等级保护2.0（三级）基础要求 具体测评方法

Date: November 9, 2022
Status: In progress
Tags: 安全咨询, 等级保护2.0

安全物理环境

保障等级保护对象设备的物理安全，防止设备被破坏、被盗用，保障物理环境条件，确保设备的正常运行

安全物理环境对物理机房提出了安全控制要求，主要对象为物理环境、物理设备、物理设施等，涉及的安全控制点包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防潮、防静电、温湿度控制、电力供应、电磁防护

物理位置选择

等级保护对象所使用的硬件设备（网络设备、安全设备、服务器、存储设备、供电、通信线缆）

为机房选择安全的物理位置和环境是等级保护对象物理安全的前提和基础

机房场地应该选择在具有防震、抗风和防雨能力的建筑内

• 是否有建筑物抗震设防审批文档？
• 是否有雨水渗漏的痕迹？
• 是否有可灵活开启的窗？是否采取了封闭、上锁等防护措施？
• 屋顶、墙体、门窗、地面是否有破损、开裂的情况？

机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施

物理访问控制

防止未授权人员进入机房，需要安装电子门禁系统控制人员进出机房的行为

机房入口应该配置电子门禁系统，控制、鉴别和记录进入的人员

• 是否配置了电子门禁系统？
• 门禁系统是否开启并正常运行？
• 电子门禁系统是否可以鉴别、记录进入的人员信息？

防盗窃和防破坏

防止盗窃和故意破坏等行为，需要对机房采取设备固定、安装防盗报警系统等有效措施

应将设备或主要的部件进行固定，并设置不容易去除的标识

• 设备或主要的部件是否固定（服务器、安全设备、线缆……）？（不会被直接抱走）
• 设备或主要的部件上是否设置了明显的，不易去除的标识？（做个记号列个list不过分吧，如果是黏贴的不要翘起来，注意细节）

