信息安全等级保护三级测评指导书.docx

《信息安全等级保护三级测评指导书.docx》由会员分享，可在线阅读，更多相关《信息安全等级保护三级测评指导书.docx（90页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、物理平安平安子类测评项检测方法备注物理位置的选择G3机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内1.访谈物理平安负责人，了解机房和办公场地所在建筑及周边环境情况。现场观察机房和办公场地所处位置及周边环境，判断机房物理位置的选择是否符合要求。一般情况下，该条自动符合机房场地应防止设在建筑物的高层或地下室，以及用水设备的下层或隔壁询问机房管理员，机房处于建筑的几层实地查看机房环境，周围有无用水设备，假设有，是否采取了隔离措施物理访问控制G3机房出入口应安排专人值守，控制、鉴别和记录进入的人员1.访谈物理平安负责人，了解针对机房采取的出入口控制措施情况，包括机房出入口安排专人值守，机房分

2、区域管理且重要区域设置电子门禁系统，对进入机房和重要区域的来访人员的活动范围控制等。现场查看机房和重要区域，检查物理访问控制情况是否与物理平安负责人所述一致。检查机房出入登记记录、电子门禁记录和来访人员进入机房的审批记录等。假设机房安装有电子门禁系统，该条自动符合需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围询问机房管理员是否有该流程查看是否有相关文档，包括进入机房的申请单、审批记录签字或盖章等应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员中心机房应配备电子门禁系统，备用机房

3、等其他机房那么只需要有专人值守即可防盗窃和防破坏G3应将主要设备放置在机房内 1.访谈物理平安负责人，了解采取了哪些防止设备、介质及通信线缆遭到破坏或被窃的保护措施。现场查看设备或主要部件固定和标记情况、介质存放情况、通信电缆布设情况、防盗报警和监控系统运行维护情况是否符合要求，查看相关记录是否符合要求。一般情况下，该条自动符合应将设备或主要部件进行固定，并设置明显的不易除去的标记应将通信线缆铺设在隐蔽处，可铺设在地下或管道中应对介质分类标识，存储在介质库或档案室中应利用光、电等技术设置机房防盗报警系统应对机房设置监控报警系统防雷击G3机房建筑应设置避雷装置1.访谈物理平安负责人，了解防雷击措

4、施的实施情况。检查建筑物防雷技术检测报告，查看是否符合要求。检查机房是否对电源线、信号线、电子设备安装了 避雷装置，是否设有交流电源地线。应设置防雷保安器，防止感应雷机房应设置交流电源地线一般情况下，该条符合防火G3机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火1.访谈物理平安负责人，了解机房火灾自动消防系统的安装和使用情况，机房使用的建筑材料的耐火等级情况，机房内部的区域隔离防火措施等。现场查看灭火设备是否安装在清晰可见的位置，是否具有自动检测火情、自动报警并自动灭火功能。现场检查机房内区域隔离情况，查看是否将重要设备与其他设备隔离开。检查防火系统的检查和维护记录。机房及

5、相关的工作房间和辅助房应采用具有耐火等级的建筑材料机房应采取区域隔离防火措施，将重要设备与其他设备隔离开防水和防潮G3水管安装，不得穿过机房屋顶和活动地板下1.访谈物理平安负责人，了解机房内、屋顶及地板下的水管铺设情况，采取了哪些防水和防潮措施等。查看室内环境是否有漏水、积水或返潮等现象。查看是否有防止雨水渗透的措施。如果信息系统位于湿度较高地区，还应检查是否有除湿装置并正常运行等。检查是否装有防水检测装置，工作是否正常。应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透应采取措施防止机房内水蒸气结露和地下积水的转移与渗透应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警防静电G3主要设备应

