编号
检测项
检测技术要求细说明 化 必测项
1.应有防范信息窃取的措施; 2.应启用防范信息窃取措施。 应具有防DOS/DDOS安全设备或有效技术手段。
检测方法及步骤 1.访谈网络管理员,询问网络中有无防范信息窃取的措施(如使用SSH对所有传输数据进行加密等); 2.检测是否启用防范信息窃取措施。 1.访谈网络管理员,询问部署何种安全设备来抵抗DOS/DDOS攻击。检查在安全设备中是否开启防DOS/DDOS攻击策略等;
2.访谈网络管理员,询问是否有除安全设备外的其他防DOS/DDOS措施,并检查相应技术措施是否已启用。
1.访谈网络管理员,询问网络入侵防范措施有哪些;询问是否有专门的设备对网络入侵进行防范;询问采取什么方式进行网络入侵防范规则库升级;
2.检查网络入侵防范设备,查看是否能检测以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等; 3.检查网络入侵防范设备,查看入侵事件记录中是否包括攻击源IP、攻击类型、攻
预期结果及判定 1.网络管理员说明网络中使用SSH对所有传输数据进行加密;
2.查看系统进程中已启用SSH服务。
类别 技术类
4.1.5.2 网络安全/
网络入侵防范/信息窃取
4.1.5.3 网络安全/必测
网络入侵防项 范/ DOS/DDOS攻击
1.网络管理员说明已部署技安全设备来抵抗DOS/DDOS术攻击。查看安全策略设置类 中已启用防DOS/DDOS策略;
2.网络管理员说明针对DOS/DDOS攻击已购买运营商流量清洗服务,查看具有相应合同文件。
4.1.5.4 网络安全/必测
网络入侵防项 范/网络入侵防范机制
1.应具备网络入侵防范措施; 2.应能监视到端口扫描等攻击行为;
3.应记录攻击行为的日志信息,并能提供报警。
1. 网络管理员说明采用技的网络入侵防范措施,如术部署网络入侵防范设备类 等。采取自动实时更新的方式对网络入侵防范规则库进行升级;
2.网络入侵防范设备中有已检测到的攻击行为记录,如端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等;
3.网络入侵防范设备的入侵事件记录中包含攻击源IP、攻击类型、攻击目的、攻击时间等;并设置了安全告警(如屏幕实时提示、email告警、声音告警等)。
17
编号 检测项 检测技术要求细说明 化 检测方法及步骤 击目的、攻击时间等;查看是否设置了安全警告方式(如采取屏幕实时提示、email告警、声音告警等)。 4.1.6.1 网络安全/必测恶意代码防项 范/恶意代码防范措施 应具备网络防恶意代码防范措施 1.访谈网络管理员,询问系统中的网络防恶意代码防范措施是什么;询问防恶意代码产品的有哪些主要功能; 2.检查在网络边界及核心业务网段处是否有相应的防恶意代码的措施。 1.访谈网络管理员,询问恶意代码库的更新策略; 2.检查防恶意代码产品,查看恶意代码库是否为最新版本。 1.网络管理员说明,系统中的网络防恶意代码防范措施是部署防恶意代码产品; 2.在网络边界及核心业务网段处有部署防病毒网关等产品。 技术类 预期结果及判定 类别 4.1.6.2 网络安全/恶意代码防范/定时更新 必测项 1.应具备恶意代码库更新策略(自动更新、定期手动更新); 2.恶意代码库应为最新版本。 1.应具备身份鉴别措施,不允许管理员共用账户; 2.网络设备不允许使用默认口令; 3.主要网络设备宜对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别。 1.网络管理员说明,恶意代码库的更新策略为自动更新; 2.防恶意代码产品的恶意代码库为最新版本。 技术类 4.1.7.1 网络安全/网络设备防护/设备登录设置 必测项 1.访谈网络管理员,询问登录网络设备的用户是否进行了身份鉴别措施;采用了哪些鉴别技术实现身份鉴别(如用户名口令、挑战应答、动态口令等);是否为每个管理员设置了单独的账户; 2.检查网络设备是否对登录用户进行了身份鉴别,是否修改了默认的用户名及密码; 3.登录网络设备,查1.网络设备对登录用户进技行了身份鉴别,而且修改术了默认的用户名和密码; 类 2.网络设备上设置的用户不存在相同的用户名; 3.使用任何一种身份鉴别技术不能登录,使用规定的组合的身份鉴别技术可以登录。 18
编号 检测项 检测技术要求细说明 化 检测方法及步骤 看设置的用户是否有相同用户名; 4.在管理员的配合下验证主要网络设备上对同一用户启用的两种或两种以上组合的身份鉴别技术是否有效。 4.1.7.2 网络安全/网络设备防护/设备登录口令安全性 必测项 1.应具有身份鉴别信息防冒用措施; 2.口令应具备复杂度要求并定期更换(至少8位,并包含字母数字及特殊字符)。 应对网络设备的管理员登录地址进行限制。 1.访谈网络管理员,询问对网络设备的身份鉴别信息防冒用所采取的具体措施,如使用口令的组成、长度和更改周期等; 2.如登录符合双因素认证要求,则不对口令复杂度进行具体要求。 1.网络管理员说明,登录网络设备的口令由字母、数字、特殊字符组成,至少8位,定期更改; 2.