等保2.0-網絡篇
- 安全物理環境(物理機房要求)
- 物理位置選擇
- 機房是否具備防震、防風、防雨等能力
- 竣工驗收報告
- 天花板/窗臺無漏水等現象
- 有無窗臺,有則是否封閉-防護措施
- 牆體等有無開裂情況
- 避免機房位於樓頂/地下室——如有注意防水/防潮
- 機房是否具備防震、防風、防雨等能力
- 物理訪問控制
- 出入口應安裝電子門禁系統,控制進出人員
- 安裝安全電子門禁系統
- 門禁系統正常運行,門禁系統可以鑑別、記錄進出人員信息
- 出入口應安裝電子門禁系統,控制進出人員
- 防盜竊和防破壞
- 機房主要部件是否固定、是否標記不易去除
- 機房內設備均放在機櫃或者機架,並固定
- 主要部件設置不宜去除標記。不能翹起
- 通信線路線纜鋪設在隱蔽安全處
- 線槽/橋架裏
- 設置防盜報警裝置或設置專人值守的視頻監控系統
- 配置
- 正常
- 將各種機櫃、設施和設備等通過接地系統安全接地
- 接地措施
- 機房內設置防感應雷措施
- 部署
- 是否通過國家有關部門的技術檢測
- 機房主要部件是否固定、是否標記不易去除
- 防火
- 機房部署火災自動消防系統/自動檢測火情/自動報警/自動滅火
- 是否部署
- 檢測設備是否正常
- 機房有關工作房間部署耐火等級的建築材料
- 是否部署 (金屬欄杆不符合)
- 機房內劃分區域進行管理,區域之間設置隔離防火措施
- 是否劃分
- 區域之間是否設置防火措施
- 機房部署火災自動消防系統/自動檢測火情/自動報警/自動滅火
- 防水/防潮
- 機房採取防雨水滲透的措施
- 是否有相應措施
- 機房內配備精密空調(防水蒸氣結露)-漏水檢測裝置(防漏水監控報警)
- 是否部署
- 部署漏水檢測
- 檢測/報警——正常
- 機房採取防雨水滲透的措施
- 防靜電
- 部署防靜電地板/防靜電措施
- 是否部署防靜電地板
- 是否有防靜電措施
- 部署防靜電設備
- 是否部署
- 部署防靜電地板/防靜電措施
- 溫溼度控制
- 部署專用空調,機房適宜溫/溼度範圍
- 溫度範圍:18-27攝氏度
- 溼度範圍: 35-75%
- 部署專用空調,機房適宜溫/溼度範圍
- 電力系統
- 供電線路上配備穩壓器、電壓防護設備
- 部署
- 檢測
- 備用電力供應:配備不間斷電源(UPS)等備用供電系統, 記錄:是否有運行切換記錄/維修維護記錄
- 部署冗餘/並行的電力電纜線路爲設備供電
- 供電線路上配備穩壓器、電壓防護設備
- 電磁防護
- 電源和通信線纜隔離鋪設
- 通過橋架進行隔離
- 對關鍵設備實施電磁屏蔽措施
- 電源和通信線纜隔離鋪設
- 物理位置選擇
- 安全通信網絡(針對網絡架構|通信傳輸)
- 網絡架構
- 網絡設備的承受能力-cpu/內存不得超過70%
- 高峯期帶寬-不得超過70%
- 流量監管|流量整形策略
- 網絡區域劃分,方便管理員管理
- 重要網絡區域不可部署在邊界,區域與區域之間需要部署隔離設備
- 線路、網絡設備採用硬件冗餘機制(雙機-雙路)
- 通信傳輸
- 保證數據的完整性
- 保證數據的保密性
- 可信驗證
- 基於可信根
- 網絡架構
- 安全區域邊界
- 邊界防護
- 受控接口
- 查看拓撲圖與實際網絡的情況、接口
- 通過命令查詢接口、vlan信息/路由信息
- 通過網絡管理系統的自動拓撲發現功能、監控是否存在非授權的接口,探索無線網絡的情況(有無非授權wifi)
- 內網中的非授權的限制
- (訪談管理員),使用什麼技術限制非授權設備/接口
- 關閉非使用的端口,命令:Interface FastEthernet0/1 shutdown
- 網絡中是否部署終端管理系統(開啓)
- ip地址/mac地址綁定
- (訪談管理員),使用什麼技術限制非授權設備/接口
- 內網用戶接入外網限制
- 網絡中部署終端管理系統/外聯管控系統
- 是否啓用相應策略,限制各種非法動作
- 限制無線網絡使用,通過管理系統接入內網網絡
- 約談管理員,無線網部署情況,) 無線網通過接入網管-防火牆接入有線網絡,
- 一個信道、wap2、密碼複雜要求:8位以上(數字、字母、大小寫、特殊字符組成)
- 非授權無線網絡管控措施
- 受控接口
- 訪問控制(acl)
- 網絡區域間部署網閘,其他設備提供acl功能
- 邊界部署訪問控制設備(是否開啓)
- 白名單
- 訪問控制策略是與實際進出口對應
- 刪除、優化網絡中acl策略,最小化策略數
- 訪談管理員,訪問控制策略與實際是否一致
- 全局配置中策略是否過大限制範圍,
- 策略(檢查)中包含源/目(地址、端口)協議。(允許、拒絕)(進、出)
- 根據會話狀態信息爲進出數據流-(明確)
