信息安全等级保护测评指南.ppt

《信息安全等级保护测评指南.ppt》由会员分享，可在线阅读，更多相关《信息安全等级保护测评指南.ppt（141页珍藏版）》请在三一办公上搜索。

1、信息安全等级保护测评,目录,国家对等级保护测评的要求等级保护测评注意事项等级保护测评要求（部分解读）等级保护测评过程等级保护测评中常见问题,国家对等级保护测评的要求,管理办法”等级保护的实施与管理“第十四条信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据信息系统安全等级保护测评要求等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。,广东省安全保护条例对测评要求,第十二条 第二级以上计算机信息系统建设完成后，运营、使

2、用单位或者其主管部门应当选择符合国家规定的安全等级测评机构，依据国家规定的技术标准，对计算机信息系统安全等级状况开展等级测评，测评合格后方可投入使用。第十三条 计算机信息系统的运营、使用单位及其主管部门应当按照国家规定定期对计算机信息系统开展安全等级测评，并对计算机信息系统安全状况、安全管理制度及措施的落实情况进行自查。计算机信息系统安全状况经测评或者自查，未达到安全等级保护要求的，运营、使用单位应当进行整改。,广东省公安厅关于计算机信息系统安全保护的实施办法（一）,第二十二条 我省对测评机构实施备案制度。符合第二十一条规定的条件，承担第二级以上的计算机信息系统测评工作的机构应当到省公安厅公共

3、信息网络安全监察部门备案。第二十五条 第二级以上的计算机信息系统建设完成后，使用单位应当委托符合规定的测评机构安全测评合格方可投入使用。测评活动应当接受公安机关公共信息网络安全监察部门的监督。,广东省信息安全等级测评工作细则（试行）,计算机信息系统投入使用后，存在下列情形之一的，应当进行安全自查，同时委托安全测评机构进行安全测评：（一）变更关键部件；（二）安全测评时间满一年；（三）发生危害计算机信系统安全的案件或安全事故；（四）公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评；（五）其他应当进行安全自查和安全测评的情形。申请单位认为安全测评报告的合法性和真实性存在重大

4、问题的，可以向本单位所在地公安机关公共信息网络安全监察部门提出申诉，提交异议申诉书及有关证明材料。,广东省等级保护测评机构,关于发布广东省信息安全等级保护测评机构的公告（粤等保办20103号）供我省信息系统运营、使用单位、主管部门选用提供各类测评服务（差距评估、验收性测评、年度测评工作）。1、广州竞远系统网络技术有限公司 2、中国赛宝实验室（工业和信息化部电子第五研究所）3、广州华南信息安全测评中心 4、深圳市信息安全测评中心 5、深圳市网安计算机安全检测技术有限公司,等级保护测评基本概念,等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密

5、信息系统安全等级保护状况进行检测评估的活动。通过信息安全等级测评机构对已完成的等级保护建设的信息系统定期进行等级测评，确保信息系统的安全保护措施符合相应等级的安全要求。,等级保护测评的执行主体,等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。等级保护测评的执行主体应当是具有相关资质的、独立的测评服务机构。只有独立的第三方，才能保证测评工作的客观性和公正性。,等级测评基本原则,测评机构应当按照有关规定和统一标准提供“客观、公正、安全”的测评服务，按照统一的测评报告模版出具测评报告。

6、测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。,等级测评的特点,管理角度：强制执行：管理办法强制周期性执行执行主体：符合条件的测评机构执行对象：定级的信息系统服务主体：国家信息安全监管部门/主管部门/运维、使用单位技术角度：符合性测评：依据基本要求等级化：不同级别测评强度不同,等级保护测评适用的阶段,在实施等级保护建设工作前，信息系统运营、使用单位可以开展一次等级测评以确定信息系统的安全需求。在等级保护建设完成后，通过等级测评判定信息系统是否按照预先设定的安全模式运行，安全控制措施是否得到合理的应用，信息系统是否达到相关标准的

