等保测评
2024-03-21 15:15:55 2 举报AI智能生成
等保测评项
作者其他创作
大纲/内容
基本要求
安全物理环境(共22个要求项)
物理位置选择
要求项1
安全要求
机房场地选择在有防震、防风、防雨等能力的建筑内
要求解读
机房场地所在建筑物有防震、防风、防雨等能力
测评方法
核查是否有建筑物抗震设防审批文件
核查是否有雨水渗漏痕迹
核查是否有可灵活开启的窗户,若有是否采取了封闭,上锁等防护措施
核查是否有雨水渗漏痕迹
核查是否有可灵活开启的窗户,若有是否采取了封闭,上锁等防护措施
预期结果或佐证
机房有验收文档
天花板、窗台无渗漏痕迹
机房无窗户,或有窗户且采取防护措施
现场观测屋顶、墙体、门窗、地面无开裂现象
天花板、窗台无渗漏痕迹
机房无窗户,或有窗户且采取防护措施
现场观测屋顶、墙体、门窗、地面无开裂现象
要求项2
安全要求
机房场地应避免设在建筑物的顶层或地下室,否则应加强防水防潮措施
要求解读
机房场地避免设置在建筑物的顶层或地下室,如因某些原因无法避免,需加强防水防潮措施
测评方法
核查机房是否设置在建筑物的顶层或地下室
若机房设置在建筑物顶层或地下室,是否采取了防水防潮措施
若机房设置在建筑物顶层或地下室,是否采取了防水防潮措施
预期结果或佐证
未设置在建筑物的顶层或地下室
设置在建筑物的顶层或地下室,采取了严格的防水防潮措施
设置在建筑物的顶层或地下室,采取了严格的防水防潮措施
物理访问控制
要求项3
安全要求
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员
要求解读
为防止非授权进入机房,应安装电子门禁系统,对进出人员进行访问控制,避免未授权人员进入造成系统运行终端、设备丢失或损坏、数据被窃取篡改,并实现对人员进出情况记录
测评方法
核查机房出入口是否配置了电子门禁系统
核查电子门禁系统是否开启并正常运行
核查电子门禁系统是否可以鉴别、记录进入人员信息
核查电子门禁系统是否开启并正常运行
核查电子门禁系统是否可以鉴别、记录进入人员信息
预期结果或佐证
机房出入口配备了电子门禁系统
电子门禁系统工作正常,可以对进入人员进行鉴别
电子门禁系统工作正常,可以对进入人员进行鉴别
防盗窃和放破坏
要求项4
安全要求
应将设备或主要部件进行固定,并设置不易除去的标识
要求解读
对于安放在机房内保障系统正常运行的设备或部件进行加固,并设置明显的、不易除去的标识
测评方法
核查机房内设备或部件是否进行固定
核查机房内设备或部件是否设置了明显的、不易除去的标识
核查机房内设备或部件是否设置了明显的、不易除去的标识
预期结果或佐证
机房内的设备均放置在机柜或机架上并固定
设备或部件设置了不易除去的标识(若为粘贴标识,不能有翘起)
设备或部件设置了不易除去的标识(若为粘贴标识,不能有翘起)
要求项5
安全要求
应将通信线缆铺设在隐蔽安全处
要求解读
机房内的通信线缆需要铺设在隐蔽安全处,防止线缆受损
测评方法
核查机房内通信线缆是否铺设在隐蔽安全处
预期结果或佐证
机房通信线缆铺设在线槽或桥架里
要求项6
安全要求
应设置机房防盗报警系统或设置有专人值守的视频监控系统
要求解读
机房需要安装防盗报警系统或在安装视频监控系统时安排专人值守,防止盗窃和恶意破坏
测评方法
核查是否配置防盗报警系统或有专人值守的视频监控系统
核查防盗报警系统或视频监控系统是否开启且正常运行
预期结果或佐证
机房配置了防盗报警系统或有专人值守的视频监控系统
在现场观测时,视频监控系统正常工作
在现场观测时,视频监控系统正常工作
防雷击
要求项7
安全要求
应将各类机柜、设施和设备等通过接地系统安全接地
要求解读
在机房内对各类机柜、设施和设备采取接地措施,防止雷击对电子设备造成损害
测评方法
核查机房内机柜、设施和设备是否进行接地处理,通常黄绿相间的电线为接地线
预期结果或佐证
机房内机柜、设施和设备等均已采取接地措施
要求项8
安全要求
应采取措施防止感应雷,例如设置防雷保安器或过呀保护装置等
要求解读
在机房内安装防雷保安器或过压保护装置等,防止感应雷对电子设备造成损害
测评方法
核查机房内是否采取了防感应雷措施
核查防雷装置是否通过了验收或国家有关部门的技术检测
核查防雷装置是否通过了验收或国家有关部门的技术检测
预期结果或佐证
机房内采取了防感应雷措施,例如防雷感应器、防浪涌插座等
防雷装置通过了国家有关部门的技术检测
防雷装置通过了国家有关部门的技术检测
防火
要求项9
安全要求
机房应设置火灾自动消防系统,能够自动检测火情、自动报警、自动灭火
要求解读
机房内需设置火灾自动消防系统,在发生火灾时进行自动检测、报警和灭火,如自动气体消防系统、自动喷淋消防系统等
测评方法
核查机房内是否设置了火灾自动消防系统
核查火灾自动消防系统是否可以自动检测火情、自动报警、自动灭火
核查火灾自动消防系统是否通过了验收或国家有关部门的技术检测
核查火灾自动消防系统是否可以自动检测火情、自动报警、自动灭火
核查火灾自动消防系统是否通过了验收或国家有关部门的技术检测
预期结果或佐证
机房内设置了火灾自动消防系统
在进行现场观测时,火灾自动消防系统工作正常
在进行现场观测时,火灾自动消防系统工作正常
要求项10
安全要求
机房及相关工作房间和辅助房间应采取具有耐火等级的建筑材料
要求解读
机房内需采用具有耐火等级的建筑材料,以防止火灾的发生和火势蔓延
测评方法
核查机房验收文档中是否明确记录了所用建筑材料的耐火等级
预期结果或佐证
机房使用的所有材料均为耐火材料,例如使用墙体、防火玻璃等,但使用金属栅栏的情况不算符合
要求项11
安全要求
应对机房划分区域进行管理,区域和区域之间设置隔离防火措施
要求解读
机房内需要进行区域划分并设置隔离防火措施,防止火势蔓延
测评方法
核查机房是否划分区域
核查机房各区域之间是否采取隔离防火措施
核查机房各区域之间是否采取隔离防火措施
预期结果或佐证
机房进行区域划分,例如过渡区、主机房
机房个区域之间部署防火隔离装置
机房个区域之间部署防火隔离装置
防水和防潮
要求项12
安全要求
应采取措施防止雨水通过机房窗户、屋顶、墙壁渗透
要求解读
机房内需采取防渗漏措施,防止窗户、屋顶、墙壁出现渗漏现象
测评方法
核查机房窗户、屋顶、墙壁是否采取防渗漏措施
预期结果或佐证
机房采取防雨水渗透措施,例如封锁窗户并采取防水措施、屋顶、墙壁均采取防雨水渗透措施
要求项13
安全要求
应采取措施防止机房水蒸气结露、地下积水转移和渗透
要求解读
机房内需采取防结露和排水措施,防止水蒸气结露和地面积水
测评方法
核查机房内是否采取防止水蒸气结露的措施
核查机房内是否采取排水措施防止地面积水
核查机房内是否采取排水措施防止地面积水
预期结果或佐证
机房内配备了专用的精密空调防止水蒸气结露
机房内部署了漏水检测装置,可以对漏水情况进行监控、报警
机房内部署了漏水检测装置,可以对漏水情况进行监控、报警
要求项14
安全要求
应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警
要求解读
机房内需要布设对水敏感的检测装置,对渗水、漏水的情况进行检测报警
测评方法
核查机房内是否安装了对水敏感的检测装置
核查机房内的防水检测和报警装置是否开启并正常运行
核查机房内的防水检测和报警装置是否开启并正常运行
预期结果或佐证
机房内部署漏水检测装置,如漏水检测绳等
在进行现场观测时,防水检测和报警装置工作正常
在进行现场观测时,防水检测和报警装置工作正常
防静电
要求项15
安全要求
应采用防静电地板或地面并采用必要的接地防静电措施
要求解读
机房内需安装防静电地板或在地面采取必要的接地措施,防止静电产生
测评方法
核查机房内是否安装防静电地板
核查机房内是否采用了防静电接地措施
核查机房内是否采用了防静电接地措施
预期结果或佐证
机房内安装了防静电地板
机房内采用了接地的防静电措施
机房内采用了接地的防静电措施
要求项16
安全要求
应采取措施防止静电的产生,如采用静电消除器、佩戴防静电手环等
要求解读
机房内需配备静电消除器,工作人员可佩戴防静电手环等
测评方法
核查机房是否配备静电消除设备
预期结果或佐证
机房内配备了静电消除设备
温湿度控制
要求项17
安全要求
应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内
要求解读
机房内安装温湿度自动调节装置,如空调、除湿机、通风机等,使机房温湿度的变化在设备允许范围内,通常机房适宜温度为18-27℃,空气湿度为35%-75%
测评方法
核查机房内是否配备了专用空调
核查机房内温湿度是否在设备运行所允许的范围内
核查机房内温湿度是否在设备运行所允许的范围内
预期结果或佐证
机房配备了专用的精密空调
机房温度在20-25℃,湿度在40%-60%
机房温度在20-25℃,湿度在40%-60%
电力供应
要求项18
安全要求
应在机房供电线路上配置稳压器和过压防护设备
要求解读
机房供电线路上需安装电流稳压器和电压过载保护装置,防止电力波动对电子设备造成损害
测评方法
核查供电线路上是否配置了稳压器和过压防护设备
预期结果或佐证
机房内计算机系统供电线路上设置了稳压器和过压防护设备
在现场观测时,稳压器和过压防护设备工作正常
在现场观测时,稳压器和过压防护设备工作正常
要求项19
安全要求
应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求
要求解读
机房内需配备不间断电源(UPS)或备用供电系统,例如备用发电机或由第三方提供的备用供电服务,防止电力中断对设备运转和系统运行造成损害
测评方法
核查机房是否配备UPS等备用供电系统
核查UPS等备用供电系统的运行切换记录和检修维护记录
核查UPS等备用供电系统的运行切换记录和检修维护记录
预期结果或佐证
机房配备UPS系统
UPS系统能够满足短期断电时的供电要求
UPS系统能够满足短期断电时的供电要求
要求项20
安全要求
应设置冗余或并行的电力电缆线路为计算机系统供电
要求解读
机房供电需要使用冗余或并行的电力电缆线路,防止电力中断对设备运转和系统运行造成损害
测评方法
核查是否设置了冗余或并行的电力电缆线路为计算机系统供电
预期结果或佐证
机房配备了冗余的供电线路,如市电双路接入
电磁防护
要求项21
安全要求
电源线和通信线缆应隔离铺设,避免互相干扰
要求解读
机房内的电源线和通信线缆需要隔离铺设在不同的管道或桥架内,防止电磁辐射和干扰
测评方法
核查机房电源线和通信线缆是否隔离铺设
预期结果或佐证
机房内电源线和通信线缆隔离铺设,如通过线槽或桥架进行隔离
要求项22
安全要求
应对关键设备实施电磁屏蔽
要求解读
机房内的关键设备需安放在电磁屏蔽机或电磁屏蔽区域,防止电磁辐射和干扰
测评方法
核查是否为关键设备配备电磁屏蔽装置
预期结果或佐证
对关键设备采取电磁屏蔽措施,如配备电磁屏蔽机柜或屏蔽机房
安全通信网络(共8个要求项)
网络架构
要求项1
安全要求
应保证网络设备的业务处理能力满足业务高峰期需要
要求解读
为保证主要网络设备具备足够的处理能力,应定期检查设备的资源占用情况,确保设备的业务处理能力具备冗余空间
测评方法
1.访谈网络管理员,l了解业务高峰时期是什么时候,核查边界设备和主要网络设备的处理能力是否满足高峰业务需要,询问采用什么手段监测主要网络设备的运行状态。一般业务高峰期CPU 、内存使用率不高于70%
2. 访谈或核查是否曾因设备能力不足出现宕机情况,可核查综合网管系统的告警日志或设备运行时间等,或访谈网络管理员是否因设备处理能力不足而进行升级
3.核查设备在一段时间内的性能峰值,结合设备自身的承载性能,分析设备是否满足业务处理要求
2. 访谈或核查是否曾因设备能力不足出现宕机情况,可核查综合网管系统的告警日志或设备运行时间等,或访谈网络管理员是否因设备处理能力不足而进行升级
3.核查设备在一段时间内的性能峰值,结合设备自身的承载性能,分析设备是否满足业务处理要求
预期结果或佐证
1. 设备CPU、内存使用率的峰值不大于70%(华为交换机命令:display cpu-suage)
2. 未出现宕机情况,综合网管系统未记录宕机告警日志,设备运行时间较长(华为交换机命令:display version)
2. 未出现宕机情况,综合网管系统未记录宕机告警日志,设备运行时间较长(华为交换机命令:display version)
要求项2
安全要求
应保证网络各个部分的带宽满足业务高峰需要
要求解读
为保证业务连续性,应保证网络各个部分的带宽满足业务高峰期需要,如果存在带宽无法满足情况,则要在主要网络设备上进行带宽配置,以保证关键业务应用的带宽需求
测评方法
1.询问管理员业务高峰期的流量使用情况,核查是否部署了流量控制设备对关键业务系统的流量带宽进行控制,或者在相关设备上启用QOS配置对网络各个部分进行带宽分配
2. 核查综合网管系统在业务高峰期的带宽占用情况,分析是否满足业务需求,如果无法满足业务高峰期需求,则要在主要网络设备上进行带宽配置
3. 测试验证网络各个部分的带宽是否满足业务高峰期需要
2. 核查综合网管系统在业务高峰期的带宽占用情况,分析是否满足业务需求,如果无法满足业务高峰期需求,则要在主要网络设备上进行带宽配置
3. 测试验证网络各个部分的带宽是否满足业务高峰期需要
预期结果或佐证
1.在各个关键节点部署流量监控系统,监测网络中的实时流量,部署流量控制设备,在关键节点设备上配置QOS策略,对关键业务系统的流量带宽进行控制
2.节点设备配置流量监管和流量整形策略
3.各通信链路的高峰期流量均不高于其带宽的70%
2.节点设备配置流量监管和流量整形策略
3.各通信链路的高峰期流量均不高于其带宽的70%
要求项3
安全要求
应划分不同的网络区域,并按照方便管理和控制的原则为各个网络区域分配地址
要求解读
应根据实际情况和区域安全防护要求,在主要网络设备上进行vlan划分
测评方法
询问网络管理员是否依据部门的职能、等保对象的重要程度、应用系统的级别等实际情况和区域安全防护要求划分了不同vlan
核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致。
核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致。
预期结果或佐证