使用双因素认证,符合本要求。 技术类 预期结果及判定 类别 4.1.7.3 网络安全/网络设备防护/登录地址限制 必测项 1.访谈网络管理员,网络设备中限制了管理员询问网络设备的管理登录地址。 员登录地址是否进行了限制; 2.检查网络设备上的安全设置,查看是否对网络设备的管理员登录地址进行限制。 1.访谈网络管理员,询问对网络设备远程管理时,是否在网络传输过程中有防窃听措施; 2.检查网络设备上的安全设置,查看对网络设备远程管理时,是否有安全措施(如采用SSH、HTTPS等加密协议)防止鉴别信息在网络传输过程中被窃听。 1.网络管理员说明,在对网络设备远程管理时,在网络传输过程中利用SSH防窃听; 2.网络设备中配置了传输协议SSH来防止鉴别信息在网络传输过程中被窃听。 技术类 4.1.7.4 网络安全/网络设备防护/远程管理安全 必测项 1.网络设备远程管理应具备防窃听措施; 2.应启用网络设备远程管理防窃听措施。 技术类 19
编号
检测项
检测技术要求细说明 化
1.网络设备
应具有登录失败处理功能;
2.网络设备应启用登录失败处理功能。
检测方法及步骤 1.访谈网络管理员,询问网络设备是否有登录失败处理功能(如结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施);
2.检查网络设备上的安全设置,查看其是否有对鉴别失败采取相应的措施的设置;查看其是否有限制非法登录次数的功能;查看是否设置网络登录连接超时,并自动退出。
预期结果及判定 1.网络管理员说明,网络设备具有登录失败处理功能,如结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
2.网络设备中已配置实现登录失败时结束会话、限制非法登录次数,网络登录连接超时时间,超时后自动退出。
类别 技术类
4.1.7.5 网络安全/必测
网络设备防项 护/设备用户设置策略
4.1.7.6 网络安全/
网络设备防护/权限分离
必测项
网络设备应1.访谈网络管理员,进行特权用询问网络设备是否实户权限分离 现设备特权用户的权
限分离;
2.检查网络设备是否实现设备特权用户的权限分离(每个管理员账户是否仅分配完成其任务的最小权限);
3.测试网络设备的安全设置,验证设备特权用户的权限分离(如普通操作员账户的权限分配列表中是否含有审核权限)。 1.网络设备
应实现设备的最小服务配置; 2.应对配置文件进行定期离线备份。
1.访谈网络管理员,询问是否实现设备的最小化服务配置,并对配置文件进行定期离线备份;
2.检查网络设备是否已实现最小化服务配置(如开启的服务端
1.网络设备已实现特权用户权限分离,每个特权用户仅分配完成其任务的最小权限;
2.网络设备目前有不同的特权用户;
3.普通操作员账户的权限分配列表中不含有高阶的审核权限。
技术类
4.1.7.7 网络安全/
网络设备防护/最小化服务
必测项
1.网络设备已实现最小服务配置,并对配置文件已进行定期离线备份,有相应备份记录;
2.网络设备目前开启的服务端口都是业务需要的,离线备份记录满足定期要求。
技术类
20
编号
检测项
检测技术要求细说明 化
检测方法及步骤 口都是业务需要等),
是否对网络设备的配置文件进行定期离线备份(查看离线备份记录是否满足定期备份)。
4.1.8.1 网络安全/必测
网络安全管项 理/网络设备运维手册
1.应具备网络安全管理制度,至少包括对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面; 2.应保证所有与外部系统的连接均得到授权和批准; 3.应定期检查违反规定拨号上网或其他违反网络安全策略行为的记录。 1.软件版本升级前,应对重要文件进行备份; 2.应及时更新重要安全补丁。
1.检查网络安全管理制度,查看其是否覆盖网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等内容;
2.访谈网络管理员,询问系统网络的外联种类有哪些(互联网、合作伙伴企业网、上级部门网络等),是否都得到授权与批准,由何部门/何人批准;是否有授权和批准记录;
3.检查是否定期检查违反规定拨号上网或其他违反网络安全策略的行为。
1.网络安全管理制度中含有对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等内容;
2.系统网络的外联种类是上级部门网络,所有外联行为均得到授权和批准,拥有授权和批准记录; 3.有定期检查违反规定拨号上网或其他违反网络安全策略的行为记录,满足定期检查要求。
技术类
预期结果及判定
类别
4.1.8.2 网络安全/
网络安全管理/定期补丁安装
必测项
1.访谈网络管理员,询问是否根据厂家提供的软件升级版本对网络设备进行过升级,升级前是否对重要文件(账户数据、配置数据等)进行备份;
2.检查目前的软件版本号为多少,是否存在升级备份记录,采
1.根据厂家提供的软件升级版本及时对网络设备进行升级,升级前对重要文件(账户数据、配置数据等)进行备份;
2.及时更新重要安全补丁。
技术类
21