等保2.0-网络篇
- 安全物理环境(物理机房要求)
- 物理位置选择
- 机房是否具备防震、防风、防雨等能力
- 竣工验收报告
- 天花板/窗台无漏水等现象
- 有无窗台,有则是否封闭-防护措施
- 墙体等有无开裂情况
- 避免机房位于楼顶/地下室——如有注意防水/防潮
- 机房是否具备防震、防风、防雨等能力
- 物理访问控制
- 出入口应安装电子门禁系统,控制进出人员
- 安装安全电子门禁系统
- 门禁系统正常运行,门禁系统可以鉴别、记录进出人员信息
- 出入口应安装电子门禁系统,控制进出人员
- 防盗窃和防破坏
- 机房主要部件是否固定、是否标记不易去除
- 机房内设备均放在机柜或者机架,并固定
- 主要部件设置不宜去除标记。不能翘起
- 通信线路线缆铺设在隐蔽安全处
- 线槽/桥架里
- 设置防盗报警装置或设置专人值守的视频监控系统
- 配置
- 正常
- 将各种机柜、设施和设备等通过接地系统安全接地
- 接地措施
- 机房内设置防感应雷措施
- 部署
- 是否通过国家有关部门的技术检测
- 机房主要部件是否固定、是否标记不易去除
- 防火
- 机房部署火灾自动消防系统/自动检测火情/自动报警/自动灭火
- 是否部署
- 检测设备是否正常
- 机房有关工作房间部署耐火等级的建筑材料
- 是否部署 (金属栏杆不符合)
- 机房内划分区域进行管理,区域之间设置隔离防火措施
- 是否划分
- 区域之间是否设置防火措施
- 机房部署火灾自动消防系统/自动检测火情/自动报警/自动灭火
- 防水/防潮
- 机房采取防雨水渗透的措施
- 是否有相应措施
- 机房内配备精密空调(防水蒸气结露)-漏水检测装置(防漏水监控报警)
- 是否部署
- 部署漏水检测
- 检测/报警——正常
- 机房采取防雨水渗透的措施
- 防静电
- 部署防静电地板/防静电措施
- 是否部署防静电地板
- 是否有防静电措施
- 部署防静电设备
- 是否部署
- 部署防静电地板/防静电措施
- 温湿度控制
- 部署专用空调,机房适宜温/湿度范围
- 温度范围:18-27摄氏度
- 湿度范围: 35-75%
- 部署专用空调,机房适宜温/湿度范围
- 电力系统
- 供电线路上配备稳压器、电压防护设备
- 部署
- 检测
- 备用电力供应:配备不间断电源(UPS)等备用供电系统, 记录:是否有运行切换记录/维修维护记录
- 部署冗余/并行的电力电缆线路为设备供电
- 供电线路上配备稳压器、电压防护设备
- 电磁防护
- 电源和通信线缆隔离铺设
- 通过桥架进行隔离
- 对关键设备实施电磁屏蔽措施
- 电源和通信线缆隔离铺设
- 物理位置选择
- 安全通信网络(针对网络架构|通信传输)
- 网络架构
- 网络设备的承受能力-cpu/内存不得超过70%
- 高峰期带宽-不得超过70%
- 流量监管|流量整形策略
- 网络区域划分,方便管理员管理
- 重要网络区域不可部署在边界,区域与区域之间需要部署隔离设备
- 线路、网络设备采用硬件冗余机制(双机-双路)
- 通信传输
- 保证数据的完整性
- 保证数据的保密性
- 可信验证
- 基于可信根
- 网络架构
- 安全区域边界
- 边界防护
- 受控接口
- 查看拓扑图与实际网络的情况、接口
- 通过命令查询接口、vlan信息/路由信息
- 通过网络管理系统的自动拓扑发现功能、监控是否存在非授权的接口,探索无线网络的情况(有无非授权wifi)
- 内网中的非授权的限制
- (访谈管理员),使用什么技术限制非授权设备/接口
- 关闭非使用的端口,命令:Interface FastEthernet0/1 shutdown
- 网络中是否部署终端管理系统(开启)
- ip地址/mac地址绑定
- (访谈管理员),使用什么技术限制非授权设备/接口
- 内网用户接入外网限制
- 网络中部署终端管理系统/外联管控系统
- 是否启用相应策略,限制各种非法动作
- 限制无线网络使用,通过管理系统接入内网网络
- 约谈管理员,无线网部署情况,) 无线网通过接入网管-防火墙接入有线网络,
- 一个信道、wap2、密码复杂要求:8位以上(数字、字母、大小写、特殊字符组成)
- 非授权无线网络管控措施
- 受控接口
- 访问控制(acl)
- 网络区域间部署网闸,其他设备提供acl功能
- 边界部署访问控制设备(是否开启)
- 白名单
- 访问控制策略是与实际进出口对应
- 删除、优化网络中acl策略,最小化策略数
- 访谈管理员,访问控制策略与实际是否一致
- 全局配置中策略是否过大限制范围,
- 策略(检查)中包含源/目(地址、端口)协议。(允许、拒绝)(进、出)
- 根据会话状态信息为进出数据流-(明确)
- 进出网络-数据(基于应用协议和应用内容)
