主机安全Linux测评,1-2_网安全测评__主机安全测评.doc
1-2_网安全测评__主机安全测评
网络安全测评
信息安全等级测评师培训--公安部信息安全等级保护评估中心--于东升
内容目录
1.前言
2.检查范围
3.检查内容
4.现场测评步骤
标准概述
2007年43号文《信息安全等级保护管理办法》
按照以下相关标准开展等级保护工作:
《计算机信息系统安全保护等级划分准则》 (GB17859-1999)
《信息系统安全等级保护定级指南》(GB/T22240-2008)
《信息系统安全等级保护基本要求》(GB/T22239-2008)
《信息系统安全等级保护测评要求》(报批稿)
《信息系统安全等级保护实施指南》(报批稿)
测评过程中重点依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》来进行。
基本要求中网络安全的控制点与要求项各级分布:
级别
控制点
要求项
第一级
3
9
第二级
6
18
第三级
7
3
第四级
7
32
等级保护基本要求三级网络安全方面涵盖哪些内容?
共包含7个控制点33个要求项,涉及到网络安全中的结构安全、安全审计、边界完整性检查、入侵防范、恶意代码防范、访问控制、设备防护等方面。
检查范围
理解标准:理解标准中涉及网络部分的每项基本要求。
明确目的:检查的最终目的是判断该信息系统的网络安全综合防护能力,如抗攻击能力、防病毒能力等等,不是单一的设备检查。
分阶段进行:共划分为4个阶段,测评准备、方案编制、现场测评、分析及报告编制。
确定检查范围,细化检查项:
?通过前期调研获取被测系统的网络结构拓扑、外连线路、网络设备、安全设备等信息。
?根据调研结果,进行初步分析判断。
?明确边界设备、核心设备及其他重要设备,确定检查范围。
注意事项:
?考虑设备的重要程度可以采用抽取的方式。
?不能出现遗漏,避免出现脆弱点。
?最终需要在测评方案中与用户明确检查范围-网络设备、安全设备列表。
检查内容
以等级保护基本要求三级为例,按照基本要求7个控制点33个要求项进行检查。
一、结构安全(7项)
二、访问控制(8项)
三、安全审计(4项)
四、边界完整性检查(2项)
五、入侵防范(2项)
六、恶意代码防范(2项)
七、网络设备防护(8项)
检查内容分别介绍
一、结构安全(7项)
结构安全:是网络安全测评检查的重点,网络结构是否合理直接关系到信息系统的整体安全。
条款解读
a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
条款理解:为了保证信息系统的高可用性,主要网络设备的业务处理能力应具备冗余空间。
检查方法:
?访谈网络管理员,询问主要网络设备的性能及业务高峰流量。
?访谈网络管理员,询问采用何种手段对网络设备进行监控。
b)应保证网络各个部分的带宽满足业务高峰期需要;
条款理解:对网络各个部分进行分配带宽,从而保证在业务高峰期业务服务的连续性。
检查方法:
?询问当前网络各部分的带宽是否满足业务高峰需要。
?如果无法满足业务高峰期需要,则需进行带宽分配。检查主要网络设备是否进行带宽分配。
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
条款理解:
?静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够自动地建立自己的路由表。
?路由器之间的路由信息交换是基于路由协议实现的,如OSPF路由协议是一种典型的链路状态的路由协议。
?如果使用动态路由协议应配置使用路由协议认证功能,保证网络路由安全。
检查方法:检查边界设备和主要网络设备,查看是否进行了路由控制建立安全的访问路径。
以CISCO IOS为例,输入命令:show running-config检查配置文件中应当存在类似如下配置项:
ip route 93 (静态)router ospf 100(动态)
ip ospf message-digest-key 1 md5 7 XXXXXX(认证码)
d)应绘制与当前运行情况相符的网络拓扑结构图;
条款理解:为了便于网络管理,应绘制与当前运行情况相符的网络拓扑结构图。当网络拓扑结构发生改变时,应及时更新。
检查方法:检查网络拓扑图,查看其与当前运行情况是否一致。
e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
条款理解:
?根据实际情况和区域安全防护要求,应在主要网络设备上进行VLAN划分或子网划分。
?不同VLAN内的报文在传输时是相互隔离的。如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备实现。
检查方法:访谈网络管理员,是否依据部门的工作职能、重要性和应用系统的级别划分了不同的VLAN或子网。
以CISCO IOS为例,输入命令:show vlan检查配置文件中应当存在类似如下配置项:
主机安全Linux测评,1-2_网安全测评__主机安全测评.doc相关推荐
- 主机大师linux,113资讯网(www.113p.cn)评测:护卫神·主机大师 (Linux版)
最近护卫神也进入了Linux集合面板市场 说起护卫神,很多人非常的陌生,但是说起"C盘垃圾清理.bat"这个小程序,应该很多人用过! 他就是护卫神出品的,家里第一次配置电脑,我的电 ...
