等保2.0-网络篇

等保2.0-网络篇

• 安全物理环境（物理机房要求）
  • 物理位置选择
    • 机房是否具备防震、防风、防雨等能力
      • 竣工验收报告
      • 天花板/窗台无漏水等现象
      • 有无窗台，有则是否封闭-防护措施
      • 墙体等有无开裂情况
    • 避免机房位于楼顶/地下室——如有注意防水/防潮
  • 物理访问控制
    • 出入口应安装电子门禁系统，控制进出人员
      • 安装安全电子门禁系统
      • 门禁系统正常运行，门禁系统可以鉴别、记录进出人员信息
  • 防盗窃和防破坏
    • 机房主要部件是否固定、是否标记不易去除
      • 机房内设备均放在机柜或者机架，并固定
      • 主要部件设置不宜去除标记。不能翘起
    • 通信线路线缆铺设在隐蔽安全处
      • 线槽/桥架里
    • 设置防盗报警装置或设置专人值守的视频监控系统
      • 配置
      • 正常
    • 将各种机柜、设施和设备等通过接地系统安全接地
      • 接地措施
    • 机房内设置防感应雷措施
      • 部署
      • 是否通过国家有关部门的技术检测
  • 防火
    • 机房部署火灾自动消防系统/自动检测火情/自动报警/自动灭火
      • 是否部署
      • 检测设备是否正常
    • 机房有关工作房间部署耐火等级的建筑材料
      • 是否部署 (金属栏杆不符合)
    • 机房内划分区域进行管理，区域之间设置隔离防火措施
      • 是否划分
      • 区域之间是否设置防火措施
  • 防水/防潮
    • 机房采取防雨水渗透的措施
      • 是否有相应措施
    • 机房内配备精密空调（防水蒸气结露）-漏水检测装置（防漏水监控报警）
      • 是否部署
    • 部署漏水检测
      • 检测/报警——正常
  • 防静电
    • 部署防静电地板/防静电措施
      • 是否部署防静电地板
      • 是否有防静电措施
    • 部署防静电设备
      • 是否部署
  • 温湿度控制
    • 部署专用空调，机房适宜温/湿度范围
      • 温度范围：18-27摄氏度
      • 湿度范围： 35-75%
  • 电力系统
    • 供电线路上配备稳压器、电压防护设备
      • 部署
      • 检测
    • 备用电力供应：配备不间断电源（UPS）等备用供电系统， 记录：是否有运行切换记录/维修维护记录
    • 部署冗余/并行的电力电缆线路为设备供电
  • 电磁防护
    • 电源和通信线缆隔离铺设
      • 通过桥架进行隔离
    • 对关键设备实施电磁屏蔽措施
• 安全通信网络（针对网络架构|通信传输）
  • 网络架构
    • 网络设备的承受能力-cpu/内存不得超过70%
    • 高峰期带宽-不得超过70%
      • 流量监管|流量整形策略
    • 网络区域划分，方便管理员管理
    • 重要网络区域不可部署在边界，区域与区域之间需要部署隔离设备
    • 线路、网络设备采用硬件冗余机制（双机-双路）
  • 通信传输
    • 保证数据的完整性
    • 保证数据的保密性
  • 可信验证
    • 基于可信根
• 安全区域边界
  • 边界防护
    • 受控接口
      • 查看拓扑图与实际网络的情况、接口
      • 通过命令查询接口、vlan信息/路由信息
      • 通过网络管理系统的自动拓扑发现功能、监控是否存在非授权的接口，探索无线网络的情况（有无非授权wifi）
    • 内网中的非授权的限制
      • （访谈管理员），使用什么技术限制非授权设备/接口
        • 关闭非使用的端口，命令：Interface FastEthernet0/1 shutdown
      • 网络中是否部署终端管理系统（开启）
      • ip地址/mac地址绑定
    • 内网用户接入外网限制
      • 网络中部署终端管理系统/外联管控系统
      • 是否启用相应策略，限制各种非法动作
    • 限制无线网络使用，通过管理系统接入内网网络
      • 约谈管理员，无线网部署情况，） 无线网通过接入网管-防火墙接入有线网络，
      • 一个信道、wap2、密码复杂要求：8位以上（数字、字母、大小写、特殊字符组成）
      • 非授权无线网络管控措施
  • 访问控制（acl）
    • 网络区域间部署网闸，其他设备提供acl功能
      • 边界部署访问控制设备（是否开启）
      • 白名单
      • 访问控制策略是与实际进出口对应
    • 删除、优化网络中acl策略，最小化策略数
      • 访谈管理员，访问控制策略与实际是否一致
      • 全局配置中策略是否过大限制范围，
    • 策略（检查）中包含源/目（地址、端口）协议。（允许、拒绝）（进、出）
