等保2.0的實(shí)施步驟及測評流程

等保2.0的實(shí)施步驟及測評流程一、等保2.0實(shí)施步驟將網(wǎng)絡(luò)系統(tǒng)按照重要性壞后的危害性分為五個(gè)安全保F1等級，監(jiān)督推查根融砌統(tǒng)安將網(wǎng)絡(luò)系統(tǒng)按照重要性壞后的危害性分為五個(gè)安全保F1等級，監(jiān)督推查根融砌統(tǒng)安全等級，按照國關(guān)禍曾、廄、指導(dǎo).備案單位選擇符合國家規(guī)定條件等級確定后，第二?（含）以上信機(jī)關(guān)備案，公安機(jī)關(guān)審核后頒發(fā)備案證明.展安全建設(shè)整改.等級測評.1、 確定信息系統(tǒng)的個(gè)數(shù)、每個(gè)信息系統(tǒng)的等保級別、信息系統(tǒng)的資產(chǎn)數(shù)量（主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等）、機(jī)房的模式（自建、云平臺、托管等）。2、 對每個(gè)目標(biāo)系統(tǒng)，按照《信息系統(tǒng)定級指南》的要求和標(biāo)準(zhǔn)，分別進(jìn)行等級保護(hù)的定級工作，填寫《系統(tǒng)定級報(bào)告》、《系統(tǒng)基礎(chǔ)信息調(diào)研表》（每個(gè)系統(tǒng)一套）。3、 對所定級的系統(tǒng)進(jìn)行專家評審（二級系統(tǒng)也需要專家評審）。4、 向?qū)俚毓矙C(jī)關(guān)網(wǎng)監(jiān)部門提交《系統(tǒng)定級報(bào)告》、《系統(tǒng)基礎(chǔ)信息調(diào)研表》和信息系統(tǒng)其它系統(tǒng)定級備案證明材料，獲取《信息系統(tǒng)等級保護(hù)定級備案證明》（每個(gè)系統(tǒng)一份），完成系統(tǒng)定級備案階段工作。

5、 依據(jù)確定的等級標(biāo)準(zhǔn)，選取等保測評機(jī)構(gòu)，對目標(biāo)系統(tǒng)開展等級保護(hù)測評工作（具體測評流程見下文，實(shí)際工作中，可能需要一開始就要選定測評機(jī)構(gòu)）。6、 完成等級測評工作，獲得《信息系統(tǒng)等級保護(hù)測評報(bào)告》（每個(gè)系統(tǒng)一份）后，將《測評報(bào)告》提交網(wǎng)監(jiān)部門進(jìn)行備案。7、 結(jié)合《測評報(bào)告》整體情況，針對報(bào)告提出的待整改項(xiàng)，制定本單位下一年度的“等級保護(hù)工作計(jì)劃”，并依照計(jì)劃推進(jìn)下一階段的信息安全工作。二、等級測評的流程網(wǎng)絡(luò)安全等級保護(hù)測評測評準(zhǔn)密方案堆制現(xiàn)場測評活動分析與報(bào)告編制活動網(wǎng)絡(luò)安全等級保護(hù)測評測評準(zhǔn)密方案堆制現(xiàn)場測評活動分析與報(bào)告編制活動1測評準(zhǔn)備活動階段首先，被測評單位在選定測評機(jī)構(gòu)后，雙方簽訂《測評服務(wù)合同》，合同中對項(xiàng)目范圍、項(xiàng)目內(nèi)容、項(xiàng)目周期、項(xiàng)目實(shí)施方案、項(xiàng)目人員、項(xiàng)目驗(yàn)收標(biāo)準(zhǔn)、付款方式、違約條款等等內(nèi)容逐一進(jìn)行約定。同時(shí)，測評機(jī)構(gòu)應(yīng)簽署《保密協(xié)議》?！侗Ｃ軈f(xié)議》一般分兩種，一種是測評機(jī)構(gòu)與被測單位（公對公）簽署，約定測評機(jī)構(gòu)在測評過程中的保密責(zé)任；一種是測評機(jī)構(gòu)項(xiàng)目組成員與被測單位之間簽署。項(xiàng)目啟動會后測評方開展調(diào)研，通過填寫《信息系統(tǒng)基本情況調(diào)查表》，掌握被測系統(tǒng)的詳細(xì)情況，為編制測評方案做好準(zhǔn)備。2測評方案編制階段該階段的主要任務(wù)是確定與被測信息系統(tǒng)相適應(yīng)的測評對象、測評指標(biāo)及測評內(nèi)容等，并根據(jù)需要重用或開發(fā)測評實(shí)施手冊，形成測評方案。方案編制活動為現(xiàn)場測評提供最基本的文檔依據(jù)和指導(dǎo)方案。3現(xiàn)場測評階段現(xiàn)場測評活動是開展等級測評工作的核心活動，包括技術(shù)測評和管理測評。其中技術(shù)測評包括：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和備份恢復(fù)4分析與報(bào)告編制階段此階段主要任務(wù)是根據(jù)現(xiàn)場測評結(jié)果，通過單項(xiàng)測評結(jié)果判定、單元測評結(jié)果判定、整體測評和風(fēng)險(xiǎn)分析等方法，找出整個(gè)系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級的保護(hù)要求之間的差距，并分析這些差距導(dǎo)致被測系統(tǒng)面臨的風(fēng)險(xiǎn)，從而給出等級測評結(jié)論，形成測評報(bào)告文本。5整改階段主要根據(jù)測評機(jī)構(gòu)出具的差距測評報(bào)告和整改建議進(jìn)行整改，此階段主要由備案單位實(shí)施，測評機(jī)構(gòu)協(xié)助，客戶可以根據(jù)自身的實(shí)際情況，把整改分為短期、中期、長期。6驗(yàn)收測評階段測評流程與之前的流程相同，主要是檢查整改的效果

