发布时间 : 星期五 文章等保考试初级知识更新完毕开始阅读cf2c40d0960590c69ec3766a
等级保护(初级技术)安全测试学习笔记
第一章:网络安全测评:
标准概述:
测评过程中重点依据:
《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》来进行。 1、基本要求中网络安全的控制点与要求项各级分布为: 级别 控制点 要求项 第一级 3 9 第二级 6 18 第三级 7 33 第四级 7 32
2等级保护基本要求三级网络安全方面涵盖哪些内容 ?
共包含7个控制点33个要求项,涉及到网络安全中的结构安全、安全审计、边界完整性检查、入侵防范、恶意代码防范、访问控制、设备防护等方面。 检查范围:
理解标准、明确目的、分阶段进行、确定检查范围,细化检查项、 注意事项:
1、 考虑设备的重要程度可以采用抽取的方式。 2、 不能出现遗漏、避免出现脆弱点。
3、 最终需要在测评方案中与用户明确检查范围-网络设备,安全设备列表。
检查内容以等级保护基本要求三级为例,安全基本要求7个控制点33个要求项进行检查: 1、 结构安全 2、 访问控制 3、 安全审计
4、 边界完整性检查 5、 入侵防范 6、 恶意代码防范 7、 网络设备防护 条款理解:
(一) 结构安全:是网络安全测评检查的重点,网络结构是否合理直接关系到信息系统的整体安全。
1、 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。 条款理解:
为了保证信息系统的高可用性,主要网络设备的业务处理能力应具备冗余空间。 2、 应保证网络各个部分的带宽满足业务高峰期需要。
对网络各个部分进行分配带宽,从而保证在业务高峰期业务服务的连续性。 3、 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径: 静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够自动地建立自己的路由表。
路由器之间的路由信息交换是基于路由协议实现的,如OSPF路由协议是一种典型的链路状态的路由协议。
如果使用动态路由协议应配置使用路由协议认证功能,保证网络路由安全。 4、 应绘制与当前运行情况相符的网络结构图: 为了便于网络管理,应绘制与当前运行情况相符的网络拓扑结构图,当网络拓扑结构发生改变时,应及时更新
5、 应根据各个部门的工作职能,重要性和所设计信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网,网段分配地址段:
根据实际情况和区域安全防护要求,应在要求的网络设备上进行VLAN划分或子网划分 不同VLAN内的报分再传输时是相互隔离的,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备实现
6、 应避免将重要网段部署在网络边界处且直接连接到外部信息系统,重要网段与其他网段之间可采取可靠的技术隔离手段: 为了保证信息系统的安全,应避免将重要的网段部署在网络边界处且连接外部信息系统,防止来自外部信息系统的攻击
在重要的网段和其它网段之间配置安全策略进行访问控制
7、 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机:
为了保证重要业务的连续性,应按照业务服务的重要次序来指定带宽分配优先级别,从而保证在网络发生拥堵的时候优先保护重要主机
(二) 访问控制:访问控制是网络测评检查中的核心部分,涉及到大部分网络设备,安全设备。
8、 应在网络边界处部署访问控制设备,启用访问控制功能:
在网络边界部署访问控制设备防御来自其它网络的攻击,保护内部网络的安全
9、 应能根据会话状态信息为数据流提供明确的允许、拒绝访问的能力控制粒度为端口级: 在网络边界部署访问控制设备对进出网络的流量进行过滤,保护内部网络的安全 配置的访问控制列表应有明确的源/目的地址,源/目的协议及服务等 10、 应对进出网络的信息内容进行过滤,实线对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制:
对于一些常用的应用层协议,能够在访问控制设备上实现应用层协议命令的控制和内容检查,从而增强访问控制粒度 11、 应在会话处于非活跃一定时间或会话结束后终止网络连接: 当恶意用户进行网络攻击时,有时会建立大量的会话连接,建立会话后长时间保持保持状态连接从而占用大量的网络资源,最终将网络资源耗尽 应在会话终止或长时间无响应的情况下终止网络连接,释放被占用的网络资源,保证业务可以被正常访问 12、 应限制网络最大流量数及网络连接数:
