网络安全 - 通用网络设备测评指导书 - 三级 - 1.0版
- 格式:doc
- 大小:126.50 KB
- 文档页数:7
下载文档原格式
合集下载
LINU_操作系统安全测评指导书(三级)
操作系统安全测评指导书LINUX1 概述1.1 适用范围本测评指导书适用于信息系统等级为三级的主机Linux 操作系统测评。
1.2 说明本测评指导书基于《信息系统安全等级保护根本要求》的根底上进展设计。
本测评指导书是主机安全对于Linux 操作系统身份鉴别、访问把握、安全审计、剩余信息保护、备份与恢复安全配置要求,对Linux 操作系统主机的安全配置审计作起到指导性作用。
1.4 保障条件1)需要相关技术人员〔系统治理员〕的乐观协作2)需要测评主机的治理员帐户和口令3)提前备份系统及配置文件第2 页/共10 页序号测评指标测评项操作步骤预期记录实际状况记录1 身份鉴别(S3) a)应为操作系统的不同用户安排不同的用户名,确保用户名具有唯一性。
b)应对登录操作系统的用户进展身份标识和鉴别。
查看用户名与UIDcat /etc/passwd、cat /etc/shadow查看登录是否需要密码cat /etc/passwd、cat /etc/shadow分别查看用户名〔第1 列〕与UID〔第3 列〕是否有重复项全部用户具有身份标识和鉴别,用户密码栏项〔第2 项〕带有X,表示登陆都需要密码验证。
假设留空则表示空密码。
序号测评指标测评项操作步骤预期记录实际状况记录c)操作系统治理用户身份标识应具有不易被冒用的特点,系统的静态口令应在8 位以上并由字母、数字和符号等混合组成并每三个月更换口令。
①查看登录配置文件cat /etc/login.defs②查看密码策略配置文件(CentOS、Fedora、RHEL 系统)cat /etc/pam.d/system-auth(Debian、Ubuntu 或Linux Mint 系统)cat /etc/pam.d/common-password①登录相关配置内容:PASS_MAX_DAYS=90#登陆密码有效期90 天PASS_MIN_DAYS=2#登陆密码最短修改时间,增加可以防止非法用户短期更改屡次PASS_MIN_LEN=7#登陆密码最小长度7 位PASS_WARN_AGE=10#登陆密码过期提前10 天提示修改②密码策略相关配置password requisite pam_cracklib.soretry=3 minlen=7 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1#“minlen=7”表示最小密码长度为7# “difok=3”启用3 种类型符号#“ucredit=-1”至少1 个大写字符# “lcredit=-1”至少1 个小写字符#“dcredit=-1”至少1 个数字字符#“ucredit=-1”至少1 个标点字符序号测评指标测评项d)应启用登录失败处理功能,可实行完毕会话、限制登录间隔、限制非法登录次数和自动退出等措施。
Windows2003测评指导书-三级S3A3G3-1.0版
c) 应实现操作系统和数据库系统特权用户的权限分离;
1)访谈并查看管理用户及角色的分配情况。
1)操作系统除具有管理员账户外,至少还有专门的审计管理员账户,且他们的权限互斥。
1)操作系统的特权账户应包括管理员、安全员和审计员。至少应该有管理员和审计员,并且他们的权限是互斥关系的。
2)应保证操作系统管理员和审计员不为同一个账号,且不为同一个人。
2)查看以下项的情况:a)复位账户锁定计数器、b)账户锁定时间和c)账户锁定阈值。
a)设置了“复位账户锁定计数器”时间;
b)设置了“账户锁定时间”;
c)设置了“账户锁定阈值”。
所有的项只要不为默认的0或未启用就可以。
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
1)访谈管理员在进行远程管理时如何防止鉴别信息在网络传输过程中被窃听。
e)应保护审计进程,避免受到未预期的中断;
1)默认满足。
1)默认满足。
f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
1)如果日志数据本地保存,则
a)依次展开[开始]->([控制面板] ->)[管理工具]->[本地安全策略]->[安全设置]->[本地策略]->[用户权限分配],右键点击策略“管理审核和安全日志”点属性,查看是否只有审计。系统审计账户所在的用户组是否在本地安全设置的用户列表中。
1)检查产品的测试报告、用户手册或管理手册,确认其是否具有相关功能;或由第三方工具提供了相应功能。
1)如果测试报告、用户手册或管理手册中没有相关描述,且没有提供第三方工具增强该功能,则该项要求为不符合。
b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
1)访谈并查看管理用户及角色的分配情况。
1)操作系统除具有管理员账户外,至少还有专门的审计管理员账户,且他们的权限互斥。
1)操作系统的特权账户应包括管理员、安全员和审计员。至少应该有管理员和审计员,并且他们的权限是互斥关系的。
2)应保证操作系统管理员和审计员不为同一个账号,且不为同一个人。
2)查看以下项的情况:a)复位账户锁定计数器、b)账户锁定时间和c)账户锁定阈值。
a)设置了“复位账户锁定计数器”时间;
b)设置了“账户锁定时间”;
c)设置了“账户锁定阈值”。
所有的项只要不为默认的0或未启用就可以。
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
1)访谈管理员在进行远程管理时如何防止鉴别信息在网络传输过程中被窃听。
e)应保护审计进程,避免受到未预期的中断;
1)默认满足。
1)默认满足。
f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
1)如果日志数据本地保存,则
a)依次展开[开始]->([控制面板] ->)[管理工具]->[本地安全策略]->[安全设置]->[本地策略]->[用户权限分配],右键点击策略“管理审核和安全日志”点属性,查看是否只有审计。系统审计账户所在的用户组是否在本地安全设置的用户列表中。
1)检查产品的测试报告、用户手册或管理手册,确认其是否具有相关功能;或由第三方工具提供了相应功能。
1)如果测试报告、用户手册或管理手册中没有相关描述,且没有提供第三方工具增强该功能,则该项要求为不符合。
b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
三级测评指导书--等保2.0通用标准
应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力
网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件
1)应核查是否采用会话认证等机制为进出数据流提供明确的允许/拒绝访问的能力;2)应测试验证是否为进出数据流提供明确的允许/拒绝访问的能力
入侵防范
应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为
应保证网络各个部分的带宽满足业务高峰期需要
综合网管系统等
1)应核查综合网管系统各通信链路带宽是否满足高峰时段的业务流量需要;2)应测试验证网络带宽是否满足业务高峰期需求
应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址
路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件
测评项
测评对象
测评检查内容
网络架构
应保证网络设备的业务处理能力满足业务高峰期需要
路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件
1)应核查业务高峰时期一段时间内主要网络设备的CPU使用率和内存使用率是否满足需要;2)应核查网络设备是否从未出现过因设备性能问题导致的岩机情况;3)应测试验证设备是否满足业务高峰期需求
