等保測評網絡設備加固

控制點	安全要求	要求解讀	測評方法	預期結果或主要證據
邊界防護	a)應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信	為了保障數據通過受控邊界，應明確網絡邊界設備，並明確邊界設備物理端口，網絡外連鏈路僅能通過指定的設備端口進行數據通信	1)應核查網絡拓撲圖與實際的網絡鏈路是否一致，是否明確了網絡邊界，且明確邊界設備端口。  2)應核查路由配置信息及邊界設備配置信息，確認是否指定物理端口進行跨越邊界的網絡通信。 以Cisco I0S為例，輸入命令“router#show running - config”，查看相關配置。 3)應采用其他技術手段核查是否不存在其他未受控端口進行跨越邊界的網絡通信,例如檢測無線訪問情況，可使用無線嗅探器、無線入侵檢測/防御系統、手持式無線信號檢測系統等相關工具進行檢測	1)查看網絡拓撲圖，並比對實際的網絡鏈路，確認網絡邊界設備及鏈路接入端口無誤 2)通過相關命令顯示設備端口、Vlan信息 interface       IP-Address    0K? Method    Status    Protocol FastEehernet0/0 192.168.11.1 YES manual      up          up FastEehernet0/1 192.168.12.1 YES manual      up          up Vlan1            unassigned  YES manual      down       down                              (administratively ) 顯示路由信息IP route 0.0.0.0 0.0.0.0.192.168.12 3)通過網絡管理系統的自動拓撲發現功能，監控是否存在非授權的網絡出口鏈路;通過無線嗅探器排查無線網絡的使用情況，確認無非授權WiFi
	b)應能夠對非授權設備私自聯到內部網絡的行為進行檢查或限制	設備的“非授權接入”可能會破壞原有的邊界設計策略，可以采用技術手段和管理措施對“非授權接入”行為進行檢查。技術手段包括部署內網安全管理系統，關閉網絡設備未使用的端口，綁定IP/MAC地址等	1)應訪談網絡管理員，詢問采用何種技術手段或管理措施對非授權設備私自聯到內部網絡的行為進行管控，並在網絡管理員的配合下驗證其有效性 2)應核查所有路由器和交換機等設備閑置端口是否均已關閉。 以Cisco I0S為例，輸入命令"show ip interfaces brief” 3)如通過部署內網安全管理系統實現系統准入，應檢查各終端設備是否統一進行了部署，是否存在不可控特殊權限接入設備 4）如果采用了IP/MAC地址綁定的方式進行准入控制，應核查接入層網絡設備是否配置了IP/MAC地址綁定等措施 以Cisco I0S為例，輸入命令"show ip arp”	1)非使用的端口均已關閉， 查看設備配置中是否存在如下類似配置： Interface FastEthernet0/1 shutdown 2)網絡中部署的終端管理系統已啟用，且各終端設備均已有效部署，無特權設備 3)IP/MAC地址綁定結果，查看設備配置中是否存在如下類似配置： arp 10.10.10.1 0000.e268.9890 arpa
	c)應能夠對內部用戶非授權連到外部網絡的行為進行檢查或限制	內網用戶設備上的外部連接端口的“非授權外聯“行為也可能破壞原有的過界設計策略，可以通成內網安全管理系統的非授權外聯管控功能或者防非法外聯系統實現“非授權外聯”行為的控制，由於內網安全管理系統可實現包括非授權外連管控在內的眾多的管理功能，建議c采用該項措施。通過對用戶非授權建立網絡連接訪問非可信網絡的行為進行管控，從而減少安全風險的引入	1)應核查是否采用內網安全管理系統或其它技術手段，對內部用戶非授權連接到外部網絡的行為進行限制或檢查 2)應核查是否限制終端設備相關端口的使用，如禁用雙網卡、USB接口、Modem、無線網絡等，防止內部用戶非授權外連行為	1)網絡中部署有終端安全管理系統，或非授權外聯管控系統 2)網絡中各類型終端設備均已正確部署了終端安全管理系統或外聯管控系統，並啟用了相關策略，如禁止更改網絡配置，禁用雙網卡、USB接口.、Mode、無線網絡等
