Telnet效勞，而應當采用SSH、ITTPS等加密協(xié)議等方式進行交互式管理應核查是否采用加密等平安方式對系統(tǒng)進行遠程管理，防止鑒別信息在網絡傳輸過程中被竊聽。如果網絡中部署堡壘主機，先核查堡壘主機采用何種措施在進行遠程登錄時，防止鑒別信息在網絡傳輸過程中被竊聽，如SSH等方式Cisco：輸入showrun命令，存在如下類似配置:

Router1#configureterminal

Router1(config)#hostnameRouter1

Router1(config#ipdomainnamenetRouterl(config)#cryptokeygeneratersa

.........

Howmanybitsinthemodulus[512]:1024

Router1(config)#ipsshtime-out120

Router1(config)#ipsshauthentcation-retries4

Router1(config)#linevty04

Router1(config)#transportinputsh

華為H3C:輸入diSplaycurent-configuration命令，存在如下類似配置:

local-usertestpasswordcipher456%&ET

service-typesshlevel3

sshusertestauthenticationtypepassword

User-interfacevty04

Protocolinboundsshd)應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現(xiàn)采用雙因子鑒別是防止欺騙的有效方法，雙因子鑒別不僅要求訪問者知道一些鑒別信息，還需要訪問者擁有鑒別特征，例如采用令牌、智能卡等應核查系統(tǒng)是否采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶身份進行鑒別除口令之外，采用了另外一種鑒別機制，此機制采用了密碼技術，如調用了密碼機或采取SM1-SM4等算法訪問控制a)應對登錄的用戶分配賬戶和權限為了確保交換機的平安，需要對登錄的用戶分配賬戶，并合理配置賬戶權限。例如，相關管理人員具有與職位相對應的賬戶和權限1)應訪談網絡管理員、平安管理員、系統(tǒng)管理員或核查用戶賬戶和權限設置情況

2)應核查是否已禁用或限制匿名、默認賬戶的訪問權限1、相關管理人員具有與職位相對應的賬戶和權限

2、網絡設備中已禁用或限制匿名、默認賬戶的訪問權限b)應重命名或刪除默認賬戶，修改默認賬戶的默伙口令對于路由器的默認賬戶，由于他們的某些權限與實際要求可能存在差異，從而造成平安隱患，因此這些默認賬戶應被禁用，并且應不存在默認賬戶admin.huawei及默認口令1、使用默認賬戶和默認口令無法登錄路由器

2、Cisco路由器不存在默認賬戶cisco.Cisco

華為H3C交換機不存在默認賬戶admin,huaweic)應及時刪除或停用多余的、過期的賬戶，防止共享賬戶的存在路由器中如果存在多余的、過期的賬戶，可能會被攻擊者利用其進行非法操作的風險，因此應及時清理路由器中的賬戶，刪除或停用多余的賬戶1〕應核查是否不存在多余的或過期的賬戶，管理員用戶與賬戶之間是否一一對應

2)應核查并測試多余的、過期的賬戶是否被刪除或停用

思科:輸入showrun命令，查看每條如下類似命令所配置的用戶名是否確實必要：

usernameXXXXXXXXprivilegexxpasswordXXXXXXXX

華為/H3C:輸入displaycurrent-configuration命令，查看每條如下類似命令所配置的用戶名是否確實必要：

local-userxxxxxprivilegelevelx1、Ciso:輸入showrun命令，查看每條如下類似命令所配置的用戶名是否確實必要：

usernameXXXXXXXXprivilegexxpasswordXXXXXXXX

華為/H3C:輸入displaycurrent-configuration命令，查看每條如下類似命令所配置的用戶名是否確實必要：

local-userxxxxxprivilegelevelx

或

local-userxxxxx

passwordprivilegexxxxxxx

servicetypexxxxx

levelx

2、網絡管理員、平安管理員和系統(tǒng)管理員不同用戶采用不同賬戶登錄系統(tǒng)d)應授予管理用戶所需的最小權限，實現(xiàn)管理用戶的權限別離根據(jù)管理用戶的角色對權限進行細致的劃分，有利于各崗位細致協(xié)調工作，同時僅授予管理用戶所需的最小權限，防止出現(xiàn)權限的漏洞使得一些高級用戶擁有過大的權限。例如，進行角色劃分，分為網絡管理員、平安管理員、系統(tǒng)管理員三個角色，并設置對應的權限1)應核查是否進行角色劃分，如劃分為網絡管理員，平安管理員、系統(tǒng)管理員等角色