6、采用必要的接地防静电措施1.访谈物理平安负责人，了解采取的防静电措施。现场查看机房地板、工作台及主要设备等是否采用了不易产生静电的材料或防静电接地措施。如果信息系统位于气候枯燥、易产生静电地区，还应检查是否有静电消除剂或静电消除器等措施。一般情况下，该条符合机房应采用防静电地板温湿度控制G3机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内1.检查机房是否有温、湿度计和温、湿度自动调节设备，并检查这些设备是否能够正常工作。查看机房温湿度变化的记录和温湿度调节设备的维护记录。现场查看机房温湿度环境是否符合要求。电力供给A3应在机房供电线路上配置稳压器和过电压防护设备1

7、.访谈物理平安负责人，了解信息系统供电线路的过电压防护和UPS、双路供电、备用发电机等不间断供电措施的实施和运行情况。检查供电线路，查看计算机系统供电是否与其他供电分开，并且为计算机系统供电的线路是冗余或并行线路。检查机房供电线路上是否安装了稳压器、过电压防护装置，是否配备短期备用电源设备，这些设备是否正常工作。检查上述设备的维护和维修记录，备用供电系统的运行记录等。应提供短期的备用电力供给，至少满足主要设备在断电情况下的正常运行要求应设置冗余或并行的电力电缆线路为计算机系统供电应建立备用供电系统电磁防护S3应采用接地方式防止外界电磁干扰和设备寄生耦合干扰1.访谈物理平安负责人，了解电磁防护措

8、施的实施情况，包括设备外壳接地、线路铺设中将电源线和通信线路隔离、重要设备和磁介质实施电磁屏蔽等方面。检查设备外壳是否接地，机房布线是否做到电源线与通信线缆隔离，关键设备和磁介质是否位于电磁屏蔽环境内等。一般情况下，该条符合电源线和通信线缆应隔离铺设，防止互相干扰应对关键设备和磁介质实施电磁屏蔽网络平安网络全局】平安子类测评项检测方法备注结构平安G3应保证主要网络设备的业务处理能力具备冗余空间，满足业务顶峰期需要1.访谈网络管理员，询问信息系统中边界设备和主要网络设备的处理性能能否满足目前业务顶峰流量的需求，询问采用何种手段对主要网络设备运行状态进行监控。应保证网络各个局部的带宽满足业务顶峰期

9、需要1.访谈系统管理员，询问网络各个局部的带宽是否满足业务顶峰期需要。例如，询问业务应用的顶峰流量是多少？各个网络接入链路带宽是多少？是否有过网络带宽瓶颈事件发生？应在业务终端与业务效劳器之间进行路由控制建立平安的访问路径1.检查边界设备和主要网络设备的配置信息，查看是否进行了路由控制建立平安的访问路径。2.检查路由器的配置信息中是否存在路由协议认证。在思科路由器中：1在特权模式下输入命令show running-config会输出该路由器相关配置信息。2检查配置信息中应当存在类似如下配置信息：interface Serial0ip ospf message-digest-key 1 md5

10、XXXXXX认证码router ospf 10network 172.16.0.0 0.0.255.255 area 0network 192.16.64.0 0.0.255.255 area 0area 0 authentication message-digest在华为路由器中：1在特权模式下输入命令display current-configuration会输出该路由器相关配置信息。2检查配置信息中应当存在类似如下配置信息：ospf 100import-route directimport-route staticinterface Vlan-interface 100ospf auth

11、entication-mode md5应绘制与当前运行情况相符的网络拓扑结构图1.询问网络管理员和检查网络拓扑图，查看其与当前运行情况是否一致。应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原那么为各子网、网段分配地址段1.访谈网络管理员，是否依据部门的工作职能、重要性和应用系统的级别划分了不同的VLAN，并检查交换机的配置。在思科交换机中：1在特权模式下输入命令show vlan会输出该交换机相关配置信息。2检查配置信息中应当存在类似如下配置信息：display vlan static：Now,the following static

12、 VLAN exists：1default,100,200,1203-1204,2101-2102,2105-2107,21092111-2112,2116-2119,2148int e0/2vlan-membership static 2在华为路由器中：1在特权模式下输入命令display vlan all会输出该交换机相关配置信息。2检查配置信息中应当存在类似如下配置信息：display vlan static：Now,the following static VLAN exists：1default,100,200,1203-1204,2101-2102,2105-2107,210921