7、要求，是否具备相应等级的安全防护能力等。,等级保护测评工作开展,系统改建方案设计：由信息系统的运营使用单位自己组织人员或由第三方评估机构，采用等级测评方法对信息系统安全保护现状与等级保护基本要求进行符合性评估，得到与相应等级要求的差距项，确定安全需求，为制定安全改建方案提供依据。是一种需求分析方法，不受测评执行主体的限制。等级保护建设完成后的测评，由具有相关资质、独立的第三方测评机构完成。,1.2.13测评与监督检查的关系,等级保护测评的操作形式自评估委托评估检查评估,1.2.14测评工作要求,依据标准，遵循原则恰当选取，保证强度规范行为，减少风险过程规范行为规范,等级保护测评注意事项,等级保

8、护测评方法（1）,测评方法测评采用访谈、检查和测试三种方法，测评对象是测评实施过程中涉及到的信息系统的构成成份，包括人员、文档、机制、软件、设备。测评的层面涉及物理安全、网络安全、主机安全、应用系统安全、数据安全以及安全管理。测评要求使用测评表进行具体检查时，首先按询问、查验、检测等工作方式将所有检查项目分类。所有以询问方式检查的项目，在与有关人员的谈话或会议上进行；所有以查验方式检查的项目，将需要的文档清单在检查现场提交给被检查方，请被检查方当前提供并进行查验；所有需要以检测方式检查的项目，按检测部门或设备分类后，根据具体情况选择检测顺序。,等级保护测评方法（2）,对技术要求访谈方法：目的是

9、了解信息系统的全局性。范围一般不覆盖所有要求内容。检查方法：目的是确认信息系统当前具体安全机制和运行的配置是否符合要求。范围一般要覆盖所有要求内容。测试方法：目的是验证信息系统安全机制有效性和安全强度。范围不覆盖所有要求内容。,等级保护测评方法（3）,对管理要求对人员方面的要求，重点通过访谈的方式来测评，检查为辅；对过程方面的要求，通过访谈和检查的方式来测评；对规范方面的要求，以检查文档为主，访谈为辅,等级保护测评中的角色和职责关系,信息安全服务机构:协助信息系统运营、使用单位完成等级保护的相关工作，包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。信

10、息安全产品供应商：开发符合等级保护相关要求的信息安全产品，接受安全测评，按照等级保护相关要求销售信息安全产品并提供相关服务。应用软件开发机构：将安全控制要求与应用软件结合，负责软件开发。信息安全等级测评机构：协助信息系统运营、使用单位或国家管理部门，按照国家信息安全等级保护的管理规范和技术标准，对已经完成等级保护建设的信息系统进行测评；对信息安全产品供应商提供的信息安全产品进行安全测评。,1.3.7等级保护实施过程中的主要参与角色,等级保护测评工作实施步骤,首次会议（1）参加人员：主管领导、技术人员、测评机构人员（2）被测评机构工作汇报测评实施 被测评单位派人负责测评过程联络和协助。末次会议（

11、1）参加人员：主管领导、技术人员、测评机构人员（2）测评机构进行测试情况汇报,等级保护测评项目组的构成,测评项目组构成组长职责：管理测评过程、主持编制测评计划、主持设计测评方案、负责访谈、检查、组织分析测评结果、主持编制测评总结报告；访谈和查看组：负责访谈、执行测试，记录和分析测评结果；测试组：执行测试、记录和分析测评结果。,等级保护测评部位,被测评部门 领导办公场所 机房 介质保管室 设备管理部门 一般工作场所 监控室等,等级保护测评设备,被测评检查设备各类服务器抽查部分个人计算机（包括台式机、笔记本）通信线路交换机、路由器防火墙、入侵检测、杀毒软件等安全防护设备存储设备网络管理软件应用软件

12、,等级保护测评相关配合人员,测评所需要的相关配合人员单位领导部门领导系统管理员安全管理员系统审计员一般工作人员（抽查）等。,等级测评风险告知,在开展测评过程中，对可能影响信息系统正常运行的，测评机构应当事先告知被测评单位，并协助其采取相应的预防措施。,等级测评实施过程中可能存在的风险,验证测试影响系统正常运行 在现场测评时，需要对设备和系统进行一定的验证测试工作，部分测试内容需要上机查看一些信息，这就可能对系统的运行造成一定的影响，甚至存在误操作的可能。工具测试影响系统正常运行 在现场测评时，会使用一些技术测试工具进行漏洞测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响，