2)應核查訪問控制策略，查看管理用戶的權限是否已進行別離

3)應核查管理用中權限是否為其工作任務所需的最小權1、訪談管理員，進行角色劃分，分為網絡管理員，平安管理員、系統(tǒng)管理員三個角色，并設置對應的權限

2、Cisco路由器:輸showrun命令，存在如下類似配置:

usernameadminprivilege15password0xxxxxxxx

usermameauditprivilege10password0xxxxxxxx

usernameoperatorprivilege7password0xxxxxxxx

華為/H3C交換機;輸入displaycurrent-configuration命令,存在如下類似配置:

local-useruserl

service-typetelnet

userpriviledelevel2

#

local-useruser2

service-typeftp

userpriviledelevel3

3.網絡管理員、平安管理員、系統(tǒng)管理員對應的賬戶為其工作任務所需的最小權限d)應由授權主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則訪問控制策略由授權主體進行配置，它規(guī)定了主體可以對客體進行的操作，訪問控制粒度要求主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表級此項不適合，條款主要針對主機和數(shù)據(jù)庫的測評，網絡設備主要用戶為運維管理人員，無其他用戶此項不適合，條款主要針對主機和數(shù)據(jù)庫的測評，網絡設備主要用戶為運維管理人員，無其他用戶e)訪問控制的粒度應到達主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表級訪問控制策略由授權主體進行配置，它規(guī)定了主體可以對客體進行的操作、訪問控制粒度要求主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表統(tǒng)，此項不適合，條款主要針對主機和數(shù)據(jù)庫的測評，網絡設備主要用戶為運維管理人員，無其他用戶此項不適合，條款主要針對主機和數(shù)據(jù)庫的測評，網絡設備主要用戶為運維管理人員，無其他用戶f)應對重要主體和客體設置平安標記，并控制主體對有平安標記信息資源的訪問敏感標記是強制訪問控制的依據(jù)，主客體都有,它存在的形式無所謂，可能是整形的數(shù)字，也可能是字母，總之它表示主客體的平安級別。敏感標記由平安管理員進行設置，通過對重要信息資源設置敏感標記，決定主體以何種權限對客體進行操作，實現(xiàn)強制訪問控制。此項不適合此項不適合平安審計a)應啟用平安審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要平安事件進行審計為了對網絡設備的運行狀況、網絡流量、管理記錄等進行檢測和記錄，需要啟用系統(tǒng)日志功能。系統(tǒng)日志中的每個信息都被分配了一個嚴重級別，并伴隨一些指示性問題或事件的描述信息。

交換機的系統(tǒng)日志信息通常輸出至各種管理端口、內部緩存或者日志效勞器,在缺省情況下，控制臺端口上的日志功能處于啟用狀態(tài)1〕應核查是否開啟了平安審計功能；網絡設備設置日志效勞器IP地址，并使用syslog方式或者SMP方式將日志發(fā)送到日志效勞器

2)應核查平安審計范圍是否覆蓋到每個用戶

3)應核查是否對重要的用戶行為和重要平安事件進行審計Cisco:網絡設備設置日志效勞器，并使用syslog方式或者SMP方式將日志發(fā)送到日志效勞器，

通過輸入'showrun〞命令,存在如下類似配置：

loggingon

loggingtrapdebugging

loggingfacilityIocal6

loggingx.x.x.x

Servicetimestampslogdatetime

華為/H3C:網絡設備設置日志效勞器，并使用Syslog方式或者SNMP方式將日志發(fā)送到日志效勞器，

通過輸入〞displaycurrent-configuration“命令，存在如下類似配置：

Info-centerenable

Info-centerloghostsourcevlan-interface3

Info-centerloghostfacilitylocal1

Info-centersourcedefaultchannel2loglevelwarning

Snmp-agent

snmp-agenttrapenablestandardauthentication

snmp-agenttarget-hosttrapaddressudp-domainparamssecuritynamepublicb)審計記錄應包括事件的日期和時間，用戶、事件類型，事件是否成功及其他與審計相關的信息對于交換機設備，日志審計內容需要記錄時間、類型、用戶、事件類型、事件是否成功等相關信息應核查審計記錄信息是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息日志信息中包含事件的日期和時間用戶、事件類型、事件是否成功及其他與審計相關的信息c)應對審計記錄進行保護，定期備份，防止受到未預期的刪除、修改或覆蓋等審計記錄能修幫助管理人員及時發(fā)現(xiàn)系統(tǒng)運行狀況和網絡攻擊行為，因此需要對審計記錄實施技術上和管理上的保護，歷正未授權修改、刪除和破壞訪談審計記錄的存儲、備份和保護的措施，是否將交換機日志定時發(fā)送到日志效勞器上等，并使用syslog方式或SNMP方式將日志發(fā)送到日志效勞器。

如果部署了日志效勞器,登錄日志效勞器查看被測交換機的日志是否在收集的范圍內網絡設備的日志信息定期轉發(fā)至日志效勞器，日志效勞器上可查看到半年前的審計記錄

d)應對審計進程進行保護，防止未經授權的中斷保護好審計進程，當平安事件發(fā)生時能夠及時記錄事件發(fā)生的詳細內容,非審計員的其他賬戶不能中斷審計進程應測試通過非審計員的其他賬戶來中斷審計進程，驗證審計進程是否受到保護非審計員的其他賬戶來不能中斷審計進程入侵防范a)應遵循最小安裝的原則僅安裝需要的組件和應用程序遵循最小安裝原則，僅安裝需要的組件和應用程序，能夠極大的降低遭受攻擊的可能性。及時更新系統(tǒng)補丁，防止遭受由于系統(tǒng)漏洞帶來的風險此項不適合，該項要求一般在效勞器上實現(xiàn)此項不適合，該項要求一般在效勞器上實現(xiàn)b)應關閉不需要的系統(tǒng)效勞、默認共享和高危端口關閉不需要的系統(tǒng)效勞、默認共享和高危端口，可以有效降低系統(tǒng)遭受攻擊的可能性1〕應訪談系統(tǒng)管理員是否認期對系統(tǒng)效勞進行梳理，關閉了非必要的系統(tǒng)效勞和默認共享

