返回
网络安全测评主机安全测评.doc

网络安全测评主机安全测评.doc

ID:59434181

大小:1.67 MB

页数:14页

时间:2020-05-21

网络安全测评主机安全测评.doc_第1页
网络安全测评主机安全测评.doc_第2页
网络安全测评主机安全测评.doc_第3页
网络安全测评主机安全测评.doc_第4页
网络安全测评主机安全测评.doc_第5页
资源描述:

《网络安全测评主机安全测评.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络安全测评信息安全等级测评师培训--公安部信息安全等级保护评估中心--于东升内容目录1.前言2.检查范围3.检查内容4.现场测评步骤标准概述2007年43号文《信息安全等级保护管理办法》按照以下相关标准开展等级保护工作:《计算机信息系统安全保护等级划分准则》(GB17859-1999)《信息系统安全等级保护定级指南》(GB/T22240-2008)《信息系统安全等级保护基本要求》(GB/T22239-2008)《信息系统安全等级保护测评要求》(报批稿)《信息系统安全等级保护实施指南》(报批稿)测评过程中重点依据

2、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》来进行。基本要求中网络安全的控制点与要求项各级分布:级别控制点要求项第一级39第二级618第三级73第四级732等级保护基本要求三级网络安全方面涵盖哪些内容?共包含7个控制点33个要求项,涉及到网络安全中的结构安全、安全审计、边界完整性检查、入侵防范、恶意代码防范、访问控制、设备防护等方面。检查范围理解标准:理解标准中涉及网络部分的每项基本要求。明确目的:检查的最终目的是判断该信息系统的网络安全综合防护能力,如抗攻击能力、防病毒能力等等,不是单一的

3、设备检查。分阶段进行:共划分为4个阶段,测评准备、方案编制、现场测评、分析及报告编制。确定检查范围,细化检查项:l通过前期调研获取被测系统的网络结构拓扑、外连线路、网络设备、安全设备等信息。l根据调研结果,进行初步分析判断。l明确边界设备、核心设备及其他重要设备,确定检查范围。注意事项:l考虑设备的重要程度可以采用抽取的方式。l不能出现遗漏,避免出现脆弱点。l最终需要在测评方案中与用户明确检查范围-网络设备、安全设备列表。检查内容以等级保护基本要求三级为例,按照基本要求7个控制点33个要求项进行检查。一、结构安全

4、(7项)二、访问控制(8项)三、安全审计(4项)四、边界完整性检查(2项)五、入侵防范(2项)六、恶意代码防范(2项)七、网络设备防护(8项)检查内容分别介绍一、结构安全(7项)结构安全:是网络安全测评检查的重点,网络结构是否合理直接关系到信息系统的整体安全。条款解读a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;条款理解:为了保证信息系统的高可用性,主要网络设备的业务处理能力应具备冗余空间。检查方法:l访谈网络管理员,询问主要网络设备的性能及业务高峰流量。l访谈网络管理员,询问采用何种手段

5、对网络设备进行监控。b)应保证网络各个部分的带宽满足业务高峰期需要;条款理解:对网络各个部分进行分配带宽,从而保证在业务高峰期业务服务的连续性。检查方法:l询问当前网络各部分的带宽是否满足业务高峰需要。l如果无法满足业务高峰期需要,则需进行带宽分配。检查主要网络设备是否进行带宽分配。c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;条款理解:l静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够自动地建立自己的路由表。l路由器之间的路由信息交换是基于路由协议实现的,如OSPF路由协议是

6、一种典型的链路状态的路由协议。l如果使用动态路由协议应配置使用路由协议认证功能,保证网络路由安全。检查方法:检查边界设备和主要网络设备,查看是否进行了路由控制建立安全的访问路径。以CISCOIOS为例,输入命令:showrunning-config检查配置文件中应当存在类似如下配置项:iproute192.168.1.0255.255.255.0192.168.1.193(静态)routerospf100(动态)ipospfmessage-digest-key1md57XXXXXX(认证码)d)应绘制与当前运行情

7、况相符的网络拓扑结构图;条款理解:为了便于网络管理,应绘制与当前运行情况相符的网络拓扑结构图。当网络拓扑结构发生改变时,应及时更新。检查方法:检查网络拓扑图,查看其与当前运行情况是否一致。e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;条款理解:l根据实际情况和区域安全防护要求,应在主要网络设备上进行VLAN划分或子网划分。l不同VLAN内的报文在传输时是相互隔离的。如果不同VLAN要进行通信,则需要通过路由器或三层交换机等

8、三层设备实现。检查方法:访谈网络管理员,是否依据部门的工作职能、重要性和应用系统的级别划分了不同的VLAN或子网。以CISCOIOS为例,输入命令:showvlan检查配置文件中应当存在类似如下配置项:vlan2nameinfointe0/2vlan-membershipstatic2f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。