13、漏洞测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。敏感信息泄漏 泄漏被测系统状态信息，如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。,等级测评方式测试,功能/性能测试、渗透测试等。测试对象包括机制和设备等。测试一般需要借助特定工具。扫描检测工具网络协议分析仪攻击工具渗透工具,等级保护测评标准,信息系统安全等级保护测评要求 信息系统安全等级保护测评指南,等级保护测评要求,测评要求的作用,指导系统运营使用单位进行自查指导评估机构进行检测评估监管职能部门参照进行监督检查规范测评内容和行为,等级保护测评的内容,某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,

14、主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,测评要求编制思路,信息系统测评,系统测评（对安全控制、层面、区域间关联关系以及系统整体结构，分层次综合分析、测评）,安全控制测评（以测评单元组织的测评实施）,安全控制测评思路,在内容上，与基本要求一一对应，针对基本要求的每一个控制项，开发具体的测评实施方法。在结构上，以“测评单元”为基本工作单位，分等级进行组织。,等级保护测评,测评单元是指安全控制测评的最小工作单位，由测评项、测评方式、测评对象、测评实施和结果判定等组成，分别描述测评目的和内容、测评使用的方式方法、测试过程中涉及的测评对象、具体

15、测试实施取证过程要求和测评证据的结果判定规则与方法。测评强度是指测评的广度和深度，体现测评工作的实际投入程度。,测评强度增强的方法,测评广度越大，范围越大，包含的测评对象就越多，测评实际投入程度越高。测评的深度越深，越需要在细节上展开，测评实际投入程度也越高。测评的广度和深度落实在具体的测评方法访谈、检查和测试上，体现出访谈、检查和测试的投入程度不同。,2.1.8系统等级保护测评思路,根据安全控制、层面和区域之间的关联作用，逐层测评分析安全控制间、层面间和区域间关联关系对整体安全功能的影响，具体应包括：安全控制间安全测评、层面间安全测评、区域间安全测评。进行系统整体结构安全测评从安全的角度，分

16、析信息系统整体结构的安全性从安全角度看系统从系统的角度，分析信息系统安全防范(体系)的合理性 以系统的观点看安全防范（体系),等级保护测评要求部分解读,第二部分 等级保护测评要求（3）等级保护测评要求部分解读（物理安全）,物理访问控制,本项要求包括：机房出入口应安排专人值守，控制、鉴别和记录进入的人员；需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。,物理访问控制,实施讨论机房进出通过双向电子门禁系统进行控制，可通过门禁电子记

17、录或填写出入记录单的形式记录进出人员和时间有能力的单位应当增设保安人员在门外值守；机房的内和外部临近入口区域要安装摄像头保证全部范围覆盖；外来人员进入机房应当由专人全程陪同；对于系统较多、机房面积较大的有能力单位应将机房按系统和设备的重要程度划分不同的单独区域进行物理隔离，联通各区域间的通道空间形成机房的过渡缓冲区。对于电源UPS，最好能划分单独区域。,物理访问控制,测评实施：应检查机房安全管理制度，查看是否有关于机房出入方面的规定；应检查机房出入口是否有专人值守，是否有值守记录以及进出机房的人员登记记录；检查机房是否不存在值守人员控制之外的出入口；应检查是否有来访人员进入机房的审批记录，查看

18、审批记录是否包括来访人员的访问范围；应检查机房区域划分是否合理，是否在机房重要区域前设置交付或安装等过渡区域；是否在不同机房间和同一机房不同区域间设置了有效的物理隔离装置；应检查重要区域配置的电子门禁系统是否有验收文档或产品安全认证资质；应检查电子门禁系统是否正常工作（不考虑断电后的工作情况）；查看是否有电子门禁系统运行和维护记录；查看监控进入机房重要区域的电子门禁系统记录，是否能够鉴别和记录进入人员的身份。,物理访问控制,测评结果记录检查机房安全管理制度，有关于机房出入方面的规定；机房出入口有专人值守，有值守记录以及进出机房的人员登记记录；检查机房不存在值守人员控制之外的出入口；有来访人员进