划分了不同的网络区域,并为各网络区域分配地址,不同网络区域之间采取边界防护措施
要求项4
安全要求
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
要求解读
应避免将重要网段部署在边界处且直接连接外部等级保护对象,从而防止来自外部等级保护对象的攻击。
应在重要网段和其他网段之间配置安全策略,进行访问控制
应在重要网段和其他网段之间配置安全策略,进行访问控制
测评方法
核查网络拓扑图是否与实际网络运行环境一致
核查重要网络区域是否部署在网络边界处以及网络区域边界是否部署安全防护措施
核查重要网络区域与其他网络区域之间是否采取了可靠的技术隔离手段,如网闸、防火墙、设备访问控制列表等
核查重要网络区域是否部署在网络边界处以及网络区域边界是否部署安全防护措施
核查重要网络区域与其他网络区域之间是否采取了可靠的技术隔离手段,如网闸、防火墙、设备访问控制列表等
预期结果或佐证
网络拓扑图与实际网络运行环境一致
重要网络区域未部署在网络边界处
重要网络区域与其他网络区域之间部署了网站、防火墙等安全设备,实现技术隔离
重要网络区域未部署在网络边界处
重要网络区域与其他网络区域之间部署了网站、防火墙等安全设备,实现技术隔离
要求项5
安全要求
应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性
要求解读
应采用冗余技术设计网络拓扑结构
关键计算设备需采用热冗余方式部署,保障系统高可用性
关键计算设备需采用热冗余方式部署,保障系统高可用性
测评方法
核查系统的出口路由器、核心交换机、安全设备等关键设备是否用硬件冗余和通信线路冗余来保证系统高可用性
预期结果或佐证
采用HSRP、VRRP等冗余技术设计网络架构,在通信线路或设备发生故障时网络不会中断
通信传输
要求项6
安全要求
应采用校验技术或密码技术保证通信过程中数据的完整性
要求解读
为防止数据在通信过程中被修改或破坏,应采用校验技术或密码技术保证通信过程中数据的完整性,这些数据包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据、重要个人信息等
测评方法
核查是否在传输过程中使用校验技术或密码技术保证数据完整性
测试验证设备或组件是否能够保证通信过程中数据的完整。如使用filechecksum integrity verifier(适用于md5、sha1算法)、sigcheck(适用于数字签名)等工具对数据完整性校验
测试验证设备或组件是否能够保证通信过程中数据的完整。如使用filechecksum integrity verifier(适用于md5、sha1算法)、sigcheck(适用于数字签名)等工具对数据完整性校验
预期结果或佐证
对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据、重要个人信息等采用校验技术或密码技术保证通信过程中数据完整性
使用filechecksum integrity verifier计算数据的散列值,验证数据的完整性
使用filechecksum integrity verifier计算数据的散列值,验证数据的完整性
要求项7
安全要求
应采用密码技术保证通信过程中数据的保密性
要求解读
根据实际情况和安全防护要求,应采取技术手段对通信过程中的敏感信息字段或整个报文加密。可采用对称加密和非对称加密算法实现
测评方法
核查是否在通信过程中采取了保密措施,了解具体采取了哪些措施
测试验证在通信过程中是否对敏感信息字段或整个报文进行加密。可以使用通信协议分析工具、流量镜像等方式抓取网络中的数据
测试验证在通信过程中是否对敏感信息字段或整个报文进行加密。可以使用通信协议分析工具、流量镜像等方式抓取网络中的数据
预期结果或佐证
对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据、重要个人信息等采用密码技术保证数据保密性
通信协议分析工具可监视信息的传送过程,但显示的是加密报文
通信协议分析工具可监视信息的传送过程,但显示的是加密报文
可信验证
要求项8
安全要求
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性收到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
要求解读
通信设备可能包括交换机、路由器和其他通信设备等,通过在设备的启动和运行过程中对预装软件的完整性进行验证或检测,可以确保对预装软件的篡改行为能被发现报警
测评方法
核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证
核查是否在应用程序的关键执行关节进行动态可信验证
测试验证在检测到设备的可信性受到破坏后是否进行报警
核查测试验证结果是否以审计记录的形式被送至安全管理中心
核查是否在应用程序的关键执行关节进行动态可信验证
测试验证在检测到设备的可信性受到破坏后是否进行报警
核查测试验证结果是否以审计记录的形式被送至安全管理中心
预期结果或佐证
通信设备具有可信根芯片或硬件
启动过程基于可信根对系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证度量
在检测到设备的可信性收到破坏后报警,并将验证结果形成审计记录送至安全管理中心
安全管理中心可以接收到设备的验证结果记录
启动过程基于可信根对系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证度量
在检测到设备的可信性收到破坏后报警,并将验证结果形成审计记录送至安全管理中心
安全管理中心可以接收到设备的验证结果记录
安全区域边界(共20个要求项)
边界防护
要求项1
安全要求
应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信
要求解读
为保证数据通过受控边界,应明确网络边界设备,并明确边界设备的物理端口。网络外连链路仅能通过指定的设备端口进行数据通信
测评方法
核查网络拓扑图是否与实际的网络链路是否一致,是否明确了网络边界及边界设备的物理端口
通过路由配置信息及边界设备配置信息,核查是否由指定的物理端口进行跨越边界的网络通信
采用其他技术手段核查是否存在其他能够进行跨越边界的网络通信的未受控端口。可使用无线嗅探器、无线入侵检测系统。手持式无线信号检测系统等相关工具检测无线访问情况
通过路由配置信息及边界设备配置信息,核查是否由指定的物理端口进行跨越边界的网络通信
采用其他技术手段核查是否存在其他能够进行跨越边界的网络通信的未受控端口。可使用无线嗅探器、无线入侵检测系统。手持式无线信号检测系统等相关工具检测无线访问情况
预期结果或佐证
查看网络拓扑图并对比实际的网络链路,确认网络边界设备及链路接入端口的设置无误
通过网络管理系统的自动拓扑发现功能,监控非授权的网络出口链路。通过无线嗅探器排查无线网络的使用情况,确认无非授权WiFi
通过网络管理系统的自动拓扑发现功能,监控非授权的网络出口链路。通过无线嗅探器排查无线网络的使用情况,确认无非授权WiFi
要求项2
安全要求
应能够对非授权设备私自接入内部网络的行为进行检查或限制
要求解读
设备的非授权接入可能会破坏原有的边界设计策略。可以采用技术手段和管理措施对非授权接入行为进行检查,技术手段包括部署内网安全管理系统、关闭网络设备未使用的端口、绑定ip/mac地址等
测评方法
1.询问网络管理员采用什么技术手段或管理措施对非授权设备私自接入内部网络的行为进行管控,并在网络管理员的配合下验证其有效性
2.核查所有路由器和交换机等设备的闲置端口是否已经关闭
3.如果通过部署内网安全管理系统实现系统准入,则应核查各终端设备是否统一进行部署,以及是否存在不可控的特殊权限接入设备
4.如果采用ip/mac绑定的方式进行准入控制,则应核查接入层网络设备是否采取了ip/mac地址绑定等措施
2.核查所有路由器和交换机等设备的闲置端口是否已经关闭
3.如果通过部署内网安全管理系统实现系统准入,则应核查各终端设备是否统一进行部署,以及是否存在不可控的特殊权限接入设备
4.如果采用ip/mac绑定的方式进行准入控制,则应核查接入层网络设备是否采取了ip/mac地址绑定等措施
预期结果或佐证
1.非使用的端口均已关闭。查看命令“show ip interfaces brief”
2.网络中部署的终端管理系统已经启用,各终端设备均已有效部署,无特权设备
3。ip/mac地址绑定结果。查看命令“show ip arp”
2.网络中部署的终端管理系统已经启用,各终端设备均已有效部署,无特权设备
3。ip/mac地址绑定结果。查看命令“show ip arp”
要求项3
安全要求
应能够对内部用户非授权连到外部网络的行为进行检查或限制
要求解读
可以通过内网安全管理系统的非授权外联管控功能或防非法外联系统实现对非授权外联行为的控制。
测评方法
1.核查是否采用了内网安全管理系统或其他技术手段对内部用户非授权连接外部网络的行为进行限制或检查
2.核查是否限制终端设备的相关端口的使用。例如是否通过禁用双网卡、USB接口、调制解调器、无线网络等来防止内部用户进行非授权外联
2.核查是否限制终端设备的相关端口的使用。例如是否通过禁用双网卡、USB接口、调制解调器、无线网络等来防止内部用户进行非授权外联
预期结果或佐证
1.网络中部署了终端安全管理系统或非授权外联管控系统
2.网络中的各类终端设备均已正确部署了终端安全管理系统或外联管控系统并启用相关策略。例如禁止更改网络配置、以及禁用双网卡、USB口、调制解调器、无线网络等
2.网络中的各类终端设备均已正确部署了终端安全管理系统或外联管控系统并启用相关策略。例如禁止更改网络配置、以及禁用双网卡、USB口、调制解调器、无线网络等
要求项4
安全要求
应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络
要求解读
无线网络应单独组网并通过无线接入网关等受控的边界防护设备接入内部有线网络。同时,应部署无线网络管控措施,对非授权的无线网络进行检测、屏蔽
测评方法
1.询问网络管理员网络中是否有授权的无线网络,以及这些无线网络是否是单独组网后接入有线网络
2.核查无线网络的部署方式。核查是否部署了无线接入网关、无线网络控制器等设备。检查无线网络设备的配置是否合理,例如无线网络设备信道的使用是否合理,用户口令强度是否足够,是否使用wpa2加密方式等
3.核查网络中是否部署了对非授权的无线设备的管控措施,以及是否能够对非授权的无线设备进行检查、屏蔽
2.核查无线网络的部署方式。核查是否部署了无线接入网关、无线网络控制器等设备。检查无线网络设备的配置是否合理,例如无线网络设备信道的使用是否合理,用户口令强度是否足够,是否使用wpa2加密方式等
3.核查网络中是否部署了对非授权的无线设备的管控措施,以及是否能够对非授权的无线设备进行检查、屏蔽
预期结果或佐证
1.授权的无线网络通过无线方式接入网关,并通过防火墙等访问控制设备接入有线网络。无线网络使用1信道防止设备间的互相干扰。使用wpa2进行加密。且对用户密码的复杂度有要求。例如口令长度为8位及以上且由数字、大小写字母及特殊字符组成。
2.使用无线嗅探器未发现非授权的无线设备。
2.使用无线嗅探器未发现非授权的无线设备。
访问控制
要求项5
安全要求
应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下只放通允许通信的受控接口,其他全部拒绝
要求解读
应在网络边界或区域之间部署防火墙、网站、路由器、交换机和无线接入网关等具有访问控制功能的设备或组件,根据访问控制策略设置有效的访问控制规则,访问控制规则采用白名单机制
测评方法
1.核查网络边界或区域之间是否部署了访问控制设备,是否启用了访问控制策略。
2.核查设备的访问控制策略是否为白名单机制,是否仅允许授权的用户访问网络资源,是否禁止了其他所有网络访问行为
3.核查所配置的访问控制策略是否实际应用带了相应接口的进或出方向
2.核查设备的访问控制策略是否为白名单机制,是否仅允许授权的用户访问网络资源,是否禁止了其他所有网络访问行为
3.核查所配置的访问控制策略是否实际应用带了相应接口的进或出方向
预期结果或佐证
检查配置文件中的访问控制策略,cisco命令:show running-config
要求项6
安全要求
应删除多余或无效的访问控制规则,优化访问控制列表,保证访问控制规则数量最小化
要求解读
根据实际业务需求配置访问控制策略,仅开放业务运行必须使用的端口,禁止配置全通策略。
访问控制策略之间不存在冲突、重叠、包含的情况,保证访问控制规则数量最小化
访问控制策略之间不存在冲突、重叠、包含的情况,保证访问控制规则数量最小化
测评方法
1.访谈安全管理员,了解访问控制策略的配置情况,核查相关安全设备的访问控制策略与业务和管理需求是否一致,结婚策略命中数据分析访问控制策略是否有效
2.检查访问控制策略中是否已经禁用全通策略或端口、地址限制范围过大的策略
3.核查设备的不同访问控制策略之间的逻辑关系是否合理
2.检查访问控制策略中是否已经禁用全通策略或端口、地址限制范围过大的策略
3.核查设备的不同访问控制策略之间的逻辑关系是否合理
预期结果或佐证
1.访问控制需求与访问控制策略一致
2.访问控制策略的优先级配置合理
3.全通策略已被禁用
4.互相包含策略已被合并
2.访问控制策略的优先级配置合理
3.全通策略已被禁用
4.互相包含策略已被合并
要求项7
安全要求
应对源目ip、源目端口、协议等进行检查,以允许/拒绝数据包进出
要求解读
应对网络中的网闸、防火墙、路由器、交换机和无线接入网关等能够提供访问控制功能的设备或相关组件进行检查,访问控制策略应明确源目ip、源目端口、协议,以允许/拒绝数据包进出
测评方法
核查设备中的访问控制策略是否明确设定了源目ip、源目端口、协议等相关参数
预期结果或佐证
配置文件中应存在如下类似配置。例如希望拒绝172.16.4.0-172.16.3.0的所有FTP通信流量通过f0/0接口,可输出show running-config查看
要求项8
安全要求