13、11-2112,2116-2119,2148display vlan allVLAN ID：100VLAN Type：staticDescription：VLAN 0100Name：VLAN 0100Tagged Ports：noneUntagged Ports：GigabitEthernet1/1/1VLAN ID：200VLAN Type：staticDescription：VLAN 0200Name：VLAN 0200Tagged Ports：noneUntagged Ports：GigabitEthernet1/1/2应防止将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其

14、他网段之间采取可靠的技术隔离手段1.访谈网络管理员和检查网络拓扑结构，查看是否将重要网段部署在网络边界处，重要网段与其他网段之间是否采取可靠的技术隔离手段、配置平安策略进行访问控制。如平安区域边界处是否部署防火墙、网闸，或者边界网络设备是否配置并启用ACL。应按照对业务效劳的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机1.访谈网络管理员，依据实际应用系统状况是否进行了带宽优先级分配，并检查防火墙和路由器配置。2.如果在网络边界处部署防火墙，检查防火墙是否存在策略带宽配置。3.如果在网络边界处未部署防火墙，检查边界网络设备是否存在相关配置信息。边界完整性检查S3应能够

15、对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断1.访谈网络管理员，询问采取何种技术手段或管理措施对非授权设备私自联到内部网络的行为进行检查、定位和阻断。如果采取技术手段那么询问采取了何种技术手段，并在网络管理员的配合下验证其有效性。同时要询问相关的管理措施。应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断1.访谈网络管理员，询问采用了何种技术手段或管理措施对“非法外联行为进行检查。如果采用技术手段，那么询问采用了何种技术手段，并在网络管理员的配合下验证其有效性。入侵防范G3应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马

16、后门攻击、拒绝效劳攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等1.访谈网络管理员和查看网络拓扑结构，查看在网络边界处是否部署了包含入侵防范功能的平安设备。如果部署了相应平安设备，那么检查该设备产生的系统数据是否能够对端口扫描、强力攻击、木马后门攻击、拒绝效劳攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等攻击行为进行检测。当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警1.访谈网络管理员和查看网络拓扑结构，查看在网络边界处是否部署了包含入侵防范功能的设备。如果部署了相应设备，那么检查设备的日志记录，查看是否记录了攻击源IP、攻击类型、攻击

17、目的和攻击时间等信息，查看设备采用何种方式进行报警。恶意代码防范G3应在网络边界处对恶意代码进行检测和去除1.访谈网络管理员和查看网络拓扑结构，查看在网络中是否部署了防恶意代码产品。如果部署了相关产品，那么查看是否启用了恶意代码检测及阻断功能，并查看日志记录中是否有相关阻断信息。应维护恶意代码库的升级和检测系统的更新1.访谈网络管理员和查看网络拓扑结构，查看在网络中是否部署了防恶意代码产品。如果部署了相关产品，那么查看是否启用了恶意代码检测及阻断功能，并查看日志记录中是否有相关阻断信息。路由器思科路由器】平安子类测评项检测方法备注访问控制G3应在网络边界部署访问控制设备，启用访问控制功能1.访

18、谈网络管理员、平安管理员，检查网络拓扑结构，查看是否在网络边界处部署访问控制设备并配置启用了访问控制策略。应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级1.在特权模式下输入命令show ip access-list会输出该路由器相关配置信息。2.检查配置信息中应当存在类似如下配置信息：ip access-list extended 111access-list 111 permit tcp host 10.1.6.66 any eq 443access-list 111 deny any any3.网络设备中默认开启了一些效劳，有些效劳在实际使用中是不需要的，而这

19、些效劳本身却可能存在一些平安隐患，因此，需要主动关闭这些效劳。效劳：关闭方式CDPCisco Discovery Protocal：no cdp run / no cdp enableTCP、UDP Small service：no service tcp-small-servers / no service udp-small-serversFinger：no finger / no service fingerBOOTP：no ip bootp serverIP Source Routing：no ip source-routeARP-Proxy：no ip proxy-arpIP Dir