測評活動主要工作吟測評準(zhǔn)備活動工作啟動信息收集和分析工具和表單準(zhǔn)備方燹^制iSSb測評對象確定測評指標(biāo)確定測評內(nèi)容確定工具測評方海S定測評指導(dǎo)書開發(fā)測評方案輻制瞅測評筋現(xiàn)場測評準(zhǔn)備現(xiàn)場測評和結(jié)果記錄結(jié)果確認(rèn)和資料歸還報(bào) 制￥5^11單項(xiàng)很潸結(jié)果判定單元測評結(jié)果判定整體測評系統(tǒng)安全保障評估安全問題風(fēng)險(xiǎn)分析等級聃結(jié)論形成測評報(bào)告編制三、測評依據(jù)測評過程中重點(diǎn)依據(jù)是《信息系統(tǒng)安全等級保護(hù)基本要求》、《信息系統(tǒng)安全等級保護(hù)測評要求》等相關(guān)規(guī)定標(biāo)準(zhǔn)來進(jìn)行，基本要求中網(wǎng)絡(luò)安全的控制點(diǎn)與要求項(xiàng)各級分布：控制點(diǎn)費(fèi)求踢蕾一級39第二堤610策三級733I■點(diǎn)J第四批732

四、檢查1、檢查范圍（例子）被測單位劃分了5個(gè)區(qū)域。在內(nèi)部接入域和外網(wǎng)接入域的路由器配置一樣，所以只用選一臺，同理，入侵防御IPS也只用一臺，防火墻一臺即可?？梢钥吹皆诔槿≡O(shè)備的時(shí)候不用每個(gè)設(shè)備都抽取，但是所有內(nèi)容都有覆蓋。外網(wǎng)技入域 心頗域,Hlg戲2、 檢查內(nèi)容（以三級為例）按照基本要求中結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)7個(gè)控制點(diǎn)33個(gè)要求項(xiàng)進(jìn)行檢查。一、結(jié)構(gòu)安全（7項(xiàng)）結(jié)構(gòu)安全是網(wǎng)絡(luò)安全測評檢查的重點(diǎn)，網(wǎng)絡(luò)結(jié)構(gòu)是否合理直接關(guān)系到信息系統(tǒng)的整體安全。條款解讀a） 應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；（CPU占用，內(nèi)存和硬盤存儲空間）?條款理解為了保證信息系統(tǒng)的高可用性，主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力應(yīng)具備冗余空間。?檢查方法訪談網(wǎng)絡(luò)管理員，詢問主要網(wǎng)絡(luò)設(shè)備的性能及業(yè)務(wù)高峰流量。訪談網(wǎng)絡(luò)管理員，詢問采用何種手段對網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控。b） 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；條款理解對網(wǎng)絡(luò)各個(gè)部分進(jìn)行分配帶寬，從而保證在業(yè)務(wù)高峰期業(yè)務(wù)服務(wù)的連續(xù)性。檢查方法詢問當(dāng)前網(wǎng)絡(luò)各部分的帶寬是否滿足業(yè)務(wù)高峰需要。如果無法滿足業(yè)務(wù)高峰期需要，則需進(jìn)行帶寬分配。檢查主要網(wǎng)絡(luò)設(shè)備是否進(jìn)行帶寬分配。c）應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑;?條款理解靜態(tài)路由是指由網(wǎng)絡(luò)管理員手工配置的路由信息。動態(tài)路由是指路由器能夠自動地建立自己的路由表。路由器之間的路由信息交換是基于路由協(xié)議實(shí)現(xiàn)的，如OSPF路由協(xié)議是一種典型的鏈路狀態(tài)的路由協(xié)議。如果使用動態(tài)路由協(xié)議應(yīng)配置使用路由協(xié)議認(rèn)證功能，保證網(wǎng)絡(luò)路由安全。?檢查方法檢查邊界設(shè)備和主要網(wǎng)絡(luò)設(shè)備，查看是否進(jìn)行了路由控制建立安全的訪問路徑。