应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力
要求解读
防火墙不仅能根据五元组对数据包进行控制,还能记录通过防火墙的连接状态,直接对数据包里的数据进行处理。防火墙还应具有完备的状态检测表以追踪连接会话的状态,并能结合前后数据包的关系进行综合判断,从而决定是否允许该数据包通过
测评方法
核查设备中的访问控制策略是否明确设定了源目ip、源目端口、协议等相关参数
预期结果或佐证
配置文件中应存在相关配置。可输出show running-config查看
要求项9
安全要求
应对进出网络的数据流实现基于应用协议和应用内容的访问控制
要求解读
在网络边界处采用下一代防火墙或相关安全组件,实现基于应用协议和应用内容的访问控制
测评方法
1.核查关键网络节点处是否部署了访问控制设备
2.检查访问控制设备是否配置了相关策略,是否已对应用协议、应用内容进行访问控制并对策略的有效性进行测试
2.检查访问控制设备是否配置了相关策略,是否已对应用协议、应用内容进行访问控制并对策略的有效性进行测试
预期结果或佐证
通过防火墙配置应用访问控制策略,根据应用协议、应用内容进行访问控制,对即时聊天工具、视频软件及web服务、ftp服务等进行管控
入侵防范
要求项10
安全要求
应在关键网络节点处检测、防止或限制从外部发起的网络攻击
要求解读
进行主动检测,以检测网络是否发生了入侵和遭受攻击。监视入侵和安全事件既包括主动任务、也包括被动任务。
应能发现各种主流的攻击行为,如端口扫描、atp攻击、木马后门、拒绝服务攻击、蠕虫攻击等,入侵防范主要是通过在网络边界部署具有入侵防范功能的安全设备实现的,如抗ATP攻击系统、网络回溯系统、威胁情报检测、抗DDOS攻击系统、入侵检测系统等
应能发现各种主流的攻击行为,如端口扫描、atp攻击、木马后门、拒绝服务攻击、蠕虫攻击等,入侵防范主要是通过在网络边界部署具有入侵防范功能的安全设备实现的,如抗ATP攻击系统、网络回溯系统、威胁情报检测、抗DDOS攻击系统、入侵检测系统等
测评方法
1.核查相关系统或设备是否能够检测到从外部发起的网络攻击
2.核查相关系统或设备的规则库是否已经更新到最新版本
3.核查相关系统、设备配置信息或安全策略是否能够覆盖网络中的所有关键节点
4.测试验证相关系统或设备的安全策略是否有效
2.核查相关系统或设备的规则库是否已经更新到最新版本
3.核查相关系统、设备配置信息或安全策略是否能够覆盖网络中的所有关键节点
4.测试验证相关系统或设备的安全策略是否有效
预期结果或佐证
1.相关系统或设备中有检测从外部发起的攻击行为信息
2.相关系统或设备的规则库已经更新,更新时间与测评时间较为接近
3.配置信息、安全策略中制定的规则覆盖了系统关键节点的ip地址等
4.监测到的攻击日志信息与安全策略相符
2.相关系统或设备的规则库已经更新,更新时间与测评时间较为接近
3.配置信息、安全策略中制定的规则覆盖了系统关键节点的ip地址等
4.监测到的攻击日志信息与安全策略相符
要求项11
安全要求
应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为
要求解读
应在网络边界、核心等关键网络节点处部署ips等系统,或在防火墙、utm中启用入侵防护功能
测评方法
1.核查相关系统或设备是否能够检测到从内部发起的网络攻击行为
2.核查相关系统或设备的规则库是否已经更新到最新版本
3.核查相关系统、设备配置或安全策略是否能够覆盖网络中国的所有关键节点
4.测试验证相关系统或设备的安全策略是否有效
2.核查相关系统或设备的规则库是否已经更新到最新版本
3.核查相关系统、设备配置或安全策略是否能够覆盖网络中国的所有关键节点
4.测试验证相关系统或设备的安全策略是否有效
预期结果或佐证
1.相关系统或设备中有检测到从内部发起的攻击行为信息
2.相关系统或设备的规则库已经更新,更新时间与测评时间较为接近
3.配置信息、安全策略中制定的规则覆盖了系统关键节点的ip地址
4.监测到的攻击日志信息与安全策略相符
2.相关系统或设备的规则库已经更新,更新时间与测评时间较为接近
3.配置信息、安全策略中制定的规则覆盖了系统关键节点的ip地址
4.监测到的攻击日志信息与安全策略相符
要求项12
安全要求
应采取技术措施对网络攻击行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析
要求解读
部署网络回溯系统或抗APT攻击等,实现对新型网络攻击行为的检测和分析
测评方法
1.核查是否部署了网络回溯系统或抗APT攻击系统等
2.核查相关系统或设备的规则库是否已经更新到最新版本
3.测试验证是否能够对网络行为进行分析,是否能够对网络攻击行为特别是未知的新型网络攻击行为进行检测和分析
2.核查相关系统或设备的规则库是否已经更新到最新版本
3.测试验证是否能够对网络行为进行分析,是否能够对网络攻击行为特别是未知的新型网络攻击行为进行检测和分析
预期结果或佐证
1.系统内部署了网络回溯系统或抗APT攻击系统,系统具备对新型网络攻击行为进行检测和分析能力
2.网络回溯系统或抗APT攻击系统的规则库已经更新,更新时间与测评时间较为接近
3.测试验证系统可以对网络行为进行分析,并能对未知的新型网络攻击行为进行检测和分析
2.网络回溯系统或抗APT攻击系统的规则库已经更新,更新时间与测评时间较为接近
3.测试验证系统可以对网络行为进行分析,并能对未知的新型网络攻击行为进行检测和分析
要求项13
安全要求
当检测到攻击行为时,记录攻击源ip、攻击类型、攻击目标、攻击时间、在发生严重入侵事件时应提供报警
要求解读
应将攻击源ip、攻击类型、攻击目标、攻击时间等信息记录在日志中,通过这些日志记录可以对攻击行为进行审计和分析
发生沿着弄入侵事件时,应及时向有关人员报警,如短信、电子邮件等
发生沿着弄入侵事件时,应及时向有关人员报警,如短信、电子邮件等
测评方法
1.访谈网络管理员和查看网络拓扑结构,核查在网络边界处是否部署了具有入侵防范功能的设备。如果部署了入侵防范设备则检查设备的日志记录是否记录了攻击源ip、攻击类型、攻击目标、攻击时间等信息,了解采用什么方式进行报警
2.测试验证相关系统或设备的报警策略是否有效
2.测试验证相关系统或设备的报警策略是否有效
预期结果或佐证
1.具有入侵防范功能的设备日志记录了攻击源ip、攻击类型、攻击目标、攻击时间等信息
2.设备的报警功能已经开启并处于正常使用状态
2.设备的报警功能已经开启并处于正常使用状态
恶意代码和垃圾邮件防范
要求项14
安全要求
应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新
要求解读
通过在网络边界处部署防恶意代码产品进行恶意代码防范,如防毒网关、包含防病毒模块的多功能安全网关等,至少具备:对恶意代码的分析和检查能力;对恶意代码的清除或阻断能力;在发现恶意代码后记录日志和审计能力;对恶意代码特征库升级能力;对检测系统的更新能力
测评方法
1.访谈网络管理员和检查网络拓扑图,核查在网络边界处是否部署了防恶意代码产品,如果部署了相关产品,则查看是否启用了恶意代码检测及阻断功能,并查看日志记录汇总是否有相关信息
2.访谈网络管理员,了解是否对方恶意代码产品的特征库进行升级及具体升级方式,登录相关的防恶意代码产品,核查其特征库的升级情况。
3.测试验证相关系统或设备的安全策略是否有效
2.访谈网络管理员,了解是否对方恶意代码产品的特征库进行升级及具体升级方式,登录相关的防恶意代码产品,核查其特征库的升级情况。
3.测试验证相关系统或设备的安全策略是否有效
预期结果或佐证
1.网络边界处部署了防恶意代码产品或组件,防恶意代码功能正常开启且具备对恶意代码的检测和清除能力
2.恶意代码特征库已经升级,升级时间和测评时间较为接近
2.恶意代码特征库已经升级,升级时间和测评时间较为接近
要求项15
安全要求
应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新
要求解读
应部署相应的设备或系统对垃圾邮件进行识别和处理,包括部署透明的防垃圾邮件网关、部署基于转发的防垃圾邮件系统、安装基于邮件服务器的防垃圾邮件软件与邮件服务器一体的用户防范垃圾邮件的邮件服务器等,并保证规则库已经更新到最新版本
测评方法
1.核查在关键网络节点处是否部署了防垃圾邮件设备或系统
2.核查防垃圾邮件产品是否运行正常,以及防垃圾邮件规则库是否更新到最新版本
3.测试验证相关设备或系统的安全策略是否有效
2.核查防垃圾邮件产品是否运行正常,以及防垃圾邮件规则库是否更新到最新版本
3.测试验证相关设备或系统的安全策略是否有效
预期结果或佐证
1.网络关键节点部署了防垃圾邮件系统或设备,放垃圾邮件功能正常开启
2.垃圾邮件防护机制已经升级,升级时间与测评时间较为接近
3.测试结果显示防垃圾邮件设备或系统能够阻断垃圾邮件
2.垃圾邮件防护机制已经升级,升级时间与测评时间较为接近
3.测试结果显示防垃圾邮件设备或系统能够阻断垃圾邮件
安全审计
要求项16
安全要求
应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
要求解读
需要在网络边界处部署相关系统,启用重要网络节点的日志功能,将系统日志信息传输至各种管理端口、内部缓存或日志服务器
测评方法
1.核查是否部署了综合安全审计系统或具有类似功能的系统平台
2.核查安全审计范围是否覆盖到每个用户,是否对重要的用户行为和重要安全事件进行审计
2.核查安全审计范围是否覆盖到每个用户,是否对重要的用户行为和重要安全事件进行审计
预期结果或佐证
1.在网络边界、重要网络节点处部署审计设备
2.审计范围覆盖每个用户,且审计记录包含重要的用户行为和重要安全事件
2.审计范围覆盖每个用户,且审计记录包含重要的用户行为和重要安全事件
要求项17
安全要求
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他域审计相关的信息
要求解读
审计记录内容是否全面直接影响审计的有效性。日志审计内容应包括事件的日期和时间、用户、事件类型、事件是否成功等信息
测评方法
核查审计记录是否包含事件的日期和时间、用户、事件类型、事件是否成功以及其他与审计相关的信息
预期结果或佐证
审计记录包括事件的日期和时间、用户、事件类型、事件是否成功等信息
要求项18
安全要求
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
要求解读
审计记录需要在技术和管理进行保护,防止未授权的修改、删除、破坏。可以设置专门的日志服务器来接收设备发出的报警信息。非授权用户无权删除本地和日志服务器上审计记录
测评方法
1.核查是否已经采取技术措施对审计记录进行保护
2.核查审计记录的备份机制和备份策略是否合理
2.核查审计记录的备份机制和备份策略是否合理
预期结果或佐证
1.审计系统开启日志外发功能,日志被转发至日志服务器
2.审计记录的存储时间超过6个月
2.审计记录的存储时间超过6个月
要求项19
安全要求
应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析
要求解读
对远程访问用户,应在相关设备上提供用户认证功能。通过配置用户、用户组并结合访问控制规则,可以实现允许认证成功的用户访问受控资源。需对内部用户访问互联网的行为进行审计和分析
测评方法
核查是否已对远程访问用户、互联网访问用户的行为单独进行审计和分析
核查审计和分析记录是否包含用于管理远程访问的用户行为、访问互联网的用户行为的必要信息
核查审计和分析记录是否包含用于管理远程访问的用户行为、访问互联网的用户行为的必要信息
预期结果或佐证
设在网络边界处的审计系统能够对远程访问的用户行为进行审计
能够对访问互联网的用户行为进行单独审计
能够对访问互联网的用户行为进行单独审计
可信验证
要求项20
安全要求
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性收到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
要求解读
通信设备可能包括交换机、路由器和其他通信设备等,通过在设备的启动和运行过程中对预装软件的完整性进行验证或检测,可以确保对预装软件的篡改行为能被发现报警
测评方法
核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证
核查是否在应用程序的关键执行关节进行动态可信验证
测试验证在检测到设备的可信性受到破坏后是否进行报警
核查测试验证结果是否以审计记录的形式被送至安全管理中心
核查是否在应用程序的关键执行关节进行动态可信验证
测试验证在检测到设备的可信性受到破坏后是否进行报警
核查测试验证结果是否以审计记录的形式被送至安全管理中心
预期结果或佐证
通信设备具有可信根芯片或硬件
启动过程基于可信根对系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证度量
在检测到设备的可信性收到破坏后报警,并将验证结果形成审计记录送至安全管理中心
安全管理中心可以接收到设备的验证结果记录
启动过程基于可信根对系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证度量
在检测到设备的可信性收到破坏后报警,并将验证结果形成审计记录送至安全管理中心
安全管理中心可以接收到设备的验证结果记录
安全计算环境
网络设备(共44个要求项)
路由器
身份鉴别
要求项1
安全要求
应对登录用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
要求解读
口令是路由器用户防止非授权访问的常用手段,因此需要加强对路由器口令的管理,包括口令的设置和存储。
管理员应当依据需要,为路由器的相应端口添加身份鉴别所需的最基本安全控制机制
管理员应当依据需要,为路由器的相应端口添加身份鉴别所需的最基本安全控制机制
测评方法
1.核查是否在用户登录时采用身份鉴别措施
2.核查用户列表,测试用户身份标识是否具有唯一性
3.查看用户配置信息或访谈管理员,核查是否存在空口令用户