1)应核查是否依据重要性、部门等因素划分不同的网络区域;2)应核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
网络拓扑
1)应核查网络拓扑图是否与实际网络运行环境一致;2)应核查重要网络区域是否未部署在网络边界处;3)应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段,如网闸、防火墙和设备访问控制列表(ACL)等
网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件
1)应核查是否采用会话认证等机制为进出数据流提供明确的允许/拒绝访问的能力;2)应测试验证是否为进出数据流提供明确的允许/拒绝访问的能力
入侵防范
应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为
应保证网络各个部分的带宽满足业务高峰期需要
综合网管系统等
1)应核查综合网管系统各通信链路带宽是否满足高峰时段的业务流量需要;2)应测试验证网络带宽是否满足业务高峰期需求
应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址
路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件
测评项
测评对象
测评检查内容
网络架构
应保证网络设备的业务处理能力满足业务高峰期需要
路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件
1)应核查业务高峰时期一段时间内主要网络设备的CPU使用率和内存使用率是否满足需要;2)应核查网络设备是否从未出现过因设备性能问题导致的岩机情况;3)应测试验证设备是否满足业务高峰期需求
1)应核查是否依据重要性、部门等因素划分不同的网络区域;2)应核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
网络拓扑
1)应核查网络拓扑图是否与实际网络运行环境一致;2)应核查重要网络区域是否未部署在网络边界处;3)应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段,如网闸、防火墙和设备访问控制列表(ACL)等
网络安全评测指导书
有如下类似配置:
1)Router ospf 100 area 1 authentication message_digest interface FastEthernet0/0
ip ospf message_digest_key 1 md5 xxx
2)Router eigrp 100
Redistribute ospf 100 metric 10000 100 1 255 1500 router-map cisco
1)检查在网络边界处是否对网络攻击进行检测的相关措施
1)在网络边界处部署了IDS(IPS)系统,或UTM启用了入侵检测(保护)功能
b)在检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
1)检查网络攻击检测日志
2)检查采用何种报警方式
1)有网络攻击相关日志记录;
或
Radius-server host 192.168.1.1 sigle-connecting
存在类似如下配置项:
Ip access-list extended 111
Deny ip x.x.x.0 0.0.0.255 any log
Interface f 0/0
Ip access-group 111 in
路由器一些不需要的服务都关闭
c)限制网络最大流量数及网络连接数
询问网络管理员,根据网络现状是否需要限制网络最大流量及网络连接数:
1)有如下类似配置:
Class-ma match-all voice
Match access-group 100
Policy-map voice-policy
Class voice
Bandwidth 60
1)Router ospf 100 area 1 authentication message_digest interface FastEthernet0/0
ip ospf message_digest_key 1 md5 xxx
2)Router eigrp 100
Redistribute ospf 100 metric 10000 100 1 255 1500 router-map cisco
1)检查在网络边界处是否对网络攻击进行检测的相关措施
1)在网络边界处部署了IDS(IPS)系统,或UTM启用了入侵检测(保护)功能
b)在检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
1)检查网络攻击检测日志
2)检查采用何种报警方式
1)有网络攻击相关日志记录;
或
Radius-server host 192.168.1.1 sigle-connecting
存在类似如下配置项:
Ip access-list extended 111
Deny ip x.x.x.0 0.0.0.255 any log
Interface f 0/0
Ip access-group 111 in
路由器一些不需要的服务都关闭
c)限制网络最大流量数及网络连接数
询问网络管理员,根据网络现状是否需要限制网络最大流量及网络连接数:
1)有如下类似配置:
Class-ma match-all voice
Match access-group 100
Policy-map voice-policy
Class voice
Bandwidth 60
等级保护2.0 三级-Linux 测评指导书V1.0
知识星球:网络安全等级保护交流
文件中的 SELINUX 参数的设定
1.1.3 安全审计
测评项: a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全 事件进行审计; 测评方法: 1)以 root 身份登录进入 Linux, 查看服务进程 2)若运行了安全审计服务,则查看安全审计的守护进程是否正常 # ps -ef|grep auditd 3)若未开启系统安全审计功能,则确认是否部署了第三方安全审计工具 4)以 root 身份登录进入 Linux 查看安全事件配置: #gerep“@priv-ops" /etc/audit/filter.conf .... more/etc/audit/audit.rules ..... 测评项: b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他 与审计相关的信息; 测评方法: 1)以有相应权限的身份登录进入 Linux,使用命令"ausearch-ts today ”,其 中,-ts 指定时间后的 log,或命令"tail -20 /var/log/audit/audit.log“查 看审计日志 测评项: c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; 测评方法: 1)访谈审计记录的存储、备份和保护的措施,是否将操作系统日志定时发送 到日志服务器上等,并使用 sylog 方式或 smp 方式将日志发送到日志服务器。 2)如果部署了日志服务器,登录日志服务器查看操作系统的日志是否在收集的
知识星球:网络安全等级保护交流
范围内 测评项: d) 应对审计进程进行保护,防止未经授权的中断。 测评方法: 1)访谈对审计进程监控和保护的措施 2)测试使用非安全审计员中断审计进程,查看审计进程的访问权限是否设置合 理。 3)查看是否有第三方系统对被测操作系统的审计进程进行监控和保护
三级等保评测文件
信息系统安全等级测评报告模板项目名称:委托单位:测评单位:年月日测评单位名称报告摘要一、测评工作概述概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。