19、入机房的审批记录，审批记录包括来访人员的访问范围 业务或安全管理需要，对机房进行了划分区域管理。各个区域都有专门的管理要求。机房区域划分合理，在机房重要区域前设置交付或安装等过渡区域；在不同机房间和同一机房不同区域间设置了有效的物理隔离装置重要区域配置的电子门禁系统是验收文档或产品安全认证资质（安防验收报告）电子门禁系统正常工作；有电子门禁系统运行和维护记录；能够鉴别和记录进入人员的身份。,防雷击,本项要求包括：机房建筑应设置避雷装置；应设置防雷保安器，防止感应雷；机房应设置交流电源地线。,2.3.6防雷击,实施讨论在南方地区，夏季多雨水，雷击发生的可能性很大，需要重点检测。电子信息系统机房施

20、工及验收规范GB50462-2008 电子信息系统机房设计规范GB50174-2008建筑物电子信息系统防雷技术规范GB50343-2004建筑物防雷装置检测技术规范 GB/T21431-2008,防雷击,测评实施应检查机房建筑是否有避雷装置，是否有交流地线；应检查机房是否安装防雷保安器等装置。,防雷击,结果记录机房建筑有避雷装置，有交流地线；机房电源和信号线上安装防雷保安器等装置；机房计算机系统接地设置了专用地线；通过验收或国家有关部门的技术检测（有检测报告）,防火,本项要求包括：机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；机房及相关的工作房间和辅助房应采用具有耐火等

21、级的建筑材料；机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。,防火,测评实施应检查机房是否设置了自动检测火情、自动报警、自动灭火的自动消防系统，自动消防系统摆放位置是否合理，其有效期是否合格；应检查自动消防系统是否正常工作，查看是否有运行记录、报警记录、定期检查和维修记录；应检查机房是否采取区域隔离防火措施，将重要设备与其他设备隔离开。,防火,测评结果记录机房设置了灭火设备，设置了自动检测火情、自动报警、自动灭火的自动消防系统；有专人负责维护该系统的运行，制定了有关机房消防的管理制度和消防预案，进行了消防培训；火灾自动消防系统定期进行检查和维护 自动消防系统摆放位置合理，其有效期合格

22、；自动消防系统正常工作，有运行记录、报警记录、定期检查和维修记录；应检查机房采取区域隔离防火措施，将重要设备与其他设备隔离开。,温湿度控制,本项要求包括：机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。,温湿度控制,实施讨论电子信息系统机房设计规范GB50174-2008计算站场地技术条件 GB 2887-89,温湿度控制,测评实施应检查温湿度自动调节设施是否能够正常运行，查看是否有温湿度记录、运行记录和维护记录；查看机房温湿度是否满足计算站场地的技术条件要求。,温湿度控制,测评结果记录湿度自动调节设施能够正常运行；有温湿度记录、运行记录和维护记录。,电力供应,

23、本项要求包括：应在机房供电线路上配置稳压器和过电压防护设备；应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求；应设置冗余或并行的电力电缆线路为计算机系统供电；应建立备用供电系统。,电力供应,实施讨论国家标准供配电系统设计规范 在电线路上配置稳压器和过电压防护设备以保证在电压突然变化时不影响到设备的正常运行；需要配备足够的UPS保证在段时间内断电的运行或至少保证服务器有足够的关机时间；采取冗余形式，一般至少有2家不同的供电公司供电；有条件的可以配备发电机保证较长时间的应急供电。对UPS没有定期进行可用性测试。,电力供应,测评实施应检查机房，查看计算机系统供电线路上的稳压器、过