20、ected Broadcast：no ip directed-broadcastWINS和DNS：no ip domain-lookup应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制1.如果在网络边界处部署了防火墙，该项要求一般通过防火墙来实现。应在会话处于非活泼一定时间或会话结束后终止网络连接1.此项不适合，该项要求一般在防火墙上实现。“此项不适用是什么意思应限制网络最大流量数及网络连接数1.访谈系统管理员，依据实际网络状况是否需要限制网络最大流量数及网络连接数，并检查路由器配置。如果在网络中部署了防火墙，该项要求一般通过防火

21、墙来实现。2.在特权模式下输入命令show running-config会输出该路由器的相关配置信息。3.检查配置信息中应当存在类似如下配置信息：如限制主机的最大连接数为200，那么检查配置信息中应当存在类似如下配置项：ip nat translation max-entries host 10.1.1.1 200重要网段应采取技术手段防止地址欺骗1.在特权模式下输入命令 show ip arp会输出该路由器的相关配置信息。2.检查配置信息中应当存在类似如下配置项：arp 10.0.0.1 0000.e268.9980 arpa应按用户和系统之间的允许访问规那么，决定允许或拒绝用户对受控系统进

22、行资源访问，控制粒度为单个用户1.询问管理员是否开启了VPN功能。2.如果开启了VPN功能，输入命令 show running-config。3检查配置文件中是否有类似如下VPN相关配置项：crypto isakmp policy 10hash md5authentication pre-sharecrypto ipsec transform-set test ah-md5-hmac esp-descrypto map testmap 10 ipsec-isakmpset tracsform-set testmatch address 100如果未开启VPN功能，此项是否是符合应限制具有拨号访

23、问权限的用户数量1.输入命令 show running-config。2检查配置文件中是否存在类似如下配置项：encapsulation pppppp authentication chapdialer map ip 200.10.1.1 name router broadcast 7782001ppp multilinkdialer idle-timeout 30dialer load-threshold 128平安审计G3应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录1在特权模式下输入命令show logging。2检查配置文件中是否存在类似如下配置项：logging

24、onlogging trap notificationssnmp-server community pcitcro ROsnmp-server enable traps syslogsnmp-server host 10.1.1.1 cisco审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息1只要审计功能启用就能符合该项要求。应能够根据记录数据进行分析，并生成审计报表1访谈并查看网络管理员采用了什么手段实现了审计记录数据的分析和报表生成。应对审计记录进行保护，防止受到未预期的删除、修改或覆盖等1.访谈网络设备管理员采用了何种手段防止了审计日志的未授权修改、删

25、除和破坏。例如可以设置专门的日志效劳器来接收路由器等网络设备发送出的报警信息。2.在特权模式下输入命令show logging。3检查配置文件中是否存在类似如下配置项：Logging onLogging trap notificationsL网络设备防护G3应对登录网络设备的用户进行身份鉴别1.在特权模式下输入命令show logging。2.检查配置文件中是否存在类似如下配置项：line vty 0 4loginpassword *line aux 0loginpassword *line con 0loginpassword *3. 在特权模式下输入命令show running-confi

26、g4.检查配置文件中是否存在类似如下配置项：enable secret 5 *5.如果设备启用了AAA认证，那么查看配置信息应当存在类似如下配置信息：aaa new-modeltacacs-server host 192.168.1.1 sigle-connectingtacacs-server key sharedlaaa new-modelradius-server host 192.168.1.1 radius-server key sharedllive vty 0 4aaa authorization login应对网络设备的管理员登录地址进行限制1.在特权模式下输入命令show r

27、unning-config。2.检查配置文件中是否存在类似如下配置项：access-list 3 permit x.x.x.x logaccess-list 3 deny anyline vty 0 4access-class 3 in网络设备用户的标识应唯一1.访谈网络管理员设备管理账号是否与网络管理员自然对应，不存在多人共用一个账号的情况。查看网络设备信息中相关账号配置。2.在特权模式下输入命令show running-config。3.检查配置文件中是否存在类似如下配置项：username admin privilege 10 password adminusername user pr

