信息安全等级测评师考试重点梳理

信息安全等级测评师考试重点梳理

ID:9803676

大小:1.75 MB

页数:26页

时间:2018-05-10

信息安全等级测评师考试重点梳理_第1页
信息安全等级测评师考试重点梳理_第2页
信息安全等级测评师考试重点梳理_第3页
信息安全等级测评师考试重点梳理_第4页
信息安全等级测评师考试重点梳理_第5页
资源描述:

《信息安全等级测评师考试重点梳理》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第一章网络安全测评网络全局1.1结构安全(G3)a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b)应保证网络各个部分的带宽满足业务高峰期需要;c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;(静态路由,动态路由)d)应绘制与当前运行情况相符的网络拓扑结构图;e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;(VLAN划分)f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间

2、采取可靠的技术隔离手段;(在网络边界处部署:防火墙、网闸、或边界网络设备配置并启用acl)g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。(检查防火墙是否存在策略带宽配置)注释:1)静态路由是指由网络管理员手工配置的路由信息,当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工修改路由表中相关的静态路由信息。2)动态路由是指路由器能够自动地建立自己的路由表,并且能够根据实际情况的变化适时的进行调整。动态路由机制的运作依赖路由的两个基本功能:对路由表的维护和路由器之间适时的路由

3、信息交换。路由器之间的信息交换是基于路由协议实现的,如ospf路由协议是一种典型的链路状态路由协议,它通过路由器之间通告网络接口的状态,来建立链路状态数据库,生成最短路径树,每个ospf路由器使用这写最短路径构造路由表。如果使用动态路由协议应配置使用路由协议认证功能,保证网络路由安全。3)vlan是一种通过将局域网内的设备逻辑而不是物理划分成不同子网从而实现虚拟工作组的新技术。不同vlan内的报文在传输时是相互隔离的。如果不同vlan要进行通信,则需要通过路由器或三层交换机等三层设备实现。思科华为4)是否存在路由协议认证:sho

4、wrunning-configdisplaycurrent-configuration查看vlan划分情况:showvlandisplayvlanall1.2边界完整性检查(S3)a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;(技术手段:网络接入控制、关闭网络未使用的端口、ip/mac地址绑定;管理措施:进入机房全程陪同、红外视频监控)b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。(方法:非法外联监控功能、非法外联软件)261.3入侵防范(G3

5、)a)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;(入侵防范的技术:入侵检测系统IDS,包含入侵防范模块的多功能安全网关UTM)b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。(报警方式:短信、邮件、声光报警等)注释:1)入侵检测的分类:主动入侵检测、被动入侵检测。主动入侵检测:在攻击的同时检测到。它会查找已知的攻击模式或命令,并阻止这些命令的执行。被动入侵检测:攻击之后的检测。只有通过检查日志

6、文件,攻击才得以根据日志信息进行复查和再现。2)多功能安全网关的功能:防火墙、虚拟防火墙、入侵检测和防御、防病毒、防垃圾邮件、p2p流量控制、URL过滤等功能。1.4恶意代码防范(G3)a)应在网络边界处对恶意代码进行检测和清除。(防恶意代码产品:防病毒网关、包含防病毒模块的多功能安全网关、网络版防病毒系统等)b)应维护恶意代码库的升级和检测系统的更新。(更新方式:自动远程更新、手动远程更新、手动本地更新等)访问控制(G3)(路由器、交换机、防火墙、入侵检测系统/防御系统)a)应在网络边界部署访问控制设备,启用访问控制功能;(访

7、问控制设备:网闸、防火墙、路由器、三层路由交换机等)b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;(路由器通过配置合理的访问控制列表ACL)c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;(一般实现方式:防火墙)d)应在会话处于非活跃一定时间或会话结束后终止网络连接;(5一般在防火墙上实现)e)应限制网络最大流量数及网络连接数;(2一般在防火墙上实现)f)重要网段应采取技术手段防止地址欺骗;(3)g)应按用户和系统之间的允许

8、访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;(4)h)应限制具有拨号访问权限的用户数量。(路由或相关设备应提供限制具有拨号访问权限的用户数量的相关功能)注释:1)路由器上配置合理的访问列表为数据流提供明确的允许/拒绝访问的能力,对进出

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。