通信线缆需要设置在隐蔽处

• 就是看你铺的是不是隐蔽，线不要乱走啊

应该设置机房报警系统或设置有专人值守的视频监控系统

• 是不是有安装报警系统或视频监控？
• 是不是都正常运行？

防雷击

💡 防止雷击伤害，所以设备是不是都接地，是不是有有效的防雷装置

应将各类机柜设施和设备等通过接地系统安全接地

• 检查机房内机柜、设备是否接地，接地线一般是黄绿色

采取措施防止感应雷，例如设置防雷保安器或过压保护装置等

• 是否安装了防感应雷措施
• 安装的防雷措施是否通过了验收或国家有关部门的技术检测

什么是感应雷？

防火

💡 为了防止火灾造成的损害，机房需要使用防火建筑材料，进行合理分区，采取安装自动消防系统等措施

机房内应设置自动消防系统，在发生火灾时自动检测， 报警和灭火，例如自动气体消防系统、自动喷淋消防系统

• 是否设置了火灾自动消防系统
• 是否可以自动检测火情、自动报警、自动灭火？
• 火灾自动消防系统是否通过了验收或国家有关部门的技术检测

机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料

• 机房的验收文档中是否明确记录了所使用建筑材料的耐火等级？

对机房进行划区域管理设置隔离防火措施，防止火灾发生后火势蔓延

• 是否进行了区域划分
• 各区域之间是否采取了防火隔离措施

防水和防潮

💡 为了防止渗水、漏水、水蒸气结露造成的损害，需要对机房采取防渗漏、防积水、安装水敏感检测报警系统

采取措施防止雨水通过机房窗户、屋顶、墙壁

• 机房的窗户、屋顶、墙壁是否采取了防渗透措施？

防止机房的水蒸气结露和地下积水的转移与渗透

• 是否采取了防止水蒸气结露的措施？
• 是否采取了排水措施防止地面积水？

安装对水敏感的检测仪表或元件，对机房进行防水检测和报警

• 是否安装对水敏感的检测装置？
• 检测防水检测和报警装置是否开启并正常运行？

防静电

为了防止静电造成损害，需要对机房安装防静电地板、配置防静电装置等有效措施

应采用防静电地板或地面并采用接地防静电装置

• 是否安装了防静电地板？
• 是否采用了防静电接地措施？

采取措施防止静电的产生，例如采用静电消除器，工作人员可以佩戴防静电手环等，消除静电

• 检查机房内是否配备了静电消除设备

温湿度控制

防止温湿度变化造成的损害，需要安装温湿度自动调节装置

设置温湿度自动调节装置，是的机房的湿度变化在设备运行所允许的范围内

• 是否配备了专用空调？
• 温湿度是否在设备运行所允许的范围之内？

电力供应

防止电力中断或电流变化造成的损害，需要采用铺设冗余或并行的电力电缆线路、稳压装置、防猪脑过载装置和备用供电装置等有效措施

在机房供电线路上配置稳压器和电压防护装置

• 是否配置了稳压器和过电压保护装置？

提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求

• 是否配备了UPS等备用供电系统？
• UPS等备用供电系统等运行切换记录和检修维护记录？

设置冗余或并行的电力电缆线路为计算机系统供电

• 是否设置了冗余或并行的电力电缆线路为计算机系统供电？

电磁防护

防止电磁辐射和干扰造成的损害，需要采取电源线和通信电缆隔离铺设、安装电磁屏蔽等有效措施

电源线和通信线缆应该隔离铺设，避免互相干扰

• 检查电源线和通信电缆是否隔离铺设？

安全通信网络

针对网络架构和通信传输提出了安全控制要求，主要对象为广域网、城域网、局域网的通信传输及架构等、涉及的安全控制点包括网络架构、通信传输、可信验证

网络架构

网络架构是业务运行的重要部分，网络的资源分布和架构合理了才能在上面实现各种技术功能

保证网络设备的业务处理能力满足业务高峰期需要（设备性能冗余）

• 问网络管理员业务高峰期是什么时候？
• 边界设备和主要网络设备的处理能力是否能够满足业务高峰期的需求？
• 主要采用什么手段对主要网络设备的运行状态进行监控？
• 业务高峰期的CPU、内存占用率是否高于70%？
• 是否曾经因为设备处理能力不足产生宕机？（顺便核查一下综合网管系统的告警日志或设备运行时间）
• 是否因设备能力不足而进行了设备的升级？
• 近期设备是否有重启的情况？为什么重启？

核查设备在一段时间内的性能峰值，结合设备自身的承载性能，分析设备是否能够满足业务处理的需求

应该保证网络各个部分的带宽满足业务高峰期的需要（网速分配）

• 业务高峰期的流量使用情况？
• 是否部署了流量控制设备对关键业务系统进行流量带宽控制？
• 相关设备上是否启用Qos对网络各个部分进行带宽分配？
• 综合网管系统在业务高峰期的带宽占用情况怎么样？（分析是否满足高峰期需求，如果无法满足需要，要在主要网络设备上进行带宽配置）

测试验证网络各个部分的带宽是否满足业务高峰期需要

在各个网络关键节点处是不是配置了流量监控系统，检测网络中的实时流量？

是否部署了流量控制设备，在关键节点上部署了Qos策略

节点设备配置了流量监管和流量整形策略

各通讯链路的高峰期流量均不高于其带宽的70%

划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址

• 是否依据工作职能、等保重要性、应用系统的级别等实际情况和区域安全防护要求划分了不同的vlan
• 网络设备的配置信息是否与划分一致？

show vlan brief

应避免将重要网络区域部署在边界处，重要网络区域和其他网络区域之间应该采取可靠的技术隔离策略

• 网络拓扑图是否与实际网络运行环境一致？
• 重要网络区域是否部署在网络边界处，以及是否在网络区域边界处是否部署了安全防护措施
• 重要网络区域和其他网络区域之间是否采取了可靠的技术隔离手段，是否部署了网闸、防火墙和设备访问控制（ACL）等