- 关键节点部署控制设备
- 限制应用协议(ftp、web)应用(qq、优酷)
- 关键节点部署控制设备
- 网络区域间部署网闸,其他设备提供acl功能
- 入侵防范
- 对关键业务进行定期检查攻击行为
- 对关键业务进行分析
- 记录日志:攻击行为
- 恶意代码和垃圾邮件防范
- 在关键网络节点进行恶意代码检测
- 约谈管理员是否部署恶意代码产品、是否开启。产品里面是否有阻断信息
- 约谈管理员 特征库升级(升级方式、最新库)
- 验证相关系统/设备的安全策略
- 在关键网络节点进行垃圾邮件防范
- 关键网络间是否部署防垃圾邮件设备/系统,运行是否正常(防垃圾邮件规则库是最新)
- 验证相关系统/设备的安全策略
- 在关键网络节点进行恶意代码检测
- 安全审计
- 网络边界、重要网络节点进行安全审计-覆盖到每个用户
- 是否部署综合安全审计系统或类似功能的系统平台
- 覆盖到每个用户,记录中包含:重要的用户和重要安全事件
- 审计记录
- 网络设备中都自带审计功能
- 审计记录包含了事件的日期和时间、用户、事件类型、事件是否成功等信息
- 网络设备中都自带审计功能
- 审计记录定期备份
- 检查是否对审计记录进行保护
- 审计系统开启了日志外发功能,日志转发至日志服务器
- 检查审计记录的机制/策略
- 审计记录存储超过6个月以上
- 检查是否对审计记录进行保护
- 对远程访问用户进行审计和数据分析
- 在网络边界处的审计系统对远程访问的用户行为进行了审计,审计系统对访问互联网的行为进行了单独的审计
- 网络边界、重要网络节点进行安全审计-覆盖到每个用户
- 可信验证
- 对网络中的设备进行(包括系统引导程序、系统程序、相关应用程序和重要配置参数)的完整性验证
- 网络设备是否有具有可信根芯片或硬件
- 启动过程基于可信根对(包括系统引导程序、系统程序、相关应用程序和重要配置参数)进行可信验证度量
- 在检测受到破环,进行警告,验证结果形成审计记录送至安全管理中心
- 安全管理中心可以接收审计记录
- 对网络中的设备进行(包括系统引导程序、系统程序、相关应用程序和重要配置参数)的完整性验证
- 边界防护
- 安全计算环境
- 身份鉴别
- 登录用户的要求:
- 用户在登陆采用身份鉴别措施、
- 口令措施对登录用户进行身份标识和鉴别
- 查用户列表、测试用户身份标识具备唯一性
- 登录失败:有提示提示失败
- 用户配置中,不存在口口令用户
- 配置中查看
- 用户密码复杂性,定期更换
- 用户在登陆采用身份鉴别措施、
- 登录失败处理能力、结束会话、限制非法登录次数、登录超时自动退出,登录过程中别被窃取
- 检测部署堡垒机,核查登录失败功能、如没部署堡垒机,则默认登录失败3次退出登录界面
- 配置/启用了限制非法登录达到一定次数后实现账户锁定功能
- 配置/启用远程登录超时并自动退出
- 远程管理,防止数据传输过程中被窃听
- 采用加密等安全方式对系统进行远程管理
- 采用二种以上的鉴别技术
- 初口令之外,在采用一次鉴别机制
- 登录用户的要求:
- 访问控制
- 根据用户的职责分配账户/权限
- 访谈(网络、安全、系统)管理员-核查用户账户和权限设置情况
- 禁用/限制匿名、默认账户的访问权限
- 删除/停用多余等账户
- 删除默认账户/口令
- Cisco路由器不存在默认账户cisco. Cisco 华为H3C交换机不存在默认账户admin, huawei
- 配置中,看用户权限信息是否与实际对应
- 根据用户的职责分配最小权限,实现管理权限分离
- 角色划分
- 针对用户的访问控制策略
- 最小权限(用户-最小账户权限)
- 根据用户的职责分配账户/权限
- 安全审计
- 启用审计功能
- 在网络上配置syslog服务器,并将日志信息发送到日志服务器
- 安全审计范围覆盖每个用户
- 对重要的用户行动/安全事件进行审计
- 审计记录
- 日志信息中包含事件的日期和时间用户、事件类型、事件是否成功及其他与审计相关的信息
- 对审计记录进行保护
- 网络设备的日志信息定期转发至日志服务器,日志服务器上可查看到半年前的审计记录
- 对审计过程进行保护
- 非审计员的其他账户来不能中断审计进程
- 启用审计功能
- 入侵检测
- 应关闭不需要的系统服务、默认开启的接口
- 访谈管理员,最近是否发生变化。(配置)
- 终端接入方式/网络地址范围对网络进行管理的管理终端进行限制
- 配置中查看或堡垒机
- 实时检测网络设备是否存在已知漏洞/充分测试评估后,及时修补
- 应关闭不需要的系统服务、默认开启的接口
- 可信验证
- 设备应作为通信设备或边界设备对待
- 身份鉴别
更多推荐
等保2.0-网络篇
发布评论