等级保护 2.0 测评实战指南

X0_0X 2020-10-15
专栏 - 政策法规 发布于 2020-10-15 16:56:50 阅读 42 评论 0

贯彻落实等级保护2.0是关键基础设施运营单位义不容辞的义务,未落实等保的单位将面临被有关部门责令整改、行政处罚、暂停注册、暂停运营等处罚。等保测评是开展网络安全等级保护工作、落实网络安全等级保护制度的核心部分,网络运营者在系统建设完成时(或三级系统正式上线运营前),需选择符合规定条件的测评机构定期进行等级测评工作(**目前全国推荐等保测评机构共有198家**)。

测评机构在开展等级测评工作中需根据网络运营者定级情况开展测评工作,流程主要如下:

测评相关方之间的沟通与洽谈应贯穿整个网络安全等级保护测评工作,等保测评过程的四个基本测评活动分别为:测评准备活动、方案编制活动、现场测评活动、报告编制活动。主要工作方法包括访谈、文档审查、配置检查、工具测试和实地察看。

测评过程中重点依据是《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》等相关规定标准来进行,基本要求中网络安全的控制点与要求项各级分布:

检查范围(例子)

被测单位划分了5个区域。

在内部接入域和外网接入域的路由器配置一样,所以只用选一台,同理,入侵防御IPS也只用一台,防火墙一台即可。

可以看到在抽取设备的时候不用每个设备都抽取,但是所有内容都有覆盖。

检查内容(以三级为例)

按照基本要求中结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护7个控制点33个要求项进行检查。

一、结构安全(7项)

结构安全是网络安全测评检查的重点,网络结构是否合理直接关系到信息系统的整体安全。

条款解读

a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;(CPU占用,内存和硬盘存储空间)

◆ 条款理解

为了保证信息系统的高可用性,主要网络设备的业务处理能力应具备冗余空间。

◆ 检查方法

访谈网络管理员,询问主要网络设备的性能及业务高峰流量。

访谈网络管理员,询问采用何种手段对网络设备进行监控。

b)应保证网络各个部分的带宽满足业务高峰期需要;

◆ 条款理解

对网络各个部分进行分配带宽,从而保证在业务高峰期业务服务的连续性。

◆ 检查方法

询问当前网络各部分的带宽是否满足业务高峰需要。

如果无法满足业务高峰期需要,则需进行带宽分配。检查主要网络设备是否进行带宽分配。

c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;

◆ 条款理解

静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够自动地建立自己的路由表。

路由器之间的路由信息交换是基于路由协议实现的,如OSPF路由协议是一种典型的链路状态的路由协议。

如果使用动态路由协议应配置使用路由协议认证功能,保证网络路由安全。

◆ 检查方法

检查边界设备和主要网络设备,查看是否进行了路由控制建立安全的访问路径。

以CISCO IOS为例,输入命令:show running-config检查配置文件中应当存在类似如下配置项:

  • ip route 192.168.1.0 255.255.255.0 192.168.1.193(静态)
  • router ospf 100(动态)
  • ip ospf message-digest-key I md5 7 XXXXXX(认证码)

d)应绘制与当前运行情况相符的网络拓扑结构图;

◆ 条款理解

为了便于网络管理,应绘制与当前运行情况相符的网络拓扑结构图。当网络拓扑结构发生改变时,应及时更新。

◆ 检查方法

检查网络拓扑图,查看其与当前运行情况是否一致。

e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;

◆ 条款理解

根据实际情况和区域安全防护要求,应在主要网络设备上进行VLAN划分或子网划分。

不同VLAN内的报文在传输时是相互隔离的。如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备实现。

◆ 检查方法

访谈网络管理员,是否依据部门的工作职能、重要性和应用系统的级别划分了不同的VLAN或子网。

以CISCO IOS为例,输入命令:show vlan检查配置文件中应当存在类似如下配置项:

  • vlan 2 name info
  • int e0/2
  • vlan-membership static 2

f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;