2)應核查是否不存在非必要的高危端口Cisco:輸入showrun命令。根據(jù)實際網絡環(huán)境參考已經關閉不必要效勞:

noservicetcp-small-servers

noserviceudp-smal-servers.

nocdprun

nocdpenable

noipfinger

noservicefinger

noipbootpserver

noipsource-route

noipproxy-arp

noipdirected-broadcast

noipdomain-lookup

華為/H3C:輸入diplaycurrent-configuration命令，根據(jù)實際網絡環(huán)境參考已經關閉不必要效勞,例如：

pshutdownc)應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制為了保證平安，需要對通過VTY訪問網絡設備的登錄地址進行限制，防止未授權的訪問，可以利用ipaccess-class限制訪問VTY的IP地址范圍。同時，由于VTYs的數(shù)目有一定的限制，當所有的VTYs用完，就不能再建立遠程的網絡連接了。這就有可能被利用進行Dos(拒絕效勞攻擊)應核查配置文件是否對終端接入范圍進行限制。如果網絡中部署堡壘主機應先核查堡壘機是否限制管理終端地址范圍，同時核查網絡設備上是否僅配置位壘機的遠程管理地址，否則登錄設備進行核查:

Cisco路由器和路由器:輸入showrun命令;

華為/H3C路由器和路由器:輸入diplaycurrent-configuration命令堡壘機限制終端接入范圍。

或

Cisco路由器存在加不類似配置:

accesspermit0

access-list3denyanylog

linevty04

access-class3in

或

ipauthlocal

noaccess-list10

access-list10permit

access-list10denyany

ipaccess-class10

ipserver

華為/H3C:檢查配置信息中存在類似如下配置信息:

aclnumber2001

rule10permitsource.55

user-interfacevty04

acl2001inbound

authentication-modescheme

userprivilegelevel1d)應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內容符合系統(tǒng)設定要求本條款要求應用系統(tǒng)應對數(shù)據(jù)的有效性進行驗證，主要驗證那些通過人機接口(如程序的界面)輸入或通過通信接口輸入的數(shù)據(jù)格式或長度是否符合系統(tǒng)設定要求，防止個別用戶輸入畸形數(shù)據(jù)而導致系統(tǒng)出錯(如SQL注入攻擊等),人而影響系統(tǒng)的正常使用甚至危害系統(tǒng)的平安此項不適合，該項要求一般在應用層面上核查此項不適合，該項要求一般在應用層面上核查e)應能發(fā)現(xiàn)可能存在的漏洞，并在經過充分測試評估后，及時修補漏洞核查漏掃修補報告，管理員定期進行漏洞掃描。發(fā)現(xiàn)漏洞在經過充分測試評估后及時修補漏洞1)應進行漏洞掃描，核查是否不存在高風險漏洞

2)應訪談系統(tǒng)管理員，核查是否在經過充分測試評估后及時修補漏洞管理員定期進行漏洞掃描，發(fā)現(xiàn)漏洞，在經過充分測試評估后及時修補漏洞h)應能夠檢測到對重要節(jié)點進行入侵的行為，并在發(fā)生嚴重入侵事件時提供報警要維護系統(tǒng)平安，必須進行主動監(jiān)視，一般是在網絡邊界、核心等重要節(jié)點處部署IDS.IPS等系統(tǒng)，或在防火墻、UTM房用入侵檢測功能，以檢查息是否發(fā)生了入侵和攻擊此項不適合，該項要求一般在入侵防護系統(tǒng)上實現(xiàn)此項不適合，該項要求一般在入侵防護系統(tǒng)上實現(xiàn)惡意代碼防范應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷無論是Windows主機還是Linux主機，都面臨木馬、蠕蟲等病毒的破壞。因此一般的主機為防范病毒，均會安裝反病毒軟件，或者采用可信驗證機制對系統(tǒng)程序、應用程序等進行可信執(zhí)行驗證此項不適合，該項要求一般在效勞器上實現(xiàn)此項不適合，該項要求一般在效勞器上實現(xiàn)可信驗證可基于可信根對計算設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和應用程序等進行可信驗證，并在應用程序的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至平安管理中心設備應作為通信設備或邊界設備對待參見2.3和3.6可信驗證參見2.3和3.6可信強證身份鑒別a)應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換一般來說，用戶登錄交換機的方式包話:利用控制臺端口(Console)通過串口進行本地