28、ivilege 1 password user主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别1.访谈网络设备管理员采用了何种鉴别技术实现双因子鉴别，并在管理员的配合下验证双因子鉴别的有效性。身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换1.询问网络管理员对身份鉴别所采取的具体措施，使用口令的组成、长度和更改周期等。2.查看网络设备配置信息中密码是否为密文存储。3.在特权模式下输入命令show running-config。4.检查配置文件中是否存在类似如下配置项：service password-encryptionline vty 0 4 passw

29、ord 7 0956F57A109Aline aux 0password 7 034A18F366A0line con 0password 7 7A4F5192306A 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施1.在特权模式下输入命令show running-config。2.检查配置文件中是否存在类似如下配置项：line vty 0 4 exec-timeout 5 0line aux 0exec-timeout 5 0line con 0exec-timeout 5 0当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被

30、窃听1.询问网络管理员采用何种方式对网络设备进行远程管理管理。2.在特权模式下输入命令show running-config。3.检查配置文件中是否存在类似如下配置项：line vty 0 4transport input sship ssh authentication-retries 3line aux 0transport input sship ssh authentication-retries 3应实现设备特权用户的权限别离1.在特权模式下输入命令show running-config。2.检查配置文件中是否存在类似如下配置项：username root privilege 10

31、GooDpASSWordprivilege exec level 10 sshprivilege exec level 10 show log华为路由器】平安子类测评项检测方法备注访问控制G3应在网络边界部署访问控制设备，启用访问控制功能1.访谈网络管理员、平安管理员，检查网络拓扑结构，查看是否在网络边界处部署访问控制设备并配置启用了访问控制策略。应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级1.在特权模式下输入命令display acl config all。2.检查配置文件中是否存在类似如下配置项：acl number 2000rule deny icmp s

32、ource any destination anyrule permit tcp source 10.1.2.0 destination 20.3.5.40 destination-port eq 443rule permit tcp source 10.1.2.0 destination 20.3.4.55 destination-port eq 80interface GigabitEthernet 1/1/1description TO_XXspeed 1000duplex fullport access vlan 100packet-filter inbound ip-group 30

33、00应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制1.如果在网络边界处部署了防火墙，该项要求一般通过防火墙来实现。应在会话处于非活泼一定时间或会话结束后终止网络连接1.此项不适合，该项要求一般在防火墙上实现。应限制网络最大流量数及网络连接数1.访谈系统管理员，依据实际网络状况是否需要限制网络最大流量数及网络连接数，并检查路由器配置。如果在网络中部署了防火墙，该项要求一般通过防火墙来实现。2.在特权模式下输入命令display acl config all。假设限制某端口下的10000Kbps访问，那么检查配置信息中应当存在类似如

34、下配置项：acl number 3000rule 1 permit ipinterface Ethernet2/1/9port access vlan 2109traffic-shape 10000 256traffic-limit inbound ip-group 3000 rule 1 system-index 28 tc-index 6 10000 1000000 1000000 10000 conform remark-policed-service exceed drop重要网段应采取技术手段防止地址欺骗1.在特权模式下输入命令display arp。2.检查配置文件中是否存在类似如

35、下配置项：arp static 192.168.1.100 0014-7855-c7bb应按用户和系统之间的允许访问规那么，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户1.在特权模式下输入命令display ipsec。2.检查配置文件中是否存在类似如下配置项：ike peer centerexchange-mode aggressivepre-shared-key abcid-type nameremote-name centeripsec policy branch1 10 isakmpsecurity acl 3001ike-peer centerproposal 1ac

36、l number 3001应限制具有拨号访问权限的用户数量1.在特权模式下输入命令display dialer。2.检查配置文件中是否存在类似如下配置项：link-protocol pppppp authentication-mode papdialer enable-circulardialer-group 1平安审计G3应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录1.在特权模式下输入命令display current-configuration。2.检查配置文件中是否存在类似如下配置项：info-center enableinfo-center loghost 1.1