4.核查用户鉴别信息是否满足复杂度要求并定期更换
2.核查用户列表,测试用户身份标识是否具有唯一性
3.查看用户配置信息或访谈管理员,核查是否存在空口令用户
4.核查用户鉴别信息是否满足复杂度要求并定期更换
预期结果或佐证
1.路由器使用口令鉴别机制对登录用户进行身份标识和鉴别
2.在用户登录时提示输入用户名和口令,以错误口令或空口令登录时提示登录失败,证明登录控制功能的有效性
3.路由器不存在密码为空的用户
4.口令由数字、字母、特殊字符组成,口令长度大于8位,口令更换周期为3个月
2.在用户登录时提示输入用户名和口令,以错误口令或空口令登录时提示登录失败,证明登录控制功能的有效性
3.路由器不存在密码为空的用户
4.口令由数字、字母、特殊字符组成,口令长度大于8位,口令更换周期为3个月
要求项2
安全要求
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
要求解读
可以通过配置结束会话、限制管理员的最大登录失败次数、设置网络连接超时自动退出等多种措施实现登录失败处理功能。
测评方法
1.核查是否配置并启用登录失败处理功能,如果网络中部署了堡垒机,先核查堡垒机是否具有登录失败处理功能。如果没有堡垒机,则核查设备是否默认启用登录失败处理功能,例如登录失败三次即退出登录界面或锁定账户10分钟
2.核查是否配置并启用非法登录达到一定次数后锁定账户的功能
3.核查是否配置并启用远程登录连接超时自动退出功能
2.核查是否配置并启用非法登录达到一定次数后锁定账户的功能
3.核查是否配置并启用远程登录连接超时自动退出功能
预期结果或佐证
1.网络设备默认启用登录失败处理功能
2.堡垒机限制非法登录
3.堡垒机启用远程登录连接超时自动退出功能
2.堡垒机限制非法登录
3.堡垒机启用远程登录连接超时自动退出功能
要求项3
安全要求
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
要求解读
在对网络设备远程管理时,不应使用明文传送的telnet服务,应该采用ssh、https加密协议等进行交互式管理
测评方法
核查是否采用了加密方式对系统进行远程管理。如果网络中部署了堡垒机,则先核查堡垒机在远程连接时采用什么措施防止鉴别信息被窃听
预期结果或佐证
远程管理网络设备时采用ssh或https协议方式防止被窃听
要求项4
安全要求
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术实现
要求解读
使用两种或以上不同种类的鉴别技术对用户身份鉴别,且至少采用一种密码技术实现
测评方法
询问管理员,了解系统是否采用由口令、数字证书、生物技术等中的两种或两种以上组合的鉴别技术对用户身份鉴别,并核查其中一种鉴别技术是否为密码技术
预期结果或佐证
至少采用了两种鉴别技术,其中之一为口令或生物技术,另一种为基于密码技术的鉴别技术,如使用基于国密算法的数字证书或数字令牌
访问控制
要求项5
安全要求
应对登录的用户分配账户和权限
要求解读
需要为登录的用户分配账户并合理配置账户权限。
测评方法
1.访谈网络管理员、安全管理员、系统管理员或核查用户账户和权限设置情况
2.核查是否已禁用或限制匿名、默认账户的访问权限
2.核查是否已禁用或限制匿名、默认账户的访问权限
预期结果或佐证
1.相关管理人员具有与其职位相对应的账户和权限
2.网络设备已禁用或限制匿名、默认账户的访问权限
2.网络设备已禁用或限制匿名、默认账户的访问权限
要求项6
安全要求
应重命名或删除默认账户,修改默认账户的默认口令
要求解读
默认账户的某些权限与实际要求可能存在差异,这些默认账户应该被禁用,且应不存在默认账户(admin、huawei)及默认口令
测评方法
1.核查默认账户是否已经重命名或默认账户是否已被删除
2.核查默认账户的默认口令是否已经修改。登录路由器,使用路由器的默认账户和默认口令进行测试,核查是否能登录
2.核查默认账户的默认口令是否已经修改。登录路由器,使用路由器的默认账户和默认口令进行测试,核查是否能登录
预期结果或佐证
1.使用默认账户和默认口令无法登录路由器
2.路由器中不存在默认账户
2.路由器中不存在默认账户
要求项7
安全要求
应及时删除或停用多余的、过期的账户,避免共享账户的存在
要求解读
应及时清理路由器中的账户,删除或停用多余、过期的账户,避免共享账户的存在
测评方法
1.核查是否存在多余的或过期的账户,以及管理员用户与账户之间是否对应
2.核查并测试多余、过期的账户是否已经被删除或停用
2.核查并测试多余、过期的账户是否已经被删除或停用
预期结果或佐证
1.配置的用户名都是确实和必要的
2.网络管理员、安全管理员、系统管理员等不同的用户使用不同的账户登录系统
2.网络管理员、安全管理员、系统管理员等不同的用户使用不同的账户登录系统
要求项8
安全要求
应授予管理用户所需的最小权限,实现管理用户的权限分离
要求解读
根据管理用户的角色对权限进行划分,授予用户所需的最小权限,可以避免出现权限漏洞而使一些用户拥有过高的权限。例如进行角色划分并设置对应权限
测评方法
1.访谈管理员,核查是否进行角色划分,例如划分为系统管理员、安全管理员、网络管理员等
2.核查管理用户的权限是否已经分离
3.核查管理用户的权限是否为其工作所需的最小权限
2.核查管理用户的权限是否已经分离
3.核查管理用户的权限是否为其工作所需的最小权限
预期结果或佐证
1.进行角色划分,分为网络管理员、安全管理员、系统管理员三个角色,并设置对应的权限
2.网络管理员、安全管理员、系统管理员对应的账户权限为其工作所需的最小权限
2.网络管理员、安全管理员、系统管理员对应的账户权限为其工作所需的最小权限
要求项9
安全要求
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
要求解读
路由器的访问控制策略由授权主体进行配置,规定了主体可以对客体进行操作。访问控制粒度要求主体为用户级或进程级,客体为文件、数据库表级
测评方法
此项不适用,此项主要针对主机和数据库,网络设备的主要用户为运维管理人员,无其他用户
预期结果或佐证
此项不适用,此项主要针对主机和数据库,网络设备的主要用户为运维管理人员,无其他用户
要求项10
安全要求
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级
要求解读
路由器的访问控制策略由授权主体进行配置,规定了主体可以对客体进行操作。访问控制粒度要求主体为用户级或进程级,客体为文件、数据库表级
测评方法
此项不适用,此项主要针对主机和数据库,网络设备的主要用户为运维管理人员,无其他用户
预期结果或佐证
此项不适用,此项主要针对主机和数据库,网络设备的主要用户为运维管理人员,无其他用户
要求项11
安全要求
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问
要求解读
敏感标记是强制访问控制的依据,主体和客体都有,存在形式多样,既可能是整形数字,也可能是字母,总之,它表示主体和客体的安全级别。敏感标记由安全管理员设置
测评方法
此项不适用
预期结果或佐证
此项不适用
安全审计
要求项12
安全要求
应启用安全审计功能,覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
要求解读
为了对网络设备的运行情况、网络流量、管理记录等进行检测和记录,需要启用系统日志功能。系统日志中的每条信息都被分配了一个严重级别,并伴随一些指示性问题或事件描述信息。
路由器的系统日志信息通常被输出至各种管理端口、内部缓存或日志服务器。在默认情况下,控制台端口的日志功能处于启用状态
路由器的系统日志信息通常被输出至各种管理端口、内部缓存或日志服务器。在默认情况下,控制台端口的日志功能处于启用状态
测评方法
1.核查是否开启安全审计功能,以及网络设备是否设置日志服务器的IP地址,并使用syslog或snmp方式将日志发送到日志服务器
2.核查安全审计范围是否覆盖每个用户
3.核查是否已对重要的用户行为和重要安全事件进行审计
2.核查安全审计范围是否覆盖每个用户
3.核查是否已对重要的用户行为和重要安全事件进行审计
预期结果或佐证
网络设备设置了日志服务器,并使用syslog或snmp方式将日志发送到日志服务器
要求项13
安全要求
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
要求解读
路由器的日志审计内容包括日期和时间、用户、事件类型、事件是否成功等信息
测评方法
核查审计记录是否包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
预期结果或佐证
日志信息包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
要求项14
安全要求
应对审计记录进行保护,定期备份,避免受到的未逾期的删除、修改或覆盖等
要求解读
审计记录能够帮助管理人员及时发现系统运行问题和网络攻击行为,因此,需要对审计记录实施技术和管理上的保护,防止未授权的修改、删除和破坏
测评方法
1.访谈系统管理员,了解审计记录的存储、备份、保护措施
2.核查是否定时将路由器日志发送到日志服务器等,以及是否使用syslog或snmp方式将路由器日志发送到日志服务器。如果部署日志服务器,则登录日志服务器,核查被测路由器是否在收集范围内。
2.核查是否定时将路由器日志发送到日志服务器等,以及是否使用syslog或snmp方式将路由器日志发送到日志服务器。如果部署日志服务器,则登录日志服务器,核查被测路由器是否在收集范围内。
预期结果或佐证
网络设备的日志信息被定期发送到日志服务器,在日志服务器上可以查看半年前的审计记录
要求项15
安全要求
应对审计进程进行保护,防止未授权的中断
要求解读
保护审计进程,确保当安全事件发生时能及时记录事件的详细信息。非审计员账户不能中断审计进程
测评方法
通过非审计员账户中断审计进程,以验证审计进程是否受到保护
预期结果或佐证
非审计员账户无法中断审计进程
入侵防范
要求项16
安全要求
应遵循最小安装原则,仅安装需要的组件和应用程序
要求解读
遵循最小安装的原则,仅安装需要的组件和应用程序,能够大大降低路由器遭受攻击的可能性。及时更新系统补丁,以避免系统漏洞给路由器带来的风险
测评方法
此项不适用,一般在服务器上实现
预期结果或佐证
此项不适用,一般在服务器上实现
要求项17
安全要求
应关闭不需要的系统服务、默认共享和高危端口
要求解读
关闭不需要的系统服务、默认共享和高危端口,可以有效降低系统遭受攻击的可能性
测评方法
1.访谈系统管理员,了解是否定期对系统服务进行梳理并关闭非必要的系统服务和默认共享端口
2.核查是否开启了非必要的高危端口
2.核查是否开启了非必要的高危端口
预期结果或佐证
可在路由器执行查看命令核查
要求项18
安全要求
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
要求解读
需要对通过虚拟终端访问网络设备的登录地址进行限制来避免未授权的访问
测评方法
核查配置文件是否对终端接入范围进行限制。如果网络中部署了堡垒机,则应核查堡垒机是否限制管理终端的地址范围,同时核查网络设备上是否仅配置了堡垒机的远程管理地址。
预期结果或佐证
堡垒机限制终端的接入范围
要求项19
安全要求
应提供数据有效性验证功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定的要求
要求解读
应用系统应对数据的有效性进行验证,防止个别用户输入畸形数据导致系统出错(如sql注入等)
测评方法
此项不适用,一般在应用层面核查
预期结果或佐证
此项不适用,一般在应用层面核查
要求项20
安全要求
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
要求解读
应核查漏洞扫描修补报告。管理员应定期进行漏洞扫描,如果发现漏洞,应在经过充分的测试和评估后及时修复漏洞
测评方法
1.进行漏洞扫描,核查是否存在高风险漏洞
2.访谈系统管理员,核查是否在经过充分测试和评估后及时修补漏洞
2.访谈系统管理员,核查是否在经过充分测试和评估后及时修补漏洞
预期结果或佐证
管理员定期进行漏洞扫描,如果发现漏洞,在充分测试和评估后及时修复漏洞
要求项21
安全要求
应能检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
要求解读
通常可以在网络边界、核心等重要节点部署IDS、IPS等系统,或在防火墙、utm启用入侵检测功能
测评方法
此项不适用,一般在入侵防护系统上实现
预期结果或佐证
此项不适用,一般在入侵防护系统上实现
可信验证
要求项22
安全要求
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性收到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
要求解读
通信设备可能包括交换机、路由器和其他通信设备等,通过在设备的启动和运行过程中对预装软件的完整性进行验证或检测,可以确保对预装软件的篡改行为能被发现报警
测评方法
核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证
核查是否在应用程序的关键执行关节进行动态可信验证
测试验证在检测到设备的可信性受到破坏后是否进行报警
核查测试验证结果是否以审计记录的形式被送至安全管理中心
核查是否在应用程序的关键执行关节进行动态可信验证
测试验证在检测到设备的可信性受到破坏后是否进行报警
核查测试验证结果是否以审计记录的形式被送至安全管理中心
预期结果或佐证
通信设备具有可信根芯片或硬件
启动过程基于可信根对系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证度量
在检测到设备的可信性收到破坏后报警,并将验证结果形成审计记录送至安全管理中心
安全管理中心可以接收到设备的验证结果记录