(见附件:信息系统安全等级保护备案表)描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作内容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。
二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。
三、系统存在的主要问题依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。
公安部信息安全等级保护评估中心四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议,是对第七章内容的提炼和简要描述。
报告基本信息声明声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述,包含但不限于以下内容:本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。
本报告中给出的结论不能作为对系统内相关产品的测评结论。
本报告结论的有效性建立在用户提供材料的真实性基础上。
在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。
测评单位机构名称年月报告目录1测评项目概述 (1)1.1测评目的 (1)1.2测评依据 (1)1.3测评过程 (1)1.4报告分发范围 (2)2被测系统情况 (3)2.1基本信息 (3)2.2业务应用 (4)2.3网络结构 (4)2.4系统构成 (4)2.4.1业务应用软件 (4)2.4.2关键数据类别 (4)2.4.3主机/存储设备 (5)2.4.4网络互联与安全设备 (5)2.4.5安全相关人员 (5)2.4.6安全管理文档 (6)2.5安全环境 (6)3等级测评范围与方法 (7)3.1测评指标 (7)3.1.1基本指标 (7)3.1.2附加指标 (9)3.2测评对象 (9)3.2.1选择方法 (9)3.2.2选择结果 (9)3.3测评方法 (11)3.3.1现场测评方法 (11)3.3.2风险分析方法 (11)4等级测评内容 (12)4.1物理安全 (12)4.1.1结果记录 (12)4.1.2问题分析 (12)4.1.3单元测评结果 (12)4.2网络安全 (12)4.2.1结果记录 (12)4.2.2问题分析 (14)4.2.3单元测评结果 (14)4.3主机安全 (14)4.3.1结果记录 (14)4.3.2问题分析 (15)4.3.3单元测评结果 (15)4.4应用安全 (15)4.4.1结果记录 (15)4.4.2问题分析 (15)4.4.3单元测评结果 (15)4.5数据安全及备份恢复 (15)4.5.1结果记录 (15)4.5.2问题分析 (15)4.5.3单元测评结果 (15)4.6安全管理制度 (15)4.6.1结果记录 (15)4.6.2问题分析 (16)4.6.3单元测评结果 (16)4.7安全管理机构 (16)4.7.1结果记录 (16)4.7.2问题分析 (16)4.7.3单元测评结果 (16)4.8人员安全管理 (16)4.8.1结果记录 (16)4.8.2问题分析 (16)4.8.3单元测评结果 (16)4.9系统建设管理 (16)4.9.1结果记录 (16)4.9.2问题分析 (17)4.9.3单元测评结果 (17)4.10系统运维管理 (17)4.10.1结果记录 (17)4.10.2问题分析 (17)4.10.3单元测评结果 (17)4.11工具测试 (17)4.11.1结果记录 (17)4.11.2问题分析 (17)5等级测评结果 (17)5.1整体测评 (17)5.1.1安全控制间安全测评 (17)5.1.2层面间安全测评 (18)5.1.3区域间安全测评 (18)5.1.4系统结构安全测评 (18)5.2测评结果 (18)5.3统计图表 (22)6风险分析和评价 (22)6.1安全事件可能性分析 (22)6.2安全事件后果分析 (23)6.3风险分析和评价 (23)7系统安全建设、整改建议 (25)7.1物理安全 (25)7.2网络安全 (25)7.3主机安全 (25)7.4应用安全 (25)7.5数据安全及备份恢复 (25)7.6安全管理制度 (25)7.7安全管理机构 (26)7.8人员安全管理 (26)7.9系统建设管理 (26)7.10系统运维管理 (26)附:信息系统安全等级保护备案表测评单位名称[2009版] 1测评项目概述1.1测评目的描述信息系统的重要性:通过描述信息系统的基本情况,包括运营使用单位的性质,承载的主要业务和系统服务情况,进一步阐明其在国家安全、经济建设、社会生活中的重要程度,受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。
网络安全等级保护测评实施-测评师培训
7 第三级信息系统单元测评
7.1 安全技术测评
7.1.1 物理安全
7.1.1.1 物理位置的选择
7.1.1.1.1 测评指标
7 第三级基本要求
7.1 技术要求
7.1.1 物理安全
7.1.1.1 物理位置的选择(G3)
本项要求包括:
a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
符合或部分符合本单项测评指标要求。
8.1.1.1.2 测评单元(L3-PES1-02)
该测评单元包括以下要求:
a) 测评指标:机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
b) 测评对象:机房。
c) 测评实施包括以下内容:
1) 应检查是否不位于所在建筑物的顶层或地下室;
2) 如果机房位于所在建筑物的顶层或地下室,应检查是否采取了防水和防潮措施。
安全保护能力从纵深防护和措施互补二个角度评判。
11
单元测评
单项测评
单元测评
针对基本要求各安全控制点的测评称为单元测评。
单项测评
针对基本要求各安全要求项的测评称为单项测评。
单元测评(旧版标准)=若干个单项测评(新版标准)
12
测评实施作用面不同
某级系统
基本要求
技术要求
管理要求
……
层面
……
层面
旧版测评要求
等级保护测评
要求
标准名称
+
信息安全技术
网络安全等级
保护测评要求
+
+
02
信息安全技术
信息安全等级
保护测评要求
7.1 安全技术测评
7.1.1 物理安全
7.1.1.1 物理位置的选择
7.1.1.1.1 测评指标
7 第三级基本要求
7.1 技术要求
7.1.1 物理安全
7.1.1.1 物理位置的选择(G3)
本项要求包括:
a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
符合或部分符合本单项测评指标要求。
8.1.1.1.2 测评单元(L3-PES1-02)
该测评单元包括以下要求:
a) 测评指标:机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
b) 测评对象:机房。
c) 测评实施包括以下内容:
1) 应检查是否不位于所在建筑物的顶层或地下室;
2) 如果机房位于所在建筑物的顶层或地下室,应检查是否采取了防水和防潮措施。
安全保护能力从纵深防护和措施互补二个角度评判。
11
单元测评
单项测评
单元测评
针对基本要求各安全控制点的测评称为单元测评。
单项测评
针对基本要求各安全要求项的测评称为单项测评。
单元测评(旧版标准)=若干个单项测评(新版标准)
12
测评实施作用面不同
某级系统
基本要求
技术要求
管理要求
……
层面
……
层面
旧版测评要求
等级保护测评
要求
标准名称
+
信息安全技术
网络安全等级
保护测评要求
+
+
02
信息安全技术
信息安全等级
保护测评要求
网络通信安全等保三级测评内容
网络通信安全等保三级测评内容简介网络通信安全等保三级测评是为了确保网络通信系统的安全性和可靠性而设立的评估标准。
本文档重点介绍了网络通信安全等保三级测评的内容和要求。