    • 根据会话状态信息为进出数据流-（明确）
    • 进出网络-数据（基于应用协议和应用内容）
      • 关键节点部署控制设备
        • 限制应用协议（ftp、web）应用（qq、优酷）
  • 入侵防范
    • 对关键业务进行定期检查攻击行为
    • 对关键业务进行分析
    • 记录日志：攻击行为
  • 恶意代码和垃圾邮件防范
    • 在关键网络节点进行恶意代码检测
      • 约谈管理员是否部署恶意代码产品、是否开启。产品里面是否有阻断信息
      • 约谈管理员 特征库升级（升级方式、最新库）
      • 验证相关系统/设备的安全策略
    • 在关键网络节点进行垃圾邮件防范
      • 关键网络间是否部署防垃圾邮件设备/系统，运行是否正常（防垃圾邮件规则库是最新）
      • 验证相关系统/设备的安全策略
  • 安全审计
    • 网络边界、重要网络节点进行安全审计-覆盖到每个用户
      • 是否部署综合安全审计系统或类似功能的系统平台
      • 覆盖到每个用户，记录中包含：重要的用户和重要安全事件
    • 审计记录
      • 网络设备中都自带审计功能
        • 审计记录包含了事件的日期和时间、用户、事件类型、事件是否成功等信息
    • 审计记录定期备份
      • 检查是否对审计记录进行保护
        • 审计系统开启了日志外发功能，日志转发至日志服务器
      • 检查审计记录的机制/策略
        • 审计记录存储超过6个月以上
    • 对远程访问用户进行审计和数据分析
      • 在网络边界处的审计系统对远程访问的用户行为进行了审计,审计系统对访问互联网的行为进行了单独的审计
  • 可信验证
    • 对网络中的设备进行(包括系统引导程序、系统程序、相关应用程序和重要配置参数)的完整性验证
      • 网络设备是否有具有可信根芯片或硬件
      • 启动过程基于可信根对(包括系统引导程序、系统程序、相关应用程序和重要配置参数)进行可信验证度量
      • 在检测受到破环，进行警告，验证结果形成审计记录送至安全管理中心
      • 安全管理中心可以接收审计记录
• 安全计算环境
  • 身份鉴别
    • 登录用户的要求：
      • 用户在登陆采用身份鉴别措施、
        • 口令措施对登录用户进行身份标识和鉴别
      • 查用户列表、测试用户身份标识具备唯一性
        • 登录失败：有提示提示失败
      • 用户配置中，不存在口口令用户
        • 配置中查看
      • 用户密码复杂性，定期更换
    • 登录失败处理能力、结束会话、限制非法登录次数、登录超时自动退出，登录过程中别被窃取
      • 检测部署堡垒机，核查登录失败功能、如没部署堡垒机，则默认登录失败3次退出登录界面
      • 配置/启用了限制非法登录达到一定次数后实现账户锁定功能
      • 配置/启用远程登录超时并自动退出
    • 远程管理，防止数据传输过程中被窃听
      • 采用加密等安全方式对系统进行远程管理
    • 采用二种以上的鉴别技术
      • 初口令之外，在采用一次鉴别机制
  • 访问控制
    • 根据用户的职责分配账户/权限
      • 访谈（网络、安全、系统）管理员-核查用户账户和权限设置情况
      • 禁用/限制匿名、默认账户的访问权限
    • 删除/停用多余等账户
      • 删除默认账户/口令
      • Cisco路由器不存在默认账户cisco. Cisco 华为H3C交换机不存在默认账户admin, huawei
      • 配置中，看用户权限信息是否与实际对应
    • 根据用户的职责分配最小权限，实现管理权限分离
      • 角色划分
      • 针对用户的访问控制策略
      • 最小权限（用户-最小账户权限）
  • 安全审计
    • 启用审计功能
      • 在网络上配置syslog服务器，并将日志信息发送到日志服务器
      • 安全审计范围覆盖每个用户
      • 对重要的用户行动/安全事件进行审计
    • 审计记录
      • 日志信息中包含事件的日期和时间用户、事件类型、事件是否成功及其他与审计相关的信息
    • 对审计记录进行保护
      • 网络设备的日志信息定期转发至日志服务器，日志服务器上可查看到半年前的审计记录
    • 对审计过程进行保护
      • 非审计员的其他账户来不能中断审计进程
  • 入侵检测
    • 应关闭不需要的系统服务、默认开启的接口
      • 访谈管理员，最近是否发生变化。（配置）
    • 终端接入方式/网络地址范围对网络进行管理的管理终端进行限制
      • 配置中查看或堡垒机
    • 实时检测网络设备是否存在已知漏洞/充分测试评估后，及时修补
  • 可信验证
    • 设备应作为通信设备或边界设备对待