信息安全等级评测师课堂笔记.docx

网络安全测评 网络全局 结构安全 应该保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；//硬件要达标,也就是硬件的性能不能局限于刚好够用的地步 应该保证网络的各个部分的带宽满足业务高峰期需要；//带宽要达标 应在业务终端与服务器之间进行路由控制，简历安全的访问路径；//传输过程中的信息要加密，节点和节点之间要进行认证，例如OSPF的认证：检测方法：Cisco show ru display cu 绘制与当前运行状况相符合的网络拓扑结构图； 根据各个部门工作智能，重要性和所涉及信息的重要程度等一些因素，划分不同的子网或者网段，并按照方便管理和控制的原则为各子网，网段分配地址段；// 划分VLAN最合适,检测方法： Cisco show vlan Huawei display vlan all 避免将重要的网段不是在网络边界处且直接连接到外部信息系统，重要网段与其他网段之间采取可靠的技术手段隔离；//重要网段与其他网段之间采用访问控制策略，安全区域边界处要采用防火墙，网闸等设备 按照对业务的重要次序来指定带宽的分配优先级别，保证在网络发生拥堵时优先保护重要主机；//有防火墙是否存在策略带宽配置，边界网络设备是否存在相关策略配置（仅仅在边界进行检查？） 边界完整性检查 1． 能够应对非授权的设备私自连接到内部网络的行为进行检查，能够做到准确定位，并能够对其进行有效阻断；//防止外部未经授权的设备进来 2． 应该能够对内部网络用户私自连接到外部网络的行为进行检查，能够做到准确定位，并对其进行有效的阻断；//防止内部设备绕过安全设备出去 入侵防范 应该在网络边界处监视以下行为的攻击：端口扫描，强力攻击，木马后门攻击，拒绝服务攻击，缓冲区溢出攻击，IP碎片攻击和网络蠕虫攻击//边界网关处是否部署了相应的设备，部署的设备是否能够完成上述功能 当检测到攻击行为时，能够记录攻击源IP，攻击类型，攻击目的，攻击时间，在发生严重入侵事件时应该提供报警；//边界网关处事都部署了包含入侵防范功能的设备，如果部署了，是否能够完成上述功能 恶意代码防范 应该在网络边界处对恶意代码进行检查和清除；//网络中应该有防恶意代码的产品，可以是防病毒网关，可以是包含防病毒模块的多功能安全网关，也可以是网络版的防病毒系统产品 维护恶意代码库的升级和检测系统升级；//应该能够更新自己的代码库文件 路由器 访问控制 1． 应在网络边界部署访问控制设备，启用访问控制功能；//路由器本身就具有访问控制功能，看看是否开启了，如果在网络边界处单独布置了其他访问控制的产品，那就更好了 2． 应能根据会话状态的信息为数据流提供明确的允许/拒绝访问的能力，控制力度为端口级；//要求ACL为扩展的ACL，检测：show ip access-list display acl config all 依据安全策略，下列的服务建议关闭： 序号 服务名称 描述 关闭方式 1 CDP Cisco 设备间特有的2 层协议 No cdp run No cdp enable 2 TCP UDP small service 标准TCP UDP的网络服务：回应，生成字符等 No service tcp-small-service No service ucp-small-service 3 Finger UNIX用户查找服务，允许用户远程列表 No ip finger No service finger 4 BOOTP 允许其他服务器从这个路由器引导 No ip bootp server 5 Ip souer routing IP 特性允许数据包指定他们自己的路由 No ip source-route 6 ARP-Proxy 启用它容易引起路由表混乱 No ip proxy-arp 7 IP directed broadcast 数据包能为广播识别目的的VLAN No ip directed broadcast 8 WINS和DNS 路由器能实行DNS解析 No ip domain-lookup 3． 应对进出网络的信息内容进行过滤，实现对应用层HTTP，FTP，TELNET，SMTP，POP3等协议命令级的控制；//网络中如果部署了防火墙，这个一般要在防火墙上实现 4． 应该在会话处于非活跃一段时间后自动终止连接；//防止无用的连接占用较多的资源，也就是会话超时自动退出 5． 应该限制网络最大流量数及网络连接数；//根据IP地址，端口，协议来限制应用数据流的最大带宽，从而保证业务带宽不被占用，如果网络中有防火墙，一般要在防火墙上面实现 6． 重要网络应该采取技术手段防止地址欺骗；//ARP欺骗，解决方法：把网络中的所有设备都输入到一个静态表中，这叫IP-MAC绑定;或者在内网的所