等保考试初级知识.doc

等级保护（初级技术）安全测试学习笔记 第一章：网络安全测评： 标准概述： 测评过程中重点依据： 《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》来进行。 基本要求中网络安全的控制点与要求项各级分布为： 级别 控制点 要求项 第一级 3 9 第二级 6 18 第三级 7 33 第四级 7 32 等级保护基本要求三级网络安全方面涵盖哪些内容 ？ 共包含7个控制点33个要求项，涉及到网络安全中的结构安全、安全审计、边界完整性检查、入侵防范、恶意代码防范、访问控制、设备防护等方面。 检查范围： 理解标准、明确目的、分阶段进行、确定检查范围，细化检查项、 注意事项： 1、 考虑设备的重要程度可以采用抽取的方式。 2、 不能出现遗漏、避免出现脆弱点。 3、 最终需要在测评方案中与用户明确检查范围-网络设备，安全设备列表。 检查内容以等级保护基本要求三级为例，安全基本要求7个控制点33个要求项进行检查： 1、 结构安全 2、 访问控制 3、 安全审计 4、 边界完整性检查 5、 入侵防范 6、 恶意代码防范 7、 网络设备防护 条款理解： （一） 结构安全：是网络安全测评检查的重点，网络结构是否合理直接管理到信息系统的整体安全。 1、 应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。 条款理解： 为了保证信息系统的高可用性，主要网络设备的业务处理能力应具备冗余空间。 2、 应保证网络各个部分的带宽满足业务高峰期需要。 对网络各个部分进行分配带宽，从而保证在业务高峰期业务服务的连续性。 3、 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径： 静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够自动地建立自己的路由表。 路由器之间的路由信息交换是基于路由协议实现的，如OSPF路由协议是一种典型的链路状态的路由协议。 如果使用动态路由协议应配置使用路由协议认证功能，保证网络路由安全。 4、 应绘制与当前运行情况相符的网络结构图： 为了便于网络管理，应绘制与当前运行情况相符的网络拓扑结构图，当网络拓扑结构发生改变时，应及时更新 5、 应根据各个部门的工作职能，重要性和所设计信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网，网段分配地址段： 根据实际情况和区域安全防护要求，应在要求的网络设备上进行VLAN划分或子网划分 不同VLAN内的报分再传输时是相互隔离的，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备设备实现 6、 应避免将重要网段部署在网络边界处且直接连接到外部信息系统，重要网段与其他网段之间可采取可靠的技术隔离手段： 为了保证信息系统的安全，应避免将重要的网段部署在网络边界处且连接外部信息系统，防止来自外部信息系统的攻击 在重要的网段和其它网段之间配置安全侧略进行访问控制 7、 应按照对业务服务的重要次序来指定带块分配优先级别，保证在网络发生拥堵的时候优先保护重要主机： 为了保证重要业务的连续性，应按照业务服务的重要次序来指定带宽分配优先级别，从而保证在网络发生拥堵的时候优先保护重要主机 （二） 访问控制：访问控制是网络测评检查中的核心部分，涉及到大部分网络设备，安全设备。 8、 应在网络边界处部署访问控制设备，启用访问控制功能： 在网络边界部署访问控制设备防御来自其它网络的攻击，保护内部网络的安全 9、 应能根据会话状态信息为数据流提供明确的允许、拒绝访问的能力控制粒度为端口级： 在网络边界部署访问控制设备对进出网络的流量进行过滤，保护内部网络的安全 配置的访问控制列表应有明确的源/目的地址，源/目的协议及服务等 10、 应对进出网络的信息内容进行过滤，实线对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制： 对于一些常用的应用层协议，能够在访问控制设备上实现应用层协议命令的控制和内容检查，从而增强访问控制粒度 11、 应在会话处于非活跃一定时间或会话结束后终止网络连接： 当恶意用户进行网络攻击时，有时会建立大量的会话连接，建立会话后长时间保持保持状态连接从而占用大量的网络资源，最终将网络资源耗尽 应在会话终止或长时间无响应的情况下终止网络连接，释放被占用的网络资源，保证业务可以被正常访问 12、 应限制网络最大流量数及网络连接数： 可根据IP地址，端口，协议来限制应用数据流的最大流量，还可以根据IP地址来限制网络连接数，从而保证业务带宽不被占用，业务系统可以对外正常提供业务 13、 重要网段应采取技术手段防止地址欺骗： 地址欺骗在网