信息安全等级测评师(初级)1.网络安全测评1.1网络全局1.1.1结构安全1.应该保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;//硬件要达标,也就是硬件的性能不能局限于刚好够用的地步2.应该保证网络的各个部分的带宽满足业务高峰期需要;//带宽要达标3.应在业务终端与服务器之间进行路由控制,简历安全的访问路径;//传输过程中的信息要加密,节点和节点之间要进行认证,例如OSPF的认证:检测方法:Ciscoshowru&displaycu4.绘制与当前运行状况相符合的网络拓扑结构图;5.根据各个部门工作智能,重要性和所涉及信息的重要程度等一些因素,划分不同的子网或者网段,并按照方便管理和控制的原则为各子网,网段分配地址段;//划分VLAN最合适,检测方法:CiscoshowvlanHuaweidisplayvlanall6.避免将重要的网段不是在网络边界处且直接连接到外部信息系统,重要网段与其他网段之间采取可靠的技术手段隔离;//重要网段与其他网段之间采用访问控制策略,安全区域边界处要采用防火墙,网闸等设备7.按照对业务的重要次序来指定带宽的分配优先级别,保证在网络发生拥堵时优先保护重要主机;//有防火墙是否存在策略带宽配置,边界网络设备是否存在相关策略配置(仅仅在边界进行检查?)1.1.2边界完整性检查1.能够应对非授权的设备私自连接到内部网络的行为进行检查,能够做到准确定位,并能够对其进行有效阻断;//防止外部未经授权的设备进来2.应该能够对内部网络用户私自连接到外部网络的行为进行检查,能够做到准确定位,并对其进行有效的阻断;//防止内部设备绕过安全设备出去1.1.3入侵防范1.应该在网络边界处监视以下行为的攻击:端口扫描,强力攻击,木马后门攻击,拒绝服务攻击,缓冲区溢出攻击,IP碎片攻击和网络蠕虫攻击//边界网关处是否部署了相应的设备,部署的设备是否能够完成上述功能2.当检测到攻击行为时,能够记录攻击源IP,攻击类型,攻击目的,攻击时间,在发生严重入侵事件时应该提供报警;//边界网关处事都部署了包含入侵防范功能的设备,如果部署了,是否能够完成上述功能1.1.4恶意代码防范1.应该在网络边界处对恶意代码进行检查和清除;//网络中应该有防恶意代码的产品,可以是防病毒网关,可以是包含防病毒模块的多功能安全网关,也可以是网络版的防病毒系统产品2.维护恶意代码库的升级和检测系统升级;//应该能够更新自己的代码库文件1.2路由器1.2.1访问控制1.应在网络边界部署访问控制设备,启用访问控制功能;//路由器本身就具有访问控制功能,看看是否开启了,如果在网络边界处单独布置了其他访问控制的产品,那就更好了1|Page11信息安全等级测评师(初级)2.应能根据会话状态的信息为数据流提供明确的允许/拒绝访问的能力,控制力度为端口级;//要求ACL为扩展的ACL,检测:showipaccess-list&displayaclconfigall依据安全策略,下列的服务建议关闭:序号服务名称描述关闭方式1CDPCisco设备间特有的2层协议NocdprunNocdpenable2TCPUDPsmallservice标准TCPUDP的网络服务:回应,生成字符等Noservicetcp-small-serviceNoserviceucp-small-service3FingerUNIX用户查找服务,允许用户远程列表NoipfingerNoservicefinger4BOOTP允许其他服务器从这个路由器引导Noipbootpserver5IpsouerroutingIP特性允许数据包指定他们自己的路由Noipsource-route6ARP-Proxy启用它容易引起路由表混乱Noipproxy-arp7IPdirectedbroadcast数据包能为广播识别目的的VLANNoipdirectedbroadcast8WINS和DNS路由器能实行DNS解析Noipdomain-lookup3.应对进出网络的信息内容进行过滤,实现对应用层HTTP,FTP,TELNET,SMTP,POP3等协议命令级的控制;//网络中如果部署了防火墙,这个一般要在防火墙上实现4.应该在会话处于非活跃一段时间后自动终止连接;//防止无用的连接占用较多的资源,也就是会话超时自动退出5.应该限制网络最大流量数及网络连接数;//根据IP地址,端口,协议来限制应用数据流的最大带宽,从而保证业务带宽不被占用,如果网络中有防火墙,一般要在防火墙上面实现6.重要网络应该采取技术手段防止地址欺骗;//ARP欺骗,解决方法:把网络中的所有设备都输入到...