以CISCOIOS為例，輸入命令：showrunning-config檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)：iproute93（靜態(tài)）routerospf100（動態(tài)）ipospfmessage-digest-keyImd57XXXXXX（認(rèn)證碼）d）應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；條款理解為了便于網(wǎng)絡(luò)管理，應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)生改變時(shí)，應(yīng)及時(shí)更新。檢查方法檢查網(wǎng)絡(luò)拓?fù)鋱D，查看其與當(dāng)前運(yùn)行情況是否一致。e） 應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；?條款理解根據(jù)實(shí)際情況和區(qū)域安全防護(hù)要求，應(yīng)在主要網(wǎng)絡(luò)設(shè)備上進(jìn)行VLAN劃分或子網(wǎng)劃分。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的。如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備實(shí)現(xiàn)。?檢查方法訪談網(wǎng)絡(luò)管理員，是否依據(jù)部門的工作職能、重要性和應(yīng)用系統(tǒng)的級別劃分了不同的VLAN或子網(wǎng)。以CISCOIOS為例，輸入命令：showvlan檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)：vlan2nameinfointe0/2vlan-membershipstatic2f） 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；?條款理解為了保證信息系統(tǒng)的安全，應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，防止來自外部信息系統(tǒng)的攻擊。在重要網(wǎng)段和其它網(wǎng)段之間配置安全策略進(jìn)行訪問控制。?檢查方法檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，查看是否將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處，重要網(wǎng)段和其它網(wǎng)段之間是否配置安全策略進(jìn)行訪問控制。g）應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。條款理解為了保證重要業(yè)務(wù)服務(wù)的連續(xù)性，應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，從而保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。檢查方法訪談網(wǎng)絡(luò)管理員，依據(jù)實(shí)際應(yīng)用系統(tǒng)狀況，是否進(jìn)行了帶寬優(yōu)先級分配。搞清楚是在哪個(gè)設(shè)備上配置的。以CISCOIOS為例，檢查配置文件中是否存在類似如下配置項(xiàng)：policy-mapbarclassvoiceprioritypercent10classdatabandwidthpercent30classvideobandwidthpercent20二、訪問控制（8項(xiàng)）訪問控制是網(wǎng)絡(luò)測評檢查中的核心部分，涉及到大部分網(wǎng)絡(luò)設(shè)備、安全設(shè)備。條款解讀a） 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；?條款理解在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，防御來自其他網(wǎng)絡(luò)的攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。?檢查方法檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，查看是否在網(wǎng)絡(luò)邊界處部署了訪問控制設(shè)備，是否啟用了訪問控制功能。b） 應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；?條款理解在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，對進(jìn)出網(wǎng)絡(luò)的流量進(jìn)行過濾，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。配置的訪問控制列表應(yīng)有明確的源/目的地址、源/目的、協(xié)議及服務(wù)等。?