	a)應限制無線網絡的使用，保證無線網絡通過受控的邊界設備接入內部網絡	為了防止未經授權的無線網絡接入行為，無線網絡應單獨組網並通過無線接入網關等受控的邊界防護設備接入到內部有線網絡。同時，應部署無線網絡管控措施，對分非授權無線網絡進行檢測、屏蔽	1)應訪談網絡管理員是否有授權的無線網絡，是否單獨組網后接入到有線網絡 2)應核查無線網絡部署方式，是否部署無線接入網關，無線網絡控制器等設備。應檢查該類型設備配置是否合理，如無線網絡設備信道使用是否合理，用戶口令是否具備足夠強度、 是否使用WPA2加密方式等 3)應核查網絡中是否部署了對非授權無線設備管控措施，能夠對非授權無線設備進行檢查、屏蔽。如使用無線嗅探器、無線入侵檢測/防御系統、手持式無線信號檢測系統等相關工具進行檢測、限制	1)授權的無限網絡通過無線接入網管，並通過防火牆等訪問控制設備接入到有限網絡。無線網絡使用了1信道，防止設備間互相干擾;使用WPA2進行加密;且用戶密碼具備復雜度要求，如:口令長度8位以上，由數字、字母、大小寫及特殊字符組成 2)通過無線嗅探器未發現非授權無線設備
訪問控制	a)應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控接口拒絕所有通信	應在網絡邊界或區域之間部署網閘，防火牆、路由器、交換機和無線接入網關等提供訪問控制功能的設備或相關組件，想據訪問控制策略設置有效的訪問控制規則，訪問控制規測采用白名單機制	1)應核查在網絡邊界或區域之間是否部署訪問控制設備，是否啟用訪問控制策略 2)應核查設備的訪問控制策略是否為白名單機制，僅允許授權的用戶訪問網絡資源，禁止其他所有的網絡訪問行為 3)應該檢查配置的訪問控制策略是否實際應用到相應的接口的進或出方向。 以Cisco I0S為例，輸入命令""Show running-config"，檢查配置文件中訪問控制策略	設備訪問控制策略具體如下： access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.10 eq 3389 access-list 100 permit tcp 192.168.1.0 0.0.0. 255 host 192.168.3.11 eq 3389 access-list 100 deny ip any any interface Gigabi tEthernet1/1 ip access-group 100 in
	b)應刪除多余或無效的訪問控制規則，優化訪問控制列表，並保證訪問控制規則數量最小化	根據實際業務需求配置訪問控制策略，僅開放業務必須的端口，禁止配置全通策略，保證邊界訪問控制設備安全策略的有效性。不同訪問控制策略之間的邏輯關系應合理，訪問控制策略之間不存在相互沖突，重疊或包含的情況;同時，應保障訪問控制規則數量最小化。	1)應訪談安全管理員訪問控制策略配置情況,核查相關安全設備的訪問控制策略與業務及管理需求的一致性，結合策略命中數分析策略是否有效  2)應檢查訪問控制策略中是否已禁止了全通策略或端口、地址限制范圍過大的策略。  3)應核查設備的不同訪問控制策略之間的邏輯關系是否合理。 以Cisco IOS為例，輸入命令”show running-config“,檢查配置文件中訪問控制列表配置項	1)訪問控制需求與策略保持一致 2)應合理配置訪問控制策略的優先級，如 access-list 100 permit tcp 192.168 0.0.0.0.255.255 host 192.168.3.10 access-list 100 deny tcp 192. 168.1.0 0.0. 0.255 host 192.168.3.10 上述訪問控制策略排列順序不合理,第二條策略應在前面,否則不能被命中 3)應禁用全通策略，如access-list 100 permit tcp any host any eq any 4)應合並相互包含的策略，如: access-list 100 permit tcp 192.168.0.0.0.0.255.255 host 192.168.3.10 access-list 100 permit tcp  192.168.1.0.0.0.255.255 host 192.168.3.10 第二條策略不起作用，可直接刪除