◆ 条款理解

为了保证信息系统的安全,应避免将重要网段部署在网络边界处且直接连接外部信息系统,防止来自外部信息系统的攻击。

在重要网段和其它网段之间配置安全策略进行访问控制。

◆ 检查方法

检查网络拓扑结构,查看是否将重要网段部署在网络边界处,重要网段和其它网段之间是否配置安全策略进行访问控制。

g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。

◆ 条款理解

为了保证重要业务服务的连续性,应按照对业务服务的重要次序来指定带宽分配优先级别,从而保证在网络发生拥堵的时候优先保护重要主机。

◆ 检查方法

访谈网络管理员,依据实际应用系统状况,是否进行了带宽优先级分配。搞清楚是在哪个设备上配置的。

以CISCO IOS为例,检查配置文件中是否存在类似如下配置项:

  • policy-map bar
  • class voice
  • priority percent 10
  • class data
  • bandwidth percent 30
  • class video
  • bandwidth percent 20

二、访问控制(8项)

访问控制是网络测评检查中的核心部分,涉及到大部分网络设备、安全设备。

条款解读

a)应在网络边界部署访问控制设备,启用访问控制功能;

◆ 条款理解

在网络边界部署访问控制设备,防御来自其他网络的攻击,保护内部网络的安全。

◆ 检查方法

检查网络拓扑结构,查看是否在网络边界处部署了访问控制设备,是否启用了访问控制功能。

b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;

◆ 条款理解

在网络边界部署访问控制设备,对进出网络的流量进行过滤,保护内部网络的安全。

配置的访问控制列表应有明确的源/目的地址、源/目的、协议及服务等。

◆ 检查方法

以CISCO IOS为例,输入命令:show ip access-list检查配置文件中应当存在类似如下配置项:

  • ip access-list extended 111
  • deny ip x.x.x.0 0.0.0.255 any log
  • interface eth 0/0
  • ip access-group 111 in

以防火墙检查为例,应有明确的访问控制策略,如下图所示:

以联想网域防火墙为例,如下图所示:

d)应在会话处于非活跃一定时间或会话结束后终止网络连接;

◆ 条款理解

当恶意用户进行网络攻击时,有时会发起大量会话连接,建立会话后长时间保持状态连接从而占用大量网络资源,最终将网络资源耗尽的情况。

应在会话终止或长时间无响应的情况下终止网络连接,释放被占用网络资源,保证业务可以被正常访问。

◆ 检查方法

该测评项一般在防火墙上检查。

登录防火墙,查看是否设置了会话连接超时,设置的超时时间是多少,判断是否合理。

以天融信防火墙为例,如下图所示:

e)应限制网络最大流量数及网络连接数;

◆条款理解

可根据IP地址、端口、协议来限制应用数据流的最大流量,还可以根据IP地址来限制网络连接数,从而保证业务带宽不被占用,业务系统可以对外正常提供业务。

◆ 检查方法

该测评项一般在防火墙上检查。访谈系统管理员,依据实际网络状况是否需要限制网络最大流量数及网络连接数。

登录设备查看是否设置了最大流量数和连接数,并做好记录。

以天融信防火墙为例,如下图所示:

f)重要网段应采取技术手段防止地址欺骗;

◆ 条款理解

地址欺骗在网络安全中比较重要的一个问题,这里的地址,可以是MAC地址,也可以是IP地址。在关键设备上,采用IP/MAC地址绑定方式防止地址欺骗。(路由器IP地址欺骗,假网关地址欺骗两种。)

◆ 检查方法

以CISCO IOS为例,输入show ip arp检查配置文件中应当存在类似如下配置项:

arp 10.10.10.1 0000.e268.9980 arpa

终端上也要做好网关的IP和MAC的绑定工作。

以联想网域防火墙为例,如下图所示:

g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;

◆ 条款理解

对于远程拨号用户,应在相关设备上提供用户认证功能。

通过配置用户、用户组,并结合访问控制规则可以实现对认证成功的用户允许访问受控资源。

◆ 检查方法

登录相关设备查看是否对拨号用户进行身份认证,是否配置访问控制规则对认证成功的用户允许访问受控资源。

三、安全审计(4项)