37、.1.1 facility local4 language chineseinfo-center source default channel loghost log level informational审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息1.对于思科、华为路由器来说，只要审计成功启用就能符合该项要求。应能够根据记录数据进行分析，并生成审计报表1.访谈并查看网络管理员采用了什么手段实现了审计记录数据的分析和报表生成。应对审计记录进行保护，防止受到未预期的删除、修改或覆盖等1.访谈网络设备管理员采用了何种手段防止了审计日志的未授权修改、删除和破坏

38、。例如可以设置专门的日志效劳器来接收路由器等网络设备发送出的报警信息。2.在特权模式下输入命令display current-configuration。3.检查配置文件中是否存在类似如下配置项：info-center enableinfo-center loghost 1.1.1.1 facility local4 language chineseinfo-center source default channel loghost log level informational网络设备防护G3应对登录网络设备的用户进行身份鉴别1.在特权模式下输入命令display current-confi

39、guration。2.检查配置文件中是否存在类似如下配置项：super password level 3 cipher *local-user backboneservice-type sshlevel 3acl number 2021rule 1 permit source 10.1.2.3 0user-interface vty 0 4cal 2021 inboundauthentication-mode scheme应对网络设备的管理员登录地址进行限制1.在特权模式下输入命令display current-configuration。2.检查配置文件中是否存在类似如下配置项：acl nu

40、mber 2021rule 1 permit source 10.1.2.3 0user-interface vty 0 4acl 2021 inboundauthentication-mode scheme网络设备用户的标识应唯一1.访谈网络管理员设备管理账号是否与网络管理员自然对应，不存在多人共用一个账户的情况。2.在特权模式下输入命令display current-configuration。3.检查配置文件中是否存在类似如下配置项：super password level 3 cipher *service type sshlocal-user mca password cipher

41、*service type ssh主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别1.访谈网络设备管理员采用了何种鉴别技术实现双因子鉴别，并在管理员的配合下验证双因子鉴别的有效性。身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换1.询问网络管理员对身份鉴别所采取的具体措施，使用口令的组成、长度和更改周期等。2.查看网络设备配置信息中密码是否为密文存储。3.在特权模式下输入命令display current-configuration。4.检查配置文件中是否存在类似如下配置项：super password level 3 cipher *service ty

42、pe sshlocal-user mca password cipher *service type ssh应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施1.在特权模式下输入命令display current-configuration。2.检查配置文件中是否存在类似如下配置项：user-interface con 0idle-timeout 5 0user-interface vty 0 4user privilege level 3set authentication password cipher *idle-timeout 5 0当对网络设备

43、进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听1.询问网络管理员采用何种方式对网络设备进行远程管理。2.在特权模式下输入命令display current-configuration。3.检查配置文件中是否存在类似如下配置项：local-user huawei password cipher *local-user huawei service-type sshlocal-user huawei level 3user-interface vty 0 4authentication-mode aaaprotocol inbound ssh应实现设备特权用户的权限别离1.在特权

44、模式下输入命令display current-configuration。2.检查配置文件中是否存在类似如下配置项：super password level 3 cipher *service type sshlocal-user mca password cipher *service type ssh交换机思科交换机】平安子类测评项检测方法备注访问控制G3应在网络边界部署访问控制设备，启用访问控制功能1.访谈网络管理员、平安管理员，检查网络拓扑图结构，查看是否在网络边界处部署访问控制设备并配置启用了访问控制策略。应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级1

45、.在特权模式下输入命令show ipaccess-list会输出该交换机相关配置信息。2.检查配置信息中应当存在类似如下配置信息：ip access-list extended 111access-list 111 permit tcp host 10.1.6.66 any eq 443access-list 111 deny any3.网络设备中默认开启了一些效劳，有些效劳在实际使用中是不需要的，而这些效劳本身却可能存在一些平安隐患，因此，需要主动关闭这些效劳。效劳：关闭方式CDPCisco Discovery Protocal：no cdp run / no cdp enableTCP、UDP Small service：no service tcp-small-servers / no service udp-small-serversFinger：no finger / no service fingerBOOTP：no ip bootp serverIP Source Rout