应提供通信线路、关键网络设备和关键计算设备等硬件冗余，保证系统的可用性

• 出口路由器、核心交换机、安全设备等关键设备是否有硬件荣誉和通信线路冗余来保证系统等高可用性？
• HSRP冗余技术设计：路由器的hot bak，如果一台机器down了，其他路由器会顶上工作
• VRRP冗余技术设计：由两台路由器组成虚拟路由器，使用一个IP地址，如果主路由down了，副路由会顶上

通信传输

为了防止数据被篡改或泄漏，应确保在网络上传输的数据等保密性、完整性、可用性

我们主要针对数据是否具有完整性校验机制、是否采取加密等安全措施

采用校验技术或密码技术保证通信过程中数据的完整性(MD5 Hash校验)

• 核查是否在传输过程中使用校验技术或密码技术来保证数据的完整性？
• 测试验证设备或组建是否能保证通信过程中数据的完整性（可以使用工具Checksum Integrity Verifier[Md5 SHA1]、SigCheck(数字签名)等工具对数据进行完整性校验）
• 对鉴别数据、重要数据采用校验技术或密码技术保证通信过程中数据的完整性
• 使用 File Checksum Integrity Verifier 计算数据的散列值，验证数据的完整性

应该采用密码技术保证通信过程中数据的保密性

• 是否在通信过程中使用了保密措施？具体采取了什么措施？
• 是否对敏感信息字段或整个报文做了加密？
• 鉴别数据、重要数据、重要审计数据在通讯过程中是否保密？
• 通讯协议分析工具分析报文是否被加密了

可信验证

传统的通信设备采用缓存或其他形式来保存固件，容易受到攻击

如果是**基于硬件可信根**，可在加电后基于可信根实现预装软件（包括系统引导程序、系统程序、相关应用程序和重要配置参数）的完整性验证或检测，确保无篡改再执行，有篡改就报警，保证设备启动过程的安全

可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

• 是否基于可信根对设备的系统引导、系统程序、重要配置参数和关键应用程序等进行可信验证？（具有可信根芯片或硬件）
• 是否在应用程序的关键执行环节进行了动态可信验证？
• 启动过程基于可信根对系统引导程序、系统程序、重要配置参数和关键应用程序等进行验证度量
• 在设备等可信性收到破坏后是否会进行报警并把验证结果发送到安全管理中心？
• 安全管理中心是否可以接收到设备的验证结果记录

安全区域边界

根据不同的安全需求对系统进行切割、对网络进行划分，形成不同系统的网络边界，形成不同的网络边界或不同等级保护对象的边界

边界防护

首先考虑网络边界设备端口、链路的可靠性、通过有效的技术措施保证边界物理端口可信，防止非授权的网络链接接入

其次通过有效的技术措施对外部设备的网络接入行为以及内部机器的外联行为进行管控，减少外部威胁的引入

还应该对无线网络的使用进行管控，防止无线网络的滥用而引入安全威胁

保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信

• 网络拓扑图和实际的网络链路是否一致，是否明确了网络边界及边界设备的物理端口？
• 通过路由配置及边界设备配置信息，是否由指定的物理端口进行跨越边界的网络进行通信？
• 采用其他技术手段核查是否存在其他能够进行跨越边界的网络通信的未受控端口？
• 通过网络管理系统的自动拓扑发现功能，监控是否有非授权的网络出口链路？
• 通过无线嗅探器排查无线网络的使用情况，确认无授权wifi

能够对非授权设备私自链到内部网络的行为进行检查或限制

• 是否采用什么技术手段或管理措施对非授权设备私自连接内网的行为进行管控，并在管理员的配合下验证有效性
• 交换机路由器的闲置端口是否已经关闭？
• 如果通过部署内网安全管理系统实现系统准入，则应该检查各终端设备是否统一进行了部署，以及是否存在不受控的特殊权限接入设备？
• 采用IP MAC绑定的方式进行准入控制，应该检查接入层网络设备是否采取了地址绑定等措施

应能够对内部用户非授权连接到外部网络的行为进行检查或限制

• 是否采用内网管理系统或其他手段对内部用户非授权连外网进行限制或检查？
• 是否限制了终端设备相关端口的使用来防止非授权外联？（禁用双网卡、USB接口、无线网络等）
• 各类终端设备是否部署了终端安全管理系统或外联管控系统并启用相关策略？