24、电压防护设备和短期备用电源设备是否正常运行，查看供电电压是否正常；应检查是否有稳压器、过电压防护设备、短期备用电源设备以及备用供电系统等电源设备的检查和维护记录，冗余或并行的电力电缆线路切换记录，备用供电系统运行记录；以及上述计算机系统供电的运行记录，是否能够符合系统正常运行的要求；应测试安装的冗余或并行的电力电缆线路，是否能够进行双路供电切换；应测试备用供电系统是否能够在规定时间内正常启动和正常供电。,电力供应,测评结果记录计算机系统供电线路上的稳压器、过电压防护设备和短期备用电源设备（如UPS）正常运行，查看供电电压正常；有稳压器、过电压防护设备、短期备用电源设备以及备用供电系统等电源设备

25、的检查和维护记录，冗余或并行的电力电缆线路切换记录，备用供电系统运行记录；以及上述计算机系统供电的运行记录，能够符合系统正常运行的要求；测试安装的冗余或并行的电力电缆线路，能够进行双路供电切换；测试备用供电系统（如UPS）能够在规定时间内正常启动和正常供电。,电磁防护,实施讨论电磁屏蔽室屏蔽效能的测量方法 GBT 12190-2006 通过将机架外壳接地的方式可以降低外界的电子干扰，对于要求较高的机房，如CA机房需要建立屏蔽室；机房布线要严格按照规定，强、弱电线路尽量原理，使用交叉走线，避免平行轴线；使用铁质线槽可以抵御电磁干扰并有效保护线缆安全。处理涉密信息的电磁屏蔽室的技术要求和测试方法

26、BMB3-1999涉密信息设备使用现场的电磁泄漏发射防护要求 BMB5-2000,电磁防护,本项要求包括：应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；电源线和通信线缆应隔离铺设，避免互相干扰；应对关键设备和磁介质实施电磁屏蔽。,电磁防护,测评实施应检查机房设备外壳是否有安全接地；应检查机房布线，查看是否做到电源线和通信线缆隔离；应检查磁介质是否存放在具有电磁屏蔽功能的容器中。,第二部分 等级保护测评要求（4）等级保护测评要求部分解读（网络安全）,结构安全,本项要求包括：应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；应保证网络各个部分的带宽满足业务高峰期需要；应在业务终

27、端与业务服务器之间进行路由控制建立安全的访问路径；应绘制与当前运行情况相符的网络拓扑结构图；应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。,结构安全,要求:1.应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；测评实施:访谈网络管理员，询问主要网络设备的性能及业务高峰流量。访谈网络管理员，询问采用何种

28、手段对网络设备进行监控。通过网络管理软件,或IT资源监控系统,确认主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。应检查网络设计/验收文档，查看是否有主要网络设备业务处理能力、接入网络及核心网络的带宽满足业务高峰期的需要以及不存在带宽瓶颈等方面的设计或描述。,结构安全,要求:2.应保证网络各个部分的带宽满足业务高峰期需要；测评实施:应访谈网络管理员，询问网络中带宽控制情况以及带宽分配的原则;询问当前网络各部分的带宽是否满足业务高峰需要。如果无法满足业务高峰期需要，则需迚行带宽分配。检查主要网络设备是否进行行带宽分配。以CISCO IOS 为例:检查配置是否类似如下配置项:输入命令:

29、show running-config class-map:class-1 bandwidth:percent 50 bandwith 5000(kbps)max threshold 64(packets),结构安全,要求:3.应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；条款理解:静态路由是指由网络管理员手工配置的路由信息。劢态路由是指路由器能够自劢地建立自己的路由表。路由器之间的路由信息交换是基亍路由协议实现的，如OSPF路由协议是一种典型的链路状态的路由协议。如果使用劢态路由协议应配置使用路由协议认证功能，保证网络路由安全。测评实施:应检查边界和主要网络设备，查看是否配置路

30、由控制策略以建立安全的访问路径；以CISCO IOS为例，输入命令：show running-config 检查配置文件中应当存在类似如下配置项：iproute 192.168.1.0 255.255.255.0 192.168.1.193（静态）router ospf100（动态）ipospfmessage-digest-key 1 md5 7 XXXXXX（认证码）,结构安全,要求:4.应绘制与当前运行情况相符的网络拓扑结构图；测评实施:登录网络管理软件,检查网络拓扑结构图，查看其与当前运行的实际网络系统是否一致；如果没有网络管理软件,使用其它的网络管理软件查看。如HP OPENVIEW、