檢查方法以CISCOIOS為例，輸入命令：showipaccess-list檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)：ipaccess-listextended111denyipx.x.x.055anyloginterfaceeth0/0ipaccess-group111in以防火墻檢查為例，應(yīng)有明確的訪問控制策略，如下圖所示Ml*^0l.X*源地址目的地址端口協(xié)議策略策略設(shè)置211138.236.12318080TCP尤許211.138.235.6618970TCP8971以聯(lián)想網(wǎng)域防火墻為例，如下圖所示d）應(yīng)在會話處于非活躍一定時(shí)間或會話結(jié)束后終止網(wǎng)絡(luò)連接;?條款理解當(dāng)惡意用戶進(jìn)行網(wǎng)絡(luò)攻擊時(shí)，有時(shí)會發(fā)起大量會話連接，建立會話后長時(shí)間保持狀態(tài)連接從而占用大量網(wǎng)絡(luò)資源，最終將網(wǎng)絡(luò)資源耗盡的情況。應(yīng)在會話終止或長時(shí)間無響應(yīng)的情況下終止網(wǎng)絡(luò)連接，釋放被占用網(wǎng)絡(luò)資源，保證業(yè)務(wù)可以被正常訪問。?檢查方法該測評項(xiàng)一般在防火墻上檢查。登錄防火墻，查看是否設(shè)置了會話連接超時(shí)，設(shè)置的超時(shí)時(shí)間是多少，判斷是否合理。以天融信防火墻為例，如下圖所示：

e）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；條款理解可根據(jù)IP地址、端口、協(xié)議來限制應(yīng)用數(shù)據(jù)流的最大流量，還可以根據(jù)IP地址來限制網(wǎng)絡(luò)連接數(shù)，從而保證業(yè)務(wù)帶寬不被占用，業(yè)務(wù)系統(tǒng)可以對外正常提供業(yè)務(wù)。?檢查方法該測評項(xiàng)一般在防火墻上檢查。訪談系統(tǒng)管理員，依據(jù)實(shí)際網(wǎng)絡(luò)狀況是否需要限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。登錄設(shè)備查看是否設(shè)置了最大流量數(shù)和連接數(shù)，并做好記錄。以天融信防火墻為例，如下圖所示：f）重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；?條款理解地址欺騙在網(wǎng)絡(luò)安全中比較重要的一個(gè)問題，這里的地址，可以是MAC地址，也可以是IP地址。在關(guān)鍵設(shè)備上，采用IP/MAC地址綁定方式防止地址欺騙。（路由器IP地址欺騙，假網(wǎng)關(guān)地址欺騙兩種。）?檢查方法以CISCOIOS為例，輸入showiparp檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)：arp0000.e268.9980arpa終端上也要做好網(wǎng)關(guān)的IP和MAC的綁定工作。以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：拗局lim皿OfeOir/ucM 如、W “.udtt ?t-n?i*itisan nenoon ， /fg）應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶；?條款理解對于遠(yuǎn)程撥號用戶，應(yīng)在相關(guān)設(shè)備上提供用戶認(rèn)證功能。通過配置用戶、用戶組，并結(jié)合訪問控制規(guī)則可以實(shí)現(xiàn)對認(rèn)證成功的用戶允許訪問受控資源。?檢查方法登錄相關(guān)設(shè)備查看是否對撥號用戶進(jìn)行身份認(rèn)證，是否配置訪問控制規(guī)則對認(rèn)證成功的用戶允許訪問受控資源。三、安全審計(jì)（4項(xiàng)）安全審計(jì)要對相關(guān)事件進(jìn)行日志記錄，還要求對形成的記錄能夠分析、形成報(bào)表。條款解讀a）應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；?條款理解為了對網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量、管理記錄等進(jìn)行檢測和記錄，需要啟用系統(tǒng)日志功能。系統(tǒng)日志信息通常輸出至各種管理端口、內(nèi)部緩存或者日志服務(wù)器。?檢查方法檢查測評對象，查看是否啟用了日志記錄，日志記錄是本地保存，還是轉(zhuǎn)發(fā)到日志服務(wù)器。記錄日志服務(wù)器的地址。以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：??aw?r?i■4董■waitnsWKN?W?1in畔回:,：vtrhiAM(-?