启动过程基于可信根对系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证度量
在检测到设备的可信性收到破坏后报警,并将验证结果形成审计记录送至安全管理中心
安全管理中心可以接收到设备的验证结果记录
交换机
身份鉴别
要求项23
安全要求
应对登录用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
要求解读
口令是交换机用户防止非授权访问的常用手段,因此需要加强对路交换机口令的管理,包括口令的设置和存储。
管理员应当依据需要,为交换机的相应端口添加身份鉴别所需的最基本安全控制机制
管理员应当依据需要,为交换机的相应端口添加身份鉴别所需的最基本安全控制机制
测评方法
1.核查是否在用户登录时采用身份鉴别措施
2.核查用户列表,测试用户身份标识是否具有唯一性
3.查看用户配置信息或访谈管理员,核查是否存在空口令用户
4.核查用户鉴别信息是否满足复杂度要求并定期更换
2.核查用户列表,测试用户身份标识是否具有唯一性
3.查看用户配置信息或访谈管理员,核查是否存在空口令用户
4.核查用户鉴别信息是否满足复杂度要求并定期更换
预期结果或佐证
1.交换机使用口令鉴别机制对登录用户进行身份标识和鉴别
2.在用户登录时提示输入用户名和口令,以错误口令或空口令登录时提示登录失败,证明登录控制功能的有效性
3.交换机不存在密码为空的用户
4.口令由数字、字母、特殊字符组成,口令长度大于8位,口令更换周期为3个月
2.在用户登录时提示输入用户名和口令,以错误口令或空口令登录时提示登录失败,证明登录控制功能的有效性
3.交换机不存在密码为空的用户
4.口令由数字、字母、特殊字符组成,口令长度大于8位,口令更换周期为3个月
要求项24
安全要求
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
要求解读
可以通过配置结束会话、限制管理员的最大登录失败次数、设置网络连接超时自动退出等多种措施实现登录失败处理功能。
测评方法
1.核查是否配置并启用登录失败处理功能,如果网络中部署了堡垒机,先核查堡垒机是否具有登录失败处理功能。如果没有堡垒机,则核查设备是否默认启用登录失败处理功能,例如登录失败三次即退出登录界面或锁定账户10分钟
2.核查是否配置并启用非法登录达到一定次数后锁定账户的功能
3.核查是否配置并启用远程登录连接超时自动退出功能
2.核查是否配置并启用非法登录达到一定次数后锁定账户的功能
3.核查是否配置并启用远程登录连接超时自动退出功能
预期结果或佐证
1.网络设备默认启用登录失败处理功能
2.堡垒机限制非法登录
3.堡垒机启用远程登录连接超时自动退出功能
2.堡垒机限制非法登录
3.堡垒机启用远程登录连接超时自动退出功能
要求项25
安全要求
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
要求解读
在对网络设备远程管理时,不应使用明文传送的telnet服务,应该采用ssh、https加密协议等进行交互式管理
测评方法
核查是否采用了加密方式对系统进行远程管理。如果网络中部署了堡垒机,则先核查堡垒机在远程连接时采用什么措施防止鉴别信息被窃听
预期结果或佐证
远程管理网络设备时采用ssh或https协议方式防止被窃听
要求项26
安全要求
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术实现
要求解读
使用两种或以上不同种类的鉴别技术对用户身份鉴别,且至少采用一种密码技术实现
测评方法
询问管理员,了解系统是否采用由口令、数字证书、生物技术等中的两种或两种以上组合的鉴别技术对用户身份鉴别,并核查其中一种鉴别技术是否为密码技术
预期结果或佐证
至少采用了两种鉴别技术,其中之一为口令或生物技术,另一种为基于密码技术的鉴别技术,如使用基于国密算法的数字证书或数字令牌
访问控制
要求项27
安全要求
应对登录的用户分配账户和权限
要求解读
需要为登录的用户分配账户并合理配置账户权限。
测评方法
1.访谈网络管理员、安全管理员、系统管理员或核查用户账户和权限设置情况
2.核查是否已禁用或限制匿名、默认账户的访问权限
2.核查是否已禁用或限制匿名、默认账户的访问权限
预期结果或佐证
1.相关管理人员具有与其职位相对应的账户和权限
2.网络设备已禁用或限制匿名、默认账户的访问权限
2.网络设备已禁用或限制匿名、默认账户的访问权限
要求项28
安全要求
应重命名或删除默认账户,修改默认账户的默认口令
要求解读
默认账户的某些权限与实际要求可能存在差异,这些默认账户应该被禁用,且应不存在默认账户(admin、huawei)及默认口令
测评方法
1.核查默认账户是否已经重命名或默认账户是否已被删除
2.核查默认账户的默认口令是否已经修改。登录交换机,使用交换机的默认账户和默认口令进行测试,核查是否能登录
2.核查默认账户的默认口令是否已经修改。登录交换机,使用交换机的默认账户和默认口令进行测试,核查是否能登录
预期结果或佐证
1.使用默认账户和默认口令无法登录路由器
2.交换机中不存在默认账户
2.交换机中不存在默认账户
要求项29
安全要求
应及时删除或停用多余的、过期的账户,避免共享账户的存在
要求解读
应及时清理交换机中的账户,删除或停用多余、过期的账户,避免共享账户的存在
测评方法
1.核查是否存在多余的或过期的账户,以及管理员用户与账户之间是否对应
2.核查并测试多余、过期的账户是否已经被删除或停用
2.核查并测试多余、过期的账户是否已经被删除或停用
预期结果或佐证
1.配置的用户名都是确实和必要的
2.网络管理员、安全管理员、系统管理员等不同的用户使用不同的账户登录系统
2.网络管理员、安全管理员、系统管理员等不同的用户使用不同的账户登录系统
要求项30
安全要求
应授予管理用户所需的最小权限,实现管理用户的权限分离
要求解读
根据管理用户的角色对权限进行划分,授予用户所需的最小权限,可以避免出现权限漏洞而使一些用户拥有过高的权限。例如进行角色划分并设置对应权限
测评方法
1.访谈管理员,核查是否进行角色划分,例如划分为系统管理员、安全管理员、网络管理员等
2.核查管理用户的权限是否已经分离
3.核查管理用户的权限是否为其工作所需的最小权限
2.核查管理用户的权限是否已经分离
3.核查管理用户的权限是否为其工作所需的最小权限
预期结果或佐证
1.进行角色划分,分为网络管理员、安全管理员、系统管理员三个角色,并设置对应的权限
2.网络管理员、安全管理员、系统管理员对应的账户权限为其工作所需的最小权限
2.网络管理员、安全管理员、系统管理员对应的账户权限为其工作所需的最小权限
要求项31
安全要求
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
要求解读
交换机的访问控制策略由授权主体进行配置,规定了主体可以对客体进行操作。访问控制粒度要求主体为用户级或进程级,客体为文件、数据库表级
测评方法
此项不适用,此项主要针对主机和数据库,网络设备的主要用户为运维管理人员,无其他用户
预期结果或佐证
此项不适用,此项主要针对主机和数据库,网络设备的主要用户为运维管理人员,无其他用户
要求项32
安全要求
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级
要求解读
交换机的访问控制策略由授权主体进行配置,规定了主体可以对客体进行操作。访问控制粒度要求主体为用户级或进程级,客体为文件、数据库表级
测评方法
此项不适用,此项主要针对主机和数据库,网络设备的主要用户为运维管理人员,无其他用户
预期结果或佐证
此项不适用,此项主要针对主机和数据库,网络设备的主要用户为运维管理人员,无其他用户
要求项33
安全要求
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问
要求解读
敏感标记是强制访问控制的依据,主体和客体都有,存在形式多样,既可能是整形数字,也可能是字母,总之,它表示主体和客体的安全级别。敏感标记由安全管理员设置
测评方法
此项不适用
预期结果或佐证
此项不适用
安全审计
要求项34
安全要求
应启用安全审计功能,覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
要求解读
为了对网络设备的运行情况、网络流量、管理记录等进行检测和记录,需要启用系统日志功能。系统日志中的每条信息都被分配了一个严重级别,并伴随一些指示性问题或事件描述信息。
交换机的系统日志信息通常被输出至各种管理端口、内部缓存或日志服务器。在默认情况下,控制台端口的日志功能处于启用状态
交换机的系统日志信息通常被输出至各种管理端口、内部缓存或日志服务器。在默认情况下,控制台端口的日志功能处于启用状态
测评方法
1.核查是否开启安全审计功能,以及网络设备是否设置日志服务器的IP地址,并使用syslog或snmp方式将日志发送到日志服务器
2.核查安全审计范围是否覆盖每个用户
3.核查是否已对重要的用户行为和重要安全事件进行审计
2.核查安全审计范围是否覆盖每个用户
3.核查是否已对重要的用户行为和重要安全事件进行审计
预期结果或佐证
网络设备设置了日志服务器,并使用syslog或snmp方式将日志发送到日志服务器
要求项35
安全要求
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
要求解读
交换机的日志审计内容包括日期和时间、用户、事件类型、事件是否成功等信息
测评方法
核查审计记录是否包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
预期结果或佐证
日志信息包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
要求项36
安全要求
应对审计记录进行保护,定期备份,避免受到的未逾期的删除、修改或覆盖等
要求解读
审计记录能够帮助管理人员及时发现系统运行问题和网络攻击行为,因此,需要对审计记录实施技术和管理上的保护,防止未授权的修改、删除和破坏
测评方法
1.访谈系统管理员,了解审计记录的存储、备份、保护措施
2.核查是否定时将交换机日志发送到日志服务器等,以及是否使用syslog或snmp方式将计划日志发送到日志服务器。如果部署日志服务器,则登录日志服务器,核查被测交换机是否在收集范围内。
2.核查是否定时将交换机日志发送到日志服务器等,以及是否使用syslog或snmp方式将计划日志发送到日志服务器。如果部署日志服务器,则登录日志服务器,核查被测交换机是否在收集范围内。
预期结果或佐证
网络设备的日志信息被定期发送到日志服务器,在日志服务器上可以查看半年前的审计记录
要求项37
安全要求
应对审计进程进行保护,防止未授权的中断
要求解读
保护审计进程,确保当安全事件发生时能及时记录事件的详细信息。非审计员账户不能中断审计进程
测评方法
通过非审计员账户中断审计进程,以验证审计进程是否受到保护
预期结果或佐证
非审计员账户无法中断审计进程
入侵防范
要求项38
安全要求
应遵循最小安装原则,仅安装需要的组件和应用程序
要求解读
遵循最小安装的原则,仅安装需要的组件和应用程序,能够大大降低交换机遭受攻击的可能性。及时更新系统补丁,以避免系统漏洞给路由器带来的风险
测评方法
此项不适用,一般在服务器上实现
预期结果或佐证
此项不适用,一般在服务器上实现
要求项39
安全要求
应关闭不需要的系统服务、默认共享和高危端口
要求解读
关闭不需要的系统服务、默认共享和高危端口,可以有效降低系统遭受攻击的可能性
测评方法
1.访谈系统管理员,了解是否定期对系统服务进行梳理并关闭非必要的系统服务和默认共享端口
2.核查是否开启了非必要的高危端口
2.核查是否开启了非必要的高危端口
预期结果或佐证
可在交换机执行查看命令核查
要求项40
安全要求
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
要求解读
需要对通过虚拟终端访问网络设备的登录地址进行限制来避免未授权的访问
测评方法
核查配置文件是否对终端接入范围进行限制。如果网络中部署了堡垒机,则应核查堡垒机是否限制管理终端的地址范围,同时核查网络设备上是否仅配置了堡垒机的远程管理地址。
预期结果或佐证
堡垒机限制终端的接入范围
要求项41
安全要求
应提供数据有效性验证功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定的要求
要求解读
应用系统应对数据的有效性进行验证,防止个别用户输入畸形数据导致系统出错(如sql注入等)
测评方法
此项不适用,一般在应用层面核查
预期结果或佐证
此项不适用,一般在应用层面核查
要求项42
安全要求
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
要求解读
应核查漏洞扫描修补报告。管理员应定期进行漏洞扫描,如果发现漏洞,应在经过充分的测试和评估后及时修复漏洞
测评方法
1.进行漏洞扫描,核查是否存在高风险漏洞
2.访谈系统管理员,核查是否在经过充分测试和评估后及时修补漏洞
2.访谈系统管理员,核查是否在经过充分测试和评估后及时修补漏洞
预期结果或佐证
管理员定期进行漏洞扫描,如果发现漏洞,在充分测试和评估后及时修复漏洞
要求项43
安全要求
应能检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
要求解读
通常可以在网络边界、核心等重要节点部署IDS、IPS等系统,或在防火墙、utm启用入侵检测功能
测评方法
此项不适用,一般在入侵防护系统上实现
预期结果或佐证
此项不适用,一般在入侵防护系统上实现
可信验证
要求项44
安全要求
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性收到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
要求解读
通信设备可能包括交换机、路由器和其他通信设备等,通过在设备的启动和运行过程中对预装软件的完整性进行验证或检测,可以确保对预装软件的篡改行为能被发现报警
测评方法