31、游龙网管等。,结构安全,要求:5.应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；条款理解：根据实际情况和区域安全防护要求，应在主要网络设备上进行VLAN划分或子网划分。不同VLAN内的报文在传输时是相互隔离的。如果丌同VLAN要迚行通信，则需要通过路由器或三层交换机等三层设备实现。使用防火墙，或使用网络隔离与交换产品网络进行划分网段。测评实施：应访谈网络管理员，询问网段划分情况以及划分的原则；询问重要网段有哪些，其具体的部署位置，与其他网段的隔离措施有哪些；以CISCO IOS为例，输入命令：show vl

32、an 检查配置文件中应当存在类似如下配置项：vlan2 name info Int e0/2 vlan-membership static 2,结构安全,要求:6.应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；条款理解为了保证信息系统的安全，应避免将重要网段部署在网络边界处且直接连接外部信息系统，防止来自外部信息系统的攻击。在重要网段和其它网段之间配置安全策略进行行访问控制。测评实施检查网络拓扑结构，查看是否将重要网段部署在网络边界处，重要网段和其它网段之间是否配置安全策略进行行访问控制，如防火墙。,结构安全,要求:7.应按照对业务服务的

33、重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。测评实施：应检查边界和主要网络设备，查看是否配置对带宽进行控制的策略，这些策略是否能够保证在网络发生拥堵的时候优先保护重要业务。以CISCO IOS为例，检查配置文件中是否存在类似如下配置项：policy-map bar class voice priority percent 10 class data bandwidth percent 30 class video bandwidth percent 20,访问控制,本项要求包括：应在网络边界部署访问控制设备，启用访问控制功能；应能根据会话状态信息为数据流提供明确的

34、允许/拒绝访问的能力，控制粒度为端口级；应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；应在会话处于非活跃一定时间或会话结束后终止网络连接；应限制网络最大流量数及网络连接数；重要网段应采取技术手段防止地址欺骗；应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；应限制具有拨号访问权限的用户数量。,访问控制,要求:1.应在网络边界部署访问控制设备，启用访问控制功能；条款理解在网络边界部署访问控制设备,防御来自其他网络的攻击，保护内部网络的安全。测评实施检查网络拓扑结构，查看是否在网络边界

35、处部署了访问控制设备，是否启用了访问控制功能。,访问控制,要求:2.应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；条款理解在网络边界部署访问控制设备,对进出网络的流量进行过滤，保护内部网络的安全。配置的访问控制列表应有明确的源/目的地址、源/目的、协议及服务等。测评实施（以路由器，或防火墙）以CISCO IOS为例，输入命令：show ipaccess-list 检查配置文件中应当存在类似如下配置项：no access-list 111 ipaccess-list extended 111 deny ipx.x.x.0 0.0.0.255 any log int

36、erface eth 0/0 ipaccess-group 111 in,访问控制,以防火墙检查为例，应有明确的访问控制策略，如下图所示：,访问控制,要求:3.应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；条款理解对亍一些常用的应用层协议，能够在访问控制设备上实现应用层协议命令级的控制和内容检查，从而增强访问控制粒度。测评实施该测评项一般在防火墙、入侵防御系统上检查。首先查看防火墙、入侵防御系统是否具有该功能，然后登录设备查看是否启用了相应的功能。,访问控制,以联想网御防火墙为例，如下图所示：,访问控制,要求:4.应在会话处于

37、非活跃一定时间或会话结束后终止网络连接；条款理解当恶意用户迚行网络攻击时，有时会发起大量会话连接，建立会话后长时间保持状态连接从而占用大量网络资源，最终将网络资源耗尽的情况。应在会话终止或长时间无响应的情况下终止网络连接，释放被占用网络资源，保证业务可以被正常访问。测评实施该测评项一般在防火墙上检查。登录防火墙，查看是否设置了会话连接超时，设置的超时时间是多少，判断是否合理。,访问控制,以天融信防火墙为例，如下图所示：,访问控制,要求:5.应限制网络最大流量数及网络连接数；条款理解可根据IP地址、端口、协议来限制应用数据流的最大流量，还可以根据IP地址来限制网络连接数，从而保证业务带宽丌被占用