评估对象网络通信安全等保三级测评的评估对象包括网络通信设备、通信协议、安全控制措施、安全策略等。
测评内容网络通信安全等保三级测评的内容涵盖以下方面:系统架构与设计评估该项内容时会考虑网络通信系统的整体架构和设计是否满足安全要求,包括网络拓扑结构、数据流程设计、系统组件等。
通信安全防护测评重点关注通信数据的加密与解密、身份认证、访问控制等安全防护措施的实施情况,以及安全防护策略的完善程度。
安全策略与管理评估该项内容时会考察网络通信系统的安全策略和管理措施是否合理有效,包括安全策略的制定与执行、安全事件的响应与处理等。
安全监测与评估测评会检查网络通信系统的安全监测与评估工作的开展情况,包括漏洞扫描、入侵检测、日志分析等。
安全培训与意识评估目标包括网络通信系统相关人员的安全培训情况、安全意识教育开展情况等。
测评要求网络通信安全等保三级测评的要求如下:1. 提供详细的系统架构和设计文档,包括网络拓扑结构、数据流程设计等。
2. 实施通信数据的加密与解密措施,并确保身份认证和访问控制机制的有效性。
3. 制定并执行完善的安全策略,包括策略的更新与备份。
4. 建立有效的安全监测与评估机制,及时发现和处置安全漏洞和风险。
5. 组织安全培训和意识教育活动,提升相关人员的安全意识和能力。
以上是网络通信安全等保三级测评内容的简要介绍和要求。
根据这些内容,您可以制定相应的计划并开展评估工作,以确保网络通信系统的安全可靠。
等级保护测评指导书----数据备份与恢复V3
1 )若使用 SSL ,或使用了 1 )目前 IIS 仅支持 SSL ,但需要证书 特殊通信完整性验证手 。 段,则符合,否则为不符 合
1 )若使用 SSL ,或使用了 1)目前Apache支持SSL,但需要证书 特殊通信完整性验证手 。 段,则符合,否则为不符 合
1 )若使用 SSL ,或使用了 1)目前Tomcat支持SSL,但需要证书 特殊数据完整性验证手 。 段,则符合,否则为不符 合
A1 A2 A3
IIS检查用例表
APACHE检测用例表
Tomcat检测用例表
Weblogic检测用例表
B/S 网站通用检测用例 表 C/S 客户端通用检测用 例表 IIS检查用例表 b) 应提供异地数据 备份功能,利用通 信网络将关键数据 重要 定时批量传送至备 用场地
A3
APACHE检测用例表
Tomcat检测用例表
1 )若使用 SSL ,或使用了 特殊通信完整性验证手 段,则符合,否则为不符 合
1)目前Weblogic支持SSL,且有默认 演示密钥库,可提供SSL连接 2 ) Weblogic 默认普通端口 7001 ,默 认 SSL 端口 70据存储过程采用 密码技术加密,并验证数 据完整性,或网站使用防 篡改系统保证页面防篡 改,则此项符合
层面控制点测评项重要性级别系统bs网站通用检测用例表cs客户端通用检测用例表iis检查用例表apache检测用例表tomcat检测用例表性s1s2s3s1s2s3s1a应能够检测到重要用户数据在传输过程中完整性受到破坏s2a应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏s3a应能够检测到系统管理数据鉴别信息和重要业务数据在传输过程中完整性受到破坏并在检测到完整性错误时采取必要的恢复措施重要weblogic检测用例表bs网站通用检测用例表cs客户端通用检测用例表iis检查用例表apache检测用例表tomcat检测用例表数据完整性s1
网络设备产品参数
安全产品技术规范杭州华三通信技术有限公司目录1.防火墙系列.......................................................................................................................................................1.1.M9000防火墙核心引导指标说明:...............................................................................................1.2.M9006..................................................................................................................................................1.3.M9010..................................................................................................................................................1.4.M9014..................................................................................................................................................1.5.新一代防火墙F50X0核心引导指标说明:..................................................................................1.6.F5040防火墙招标参数 .....................................................................................................................1.7.F5020防火墙招标参数 .....................................................................................................................1.8.F5000-S防火墙招标参数 .................................................................................................................1.9.F5000-C防火墙招标参数.................................................................................................................1.10.新一代F10X0防火墙核心引导指标说明:...............................................................................1.11.H3C SecPath F1020防火墙招标参数..............................................................................................1.12.H3C SecPath F1030防火墙招标参数..........................................................................................1.13.H3C SecPath F1050防火墙招标参数..........................................................................................1.14.H3C SecPath F1060防火墙招标参数..........................................................................................1.15.H3C SecPath F1070防火墙招标参数..........................................................................................1.16.H3C SecPath F1080防火墙招标参数..........................................................................................1.17.