核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证
核查是否在应用程序的关键执行关节进行动态可信验证
测试验证在检测到设备的可信性受到破坏后是否进行报警
核查测试验证结果是否以审计记录的形式被送至安全管理中心
核查是否在应用程序的关键执行关节进行动态可信验证
测试验证在检测到设备的可信性受到破坏后是否进行报警
核查测试验证结果是否以审计记录的形式被送至安全管理中心
预期结果或佐证
通信设备具有可信根芯片或硬件
启动过程基于可信根对系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证度量
在检测到设备的可信性收到破坏后报警,并将验证结果形成审计记录送至安全管理中心
安全管理中心可以接收到设备的验证结果记录
启动过程基于可信根对系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证度量
在检测到设备的可信性收到破坏后报警,并将验证结果形成审计记录送至安全管理中心
安全管理中心可以接收到设备的验证结果记录
安全设备
防火墙
身份鉴别
要求项45
安全要求
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
要求解读
子主题
测评方法
预期结果或佐证
1.防火墙使用口令鉴别机制对登录用户进行身份标识和鉴别
2.用户身份标识具有唯一性,不存在多人共用账户的情况,不存在空口令用户
3.口令长度至少8位及以上,由数字,大小写字母、特殊字符中的两种及以上组成,口令每季度至少更换一次
2.用户身份标识具有唯一性,不存在多人共用账户的情况,不存在空口令用户
3.口令长度至少8位及以上,由数字,大小写字母、特殊字符中的两种及以上组成,口令每季度至少更换一次
要求项46
安全要求
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数、当登录连接超时自动退出等相关措施
要求解读
对防火墙。可以通过配置结束会话、限制管理员的最大登录失败次数、设置网络连接超时自动退出等多种措施实现登录失败处理功能。
测评方法
1.应核查是否配置并启用登录失败处理功能,以及是否配置并启用非法登录达到一定次数后锁定账户功能
2.核查是否配置并启用远程登录连接超时自动退出功能。
2.核查是否配置并启用远程登录连接超时自动退出功能。
预期结果或佐证
1.web方式登录防火墙,配置并启用登录失败处理功能,以及非法登录到一定次数后锁定账户
2.配置并启用远程登录连接超时自动退出功能
2.配置并启用远程登录连接超时自动退出功能
要求项47
安全要求
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
要求解读
不应使用明文传送的telnet、http服务,而应采用ssh、https加密协议等进行交互式管理
测评方法
询问系统管理员采用什么方式对防火墙进行远程管理。核查通过web界面进行的管理操作是否都已使用ssl协议加密处理
预期结果或佐证
在通过web界面进行远程管理时,使用ssl协议进行加密处理
要求项48
安全要求
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术实现
要求解读
使用两种或以上不同种类的鉴别技术对用户身份鉴别,且至少采用一种密码技术实现
测评方法
询问管理员是否使用两种或以上不同种类的鉴别技术对用户身份鉴别,且至少采用一种密码技术实现
预期结果或佐证
用户的认证方式为“本地口令+证书认证”或“外部口令+证书认证”
访问控制
要求项49
安全要求
应对登录的用户分配账户和权限
要求解读
为了确保防火墙的安全,需要为登录的用户分配账户并合理配置账户权限
测评方法
1.针对每个用户账户,核查用户账户和权限设置是否合理
2.核查是否已禁用或限制匿名、默认账户的访问权限
2.核查是否已禁用或限制匿名、默认账户的访问权限
预期结果或佐证
1.相关管理人员具有与职位相对应的账户和权限
2.禁用或限制匿名、默认账户的访问权限
2.禁用或限制匿名、默认账户的访问权限
要求项50
安全要求
应重命名或删除默认账户,修改默认账户的默认口令
要求解读
防火墙默认账户的某些权限与实际要求可能存在差异,从而造成安全隐患,因此,这些默认账户应禁用
测评方法
1.核查默认账户是否已经重命名或默认账户是否已被删除
2.核查默认账户的默认口令是否已经修改
2.核查默认账户的默认口令是否已经修改
预期结果或佐证
防火墙已重命名默认账户或删除默认账户,已经修改默认账户的默认口令
要求项51
安全要求
应及时删除或停用多余的、过期的账户,避免共享用户的存在
要求解读
应及时清理防火墙中的账户、删除或停用多余的、过期的用户,避免共享账户的存在
测评方法
1.核查防火墙用户账户列表,询问管理员各账户的具体用途,核查是否存在多余的或过期的账户
2.如果某些多余的或过期的账户无法被删除,则应测试这些多余的、过期的账户是否已经停用。
2.如果某些多余的或过期的账户无法被删除,则应测试这些多余的、过期的账户是否已经停用。
预期结果或佐证
防火墙用户账户列表中不存在多余的或过期的账户,不存在共享用户
要求项52
安全要求
应授予管理用户所需的最小权限,实时管理用户的权限分离
要求解读
根据管理用户的角色对权限进行细致的划分,仅授予管理用户所需的最小权限。
测评方法
1.核查是否进行了角色划分,例如分为系统管理员、安全管理员、审计管理员。其中,安全管理员可以制定安全策略,系统管理员可以配置安全策略,审计管理员可以查看日志
2.查看管理用户的权限是否分离,是否为其工作任务所需的最小权限。例如禁止管理员用户同时拥有审计管理员和安全管理员的权限。
2.查看管理用户的权限是否分离,是否为其工作任务所需的最小权限。例如禁止管理员用户同时拥有审计管理员和安全管理员的权限。
预期结果或佐证
1.系统用户进行了角色划分。
2.管理用户的权限已经分离
2.管理用户的权限已经分离
要求项53
安全要求
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
要求解读
防火墙的访问控制策略由授权主体进行配置,规定了主体可以对客体进行操作。访问控制粒度要求主体为用户级或进程级,客体为文件、数据库表级
测评方法
此项不适用,此项主要针对主机和数据库,网络设备的主要用户为运维管理人员,无其他用户
预期结果或佐证
此项不适用,此项主要针对主机和数据库,网络设备的主要用户为运维管理人员,无其他用户
要求项54
安全要求
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级
要求解读
防火墙的访问控制策略由授权主体进行配置,规定了主体可以对客体进行操作。访问控制粒度要求主体为用户级或进程级,客体为文件、数据库表级
测评方法
此项不适用,此项主要针对主机和数据库,网络设备的主要用户为运维管理人员,无其他用户
预期结果或佐证
此项不适用,此项主要针对主机和数据库,网络设备的主要用户为运维管理人员,无其他用户
要求项55
安全要求
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问
要求解读
敏感标记是强制访问控制的依据,主体和客体都有,存在形式多样,既可能是整形数字,也可能是字母,总之,它表示主体和客体的安全级别。敏感标记由安全管理员设置
测评方法
此项不适用
预期结果或佐证
此项不适用
安全审计
要求项56
安全要求
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
要求解读
启用系统日志功能,系统日志中的每条信息都被分配了一个严重级别,并伴随一些指示性问题或事件描述信息
测评方法
登录防火墙,查看日志告警信息
预期结果或佐证
防火墙设置了正确的服务器地址、服务端口、日志级别和日志类型等
要求项57
安全要求
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
要求解读
防火墙的日志审计内容应包括日期和时间、用户、事件类型、事件是否成功等信息
测评方法
登录防火墙查看审计日志记录信息项
预期结果或佐证
审计记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
要求项58
安全要求
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
要求解读
对审计记录实施技术和管理上的保护,防止未授权的修改、删除和破坏
测评方法
查看防火墙审计是否转发到日志服务器或采取其他备份措施
预期结果或佐证
防火墙的日志信息被定期转发至日志服务器,在日志服务器上可以查看半年前的审计记录
要求项59
安全要求
应对审计进程进行保护,防止未授权的中断
要求解读
保护审计进程,确保当安全事件发生时能够及时记录事件的详细信息
测评方法
通过非审计员账户中断审计进程,以验证审计进程是否受到了保护
预期结果或佐证
非审计员账户不能中断审计进程
入侵防范
要求项60
安全要求
应遵循最小安装原则,仅安装需要的组件和应用程序
要求解读
遵循最小安装原则,仅安装需要的组件和应用程序,及时更新系统补丁。
测评方法
此项不适用,一般在服务器上实现
预期结果或佐证
此项不适用,一般在服务器上实现
要求项61
安全要求
应关闭不需要的系统服务、默认共享和高危端口
要求解读
关闭不需要的系统服务、默认共享和高危端口
测评方法
此项不适用
预期结果或佐证
此项不适用
要求项62
安全要求
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
要求解读
需要对远程管理防火墙的登录地址限制(可以是特定IP、子网地址、范围或地址组)
测评方法
如果网络中部署了堡垒机,应先核查堡垒机是否限制终端的接入范围。如果网络中没有部署堡垒机,应登录设备进行核查
预期结果或佐证
堡垒机限制了终端的接入范围,或者在设备本地设置了访问控制列表以限制终端的接入范围
要求项63
安全要求
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求
要求解读
应用系统应对数据有效性进行验证,防止用户输入畸形数据导致系统错误(例如SQL注入攻击等)
测评方法
此项不适用,一般在应用层进行核查
预期结果或佐证
此项不适用,一般在应用层进行核查
要求项64
安全要求
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修复漏洞
要求解读
应对系统进行漏洞扫描,及时发现系统中存在的已知漏洞,在测试评估后更新系统补丁
测评方法
1.进行漏洞扫描,核查是否存在高风险漏洞
2.访谈系统管理员,核查是否在经过充分的测试评估后及时修复漏洞,查看系统版本即补丁升级时间
2.访谈系统管理员,核查是否在经过充分的测试评估后及时修复漏洞,查看系统版本即补丁升级时间
预期结果或佐证
管理员定期进行漏洞扫描,发现漏洞后,经过测试评估及时修复漏洞
要求项65
安全要求
应能够检测到对重要节点入侵的行为,并在发生严重入侵时提供报警
要求解读
通常在网络边界,核心等重要节点处部署IDS/IPS等系统,或在防火墙、UTM处启用入侵检测功能
测评方法
1.核查防火墙是否具有入侵检测功能,查看入侵检测功能是否已经正确启用
2.核查在发生严重入侵事件时是否能报警,报警方式一般包括短信、邮件等
2.核查在发生严重入侵事件时是否能报警,报警方式一般包括短信、邮件等
预期结果或佐证
1.防火墙已经启用入侵检测功能
2.在发生严重入侵事件时能通过短信、邮件等方式报警
2.在发生严重入侵事件时能通过短信、邮件等方式报警
可信验证
要求项66
安全要求
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性收到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
要求解读
应将设备作为通信设备对待,通信设备可能包括交换机、路由器和其他通信设备等,通过在设备的启动和运行过程中对预装软件的完整性进行验证或检测,可以确保对预装软件的篡改行为能被发现报警
测评方法
核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证
核查是否在应用程序的关键执行关节进行动态可信验证
测试验证在检测到设备的可信性受到破坏后是否进行报警
核查测试验证结果是否以审计记录的形式被送至安全管理中心
核查是否在应用程序的关键执行关节进行动态可信验证
测试验证在检测到设备的可信性受到破坏后是否进行报警
核查测试验证结果是否以审计记录的形式被送至安全管理中心
预期结果或佐证
通信设备具有可信根芯片或硬件
启动过程基于可信根对系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证度量
在检测到设备的可信性收到破坏后报警,并将验证结果形成审计记录送至安全管理中心
安全管理中心可以接收到设备的验证结果记录
启动过程基于可信根对系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证度量
在检测到设备的可信性收到破坏后报警,并将验证结果形成审计记录送至安全管理中心
安全管理中心可以接收到设备的验证结果记录
服务器设备
linux服务器
身份鉴别
要求项67
安全要求
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
要求解读
Linux操作系统中的/etc/login.defs是 登录程序的配置文件,在该文件中可以配置密码的过期天数、密码的长度约束等参数。
如果/etc/pam.d/system-auth文件中有与该文件相同的选项,则以/etc/pam.d/system-auth文件的设置为准。
如果/etc/pam.d/system-auth文件中有与该文件相同的选项,则以/etc/pam.d/system-auth文件的设置为准。
测评方法
1.访谈系统管理员,了解系统用户是否已设置密码,核查登录过程中系统账户是否使用密码进行验证登录