可根据IP地址,端口,协议来限制应用数据流的最大流量,还可以根据IP地址来限制网络
连接数,从而保证业务带宽不被占用,业务系统可以对外正常提供业务 13、 重要网段应采取技术手段防止地址欺骗:
地址欺骗在网络安全中是比较重要的一个问题,这里的地址可以是MAC地址也可以是IP地址,在关键设备上采用IP/MAC地址绑定的方式防止地址欺骗 14、 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户:
对于远程拨号用户,应在相关设备上提供用户认证功能 通过配置用户,用户组,并结合访问控制规则可以实现对认证成功的用户允许访问受控制资源 15、 应限制具有拨号访问权限的用户数量:
应限制通过远程拨号方式或通过其他方式接入系统内部的用户数量
(三) 安全审计:安全审计要对相关时间进行日志记录,还要求对形成的记录能够分析,形成报表。 16、 应对网络系统中的网络设备运行状态,网络流量,用户行为等进行日志记录: 为了对网络设备的运行状况、网络流量、管理记录等进行检测和记录,需要启用系统日志功能,系统日志信息通常输出至各种管理端口、内部缓存或者日志服务器 17、 审计记录应包括:事件的日期和时间,用户,事件类型,事件是否成功及其他与审计相关的信息:
日志审计需要记录时间、类型、用户、时间、事件是否成功等相关信息 18、 应能够根据记录数据进行分析,并生成审计报表:
为了便于管理员能够及时准确地了解设备运行状况和发现网络入侵行为,需要对审计记录数据进行分析和生成报表 19、 应对审计记录进行保护,避免受到未预期的删除,修改和或覆盖等: 审计记录能够帮助管理人员及时发现运行状况和网络攻击行为,因此需要对审计记录实施技术上和管理上得保护,防止为授权修改、删除和破坏
(四) 边界完整性检查:边界完整性检查主要检查全网中对网络的连接状态进行监控,发现非法接入,非法外联时能够准确定位并及时报警和阻断。 20、 应能够对非授权设备私自联入内部网络的行为进行检查,准确定出位置,并对其进行有效阻断:
可以采用技术手段和管理措施对“非法接入”行为进行检查,技术手段包括网络接入控制,IP/MAC地址绑定 21、 应能够对内部网络用户私自联到外部网络的行为进行检查、准确定出位置、并对其进行有效阻断:
可以采用技术手段和管理措施对“非法外联”行为进行检查。技术手段可以采取部署桌面管理系统或其他技术实施控制
(五) 入侵防范:对入侵时间不仅能够检测,并能发出警报,对于近亲防御系统要求定期更新特征库,发现入侵后能够警报并阻断: 22、 应在网络边界处监视以下攻击行为:端口扫描,强力攻击,木马后门攻击,拒绝服务攻击,缓冲区溢出,IP碎片攻击和网络蠕虫攻击等: 要维护系统安全,必须在网络边界处对常见的网络攻击行为进行监视,以便及时发现攻击行为 23、 当检测到攻击行为时,记录攻击源IP,攻击类型,攻击目的,攻击时间,在发生严重入侵事件时提供报警:
当检测到攻击行为时,应对攻击信息进行日志记录,在发生严重入侵事件时应能通过短信、邮件等向有关人员报警
(六) 恶意代码防护:恶意代码防范是综合性的多层次的,在网络边界处需要对恶意代码进行防范。 24、 应在网络边界处对恶意代码进行检测和清除: 计算机病毒、木马和蠕虫的泛滥使得防范恶意代码的破坏显得尤为重要,在网络边界处部署防恶意代码产品进行恶意代码防范是最为直接和高效的办法 25、 应维护恶意代码的升级和检测系统的更新:、
恶意代码具有特征变化快,特征变化多的特点,因此对于恶意代码检测重要的特征库更新,以及监测系统自身的更新都非常重要
(七) 网络设备防护:网络设备的防护主要是对用户登录前后的行为进行控制,对网络设备的权限进行管理。 26、 应对登录网络设备的用户进行身份鉴别:
对于网络设备,可以采用CON、AUX、VTY等方式登录 对于安全设备,可以采用WEB、GUI、命令行等方式登录 27、 应对网络设备的管理员登录地址进行限制:
为了保证安全,需要对访问网络设备的登录地址进行限制,避免未授权的访问 28、 网络设备用户的标识应唯一:
不允许在网络设备上配置用户名相同的用户,要防止公用一个账户,实行分账户管理,每名管理员设置一个单独的账户,避免出现问题后不能及时进行检查 29、 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别: 采用双因子鉴别是防止身份欺骗的有效方法,双因子鉴别不仅要求访问者知道一些鉴别信息,还需要访问者拥有鉴别特征,例如采用令牌、智能卡等 30、 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换:
为避免身份身份鉴别信息被冒用,可以通过采用令牌、认证服务器等措施,加强身份鉴别信息的保护,如果仅仅基于口令的身份鉴别,应当保证口令复杂度和定期更改的要求