-jwmj*，4tcfIOWVt—rina：tn?區(qū)十U>：'^nmmaanaf*w■■11，b） 審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；?條款理解日志審計(jì)內(nèi)容需要記錄時(shí)間、類型、用戶、事件類型、事件是否成功等相關(guān)信息。?檢查方法登錄測評對象或日志服務(wù)器，查看日志記錄是否包含了事件的日期和時(shí)間、用戶、事件類型、事件是否成功等信息。c） 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；條款理解為了便于管理員對能夠及時(shí)準(zhǔn)確地了解網(wǎng)絡(luò)設(shè)備運(yùn)行狀況和發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為，需要對審計(jì)記錄數(shù)據(jù)進(jìn)行分析和生成報(bào)表。檢查方法

訪談并查看網(wǎng)絡(luò)管理員采用了什么手段實(shí)現(xiàn)了審計(jì)記錄數(shù)據(jù)的分析和報(bào)表生成。d）應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。?條款理解審計(jì)記錄能夠幫助管理人員及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行狀況和網(wǎng)絡(luò)攻擊行為，因此需要對審計(jì)記錄實(shí)施技術(shù)上和管理上的保護(hù)，防止未授權(quán)修改、刪除和破壞。?檢查方法訪談網(wǎng)絡(luò)設(shè)備管理員采用了何種手段避免了審計(jì)日志的未授權(quán)修改、刪除和破壞。如可以設(shè)置專門的日志服務(wù)器來接收路由器等網(wǎng)絡(luò)設(shè)備發(fā)送出的報(bào)警信息。以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：系和澎崔告沒置湖福務(wù)蓄-日融備巖7)050.1010醐麗3，職51<_JH5535) 1四、邊界完整性檢查（2項(xiàng)）

邊界完整性檢查主要檢查在全網(wǎng)中對網(wǎng)絡(luò)的連接狀態(tài)進(jìn)行監(jiān)控，發(fā)現(xiàn)非法接入、非法外聯(lián)時(shí)能夠準(zhǔn)確定位并能及時(shí)報(bào)警和阻斷（阻斷是二級里面沒有的）。條款解讀a）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷；?條款理解可以采用技術(shù)手段和管理措施對"非法接入''行為進(jìn)行檢查。技術(shù)手段包括網(wǎng)絡(luò)接入控制、IP/MAC地址綁定。?檢查方法訪談網(wǎng)絡(luò)管理員，詢問采用何種技術(shù)手段或管理措施對''非法接入進(jìn)行檢查，對于技術(shù)手段，在網(wǎng)絡(luò)管理員配合下驗(yàn)證其有效性。無線網(wǎng)絡(luò)的驗(yàn)證以聯(lián)想網(wǎng)域防火墻為例，如下圖所示五、入侵防范（2項(xiàng)）對入侵事件不僅能夠檢測，并能發(fā)出報(bào)警，對于入侵防御系統(tǒng)要求定期更新特征庫，發(fā)現(xiàn)入侵后能夠報(bào)警并阻斷。條款解讀a）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；?條款理解要維護(hù)系統(tǒng)安全，必須在網(wǎng)絡(luò)邊界處對常見的網(wǎng)絡(luò)攻擊行為進(jìn)行監(jiān)視，以便及時(shí)發(fā)現(xiàn)攻擊行為。?檢查方法檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，查看在網(wǎng)絡(luò)邊界處是否部署了包含入侵防范功能的設(shè)備。登錄相應(yīng)設(shè)備，查看是否啟用了檢測功能。（兩個(gè)步驟，一個(gè)是看有沒有設(shè)備（IPS/IDS/防火墻），而是看設(shè)備有沒有啟用相關(guān)功能）以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：入侵全0定義IKE Mt*全月設(shè)置□抗踵8由攻擊□牌s?"像密□Kums口抗YinmiIm攻擊TCP 2】成□RWUJ3IL 土 主伽心K就.臺一個(gè)iJffflNI璧1SB-4-BflMte.7M.著W打開暝□，，不MBict.□ 搓□心麗!如畦詢wb）當(dāng)檢測到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。?條款理解當(dāng)檢測到攻擊行為時(shí)，應(yīng)對攻擊信息進(jìn)行日志記錄。