- 進出網絡-數據(基於應用協議和應用內容)
- 關鍵節點部署控制設備
- 限制應用協議(ftp、web)應用(qq、優酷)
- 關鍵節點部署控制設備
- 網絡區域間部署網閘,其他設備提供acl功能
- 入侵防範
- 對關鍵業務進行定期檢查攻擊行爲
- 對關鍵業務進行分析
- 記錄日誌:攻擊行爲
- 惡意代碼和垃圾郵件防範
- 在關鍵網絡節點進行惡意代碼檢測
- 約談管理員是否部署惡意代碼產品、是否開啓。產品裏面是否有阻斷信息
- 約談管理員 特徵庫升級(升級方式、最新庫)
- 驗證相關係統/設備的安全策略
- 在關鍵網絡節點進行垃圾郵件防範
- 關鍵網絡間是否部署防垃圾郵件設備/系統,運行是否正常(防垃圾郵件規則庫是最新)
- 驗證相關係統/設備的安全策略
- 在關鍵網絡節點進行惡意代碼檢測
- 安全審計
- 網絡邊界、重要網絡節點進行安全審計-覆蓋到每個用戶
- 是否部署綜合安全審計系統或類似功能的系統平臺
- 覆蓋到每個用戶,記錄中包含:重要的用戶和重要安全事件
- 審計記錄
- 網絡設備中都自帶審計功能
- 審計記錄包含了事件的日期和時間、用戶、事件類型、事件是否成功等信息
- 網絡設備中都自帶審計功能
- 審計記錄定期備份
- 檢查是否對審計記錄進行保護
- 審計系統開啓了日誌外發功能,日誌轉發至日誌服務器
- 檢查審計記錄的機制/策略
- 審計記錄存儲超過6個月以上
- 檢查是否對審計記錄進行保護
- 對遠程訪問用戶進行審計和數據分析
- 在網絡邊界處的審計系統對遠程訪問的用戶行爲進行了審計,審計系統對訪問互聯網的行爲進行了單獨的審計
- 網絡邊界、重要網絡節點進行安全審計-覆蓋到每個用戶
- 可信驗證
- 對網絡中的設備進行(包括系統引導程序、系統程序、相關應用程序和重要配置參數)的完整性驗證
- 網絡設備是否有具有可信根芯片或硬件
- 啓動過程基於可信根對(包括系統引導程序、系統程序、相關應用程序和重要配置參數)進行可信驗證度量
- 在檢測受到破環,進行警告,驗證結果形成審計記錄送至安全管理中心
- 安全管理中心可以接收審計記錄
- 對網絡中的設備進行(包括系統引導程序、系統程序、相關應用程序和重要配置參數)的完整性驗證
- 邊界防護
- 安全計算環境
- 身份鑑別
- 登錄用戶的要求:
- 用戶在登陸採用身份鑑別措施、
- 口令措施對登錄用戶進行身份標識和鑑別
- 查用戶列表、測試用戶身份標識具備唯一性
- 登錄失敗:有提示提示失敗
- 用戶配置中,不存在口口令用戶
- 配置中查看
- 用戶密碼複雜性,定期更換
- 用戶在登陸採用身份鑑別措施、
- 登錄失敗處理能力、結束會話、限制非法登錄次數、登錄超時自動退出,登錄過程中別被竊取
- 檢測部署堡壘機,覈查登錄失敗功能、如沒部署堡壘機,則默認登錄失敗3次退出登錄界面
- 配置/啓用了限制非法登錄達到一定次數後實現賬戶鎖定功能
- 配置/啓用遠程登錄超時並自動退出
- 遠程管理,防止數據傳輸過程中被竊聽
- 採用加密等安全方式對系統進行遠程管理
- 採用二種以上的鑑別技術
- 初口令之外,在採用一次鑑別機制
- 登錄用戶的要求:
- 訪問控制
- 根據用戶的職責分配賬戶/權限
- 訪談(網絡、安全、系統)管理員-覈查用戶賬戶和權限設置情況
- 禁用/限制匿名、默認賬戶的訪問權限
- 刪除/停用多餘等賬戶
- 刪除默認賬戶/口令
- Cisco路由器不存在默認賬戶cisco. Cisco 華爲H3C交換機不存在默認賬戶admin, huawei
- 配置中,看用戶權限信息是否與實際對應
- 根據用戶的職責分配最小權限,實現管理權限分離
- 角色劃分
- 針對用戶的訪問控制策略
- 最小權限(用戶-最小賬戶權限)
- 根據用戶的職責分配賬戶/權限
- 安全審計
- 啓用審計功能
- 在網絡上配置syslog服務器,並將日誌信息發送到日誌服務器
- 安全審計範圍覆蓋每個用戶
- 對重要的用戶行動/安全事件進行審計
- 審計記錄
- 日誌信息中包含事件的日期和時間用戶、事件類型、事件是否成功及其他與審計相關的信息
- 對審計記錄進行保護
- 網絡設備的日誌信息定期轉發至日誌服務器,日誌服務器上可查看到半年前的審計記錄
- 對審計過程進行保護
- 非審計員的其他賬戶來不能中斷審計進程
- 啓用審計功能
- 入侵檢測
- 應關閉不需要的系統服務、默認開啓的接口
- 訪談管理員,最近是否發生變化。(配置)
- 終端接入方式/網絡地址範圍對網絡進行管理的管理終端進行限制
- 配置中查看或堡壘機
- 實時檢測網絡設備是否存在已知漏洞/充分測試評估後,及時修補
- 應關閉不需要的系統服務、默認開啓的接口
- 可信驗證
- 設備應作爲通信設備或邊界設備對待
- 身份鑑別