限制WIFI使用，保证WI-FI通过受控边界接入内网

• 是否有授权的无线网络，这些无线网络是否进行单独的组网？通过防火墙等接入有线网络
• 是否部署了无线接入网关、无线控制器等设备？
• 无线网络设备的信道的使用是否合理？用户的口令强度是否足够？加密方式？
• 是否部署了对非授权无线设备管控措施？如屏蔽、检查
• 是否使用无线嗅探器、无线入侵系统/防御系统

关于无线网络的信道

信道1、6和11 可以做到互不重叠 互不影响

首先让我们来讨论一下2.4GHz的信道。因为从2014年开始，所有无线路由器都仍然在使用2.4GHz的频段。虽然802.11ac在去年首次亮相，开始搭理推动5GHz频段的使用，但是相信许多用户不会立即更换路由器，再加上厂商们还有许多库存，因此2.4GHz频段仍然还会在市面上大量的存在一段时间。

所有Wi-Fi信号，包括80.211n（a,b,g,n）之间使用的都是2400到2500MHz的频率。而这100MHz的差距要平分给14个不同的信道，因此每个信道之间的差距只有微小的20MHz。而正如我们所设置的那样，14个信道每个20MHz的差别，总和已经超过了100MHz，因此在2.4GHz的频段中至少会有两个（通常是四个）信道处于重合状态。我们可以想象，如果信道重叠的话并不是一件好事，糟糕的是它会直接影响我们无线网络的吞吐量。

幸运的是，信道1、6和11彼此之间间隔的距离足够远，因此他们三个也成为了不会互相重叠和干扰的三个最常用的信道。因此我们可以在无线路由的设置中将信道设置在1、6和11中的某一个。而对于我们普通的家庭用户来说，我们建议将信道设成1或11，这样可以最大限度的避免和别家的路由器发生信号重叠。因为大多数人并不会修改这个设置而保持默认的6信道。

当然802.11b/g网络标准中只提供了三个不互相重叠的信道，这些可使用的非重叠的信道数量有点偏少，但对于一般的家庭或SOHO一族无线网络来说，已经足够了。如果你的办公区域需要多于三个以上的无线网络，建议你使用支持802.11a标准的无线设备，它提供更多的非重叠信道。

https://developer.aliyun/article/45745

访问控制

通过技术措施防止对网络资源进行未经授权的访问，基础网络层，访问控制住要通过在网络边界及各个网络区域间部署访问控制设备实现

在访问控制设备中：应启用有效的访问控制策略，并采用白名单机制，仅授权用户能访问网络资源；根据业务需要限制地址和端口；根据业务会话的状态信息，为进出网络的数据流提供明确的允许访问拒绝的能力；对进出网络数据流所包含的内容和协议进行管控

网络边界和区域之间根据访问控制策略设置访问控制规则，默认情况下除了允许通信外，受控接口拒绝所有的通信

• 是否部署了访问控制设备？是否启用了访问控制策略？
• 访问控制策略是否为白名单机制？仅允许授权的用户访问网络资源，是否禁止了其他所有网络行为？
• 核查所配置的访问控制策略是否应用到了进或出接口？

show running-config

删除多余或无效的访问控制规则，优化访问控制列表，保证访问控制规则数量最小化

• 了解访问控制策略的配置情况，具体的配置情况是否与业务的需求一致？
• 根据业务的需求，访问控制策略是否有效？
• 访问控制策略的优先级是否合理？
• 是否已经禁止全通策略或端口、地址限制范围过大的策略？
• 不同访问控制策略之间的逻辑关系是否合理？