2.以具有相应权限的账户身份登录操作系统,使用more命令查看/etc/shadow文件,核查系统中是否存在空口令账户
3.使用more命令查看/etc/login.defs文件,核查是否设置了密码长度和密码定期更换规则。使用more命令查看/etc/pam.d/system-auth文件,核查是否设置了密码长度和复杂度规则。
4.核查是否存在旁路或身份鉴别措施可绕过的安全风险
2.以具有相应权限的账户身份登录操作系统,使用more命令查看/etc/shadow文件,核查系统中是否存在空口令账户
3.使用more命令查看/etc/login.defs文件,核查是否设置了密码长度和密码定期更换规则。使用more命令查看/etc/pam.d/system-auth文件,核查是否设置了密码长度和复杂度规则。
4.核查是否存在旁路或身份鉴别措施可绕过的安全风险
预期结果或佐证
1.登录时需要密码
2.不存在空口令账户
3.已配置登录有效期、定期修改密码、密码复杂度
4.不存在可绕过的安全风险
2.不存在空口令账户
3.已配置登录有效期、定期修改密码、密码复杂度
4.不存在可绕过的安全风险
要求项68
安全要求
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
要求解读
Linux操作系统具有调用pam的应用程序认证用户、登录服务、屏保等功能。本地登录失败处理功能在/etc/pam.d/system-auth或/etc/pam.d/login文件中配置。ssh远程登录失败处理功能在/etc/pam.d/sshd文件中配置。
测评方法
1.核查系统是否配置并启用了登录失败处理功能
2.以root身份登录Linux系统,核查/etc/pam.d/system-auth或/etc/pam.d/login文件中本地登录失败处理功能的配置情况,以及/etc/pam.d/sshd文件中ssh远程登录失败处理功能的配置情况
3.核查/etc/profile文件中的TIMEOUT环境变量是否配置了超时锁定参数。
2.以root身份登录Linux系统,核查/etc/pam.d/system-auth或/etc/pam.d/login文件中本地登录失败处理功能的配置情况,以及/etc/pam.d/sshd文件中ssh远程登录失败处理功能的配置情况
3.核查/etc/profile文件中的TIMEOUT环境变量是否配置了超时锁定参数。
预期结果或佐证
1.查看本地登录失败处理功能相关参数,/etc/pam.d/system-auth或/etc/pam.d/login文件中存在“auth required pam_tally2.so onerr=fail deny=5 unloack_time=300 even_deny_root root_unlock_time=10”
2.查看远程登录失败处理功能相关参数,/etc/pam.d/sshd文件中存在“auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=10”
3./etc/profile文件中设置了超时锁定参数,例如在该文件中设置了TMOUT=300s
2.查看远程登录失败处理功能相关参数,/etc/pam.d/sshd文件中存在“auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=10”
3./etc/profile文件中设置了超时锁定参数,例如在该文件中设置了TMOUT=300s
要求项69
安全要求
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
要求解读
Linux操作系统提供远程访问与管理接口,以便管理员进行管理操作,网络登录方式可以使用telnet协议登录,也可以使用ssh协议登录。但是,telnet协议不安全,所以使用ssh协议远程登录管理。
测评方法
1.询问系统管理员,了解采取的远程管理方式,以root身份登录Linux系统,查看是否运行了sshd服务,查看相关端口是否打开,
若未使用ssh协议进行远程管理,则查看是否使用telnet协议进行管理
2.使用抓包工具查看协议是否是加密的
3.本地化管理,此项不适用
若未使用ssh协议进行远程管理,则查看是否使用telnet协议进行管理
2.使用抓包工具查看协议是否是加密的
3.本地化管理,此项不适用
预期结果或佐证
1.使用ssh协议进行远程管理。
2.抓包工具截获的信息为密文,无法读取
3。本地化管理,此项不适用
2.抓包工具截获的信息为密文,无法读取
3。本地化管理,此项不适用
要求项70
安全要求
应采用口令、密码技术、生物技术等两种或以上组合的鉴别技术对身份鉴别,其中至少一种是密码技术。
要求解读
使用两种或以上的不同种类的鉴别技术对用户身份鉴别,且至少一种是密码技术
测评方法
询问系统管理员,了解系统是否采用由口令、数字证书、生物技术等中的两种或以上的鉴别技术对身份鉴别,并核查其中一种是否使用密码技术
预期结果或佐证
至少采用了两种鉴别技术,其中一种是密码技术(如国密算法的数字证书或数字令牌),另一种为口令或生物技术
访问控制
要求项71
安全要求
应对登录的用户分配账户和权限
要求解读
对于Linux系统中的重要文件,应检查系统主要目录的权限设置情况
Linux系统的文件操作权限有四种,分别是读(r,4)、写(w,2)、执行(x,1)、空(-,0),文件的权限分别是属主、属组、其他用户、用户组
Linux系统的文件操作权限有四种,分别是读(r,4)、写(w,2)、执行(x,1)、空(-,0),文件的权限分别是属主、属组、其他用户、用户组
测评方法
以具有相应权限的账户身份登录Linux系统,使用“ls -l 文件名”命令查看重要文件和目录的权限设置是否合理
-rwx------:数字表示为700
-rwxr--r--:数字表示为744
-rw-rw-r-x:数字表示为665
drwx--x--x:数字表示为711
drwx------:数字表示为700
-rwx------:数字表示为700
-rwxr--r--:数字表示为744
-rw-rw-r-x:数字表示为665
drwx--x--x:数字表示为711
drwx------:数字表示为700
预期结果或佐证
配置文件的权限不大于644,可执行文件的权限不大于755
要求项72
安全要求
应重命名或删除默认账户,修改默认账户的默认口令
要求解读
Linux系统本身提供各种账户,如adm,lp,sync,shutdown,halt,mail,uucp,operator,games,ftp等,这些账户并不会被使用,因此,应禁用或删除这些用户。
测评方法
1.以具有相应权限的账户身份登录linux系统,执行more命令,查看/etc/shadow文件中是否存在adm,lp,sync,shutdown,halt,mail,uucp,operator,games,ftp等默认无用的账户
2.查看root账户是否能进行远程登录(通常为不能)
2.查看root账户是否能进行远程登录(通常为不能)
预期结果或佐证
1.不存在默认无用的账户
2.已将/etc/ssh/sshd_config文件中的 PermitRootLogin参数设置为no,表示不允许root远程登录系统
2.已将/etc/ssh/sshd_config文件中的 PermitRootLogin参数设置为no,表示不允许root远程登录系统
要求项73
安全要求
应及时删除或停用多余、过期的账户,避免共享账户的存在
要求解读
多余的、过期的账户可能会被非法利用,因此,应及时清理系统中的账户,删除或停用多余、过期的账户
测评方法
1.核查是否存在啊多余、过期的账户,例如查看games、news等系统默认账户是否已被禁用,特权账户halt,shutdown是否被删除
2.访谈网络管理员,系统管理员,安全管理员,核查不同的用户是否使用不同的账户登录系统
2.访谈网络管理员,系统管理员,安全管理员,核查不同的用户是否使用不同的账户登录系统
预期结果或佐证
1.已禁用或删除不需要的系统默认账户
2.各类管理员均已使用自己的特定权限账户登录,不存在多余,过期账户
2.各类管理员均已使用自己的特定权限账户登录,不存在多余,过期账户
要求项74
安全要求
应授予管理用户所需最小权限,实现管理用户的权限分离
要求解读
根据管理用户的角色对权限进行划分,仅授权用户所需的最小权限。
测评方法
1.以具有相应权限的账户身份登录系统,执行more命令,查看/etc/passwd文件中非默认用户,了解各用户的权限,核查是否实现了管理用户的权限分离
2.以具有权限的账户身份登录系统,执行more命令,查看/etc/sudoers文件,核查哪些用户有root权限。
2.以具有权限的账户身份登录系统,执行more命令,查看/etc/sudoers文件,核查哪些用户有root权限。
预期结果或佐证
1.各用户仅具备最小权限,且不和其他用户的权限交叉。设备支持新建多用户角色功能
2.管理员权限仅分配给root用户
2.管理员权限仅分配给root用户
要求项75
安全要求
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
要求解读
操作系统的访问控制策略应由授权主体(如安全管理员)进行配置,非授权主体不能更改访问控制策略。访问控制策略规定了操作系统用户对操作系统资源有哪些权限、能进行哪些操作。通过在操作系统中配置访问控制策略,可以实现对操作系统各用户权限的限制
测评方法
1.询问系统管理员,核查是否由指定授权人对操作系统的访问控制权限进行配置
2.核查账户权限配置,了解是否依据安全策略配置各账户的访问规则
2.核查账户权限配置,了解是否依据安全策略配置各账户的访问规则
预期结果或佐证
1.由专门的安全员负责访问控制权限的授权工作
2.各账户权限基于安全员的安全策略配置进行访问控制
2.各账户权限基于安全员的安全策略配置进行访问控制
要求项76
安全要求
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据表级
要求解读
重点目录的访问控制主体可能为某个用户或某个进程,应能控制用户或进程对文件、数据库表等客体的访问
测评方法
使用“ls -l 文件名”命令查看重要文件和目录权限的设置是否合理。应重点核查文件和目录权限是否被修改过
预期结果或佐证
由管理用户进行用户访问权限的分配,用户依据访问控制策略对各类文件和数据库表进行访问。重要文件和目录的权限均在合理范围中,用户可根据自身拥有的权限对文件进行操作
要求项77
安全要求
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问
要求解读
敏感标记是由强认证的安全管理员设置的,通过对重要信息资源设置敏感标记,可以决定主体以什么权限对客体进行操作,实现强制访问控制。
linux2.6及以上版本都集成了SELinux模块,在SELinux中,主体等同于进程,客体是主体访问的资源(如文件、目录、端口、设备等)。
SELinux有三种工作模式:enforcing强制模式,违反SELinux规则的行为将被阻止并记录到日志中。
permissive宽容模式,违反SELinux规则的行为只会被记录到日志中,一般在调试时使用
disabled关闭SELinux,表示不使用SELinux
linux2.6及以上版本都集成了SELinux模块,在SELinux中,主体等同于进程,客体是主体访问的资源(如文件、目录、端口、设备等)。
SELinux有三种工作模式:enforcing强制模式,违反SELinux规则的行为将被阻止并记录到日志中。
permissive宽容模式,违反SELinux规则的行为只会被记录到日志中,一般在调试时使用
disabled关闭SELinux,表示不使用SELinux
测评方法
1.核查系统中是否有敏感信息
2.核查是否为主体用户或进程划分了级别并设置了敏感标记,以及是否在客体文件中设置了敏感标记
3.测试验证是否依据主体和客体的安全标记来控制主体对客体访问的强制访问控制策略
4.以具有相应权限的账户身份登录linux系统,使用more命令,查看/etc/selinux/config文件中SELinux参数
2.核查是否为主体用户或进程划分了级别并设置了敏感标记,以及是否在客体文件中设置了敏感标记
3.测试验证是否依据主体和客体的安全标记来控制主体对客体访问的强制访问控制策略
4.以具有相应权限的账户身份登录linux系统,使用more命令,查看/etc/selinux/config文件中SELinux参数
预期结果或佐证
Linux服务器默认关闭SELinux服务,或者已使用第三方主机加固系统或对系统内核进行了二次开发加固
安全审计
要求项78
安全要求
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
要求解读
linux的auditd进程主要用于记录安全信息及对系统安全事件进行溯源,rsyslog进程用于记录系统中各种信息。
linux系统在安全审计配置文件/etc/audit/audit.rules中配置安全事件审计规则
linux系统在安全审计配置文件/etc/audit/audit.rules中配置安全事件审计规则
测评方法
1.以root身份登录linux系统,查看服务进程
2.若开启了安全审计服务,则核查安全审计的 守护进程是否正常
3.若未开启系统安全审计功能,则核查是否部署了第三方安全审计工具
4.以root身份登录linux系统,查看安全事件的配置
2.若开启了安全审计服务,则核查安全审计的 守护进程是否正常
3.若未开启系统安全审计功能,则核查是否部署了第三方安全审计工具
4.以root身份登录linux系统,查看安全事件的配置
预期结果或佐证
1.开启了审计进程
2.linux服务器默认开启守护进程
3.audit.rules文件记录了文件和底层调用信息,记录的安全事件较为全面
2.linux服务器默认开启守护进程
3.audit.rules文件记录了文件和底层调用信息,记录的安全事件较为全面
要求项79
安全要求
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