	c)應對源地址、目的地址，源端口、目的端口和協議等進行檢查，以允許/拒絕數數據包進出	應對網絡中網閘、防火牆、路由器、交換機和無線接入網關等提供訪問控制功能的設備或相關組件進行檢查，訪問控制策略應明確源地址、目的地址, 源端口、目的端口和協議，以允許/拒絕數據包進出	應核查設備中訪問控制策略是否明確設定了源地址、目的地址、源端口、目的端只和協議等相關配置參數。 以Ciso IOS為例 拒絕所有從172.16.4.0到172.16.3.0的ftp通信流量通過F0/0接口，輸入命令：”show running-config“,檢查配置文件中訪問控制列表配置項	檢查配置文件中是否存在類似如下配置項： access-list 101 deny tcp 172.16.4.0.0.0.0.255 172.16.3.0.0.0.0.255 eq 21 access-list 101 permit ip any any interface fastetnernet0/0 ip access-group101 out
	d)應能根據會話狀態信息為進出數據流提供明確的允許/拒絕訪問的能力	防火牆能夠根據數據包的源地址、目標地址、協議類型、源端口、目標端口等對數據包進行控制，而且能夠記錄通過防火牆的連接狀態，直接對包里的數據進行處理。防火牆還應具有完備的狀態檢測表來追蹤連接會話狀態，並結合前后數據包的關系進行綜合判斷，然后決定是否允許該數據包通過，通過連接狀態進行更迅速更安全地過濾	應核查狀態檢測防火牆訪問控制策略中是否明確設定了源地址、目的地址、源端口、目的端口和協議 以Cisco IOS為例，輸入命令: show running0-config.	檢查配置文件中應當存在類似如下配置項: access-list 101 permit tcp 192.168.2.0.0.0.0.255 host 192.168.3.100 eq 21 access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.10 eq 80 access-list 101 deny ip any any
	e)應對進出網絡的數據流實現基於應用協議和應用內容的訪問控制	在網絡邊界采用下-代防火牆或相關安全組件,實現基於應用協議和應用內容的訪問控制	1)應核查在關鍵網絡節點處是否部署訪問控制設備 2)應檢查訪問控制設備是否配置了相關策略，對應用協議、應用內容進行訪問控制，並對策略有效性進行測試	防火牆配置應用訪問控制策略，從應用協議、應用內容進行訪問控制，對QQ聊天工具、優酷視頻以及各、Web服務、FTP服務等進行管控
入侵防范	a)應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為	要維護系統安全，必須進行主動監視，以檢查是否發生了入侵和攻擊。監視入侵和安全事件既包括被動任務也也包括主動任務。很多入侵都是在發生攻擊之后，通過檢查日志文件才檢測到的。這種攻擊之后的檢測通常被稱為被動入侵檢測;只有通過檢查日志文件，攻擊才得以根據日志信息進行復查和再現。其他入侵嘗試可以在攻擊發生的同時檢測到，這種方法稱為”主動“入侵檢測，它會查找已知的攻擊模式或命令，並阻止這些命令的執行。 完整的入侵防范應首先實現對事件的特征分析功能，以發現潛在的攻擊行為，應能發現目前主流的各種攻擊行為，如端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等。 目前對入侵防范的實現主要是通過在網絡邊界部署包含入侵防范功能的安全設備，如抗APT攻擊系統、網絡回溯系統、威脅情報檢測系統、抗DDoS攻擊系統、入侵檢測系統(IDS)，入侵防御系統(IPS)、 包含入侵防范模塊的多功能安全網關(UTM)等。 為了有效檢測，防止或限制從外部發起的網絡攻擊行為，應在網絡邊界、核心等關鍵網絡節點處部署IPS等系統，或在防火牆、UTM啟用入侵防護功能	1)應核查相關系統或設備是否能夠檢測從外部發起的網絡玫擊行為 2)應核查相關系統或設備的規則庫版本是否已經更新到最新版本 3)應核查相關系統或設備配置信息或安全策略是否能夠覆蓋網絡所有關鍵節點 4) 應測試驗證相關系統或設備的安全策略是否有效	1)相關系統或設備有檢測到外部發起攻擊行為的信息; 2)相關系統或設備的規則庫進行了更新，更新時間與測評時間較為接近 3)配置信息、安全策略中制定的規則覆蓋系統關鍵節點的IP地址等 4)監測到的攻擊日志信息與安全第略相符