对源地址、目标地址、源端口、目标端口和协议进行检查，以允许/拒绝数据包进出

• 检查设备中的访问控制策略是否明确设定了源地址、目的地址、源端口、目的端口和协议等关键参数

根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力

防火墙可以使用ACL列表，还能够追踪会话状态结合数据包前后的关系，决定是否允许该数据包通过，通过连接的状态进行更快更安全的过滤

• 查看防火墙的配置信息是否详细记录了源地址目标地址、源端口和目标端口以及允许使用的协议

对进出网络的数据流实现基于应用协议和应用内容的访问控制

使用NGFW或相关安全组件实现基于应用协议和内容的访问控制（即时聊天工具、视频软件、Web服务、FTP服务）

• 核查关键网络节点处是否部署了访问控制设备
• 访问控制设备是否部署了访问相关策略？（应用协议、应用内容）
• 策略是否生效？

入侵防范

要维护网络安全必须进行主动监视，网络入侵检测监视在网段内的所有数据包，对每个数据包与可疑数据包进行分析，如果与内部数据包库吻合，入侵检测系统会记录事件的各种信息并发出警报

在关键网络节点处检测、防止或限制从外部发起的网络攻击行为

入侵检测包含被动检测和主动检测，被动检测是在攻击之后检查日志信息，对攻击进行复查和在现，主动检测是查找已知的攻击模式或命令并组织他们的执行

完整的入侵检测需要实现特征分析功能，能够发现潜在的攻击行为以及各种主流的攻击行为，例如端口扫描、强力攻击、IP碎片攻击和网络蠕虫攻击

目前的入侵检测防范主要通过在网络边界部署有入侵防范功能的安全设备，例如抗APT攻击系统、入侵检测系统、入侵防范模块的多功能安全网关（UTM）

• 相关系统或设备是否能够检测到从外部发起的网络攻击行为
• 相关系统或设备的规则库是否已经更新到最新版本
• 相关系统、设备的配置信息是否能够覆盖网络中所有的关键节点
• 验证相关系统或设备的安全策略是否生效
• 检测到的攻击日志信息与安全设备相符合

在关键网络节点处检测、防止或限制从内部发起的网络攻击行为

同上

应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析

部署网络回溯系统或抗APT攻击系统，对新型网络攻击行为的检测和分析

• 核查是否部署了网络回溯系统或抗APT攻击系统对网络攻击行为进行检测和分析
• 相关的规则库是否已经更新到最新版本
• 测试验证是否能够对网络行为进行分析？
• 是否能对网络攻击行为特别是未知的网络攻击行为进行分析

当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件的时候进行报警

在遭到攻击时候能够及时准确的记录攻击行为并进行应急响应，讲攻击的全面信息记录在日志中。通过日志可以对攻击行为进行审计和分析。在发生严重入侵事件时，向有关人员进行报警，短信或邮件。

• 访谈网络管理员和查看网络拓扑结构，在网络边界处是否部署了具有入侵防范的功能
• 检查设备的日志记录，查看是否记录了攻击源IP、攻击类型、攻击目标、攻击时间等信息
• 设备采用什么方式进行报警，是否可用？

恶意代码和垃圾邮件防范

恶意代码是指有恶意目的的可执行程序，病毒、木马和蠕虫的泛滥是防范恶意代码的破坏更加重要，恶意代码主要通过网页、电子邮件等网络载体传播。

垃圾邮件是指用户没提出要求或同意接收的电子邮件，垃圾邮件可以使得邮件服务不可用，也可以用来传播恶意代码、网络诈骗、非法信息等，干扰业务的正常运行

在网络关键节点处对恶意代码进行检测和清除，维护恶意代码防护机制的升级和更新

防恶意代码的产品主要包括防病毒网关、包含防病毒模块的安全网关等，至少具备对恶意代码的分析能力和检查能力；对恶意代码的清楚或阻断能力；在发现恶意代码后记录日志和进行审计的能力；特征库的升级能力；检测系统的更新能力

• 是否在关键节点部署了防恶意代码产品，是否启用了恶意代码检测及阻断功能，查看日志中是否有记录的日志信息
• 是否有对特征库进行升级和具体的升级方式，检查特征库的升级情况
• 验证相关系统或设备的安全策略是否有效