38、，业务系统可以对外正常提供业务。测评实施该测评项一般在防火墙上检查。访谈系统管理员，依据实际网络状况是否需要限制网络最大流量数及网络连接数。登录设备查看是否设置了最大流量数和连接数，并做好记录。,访问控制,以天融信防火墙为例，如下图所示：,访问控制,要求:6.重要网段应采取技术手段防止地址欺骗；条款理解地址欺骗在网络安全中比较重要的一个问题,这里的地址,可以是MAC地址,也可以是IP地址。在关键设备上，采用IP/MAC地址绑定方式防止地址欺骗。测评实施以CISCO IOS为例，输入show ip arp 检查配置文件中应当存在类似如下配置项：arp 10.10.10.1 0000.e268.9

39、980 arpa,访问控制,以联想网御防火墙为例，如下图所示：,访问控制,要求:7.应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；条款理解对亍进程拨号用户，应在相关设备上提供用户认证功能。通过配置用户、用户组，并结合访问控制规则可以实现对认证成功的用户允许访问受控资源。测评实施登录相关设备查看是否对拨号用户迚行身份认证，是否配置访问控制规则对认证成功的用户允许访问受控资源。,访问控制,要求:8.应限制具有拨号访问权限的用户数量。条款理解应限制通过进程采用拨号方式或通过其他方式连入系统内部的用户数量。测评实施询问系统管理员，是否有进程拨号用户，采

40、用什么方式接入系统部，采用何种方式迚行身份认证，具体用户数量有多少。,安全审计,本项要求包括：应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应能够根据记录数据进行分析，并生成审计报表；应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。,第二部分 等级保护测评要求（5）等级保护测评要求部分解读（主机安全操作系统）,身份鉴别,本项要求包括：应对登录操作系统和数据库系统的用户进行身份标识和鉴别；操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；应

41、启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。,身份鉴别,要求:1.应对登录操作系统和数据库系统的用户进行身份标识和鉴别；条款理解用户的身份标识和鉴别，就是用户向系统以一种安全的方式提交自己的身份证实，然后由系统确认用户的身份是否属实的过程。,身份鉴别,测评实施 Window：访谈系统管理员，系统用户是否已设置密码，并查看登录过程中系统账户是否使用了密码进行验证

42、登录。Linux：采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中各用户名状态,身份鉴别,要求:2.操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；测评实施 Windows:本地安全策略-帐户策略-密码策略中的相关项目 Linux:采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/login.defs文件中相关配置参数,身份鉴别,身份鉴别,身份鉴别,要求:3.应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；条款理解要求系统应具有一定

43、的登录控制功能。可以通过适当的配置“帐户锁定策略”来对用户的登录进行限制。如帐户锁定阈值，帐户锁定时间等。测评实施Windows:本地安全策略-帐户策略-帐户锁定策略中的相关项目Linux:采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/pam.d/system-auth文件中相关配置参数,身份鉴别,身份鉴别,身份鉴别,要求:4.当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；条款理解为方便管理员进行管理操作，众多服务器采用了网络登录的方式进行远程管理操作，例如Linux可以使用telnet登录，Windows使用远程终端服务。基本要求

44、规定了这些传输的数据需要进行加密处理过，目的是为了保障帐户与口令的安全。测评实施Windows:确认操作系统版本 确认终端服务器使用了SSL加密 确认RDP客户端使用SSL加密,身份鉴别,Linux:在root权限下，使用命令more、cat或vi查看是否运行了sshd服务：service status-all|grep sshd 若未使用ssh方式进行远程管理，则查看是否使用了telnet方式进行远程管理：service status-all|grep running,身份鉴别,要求:5.应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。条款理解对于操作系统来说，用户