	b)應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡政擊行為	為了有效檢測、防止或限制從內部發起的網絡攻擊行為，應在網絡邊界、核心等關鍵網絡節點處部署IPS等系統，或在防火牆、UTM啟用入侵防護功能	1)應核查相關系統或設備是否能夠檢測到從內部發起的網絡攻擊行為 2)應核查相關系統或設備的規則庫版本是否已經更新到最新版本 3)應核查相關系統或設備配置信息或安全策略是否能夠覆蓋網絡所有關鍵節點 4)應測試驗證相關系統或設備的安全策略是否有效	1)相關系統或設備有檢測到外部發起攻擊行為的信息; 2)相關系統或設備的規則庫進行了更新，更新時間與測評時間較為接近 3)配置信息、安全策略中制定的規則覆蓋系統關鍵節點的IP地址等 4)監測到的攻擊日志信息與安全策略相符的
	c)應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡政擊行為	為了有效檢測、防止或限制從內部發起的網絡功擊行為，應在網絡邊界、核心等關鍵網絡節點處部署IPS等系統，或在防火牆， UTM啟用入侵防護功能	1)應核查相關系統或設備是否能夠檢測到從內部發起的網絡攻擊行為 2)應核查相關系統或設備的規則庫版本是否已經更新到最新版本 3)應核查相關系統或設備配置信息或安全策略是否能夠覆蓋網絡所有關鍵節點 4)應測試驗證相關系統或設備的安全策略是否有效	1)相關系統或設備有檢測到內部發起攻擊行為的信息 2)相關系統或設備的規則庫進行了更新，更新時間與測評時間較為接近 3)配置信息、安全策略中制定的規則覆蓋系統關鍵節點的IP地址等 4)監測到的攻擊日志信息與安全策略相符
	d)應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻擊行為的分析	部署網絡回溯系統或抗APT攻擊系統等實現對新型網絡攻擊行為進行檢測和分析	1)應核查是否部署回溯系統或抗APT攻擊系統，實現對新型網絡攻擊行為進行檢測和分析 2)應核查相關系統或設備的的規則庫版本是否已經更新到最新版本 3)應測試驗證是否對網絡行為進行分析，實現對網絡攻擊特別是未知的新型網絡攻擊的檢測和分析	1)系統內部署網絡回溯系統或抗APT攻擊系統，系統內包含對新型網絡攻擊的檢測和分析功能 2)網絡回溯系統或抗APT攻擊系統的規則庫進行了更新，更新時間與測評時間較為接近 3)經測試驗證系統可對網絡行為進行分析，且能夠對未知新型網絡攻擊檢測和分析
	e)當檢測到攻擊行為時，記錄攻擊源P、攻擊類型、攻擊目標、攻擊時間，在發生嚴重入侵事件時應提供報警。	為了保證系統受到攻擊時能夠及時准確的記錄攻擊行為並進行安全應急響應，當檢測到攻擊行為時，應對攻擊源IP、 攻擊類型、攻擊目標和攻擊時間等信息進行日志記錄。通過這些日志記錄，可以對攻擊行為進行審計分析。當發生嚴重入侵事件時，應能夠及時向有關人員報警，報警方式包括短信、郵件等。	1)訪談網絡管理員和查看網絡拓撲結構，查看在網絡邊界處是否部署了包含入侵防范功能的設備。如果部署了相應設備，則檢查設備的日志記錄,查看是否記錄了攻擊源IP、攻擊類型、攻擊目的和攻擊時間等信息，查看設備采用何種方式進行報警 2)應測試驗證相關系統或設備的報警策略是否有效	1)相關具有入侵防范功能的設備日志記錄了攻擊源IP、攻擊類型、攻擊目標、攻擊時間等信息 2)設備的報警功能已開啟且處於正常使用狀態
惡意代碼和垃圾郵件防范	a)應在關鍵網絡節點處對惡意代碼進行檢測和清除,並維護惡意代碼防護機制的升級和更新	計算機病毒、木馬和蠕蟲的泛濫使得防范惡意代碼的破壞顯得尤為重要。惡意代碼是指懷有惡意目的可執行程序。目前惡意代碼主要都是通過網頁、郵件等網絡載體進行傳播。因此在網絡邊界處部署防惡意代碼產品進行惡意代碼防范是最為直接和高效的辦法。 防惡意代碼產品目前生要包括防病毒網關，包含防病毒模塊的多功能安全網關等產品。其至少應具備的功能包括:對惡意代碼的分析檢查能力，對惡意代碼的清除或阻斷能力，以及發現惡意代碼后記錄日志和審計，並包含對惡意代碼特征庫的升級和檢測系統的更新能力。 惡意代碼具有特征變化快的特點。因此對於惡意代碼檢測重要的特征庫更新，以及監測系統自身的更新，都非常重要。 產品應具備通過多種方式實現惡意代碼特征庫和檢測系統更新的能力。如自動遠程更新，手動選程更新， 手動本地更新等方	1)應訪談網絡管理員和檢查網絡拓結構，查看在網絡邊界處是否部署了防惡意代碼產品。如果部署了相關產品，則查看是否啟用了惡意代碼檢測並查看白志記錄中是否有相關阻斷信息 2)應訪談網絡管理員，是否對防惡意代碼產品的特征庫進升級及具體的升級方式，並登錄相應的防惡意代碼產品，核查其特征庫升級情況，當前是否為最新版本 3)應測試驗證相關系統或設備的安全策略是否有效	1)在網絡邊界處及部署防惡意代碼產品或組件，防惡意代碼的功能正常開啟且具有對惡意代碼檢測和清除的功能 2)防惡意代碼的特征庫進行了開級，且升級時間與測評時間較為接近