在网络关键节点处对垃圾邮件进行检测和维护，维护垃圾邮件防护机制的升级和更新

部署防垃圾邮件设备，如透明的防垃圾邮件网关、基于转发的防垃圾邮件系统、安装基于邮件服务器的防垃圾邮件软件或与邮件服务器一体的防范垃圾邮件的邮件服务器等

• 核查在关键网络节点处是否部署了防垃圾邮件设备或系统
• 防垃圾邮件运行是否正常，规则库是否已经更新到最新版
• 相关设备或系统等安全策略是否生效

安全审计

安全审计不是日志功能等简单改进，也不等同于入侵检测
网络安全审计等重点包括对网络流量对检测、对异常流量对识别和报警、对网络设备运行情况对监督等，对日志记录进行分析形成报表，并在一定情况下报警或阻断
同时能够进行网络安全审计等管理，集中审计是未来安全审计发展的趋势

应在网络边界、重要节点进行安全审计，覆盖到每个用户，对重要用户行为和安全事件进行审计

• 是否部署了综合安全审计系统或具有类似功能的系统平台？
• 安全审计范围是否覆盖每个用户，是否对重要的用户行为和事件进行审计？

审计记录应该包括日期、时间、事件类型、事件是否成功和其他与审计有关的信息

审计内容是否全面将直接影响审计的有效性

• 具体核查审计记录是否包含日期、时间、事件类型、事件是否成功和其他与审计有关的信息

应对审计记录进行保护、定期备份、避免受到未预期的删除、修改或覆盖等

审计记录能够帮助管理人员及时的发现网络运行过程中发生的状况的网络攻击行为，所以需要对日志进行保护，设置专门的日志服务器来保存接收设备发出的信息，非授权用户无权删除本地和日志服务器上的审计记录

• 是否已经采取技术措施对日志进行保护
• 审计记录的备份机制和策略是否合理
• 审计系统是否开启日志外发功能，被转发到日志服务器
• 审计记录的存储时间超过6个月

对远程访问的用户行为和访问外网的用户行为等进行单独行为审计和数据分析

远程访问用户应在相关设备上提供用户认证功能，通过配置用户、用户组并结合访问控制规则，允许认证成功的用户访问受控的资源

对内部用户访问互联网的行为进行审计和分析

• 是否已经对远程用户和访问互联网用户的行为单独进行审计和分析
• 核查审计和分析记录是否包含“管理远程访问的用户行为”、“访问互联网的用户行为”的必要信息

可信验证（略）

安全计算环境

边界内部称为安全计算环境，通过局域网将各种设备节点进行连接，构成复杂的计算环境

构成节点的设备包括网络设备、安全设备、服务器设备、终端设备、应用系统和其他设备等，涉及的对象包括各类操作系统、数据库系统、中间件系统以及其他各类系统软件、应用软件和数据对象等

安全计算环境对内部提出了安全控制系统，控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护

网络设备

路由器

路由器是沟通外部网络和内部网络的桥梁，是整个系统对外安全防护的前沿岗哨

身份鉴别

为了确保路由器的安全，必须对路由器的每个运维用户和相连的路由器进行有效的身份标识和鉴别。通过鉴别后才会赋予相应的权限，在规定的权限范围内操作

对登陆的用户的身份标识和鉴别，身份标识具有唯一性，鉴别信息需要具有复杂度要求并定期更换

口令是用来防止非授权访问的常用手段，最好的口令存储方法是保存在TACACS+或RADIUS服务器上。
一台路由器中不允许配置用户名相同的用户，每名管理员设置独立的账户。

• 用户登录时是否采用了身份鉴别措施？
• 核查用户列表、查看是否有重复的用户？
• 查看用户配置信息，是否有空口令用户？
• 用户鉴别信息是否满足复杂度要求并定期更换？口令由数字、字母、特殊字符组成并大于8位，更换周期一般为3个月

show run

应具有登陆失败处理功能，应配置并启用结束会话、限制非法登陆次数、登陆连接超时自动退出等措施

• 核查是否配置并启用了登陆失败处理功能？如有堡垒机看堡垒机是否具有该功能，如果没有堡垒机查看设备是否默认启用了登陆失败处理功能，登陆3次后退出登陆
• 是否配置并启用了非法登陆达到一定次数后锁定账户的功能？
• 是否配置并启用了远程登陆超时自动退出的功能？