要求解读
linux用户空间审计系统由auditd、ausearch、aureport等应用程序组成,其中ausearch是用于查找审计事件的工具,可以查看系统日志
测评方法
以具有相应权限的账户身份登录linux系统,执行“ausearch -ts today”命令或“tail -20 /var/log/audit/audit.log”命令来查看审计日志
预期结果或佐证
审计记录包括事件的日期和时间、事件类型、主体标识、客体标识和结果
要求项80
安全要求
应对审计记录进行保护、定期备份。避免受到未预期的删除、修改或覆盖等
要求解读
对审计记录进行保护、定期备份。避免受到未预期的删除、修改或覆盖等
测评方法
1.访谈系统管理员,了解审计记录的存储、备份和保护措施
2.核查是否定时将系统日志发送到日志服务器等,以及是否使用syslog或snmp方式将系统日志发送到日志服务器。核查日志服务器是否有被测操作系统日志
2.核查是否定时将系统日志发送到日志服务器等,以及是否使用syslog或snmp方式将系统日志发送到日志服务器。核查日志服务器是否有被测操作系统日志
预期结果或佐证
操作系统日志已定期备份,已定期将本地存储日志发送到日志服务器
要求项81
安全要求
应对审计进程进行保护,防止未经授权的中断
要求解读
保护审计进程,确保安全事件发生时能够及时记录事件的详细信息。
在linux系统中,auditd是审计守护进程,syslogd是日志守护进程
在linux系统中,auditd是审计守护进程,syslogd是日志守护进程
测评方法
1.访问系统管理员,了解对审计进程采取的监控和保护措施
2.以非安全审计人员身份中断审计进程,验证审计进程的访问权限设置是否合理
3.核查是否通过第三方系统对被测系统的审计进程进行监控和保护
2.以非安全审计人员身份中断审计进程,验证审计进程的访问权限设置是否合理
3.核查是否通过第三方系统对被测系统的审计进程进行监控和保护
预期结果或佐证
1.审计进程不能被非安全审计人员修改
2.部署了第三方审计工具,可以实时记录审计日志,管理员不可以对日志进行删除操作。
2.部署了第三方审计工具,可以实时记录审计日志,管理员不可以对日志进行删除操作。
入侵防范
要求项82
安全要求
应遵循最小安装原则,近安装需要的组件和应用程序
要求解读
在安装linux操作系统时,遵循最小安装原则,不需要的 包不安装
测评方法
1.查看安装操作手册,核查安装操作系统时是否遵循最小安装原则
2.使用“yum list installed”命令查看操作系统中已安装的程序包,询问管理员是否有目前不需要使用的组件和应用程序
2.使用“yum list installed”命令查看操作系统中已安装的程序包,询问管理员是否有目前不需要使用的组件和应用程序
预期结果或佐证
1.操作系统的安装遵循最小安装原则
2.操作系统中没有安装业务不需要的组件和应用程序
2.操作系统中没有安装业务不需要的组件和应用程序
要求项83
安全要求
应关闭不需要的系统服务、默认共享和高危端口
要求解读
关闭不需要的系统服务、默认共享和高危端口
测评方法
1.以具有相应权限的身份登录系统,使用“service -status-all | grep running”命令查看危险的网络服务是否关闭
2.以具有相应权限的身份登录系统,使用“netstat -ntlp”命令查看并确认开发的端口是否都为业务需要的端口,是否已关闭非必须的端口
3.linux系统中不存在共享问题
2.以具有相应权限的身份登录系统,使用“netstat -ntlp”命令查看并确认开发的端口是否都为业务需要的端口,是否已关闭非必须的端口
3.linux系统中不存在共享问题
预期结果或佐证
1.已关闭操作系统中多余的、危险的服务和进程
2.已关闭非必须的端口
2.已关闭非必须的端口
要求项84
安全要求
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
要求解读
linux系统中有/etc/hosts.allow和/etc/hosts.deny两个文件,
/etc/hosts.allow文件用于控制可以访问本机的ip,/etc/hosts.deny文件用于控制禁止访问本机的ip,如果他们有冲突以/etc/hosts.deny的配置为准。
/etc/hosts.allow文件用于控制可以访问本机的ip,/etc/hosts.deny文件用于控制禁止访问本机的ip,如果他们有冲突以/etc/hosts.deny的配置为准。
测评方法
1.查看/etc/hosts.deny文件中是否有“ALL:ALL”字样,
2.核查是否已通过防火墙对接入终端进行限制
2.核查是否已通过防火墙对接入终端进行限制
预期结果或佐证
1./etc/hosts.allow文件中配置了某个ip及访问方式
2.对终端接入方式、网络地址范围等条件进行限制,通过radus、堡垒机、防火墙等运维方式对终端接入方式限制
2.对终端接入方式、网络地址范围等条件进行限制,通过radus、堡垒机、防火墙等运维方式对终端接入方式限制
要求项85
安全要求
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
要求解读
发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
测评方法
1.查看漏洞扫描报告或由第三方提供的漏洞报告中是否存在高风险漏洞
2.核查操作系统中是否有漏洞测试环境及补丁更新机制和流程
3.访谈系统管理员,了解补丁升级机制,查看补丁安装情况
2.核查操作系统中是否有漏洞测试环境及补丁更新机制和流程
3.访谈系统管理员,了解补丁升级机制,查看补丁安装情况
预期结果或佐证
1.运维团队定期进行漏洞扫描,在发现安全风险后及时进行修补
2.补丁更新时间为最近,已对补丁进行控制和管理
2.补丁更新时间为最近,已对补丁进行控制和管理
要求项86
安全要求
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵时进行报警
要求解读
能够检测到对重要节点进行入侵的行为,并在发生严重入侵时进行报警
测评方法
1.访谈系统管理员并查看入侵检测措施,例如,通过“#more /var/log/secure | grep refused”命令查看入侵重要线索
2.核查是否启用了主机防火墙、TCPSYN保护机制等
3.访谈系统管理员,了解是否安装了主机入侵检测软件,查看已安装的主机入侵检测软件是否具备报警功能
4.查看网络拓扑图,核查网络中是否部署了网络入侵检测系统
2.核查是否启用了主机防火墙、TCPSYN保护机制等
3.访谈系统管理员,了解是否安装了主机入侵检测软件,查看已安装的主机入侵检测软件是否具备报警功能
4.查看网络拓扑图,核查网络中是否部署了网络入侵检测系统
预期结果或佐证
1.入侵的重要路径被切断,不存在系统级入侵的可能
2.开启了主机防火墙的相关配置
3.安装了基于主机的IDS设备
4.在发生入侵事件时有记录和报警措施等
2.开启了主机防火墙的相关配置
3.安装了基于主机的IDS设备
4.在发生入侵事件时有记录和报警措施等
恶意代码防范
要求项87
安全要求
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断
要求解读
采用免受恶意代码攻击的技术措施或主动免疫可信验证机制对恶意代码进行检测
测评方法
1.核查操作系统中安装的防病毒软件,访谈系统管理员,了解病毒库是否经常更新。核查病毒库是否为最新版本
2.核查操作系统是否实现了可信验证机制,是否能够对系统程序、应用程序和重要配置文件/参数进行可信验证。
2.核查操作系统是否实现了可信验证机制,是否能够对系统程序、应用程序和重要配置文件/参数进行可信验证。
预期结果或佐证
1.部署了网络版防病毒软件,病毒库为最新版本,支持防恶意代码统一管理
2.部署了主动免疫可信验证机制,可及时阻断病毒入侵行为
2.部署了主动免疫可信验证机制,可及时阻断病毒入侵行为
可信验证
要求项88
安全要求
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性收到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
要求解读
对服务器设备,需要在启动过程中对预装软件进行完整性验证或检测,确保系统引导程序、系统程序、重要配置参数和关键应用程序的篡改行为能被发现并报警
测评方法
1.核查服务器启动时是否进行了可信验证,查看对哪些系统引导程序、系统程序、重要配置参数进行了可信验证
2.通过修改重要系统程序之一和应用程序之一,核查是否能够检测到修改行为并报警
3.核查是否已将验证结果形成审计记录送至安全管理中心
2.通过修改重要系统程序之一和应用程序之一,核查是否能够检测到修改行为并报警
3.核查是否已将验证结果形成审计记录送至安全管理中心
预期结果或佐证
1.服务器具有可信根芯片或硬件
2.在启动过程中,已基于可信根对系统引导程序、应用程序、系统程序等进行可信验证度量
3.在检测到可信性受到破坏后能报警,并将验证结果形成审计记录送至安全管理中心
4.安全管理中心可以接收设备的验证结果记录
2.在启动过程中,已基于可信根对系统引导程序、应用程序、系统程序等进行可信验证度量
3.在检测到可信性受到破坏后能报警,并将验证结果形成审计记录送至安全管理中心
4.安全管理中心可以接收设备的验证结果记录
windows服务器
身份鉴别
要求项89
安全要求
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
要求解读
身份标识应具有唯一性,在用户进入Windows前,系统会弹出一个用户登录界面,要求用户输入用户名和密码,用户通过系统对用户名和密码的验证后即可登录
测评方法
1.核查用户是否需要输入用户名和密码才能登录
2.核查Windows的默认用户名是否具有唯一性
3.选择“控制面板”-“管理工具”-“计算机管理”-“本地用户和组”选项,检查有哪些用户,并尝试使用空口令登录。
4.选择“控制面板”-“管理工具”-“本地安全策略”-“账户策略”-“密码策略”选项,核查密码策略设置是否合理。
2.核查Windows的默认用户名是否具有唯一性
3.选择“控制面板”-“管理工具”-“计算机管理”-“本地用户和组”选项,检查有哪些用户,并尝试使用空口令登录。
4.选择“控制面板”-“管理工具”-“本地安全策略”-“账户策略”-“密码策略”选项,核查密码策略设置是否合理。
预期结果或佐证
1.用户登录时需要输入用户名和密码
2.Windows用户名具有唯一性
3.无法使用空口令登录
4.密码复杂性要求:已启用
密码长度:至少8位
密码最长使用期限:不为0
密码最短使用期限:不为0
强制密码历史:至少记住5个密码
2.Windows用户名具有唯一性
3.无法使用空口令登录
4.密码复杂性要求:已启用
密码长度:至少8位
密码最长使用期限:不为0
密码最短使用期限:不为0
强制密码历史:至少记住5个密码
要求项90
安全要求
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
要求解读
Windows操作系统具有登录失败处理功能,可以通过适当配置账户锁定策略对用户的登录行为进行限制。
测评方法
1.选择“控制面板”-“管理工具”-“本地安全策略”-“账户策略”-“密码锁定策略”选项,查看账户锁定事件和账户锁定阈值
2.在桌面“个性化”-“屏幕保护程序”选项,查看“等待时间”,以及“在恢复时显示登录屏幕”复选框是否被勾选。
2.在桌面“个性化”-“屏幕保护程序”选项,查看“等待时间”,以及“在恢复时显示登录屏幕”复选框是否被勾选。
预期结果或佐证
1.账户锁定时间:不为不适用
2.账户锁定阈值:不为不适用
3.已启用远程登录连接超时自动退出的功能
2.账户锁定阈值:不为不适用
3.已启用远程登录连接超时自动退出的功能
要求项91
安全要求
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
要求解读
Windows操作系统一般使用远程桌面进行远程管理。Windows server 2003 SP1针对远程桌面提供ssl加密功能,可以基于ssl对rdp客户端提供终端服务器的服务器身份验证、加密和rdp客户端通信。
测评方法
1.如果采用本地管理或KVM等硬件管理方式,则此项要求默认满足
2.如果采用远程管理,则需采用带有加密管理的远程管理方式。在命令行窗口输入gpedit.msc命令,在弹出的“本地组策略编辑器”窗口查看“本地计算机 策略”-“计算机配置”-“管理模板”-“Windows组件”-“远程桌面服务”-“远程桌面会话主机”-“安全”中的相关项目。
2.如果采用远程管理,则需采用带有加密管理的远程管理方式。在命令行窗口输入gpedit.msc命令,在弹出的“本地组策略编辑器”窗口查看“本地计算机 策略”-“计算机配置”-“管理模板”-“Windows组件”-“远程桌面服务”-“远程桌面会话主机”-“安全”中的相关项目。
预期结果或佐证
1.本地或KVM默认符合此项
2.远程运维采用加密的rdp协议
2.远程运维采用加密的rdp协议
要求项92
安全要求
应采用口令、密码技术、生物技术等两种或以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术为密码技术。
要求解读
采用口令、密码技术、生物技术等两种或以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术为密码技术。
测评方法
询问系统管理员,了解系统是否采用由口令、数字证书、生物技术等中的两种或以上组合的鉴别技术,并其中一种为密码技术
预期结果或佐证
至少采用两种鉴别技术,其中一种为密码技术,
访问控制
安全审计
入侵防范
恶意代码防范
可信验证
终端设备
身份鉴别
访问控制
入侵防范
恶意代码防范
可信验证
系统管理软件
应用系统
数据
安全管理中心
安全管理制度
安全管理机构
安全管理人员
安全建设管理
安全运维管理
0 条评论
下一页