三款新千兆防火墙核心引导指标说明:...................................................................................1.18.F1000-E ...........................................................................................................................................1.19.F1000-E-SI ......................................................................................................................................1.20.F1000-A-EI .....................................................................................................................................1.21.F1000-S-AI......................................................................................................................................1.22.SecBlade FW Enhanced招标参数................................................................................................1.23.SecBlade FW招标参数 .................................................................................................................1.24.SecBlade FW Lite防火墙招标参数.............................................................................................1.25.新一代F1000-C-SI、F100-A/M-SI防火墙核心引导指标说明: ..........................................1.26.F1000-C-SI防火墙招标参数........................................................................................................1.27.F100-A-SI防火墙招标参数 .........................................................................................................1.28.F100-M-SI防火墙招标参数.........................................................................................................2.VPN系列.........................................................................................................................................................2.1.3.3.3.L1000-A...............................................................................................................................................4.流量分析NetStream (S75E、S95E、S105、S125配套)..........................................................................5.应用控制与审计网关ACG ...........................................................................................................................5.1.ACG 1000E(1G) .................................................................................................................................5.2.ACG 1000A(500M) ......................................................................................................................5.3.ACG 1000M(200M)......................................................................................................................5.4.ACG 1000S(30M) .........................................................................................................................5.5.ACG 1000C(10M).........................................................................................................................5.6.ACG 2000............................................................................................................................................5.7.ACG 8800............................................................................................................................................5.8.ACG 插卡(S75E、S95E、S105、S125配套) .........................................................................6.