进行远程管理时，应采取措施防止鉴别信息在网络传输过程中被窃听

在对网络设备进行远程管理时，为避免口令在传输过程中被窃取，不应使用明文传输的Telnet服务，应该采用SSH、HTTPS加密协议等进行交互式管理

• 核查是否使用加密等安全方式对系统进行远程管理，防止鉴别信息被窃听
• 如果部署了堡垒机，应该先检测堡垒机在进行远程连接时采取了什么措施防止鉴别信息在网络传输过程中被窃听

采取口令技术、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户身份进行鉴别，且其中一种技术至少应使用密码技术来实现

• 系统是否采用口令、数字证书、生物技术等中的两种或两种以上组合的鉴别技术对用户身份进行鉴别？
• 至少采用两种鉴别技术，其中一种为口令或者生物，另外一种为基于密码技术的鉴别技术

---

访问控制

路由器中实施访问控制的目的是保证系统资源受控合法使用，用户根据自己的权限来访问系统资源，不得越权访问

应对登陆的账户分配账户和权限

管理人员具有与其职位相应的账户和权限

• 访谈网络管理员、安全管理员、系统管理员或核查用户账户和权限设置情况
• 检查是否禁用或限制匿名、默认账户的访问权限

应重命名或删除默认账户、修改默认账户的默认口令

• 核查默认账户是否已经重命名或默认账户是否已删除
• 默认账户的默认口令是否已经修改，尝试登陆
  思科路由：账户为cisco\cisco 密码为cisco
  华为路由：账户为admin\huawei 口令为admin、admin@huawei

删除停用的多余的、过期的账户，避免共享账户的存在

• 是否存在多余的或过期的账户，以及管理员用户和账户之间是否一一对应
• 测试多余的、过期的账户是否被停用
• 网络管理员、安全管理员和系统管理员等不同的用户使用不同的账户登陆系统

应授权管理用户所需的最小权限，实现管理用户的权限分离

• 访谈管理员是否进行了权限划分
• 核查用户的权限是否已经分离
• 用户的权限是否为其工作任务所需的最小权限

由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则

此项不适用，此项主要针对主机和数据库的测评，网络设备的主要用户为运维管理人员

访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级

此项不适用，此项主要针对主机和数据库的测评，网络设备的主要用户为运维管理人员

应对主要主体和客体设置安全标记，并控制主体对由安全标记信息资源的访问

管理员按照资源的优先级，为资源进行安全标记的设定

---

安全审计

等保对象中对等级保护对象中与安全活动相关的信息进行识别、记录、存储和分析

确保用户可以对自己的行为负责

启用安全审计功能，审计覆盖到每个用户，对重要用户行为和重要安全事件进行审计

• 检查是否开启了安全审计功能，以及网络设备是否设置了日志服务器的IP地址，并使用syslog或SNMP方式将日志发送到日志服务器
• 安全审计范围是否覆盖每个用户
• 是否已对重要的用户行为和重要安全事件进行审计

审计记录应包括事件的日期、时间、用户、事件类型、事件是否成功以及其他与审计有关的信息

• 审查记录是否包含事件的日期和时间、用户、事件类型、事件是否成功以及其他和审计有关的信息

应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等

• 访谈系统管理员，了解审计记录的存储、备份和保护措施
• 是否定时发送到日志服务器
• 查看日志服务器，核查被测路由器的日志是否在收集范围内，日志服务器上可以查看半年前的审计记录

应对审计进程进行保护，防止未经授权的中断

保护审计进程，非审计员账户无法中断进程

• 通过非审计员账户中断审计进程，验证审计进程是否收到了保护？

---

入侵防范

网络控制访问是网络安全的大门警卫，负责对进出的数据进行规则匹配，但是有一定的局限性，只能对进出的数据进行分析，对网络内部发生的事件无能为力

如果设备自身存在多余的组件和应用程序、默认共享、高危端口、安全漏洞等，就会给病毒、黑客入侵的机会

遵循最小安装的原则，只安装需要的组件和应用程序

略（只适用服务器）

关闭不需要的系统服务，默认共享和高危端口

• 是否定期对系统服务进行梳理并关闭非必要的系统服务和默认共享？
• 是否开启了非必要的高危端口？

通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

为了保证安全，需要通过虚拟终端访问网络设备的登陆地址进行限制来避免未授权访问，由于虚拟终端的数量有限，而且使用完就不能再建立网络连接，所以设备有可能被用来进行拒绝服务攻击