- linux系统安装文网卫士,360主机卫士 Linux 版本 安装
主机卫士 Linux 版本 用户使用手册 1.软件安装 1.1 必要环境 1)curl (通过 yum 戒者 apt-get 安装) 服务器版操作系统默认已经安装了 curl,如果没有请自行安装 ce ...
- 113资讯网(www.113p.cn)评测:护卫神·主机大师 (Linux版)
最近护卫神也进入了Linux集合面板市场 说起护卫神,很多人非常的陌生,但是说起"C盘垃圾清理.bat"这个小程序,应该很多人用过! 他就是护卫神出品的,家里第一次配置电脑,我的电 ...
- vmware虚拟机linux 桥接,linux之使用VMWare的桥接模式使主机和虚拟机中系统进行通讯...
之前使用VMWare安装完centos7使用的是NAT模式来使虚拟机联网,这种方式简单方便,但是不能做到和本机进行通讯,于是今天将利用桥接模式联网,使本机可以和虚拟系统进行通讯.让我们结合图片一步步开 ...
- 宿主机为linux、windows分别实现VMware三种方式上网(转)
一.VMware三种方式工作原理 1 Host-only连接方式 让虚机具有与宿主机不同的各自独立IP地址,但与宿主机位于不同网段,同时为宿主主机新增一个IP地址,且保证该IP地址与各虚机IP地址位 ...
- 免费linux虚拟空间,linux免费虚拟主机(linux搭建虚拟主机)
虚拟主机也是有操作系统之分的,虚拟主机按操作系统可以分为windows虚拟主机和linux虚拟主机,那么二者之间有何区别呢? 1.操作系统不同 windows虚拟主机顾名思. 正题:请大家推荐一款双线 ...
- linux 虚拟机连接外网配置,很简单
linux 虚拟机连接外网配置,其实很简单,没像网上那么多的费劲!!! 配置linux 访问外网 虚拟机网络适配器: 查看使用网卡:ifconfig 配置网卡:vi /etc/sysconfi ...
- linux php护卫神,评测:护卫神·主机大师 (Linux版)
释放双眼,带上耳机,听听看~! 最近护卫神也进入了Linux集合面板市场 说起护卫神,很多人非常的陌生,但是说起"C盘垃圾清理.bat"这个小程序,应该很多人用过! 他就是护卫神出 ...
- linux服务器如何测试网速
linux服务器如何测试网速 说到测网速我相信很多小伙伴都知道在自己的电脑上操作,但我们平时用的比较多的系统还是Windows系统,那么到了linux系统上你知道怎么测网速吗? 今天还是艾西的服务器小 ...
- 用apache反向代理解决单外网ip对应内网多个web主机的问题
用apache反向代理解决单外网ip对应内网多个web主机的问题 转载一个有独立外网IP,需内网服务器对外发布的例子,是应用apache虚拟主机的. 来源地址:http://www.itshantou ...
最新文章
- 神舟台式计算机图片,扩展性媲美台式机!神舟战神K780G拆机图赏
- linux解码base64工具,如何解码Linux中的base64编码行?(How do I decode base64 encoded lines in linux?)...
- JSP复习笔记——第10章 连接数据库 之 jsp+DAO实现留言管理程序
- 西门子SIMENS学习网站
- 优化委托的 DynamicInvoke
- JavaScript知识概要
- Linux修改本地时间
- 志远电脑公司网站系统
- AB Micro800编程环境CCW安装
- 一个手机用c网可以打开网站切换到g网就打不开_推荐一些设计师常用网站!!!...
- 侍魂胧月传说服务器维护,侍魂胧月传说4月17日更新维护公告一览
- U盘提示格式化,8G的U盘变成了8M,并无法格式化打不开U盘解决方法
- 双路服务器 游戏性能,AMD双路128核EPYC跑分无敌 服务器CPU核多才是王道
- 在Origin绘图和表格中插入Latex公式
- Java 开源中文分词器Ansj 学习教程
- Android Notification详解【郭霖公众号推荐】
- java 连接 Pi数据库——piapi方式
- 买外链要多少钱?外链要去哪里买?
- maven远程仓库和镜像
- 感受Python之禅及其意