入侵防御IPS系列 .........................................................................................................................................6.1.IPS核心引导指标说明......................................................................................................................6.2.IPS T5000-S3 ......................................................................................................................................6.3.IPS T1000-A........................................................................................................................................6.4.IPS T1000-S ........................................................................................................................................6.5.IPS T1000-C........................................................................................................................................6.6.IPS T200-A..........................................................................................................................................6.7.IPS T200-M.........................................................................................................................................6.8.IPS T200-S ..........................................................................................................................................6.9.IPS 插卡(S125、S95E、S75E、S58、SR88、SR66配套) ...................................................7.UTM .................................................................................................................................................................7.1.UTM核心引导指标说明 ..................................................................................................................7.2.U200-A ................................................................................................................................................7.3.U200-M................................................................................................................................................7.4.U200-S.................................................................................................................................................7.5.UTM200-CA .......................................................................................................................................7.6.UTM200-CM.......................................................................................................................................7.7.UTM200-CS........................................................................................................................................1.防火墙系列防火墙整体引导策略:1、要求采用指定架构(M9000的分布式架构、中低端的多核非X86架构等),屏蔽和抬高友商。
等级保护测评指导书----网络部分
结构安全(G3、G2
、G1)
访问控(G1、、G3)
应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP 、TELNET、SMTP、POP3等协议命
令级的控制。
重要网段应采取技术手段防止地址欺骗。
等进行日志记录。
网络安全(可使用配置核查
工具Nipper、远程管理
工具SecureCR T、漏洞扫描工具Nessus)
应对网络系统中的网络设备
审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的
信息。
(可使用
配置核查
工具
Nipper、
远程管理Array工具
SecureCR
T、漏洞
扫描工具Nessus)
安全审计
(G2、
G3)
应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
G1G2G3
重要a) 应对登录网络设备的用户进
行身份鉴别。
地址进行限制。
网络设备防护(G1、G2、
G3)。
网络设备安装与调试实践指导书
网络设备安装与调试实践指导书本指导书旨在帮助用户正确安装和调试网络设备,以确保设备顺利运行和网络连接稳定。
在进行安装和调试操作之前,请仔细阅读并理解设备的使用说明书或者官方指导手册,并确保已准备好所需的工具和材料。
1. 安装准备工作在安装网络设备之前,首先需要做好准备工作。
请确保以下工作已经完成:- 网络布线已经完成,包括网线、光纤等连接线路已经连接好。
- 电源插座已经准备好,确保设备能够正常供电。
- 确认设备位置已经选定并备好了放置设备的桌子或者架子。