• 配置文件是否对终端接入范围进行了限制。部署了堡垒机先核查堡垒机是否限制了管理终端的地址范围，同时核查网络设备上是否配置了堡垒机的远程管理地址，否则要登陆设备进行核查

提供数据有效性检验功能，保证通过人机接口通过通信接口输入的内容符合系统设定要求

验证系统对数据的有效性进行验证，防止个别用户输入畸形的数据导致系统出错（SQL注入等）

• 略，此项不适用，一般适用于应用层

应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞

• 通过漏洞扫描，检查是否存在高危漏洞
• 核查是否在充分的测试和评估后修补了漏洞

能够检测到对重要节点进行入侵的行为，并在发生严重入侵时进行报警

主动监视，通常在网络边界、核心等重要节点处部署IDS、IPS等系统，或在防火墙、UTM处启用入侵检测功能

• 略，此项不适用，一般适用于应用层

可信验证

略

交换机

是组成网络架构的主要设备，交换机安全防护的优劣将直接影响整个网络的安全

身份鉴别

访问控制

安全审计

入侵防范

可信验证

安全设备

防火墙

防火墙是用来进行网络访问控制的主要手段

身份鉴别

对防火墙的每个运维用户或与之相连的防火墙进行有效的标识与鉴别，只有通过鉴别的用户，才能被赋予相应的权限，进入防火墙，在规定的权限范围内工作

对登陆的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换

只有经过授权的合法用户才能访问防火墙，一般来说登录防火墙的方式包括Web端、控制台端口以命令行登录或者以SSH登录

不允许配置用户名重名，每个管理员有自己的账户

• 核查用户在登录时是否采取了身份鉴别措施
• 检查防火墙管理员账户列表，是否有重复的用户？
• 口令长度是否8位及以上，且包含数字、大小写字符和特殊字符中的两种及以上，口令每个季度至少修改一次

具有登录失败处理功能，应配置并启用结束对话，限制非法登陆次数和当登陆连接超时自动退出等措施

• 是否配置并启用了登陆失败处理功能，以及非法登陆到次数后锁定账户的功能
• 是否配置并启用了远程登陆连接超时自动退出的功能

远程管理时，采取必要措施防止鉴别信息在网络传输过程中被窃听

• 管理员采用什么方式对防火墙进行远程管理，通过Web界面进行的管理操作是否都使用了SSL协议加密处理

采用口令、密码技术、生物技术等两种或两种以上组合的鉴定技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现

• 用户的认证方式为“本地口令+证书认证”或“外部口令+证书认证”

访问控制

对登陆的用户分配账户和权限

• 针对每个用户账户，核查用户账户和权限设置是否合理？（账户管理员和配置管理员不应具有审计员的权限）
• 核查是否已禁用匿名、默认账户的权限

应该重命名或删除默认账户，修改默认账户的默认口令

• 检查默认账户是否已经重命名或默认账户是否已被删除
• 默认账户的默认口令是否已经修改

及时删除或停用多余的、过期的账户，避免共享账户的存在

• 检查防火墙用户账户列表，询问管理员各个账户的具体用途，是否存在多余的或者过期的账户
• 管理员用户和账户之间是否一一对应
• 如果多余或过期账户无法被删除，应该测试该账户是否已经停用

授权管理用户所需的最小权限，实现管理用户的权限分离

• 是否进行了角色划分。例如系统管理员、安全管理员、审计管理员。
  安全管理员：制定安全策略
  系统管理员：配置安全策略
  审计管理员：查看日志
• 管理用户的权限是否分离，是否为工作任务所需的最小权限

安全审计

入侵防范

可信验证