在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)能通過短信、郵件等向有關(guān)人員報(bào)警。?檢查方法查看在網(wǎng)絡(luò)邊界處是否部署了包含入侵防范功能的設(shè)備。如果部署了相應(yīng)設(shè)備，則檢查設(shè)備的日志記錄是否完備，是否提供了報(bào)警功能。這里要注意開啟日志功能。六、惡意代碼防范（2項(xiàng)）惡意代碼防范是綜合性的、多層次的（邊界和內(nèi)部都要搞），在網(wǎng)絡(luò)邊界處需要對惡意代碼進(jìn)行防范。條款解讀a）應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除；?條款理解計(jì)算機(jī)病毒、木馬和蠕蟲的泛濫使得防范惡意代碼的破壞顯得尤為重要。在網(wǎng)絡(luò)邊界處部署防惡意代碼產(chǎn)品進(jìn)行惡意代碼防范是最為直接和高效的辦法。?檢查方法檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，查看在網(wǎng)絡(luò)邊界處是否部署了防惡意代碼產(chǎn)品。如果部署了相關(guān)產(chǎn)品，則查看是否啟用了惡意代碼檢測及阻斷功能，并查看日志記錄中是否有相關(guān)阻斷信息。以聯(lián)想網(wǎng)域防火墻為例，如下圖所示何善防戶>>”策略AVI〉>轎征衿涸設(shè)首序號是否E用是否心日志是否發(fā)送告署■件Kt1Ml*￥X/(T2S,￥￥Xif3珂￥XXif4￥￥XirSilif￥X1b）應(yīng)維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更新。?條款理解惡意代碼具有特征變化快，特征變化快的特點(diǎn)。因此對于惡意代碼檢測重要的特征庫更新，以及監(jiān)測系統(tǒng)自身的更新，都非常重要?！鰴z查方法訪談網(wǎng)絡(luò)管理員，詢問是否對防惡意代碼產(chǎn)品的特征庫進(jìn)行升級及具體是升級方式。登錄相應(yīng)的防惡意代碼產(chǎn)品，查看其特征庫、系統(tǒng)軟件升級情況，查看當(dāng)前是否為最新版本。七、網(wǎng)絡(luò)設(shè)備防護(hù)（8項(xiàng)）網(wǎng)絡(luò)設(shè)備的防護(hù)主要是對用戶登錄前后的行為進(jìn)行控制，對網(wǎng)絡(luò)設(shè)備的權(quán)限進(jìn)行管理。條款解讀a）應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；?條款理解對于網(wǎng)絡(luò)設(shè)備，可以采用CON、AUX、VTY等方式登錄。對于安全設(shè)備，可以采用WEB、GUI、命令行等方式登錄。?檢查方法檢查測評對象采用何種方式進(jìn)行登錄，是否對登錄用戶的身份進(jìn)行鑒別，是否修改了默認(rèn)的用戶名及密碼。以CISCOIOS為例，檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)linevty04loginpasswordxxxxxxxlineaux0loginpasswordxxxxxxxlinecon0loginpasswordxxxxxxxb）應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；?條款理解為了保證安全，需要對訪問網(wǎng)絡(luò)設(shè)備的登錄地址進(jìn)行限制避免未授權(quán)的訪問。?檢查方法以CISCOIOS為例，輸入命令：showrunning-configaccess-list3permitx.x.x.xlogaccess-list3denyanylinevty04access-class3in以聯(lián)想網(wǎng)域防火墻為例，如下圖所示：c） 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；?條款理解不允許在網(wǎng)絡(luò)設(shè)備上配置用戶名相同的用戶，要防止多人共用一個(gè)帳戶，實(shí)行分帳戶管理，每名管理員設(shè)置一個(gè)單獨(dú)的帳戶，避免出現(xiàn)問題后不能及時(shí)進(jìn)行追查。?檢查方法登錄網(wǎng)絡(luò)設(shè)備，查看設(shè)置的用戶是否有相同用戶名。詢問網(wǎng)絡(luò)管理員，是否為每個(gè)管理員設(shè)置了單獨(dú)的賬戶。d） 主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別：條款理解采用雙因子鑒別是防止身份欺騙的有效方法，雙因子鑒別不僅要求訪問者知道一些鑒別信息，還需要訪問者擁有鑒別特征，例如采用令牌、智能卡等。檢查方法訪談網(wǎng)絡(luò)設(shè)備管理員，詢問采用了