45、管理是操作系统应具备的基本功能。用户管理由创建用户和组以及定义它们的属性构成。用户的一个主要属性是如何对他们进行认证。用户是系统的主要代理。其属性控制他们的访问权、环境、如何对他们进行认证以及如何、何时、在哪里可以访问他们的帐户。因此，用户标识的唯一性至关重要。如果系统允许用户名相同，而UID不同，其唯一性标识为UID，如果系统允许UID相同，而用户名不同，其唯一性标识为用户名。,身份鉴别,测评实施Windows:“管理工具”-“计算机管理”-“本地用户和组”中的“用户”，检查其中的用户名是否出现重复。Linux:采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/pa

46、sswd文件中用户名信息,身份鉴别,要求:6.应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。条款理解对于三级以上的操作系统应使用两种或两种以上组合的鉴别技术实现用户身份鉴别，如密码和令牌的组合使用等。测评实施访谈系统管理员，询问系统除用户名口令外有无其他身份鉴别方法，如有没有令牌等。,访问控制,本项要求包括：应启用访问控制功能，依据安全策略控制用户对资源的访问；应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；应实现操作系统和数据库系统特权用户的权限分离；应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；应及时删除多余的、过

47、期的帐户，避免共享帐户的存在。应对重要信息资源设置敏感标记；应依据安全策略严格控制用户对有敏感标记重要信息资源的操作.,访问控制,要求:1.应启用访问控制功能，依据安全策略控制用户对资源的访问；,访问控制,测评实施,访问控制,访问控制,要求:2.应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；条款理解根据管理用户的角色对权限作出标准细致的划分，有利于各岗位细致协调的工作。仅授予管理用户所需的最小权限，避免出现权限的漏洞使一些高级用户拥有过大的权限。测评实施记录系统是否有完整的安全策略、系统主要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应

48、的角色。,访问控制,访问控制,要求:3.应实现操作系统和数据库系统特权用户的权限分离；条款理解操作系统特权用户可能拥有以下一些权限：安装和配置系统的硬件和软件、建立和管理用户帐户、升级软件、备份和恢复等业务，从而保证操作系统的可用性、完整性和安全性。数据库系统特权用户则更多是对数据库的安装、配置、升级和迁移以及数据库用户的管理，从而保证数据库系统的可用性、完整性和安全性。将操作系统和数据库系统特权用户的权限分离，能够避免一些特权用户拥有过大的权限以及减少一些人为的误操作，做到了职责明确。测评实施结合系统管理员的组成情况，判定是否实现了该项要求,访问控制,要求:4.应严格限制默认帐户的访问权限，

49、重命名系统默认帐户，修改这些帐户的默认口令；条款理解对于系统默认的用户名，由于它们的某些权限与实际系统的要求可能存在差异，从而造成安全隐患，因此这些默认用户名应禁用。对于匿名用户的访问原则上是禁止的，查看服务器操作系统，确认匿名/默认用户的访问权限已被禁用或者严格限制。依据服务器操作系统访问控制的安全策略，以未授权用户身份/角色测试访问客体，是否不允许进行访问。测评实施查看默认用户名是否重命名查看guest等默认账户是否已禁用,访问控制,要求:5.应及时删除多余的、过期的帐户，避免共享帐户的存在。条款理解对于系统默认的用户名，由于它们的某些权限与实际系统的要求可能存在差异，从而造成安全隐患，因

50、此这些默认用户名应禁用。对于匿名用户的访问原则上是禁止的，查看服务器操作系统，确认匿名/默认用户的访问权限已被禁用或者严格限制。依据服务器操作系统访问控制的安全策略，以未授权用户身份/角色测试访问客体，是否不允许进行访问。测评实施查看是否存在多余的、过期的帐户，避免共享帐户,访问控制,要求:6.应对重要信息资源设置敏感标记；要求:7.应依据安全策略严格控制用户对有敏感标记重要信息资源的操作.测评实施询问管理员是否对重要信息资源设置敏感标记询问或查看目前的敏感标记策略的相关设置，如：如何划分敏感标记分类，如何设定访问权限等,剩余信息保护,本项要求包括：应保证操作系统和数据库系统用户的鉴别信息所在