安全审计要对相关事件进行日志记录,还要求对形成的记录能够分析、形成报表。

条款解读

a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;

◆ 条款理解

为了对网络设备的运行状况、网络流量、管理记录等进行检测和记录,需要启用系统日志功能。系统日志信息通常输出至各种管理端口、内部缓存或者日志服务器。

◆ 检查方法

检查测评对象,查看是否启用了日志记录,日志记录是本地保存,还是转发到日志服务器。记录日志服务器的地址。

以联想网域防火墙为例,如下图所示:

b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

◆ 条款理解

日志审计内容需要记录时间、类型、用户、事件类型、事件是否成功等相关信息。

◆ 检查方法

登录测评对象或日志服务器,查看日志记录是否包含了事件的日期和时间、用户、事件类型、事件是否成功等信息。

c)应能够根据记录数据进行分析,并生成审计报表;

◆ 条款理解

为了便于管理员对能够及时准确地了解网络设备运行状况和发现网络入侵行为,需要对审计记录数据进行分析和生成报表。

◆ 检查方法

访谈并查看网络管理员采用了什么手段实现了审计记录数据的分析和报表生成。

d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。

◆ 条款理解

审计记录能够帮助管理人员及时发现系统运行状况和网络攻击行为,因此需要对审计记录实施技术上和管理上的保护,防止未授权修改、删除和破坏。

◆ 检查方法

访谈网络设备管理员采用了何种手段避免了审计日志的未授权修改、删除和破坏。如可以设置专门的日志服务器来接收路由器等网络设备发送出的报警信息。

以联想网域防火墙为例,如下图所示:

四、边界完整性检查(2项)

边界完整性检查主要检查在全网中对网络的连接状态进行监控,发现非法接入、非法外联时能够准确定位并能及时报警和阻断(阻断是二级里面没有的)。

条款解读

a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;

◆ 条款理解

可以采用技术手段和管理措施对“非法接入”行为进行检查。技术手段包括网络接入控制、IP/MAC地址绑定。

◆ 检查方法

访谈网络管理员,询问采用何种技术手段或管理措施对“非法接入”

进行检查,对于技术手段,在网络管理员配合下验证其有效性。

无线网络的验证

以联想网域防火墙为例,如下图所示:

五、入侵防范(2项)

对入侵事件不仅能够检测,并能发出报警,对于入侵防御系统要求定期更新特征库,发现入侵后能够报警并阻断。

条款解读

a)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;

◆ 条款理解

要维护系统安全,必须在网络边界处对常见的网络攻击行为进行监视,以便及时发现攻击行为。

◆ 检查方法

检查网络拓扑结构,查看在网络边界处是否部署了包含入侵防范功能的设备。登录相应设备,查看是否启用了检测功能。(两个步骤,一个是看有没有设备(IPS/IDS/防火墙),而是看设备有没有启用相关功能)

以联想网域防火墙为例,如下图所示:

b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。

◆ 条款理解

当检测到攻击行为时,应对攻击信息进行日志记录。在发生严重入侵事件时应能通过短信、邮件等向有关人员报警。

◆ 检查方法

查看在网络边界处是否部署了包含入侵防范功能的设备。

如果部署了相应设备,则检查设备的日志记录是否完备,是否提供了报警功能。

这里要注意开启日志功能。

六、恶意代码防范(2项)

恶意代码防范是综合性的、多层次的(边界和内部都要搞),在网络边界处需要对恶意代码进行防范。

条款解读

a)应在网络边界处对恶意代码进行检测和清除;