- 准备好所需的工具,例如螺丝刀、网线工具等。
2. 设备安装步骤在进行设备安装之前,请按照以下步骤进行操作:- 拆除设备包装,将设备放置在待安装位置。
- 连接设备到电源插座,确保设备能够正常供电。
- 使用所需的工具,将设备固定在放置位置上,确保设备稳固且不会晃动。
3. 设备联网调试安装设备之后,需要对设备进行联网调试,以确保设备能够正常连接网络。
以下是一些联网调试的步骤:- 确认所使用的网线或者光纤已经连接到设备的对应端口上。
- 打开设备的电源,并等待设备启动完成。
- 使用电脑或者手机等设备连接到设备所提供的网络,并检查网络连接是否正常。
- 如果网络连接不正常,可以尝试重新插拔网线或者光纤,确保连接是否牢固。
4. 网络配置调试在完成设备的联网调试之后,还需要对设备的网络配置进行调试,以确保设备能够正常工作。
以下是一些网络配置调试的步骤:- 进入设备的管理界面,通常可以使用浏览器访问设备的管理地址。
- 根据设备的使用手册或者说明书,进行网络配置的设置,例如IP地址、子网掩码、网关等。
- 在设置网络配置之后,可以进行网络连接测试,以确保设备能够正常连接至网络并能够正常通信。
通过以上安装与调试实践指导书,希望可以帮助用户正确安装和调试网络设备,确保设备能够正常工作并且网络连接稳定。
如有任何问题或者困难,建议及时联系设备厂商或者相关专业人员寻求帮助。
网络设备安装与调试实践指导书5. 安全防护设置在完成网络配置调试后,还需要进行设备的安全防护设置,以保护网络免受恶意攻击或者非法访问。
等级保护三级操作系统安全测评指导书
主机资源监视
对资源使用情况进行监视和记录。
资源报警阀值 特定进程监控 主机账户监控
系统资源达到一定阀值,能够报警。 对重要进程进行监控,对非法进程提供报 警。 对主机账户进行监控和提供告警。
7
入侵防范
访谈,手工检查: 1.访谈并查看入侵检测的措施,如经常通过如下命令查看入侵的重要线索,涉及命 令 主机 IDS #who /etc/security/failedlogin; 2.查看是否开启了防火墙、TCP SYN 保护机制等设置; 3.是否具备 rootkit 检查工具,定期进行 rootkit 检查; 4.询问是否有第三方入侵检测系统,如 IDS,是否开启报警功能。 访谈,核查: 重要程序完整性检测并恢 访谈是否使用一些文件完整性检查工具对重要文件的完整性进行检查,是否对重要 复 的配置文件进行备份。查看备份演示。 系统最小安装并更新
序号
测评指标
测评项
检测方法 手工检查: 在 root 权限下,查看文件权限是否满足以下要求: /etc/filesystems 权限为 664, /etc/hosts 权限为 664, /etc/inittab 权限为 600, /etc/vfs 权限为 644, /etc/security/failedlogin 权限为 644, /etc/security/audit/hosts 权限为 660,记录权限存在问题的目录或文件。
对用户管理启用一定安全策略。
登陆失败处理
对用户登录进行限制。
鉴别警示功能
存在警告性 banner 信息。
对相连设备进行身份标识 访谈: 和鉴别 询问管理员是否使用证书等方式对设备身份进行鉴别。
采取技术手段对相连 设备进行身份鉴别。
远程管理加密
等保三级(S3 A3级G3)网络测评作业指导书
b)应定期对恶意代码防护设备进行代码库升级和系统更新。
单个网络设备
序号
测评项
基本要求
结果记录
符合情况
1
访问控制
(G3)
a)应在网络边界部署访问控制设备,启用访问控制功能。
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级。
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。
d)应绘制与当前运行情况相符的网络拓扑结构图。
e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段,生产网、互联网、办公网之间都应实现有效隔离。
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段。
j)应定期对网络设备运行状况进行检查。
k)对网络设备系统自带的服务端口进行梳理,关掉不必要的系统服务端口,并建立相应的端口开放审批制度。
l)应定期检验网络设备软件版本信息,避免使用软件版本中出现安全隐患。
m)应建立网络设备的时钟同步机制。
n)应定期检查并锁定或撤销网络设备中不必要的用户账号。
网络安全
网络全局
序号
测评项
基本要求
结果记录
符合情况
1
结构安全
(G3)
a)应保证主要网络设备和通信线路冗余,主要网络设备业务处理能力能满足业务高峰期需要的1倍以上,双线路设计时,宜由不同的服务商提供。
b)应保证网络各个部分的带宽满足业务高峰期需要。
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径。
单个网络设备
序号
测评项
基本要求
结果记录
符合情况
1
访问控制
(G3)
a)应在网络边界部署访问控制设备,启用访问控制功能。
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级。
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。
d)应绘制与当前运行情况相符的网络拓扑结构图。
e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段,生产网、互联网、办公网之间都应实现有效隔离。
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段。
j)应定期对网络设备运行状况进行检查。
k)对网络设备系统自带的服务端口进行梳理,关掉不必要的系统服务端口,并建立相应的端口开放审批制度。
l)应定期检验网络设备软件版本信息,避免使用软件版本中出现安全隐患。
m)应建立网络设备的时钟同步机制。
n)应定期检查并锁定或撤销网络设备中不必要的用户账号。
网络安全
网络全局
序号
测评项
基本要求
结果记录
符合情况
1
结构安全
(G3)
a)应保证主要网络设备和通信线路冗余,主要网络设备业务处理能力能满足业务高峰期需要的1倍以上,双线路设计时,宜由不同的服务商提供。
b)应保证网络各个部分的带宽满足业务高峰期需要。
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径。
信息系统安全等级保护
内容
测评依据
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令) 《信息安全等级保护管理办法》(公通字[2007]43号) GB 17859-1999《计算机信息系统安全保护等级划分准则》 GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》 GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》 GB/T 28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》 《信息安全等级保护测评报告模版(2015年版)》(公信安[2014]2866号) 《信息系统安全等级测评合同》
测评过 评人员对设备相关安全配置的检查和采集 程
物理安 • 需要到物理机房实地检查,请提前申请进入机房的相关手续,并协调查看机房管理相关管理记录 全
网络安 • 需要登录网络设备、安全设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址,提供配置文件 全
主机安 • 需要登录相关主机设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址 全
- 建立全面的安全管理制度,并安排专人负责并监控执行情况; - 建立全面的人员管理体系,制定严格的考核标准 - 建设过程的各项活动都要求进行制度化规范,按照制度要求进行活动的开展 - 实现严格的保密性管理 - 成立安全运维小组,对安全维护的责任落实到具体的人 - 引入第三方专业安全服务
等级保护简介 等级保护定级与备案 等级保护解决方案 等级保护测评
护国家利益、公共利益和社会稳定。 • 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作
运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。
网络安全等级保护之等级测评
网络安全等级保护之等级测评460500587本文主要介绍测评工作的内容、流程、方法,介绍测评机构和测评人员,测评工作中的风险及其控制,最后介绍等级测评报告主要内容及说明。
一、基本工作1、测评概念测评(简称“等级测评”)是指测评机构依据国家网络安全等级保护管理制度规定,按照有关管理规范和技术标准对涉及国家机密的信息系统安全保护状况进行分等级测试评估的活动。
等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上网络安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。
等级测评是合规性评判活动,基本依据不是个人或者测评机构的经验,而是网络安全等级保护的国家有关标准,无论是测评指标来源,还是测评方法的选择、测评内容的确定以及结果判定等活动均应依据国家相关的标准进行,按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程。
2、测评作用和目的通过进行测评,能够对信息系统体系能力的分析与确认;发现存在的安全隐患;帮助运营使用单位认识不足,及时改进;有效提升其防护水平;遵循国家有关规定的要求,对信息系统安全建设进行符合性测评。
测评的作用如下:① 掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求。
② 衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。
③ 等级测评结果,为公安机关等安全监管部门开展监督、检查、指导等工作提供参照。
为了达到上述目的,开展等级测评的最好时期是安全建设整改前、安全建设整改后,及其常规性定期开展测评,如三级系统每年至少开展一次等级测评。
3、测评标准依据《管理办法》第十四条规定:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评;第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
《网络设备配置综合实训》-实践计划(实训大纲)暨实践指导书(实训手册)
××××级××××专业×班《网络设备配置综合实训》实践课程教学计划及安排一、总论(一)课程性质:本课程是网络工程与网络技术专业必修的和其它计算机专业选修的专业技能课程。
通过本课程的学习,学生应能够验证在《计算机网络技术》(《计算机网络技术基础》)课程中所学习到得网络构建与设计的基础理论知识。
在对大量已成功实施的具体案例进行操作和分析的过程中,强化学生在动手能力方面的培养。
培养学生在网络工程方面的规划、安装、管理、维护等能力。
(二)目的与任务:本实训是《计算机网络技术》(《计算机网络技术基础》)课程的实践性环节,其主要任务是通过让学生自己动手配置二层交换机、三层交换机和路由器等网络设备,培养规划、设计及组建某个部门局域网络,并使局域网的性能达到最优,安全稳定的能力。
同时,为下一步的《综合布线系统》、《组网技术与综合布线》学习奠定实践基础。
(三)课程教学重点:1、掌握常用网络设备的基本配置操作;2、掌握局域网配置中,VLAN、冗余链路和路由的配置规则及操作;3、掌握使用路由器、三层交换机进行广域网的配置操作;4、掌握基本的网络安全配置规则及操作;二、课程内容及其学时分配、教学要求三、具体安排:任课教师:××共计:25课时上课地点:新校区计算机机房四、所需教学用耗材及器材:五、考核:考核以最终以学生所有实践操作过程及最后成果刻光盘统一提交。
兼顾每次参加实训时的学习态度,平时表现成绩:平时学习态度、考勤纪录等。
最后总评=平时表现成绩×30%+期末考查成绩×70%2009-10-15××××级××××专业×班《网络设备配置综合实训》实践指导书撰写人:张卫华审定人:一、网络设备配置综合实训的目的与任务本实训是《计算机网络技术》(《计算机网络技术基础》)课程教学的实践性环节,其主要任务是通过让学生自己动手配置二层交换机、三层交换机和路由器等网络设备,培养规划、设计及组建某个部门局域网络,并使局域网的性能达到最优,安全稳定的能力。
安全配置核查系统测评工具指导书-1.0版
测评指导书等级保护测评工具安全配置核查系统HD-DJCP-AQHC-2011091001V1.0贵州亨达集团信息安全技术有限公司版本说明文档信息版权声明本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属贵州亨达集团信息安全技术有限公司所有,受到有关产权及版权法保护。
任何个人、机构未经贵州亨达集团信息安全技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
目录1工具简介 (3)2设备安装指导 (3)2.1设备面板说明 (3)2.2设备部署方式 (4)2.2设备登陆说明 (5)3设备操作说明 (7)3.1用户管理 (7)3.2用户权限划分 (7)3.3模板管理 (8)3.4创建任务 (10)3.5创建空任务 (11)3.6创建正常任务 (11)3.7获取主机信息 (15)4报表分析 (17)4.1在线报表 (17)4.1.1任务列表概览 (17)4.1.2主机列表 (18)4.1.3主机信息 (18)4.2报表输出 (19)5数据保存 (21)附录A设备出厂参数 (22)A.1初始网络设置 (22)A.2初始用户帐号 (22)A.3串口通讯参数 (22)1工具简介绿盟安全配置核查系统(NSFOCUS Benchmark Verification System,简称:NSFOCUS BVS)。
NSFOCUS BVS具备完善的安全配置库,采用高效、智能的识别技术,主动实现对网络资产设备自动化的安全配置检测、分析,并生成专业的安全配置建议与合规性报表. NSFOCUS BVS 能帮助测评机构了解被测机构的信息系统的安全状况从而提出有针对性的强化安全建议。
2设备安装指导2.1设备面板说明BVS的硬件外观如图2.1所示,产品硬件的前面板如图2.2所示(实际产品会因批次不同而略有不同)。
图2.1BVS产品硬件外观图2.2 BVS前面板2.2设备部署方式请根据实际的网络结构,将BVS设备接入网络,请根据自己网络的拓扑结构加以调整,如图2.3所示。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
开始时间确认字3、离场确认序号
确认内容
1
测评工作未对测评对象造成不良影响,测评对象工作正常。
结束时间
确认签字
编号:
测评指导书
《信息系统安全等级保护基本要求》精品文档,你值得期待
基础网络安全-通用网络设备-第三级
V1.0
天融信信息安全等保中心
1、测评对象
对象名称及IP地址
备注(测评地点及环境等)
2、入场确认
序号
确认内容
1
测评对象中的关键数据已备份。如果没有备份则不进行测评
2
测评对象工作正常。如工作异常则不进行测评。
确认内容
1
测评工作未对测评对象造成不良影响,测评对象工作正常。
结束时间
确认签字
编号:
测评指导书
《信息系统安全等级保护基本要求》精品文档,你值得期待
基础网络安全-通用网络设备-第三级
V1.0
天融信信息安全等保中心
1、测评对象
对象名称及IP地址
备注(测评地点及环境等)
2、入场确认
序号
确认内容
1
测评对象中的关键数据已备份。如果没有备份则不进行测评
2
测评对象工作正常。如工作异常则不进行测评。