◆ 条款理解

计算机病毒、木马和蠕虫的泛滥使得防范恶意代码的破坏显得尤为重要。在网络边界处部署防恶意代码产品进行恶意代码防范是最为直接和高效的办法。

◆ 检查方法

检查网络拓扑结构,查看在网络边界处是否部署了防恶意代码产品。如果部署了相关产品,则查看是否启用了恶意代码检测及阻断功能,并查看日志记录中是否有相关阻断信息。

以联想网域防火墙为例,如下图所示:

b)应维护恶意代码库的升级和检测系统的更新。

◆ 条款理解

恶意代码具有特征变化快,特征变化快的特点。因此对于恶意代码检测重要的特征库更新,以及监测系统自身的更新,都非常重要。

■检查方法

访谈网络管理员,询问是否对防恶意代码产品的特征库进行升级及具体是升级方式。登录相应的防恶意代码产品,查看其特征库、系统软件升级情况,查看当前是否为最新版本。

七、网络设备防护(8项)

网络设备的防护主要是对用户登录前后的行为进行控制,对网络设备的权限进行管理。

条款解读

a)应对登录网络设备的用户进行身份鉴别;

◆ 条款理解

对于网络设备,可以采用CON、AUX、VTY等方式登录。

对于安全设备,可以采用WEB、GUI、命令行等方式登录。

◆ 检查方法

检查测评对象采用何种方式进行登录,是否对登录用户的身份进行鉴别,是否修改了默认的用户名及密码。

以CISCO IOS为例,检查配置文件中应当存在类似如下配置项:

  • line vty 0 4
  • login password xxxxxxx
  • line aux 0
  • login password xxxxxxx
  • line con 0
  • login password xxxxxxx

b)应对网络设备的管理员登录地址进行限制;

◆ 条款理解

为了保证安全,需要对访问网络设备的登录地址进行限制,避免未授权的访问。

◆ 检查方法

以CISCO IOS为例,输入命令:show running-config

access-list 3 permit x.x.x.xlog
access-list 3 deny any
line vty 0 4
access-class 3 in

以联想网域防火墙为例,如下图所示:

c)网络设备用户的标识应唯一;

◆ 条款理解

不允许在网络设备上配置用户名相同的用户,要防止多人共用一个帐户,实行分帐户管理,每名管理员设置一个单独的帐户,避免出现问题后不能及时进行追查。

◆ 检查方法

登录网络设备,查看设置的用户是否有相同用户名。询问网络管理员,是否为每个管理员设置了单独的账户。

d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别:

◆ 条款理解

采用双因子鉴别是防止身份欺骗的有效方法,双因子鉴别不仅要求访问者知道一些鉴别信息,还需要访问者拥有鉴别特征,例如采用令牌、智能卡等。

◆ 检查方法

访谈网络设备管理员,询问采用了何种鉴别技术实现了双因子鉴别,并在管理员的配合下验证双因子鉴别的有效性。

以联想网域防火墙为例,如下图所示:

e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;

◆ 条款理解

为避免身份鉴别信息被冒用,可以通过采用令牌、认证服务器等措施,加强身份鉴别信息的保护。如果仅仅基于口令的身份鉴别,应当保证口令复杂度和定期更改的要求。

◆ 检查方法

询问网络管理员对身份鉴别所采取的具体措施,使用口令的组成、长度和更改周期等。

以联想网域防火墙为例,如下图所示:

f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;

◆ 条款理解

应对登录失败进行处理,避免系统遭受恶意的攻击。

◆ 检查方法

以CISCOIOS为例,输入命令:show running-config检查配置文件中应当存在类似如下配置项:

  • line vty 0 4
  • exec-timeout 5 0

以联想网域防火墙为例,如下图所示:

g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;

◆ 条款理解

对网络设备进行管理时,应采用SSH、HTTPS等加密协议,防止鉴别信息被窃听。

◆ 检查方法

以CISCO IOS为例,输入命令:show running-config检查配置文件中应当存在类似如下配置项:

  • line vty 0 4
  • transport input ssh

h)应实现设备特权用户的权限分离。

◆ 条款理解

应根据实际需要为用户分配完成其任务的最小权限。

◆ 检查方法

登录设备,查看有多少管理员账户,每个管理员账户是否仅分配完成其任务的最小权限。一般应该有三类账户:普通账户,审计账户、配置更改账户。

以联想网域防火墙为例,如下图所示:

  • 文章来源:等级保护测评
本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!