	b)應在關鍵網絡節點處對垃圾郵件進行檢測和防護並維護垃圾郵件防護機制的升級和更新	垃圾郵件是指電子郵件使用者事先未提出要求或同意接收的電子郵件,應部署相應設備或系統對垃圾郵件進行識別和處理，包括部署透明的防垃圾郵件網關。基於轉發的防垃圾郵件系統、安裝於郵件服務器的防垃圾郵件軟件，以及與郵件服務器一體的防垃圾郵件的郵件服務器等，並保證規則庫已經更新到最新	1)應核查在關鍵網絡節點處是否部署了防垃圾郵件設備或系統    2)應核查防垃圾郵件產品運行是否正常，防垃投郵件規則庫是否已經更新到最新。 3)應測試驗證相關系統或設備的安全策略是否有效	1）在網絡關鍵節點處部署了防垃投郵件設備的產品或組件，防垃級郵件設備的功能正常開啟 2)防垃報郵件防護機制的進行了升級和更新，且升級時間與測評時間較為接近 3)測試結果顯示系統或設備能夠對垃圾郵件成功的阻斷
安全審計	a)應在網絡邊界、重要網絡節點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計	為了對重要用戶行為和重要安全事件進行審計,需要在網絡邊界部署相關系統，啟用重要網絡節點日志功能，將系統日志信息輸出至各種管理端口、內部緩存或者日志服務器	1)核查是否部署了綜合安全審計系統或類似功能的系統平台 2)核查安全審計范圍是否覆蓋到每個用戶並對重要的用戶行為和重要安全事件進行了審計	1)在網絡邊界處、重要網絡節點處部界了審計設備 2）審計的范圍能夠覆蓋到每個用戶，且審計記錄包合了重要的用戶行為和重要安全事件
	b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息	審計記錄包含內容是否全面將直接影響審計的有效性，網絡邊界處和重要網絡節點的日志審計內容應記錄事件的時間、類型、用戶、事件類型、事件是否成功等必要信息	核查審計記錄信意是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。 -般來說，對於主流路由器和交換機設備，可以實現對系統錯誤、網絡和接口的變化、登錄失敗、ACL匹配等進行審計，審計內容向括了時間、類型、用戶等相關信息。因此，只要這些路由器和交換機設備啟用審計功能就能符合該項要求。但對於防火牆等安全設備來說，由於其訪同控制策略命中日志需要手動啟用，因此應重點核查其訪問控制策命中日志是否啟用	審計記錄包含了事件的日期和時間、用戶、事件類型、事件是否成功等信息
	c)應對審計記錄進行保護，定期備份，避免受到未預期的刪除 、修改或覆蓋	審計記錄能夠幫助管理人員及時發現系統運行狀況和網絡攻擊行為，因此需要對審計記錄實施技術上和管理上的保護，防止未授權修改、刪除和破壞。可以設置專門的日志服務器來接收設備發送出的報警信息。非授權用戶(審計員除外)無權刪除本地和日志服務器上的審計記錄	1)核查是否采取了技術措施對審計記錄進行保護 2)核查審計記錄的備份機制和備份策略是否合理	1)審計系統開啟了日志外發功能，日志轉發至日志服務器 2)審計記錄存儲超過6個月以上
	d) 應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析	對於遠程訪問用戶，應在相關設備上提供用戶認證功能。通過配置用戶、用戶組，並結合訪問控制規則可以實現對認證成功的用戶允許訪問受控資源。此外，還需對內部用戶訪問互聯網的行為進行審計分析	核查是否對遠程訪問用戶及互聯風訪問用戶行為單獨進行審計分析，並核查審計分析的記錄是否包含了用於管理遠程訪同行為、訪問互聯網用戶行為必要的信息	在網絡邊界處的審計系統對遠程訪問的用戶行為進行了審計,審計系統對訪問互聯網的行為進行了單獨的審計
可信驗證	可甚於可信根對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進行可信驗證，並在應用程序的關鍵執行環節進行動態可信驗證，在檢測到其可信性受到破壞后進行報警，並將驗證結果形成審計記錄送至安全管理中心	邊界設備可能包括網閘、防火牆、交換機、路由器或其他邊界防護設備等，通過設備的啟動過程和運行過程中對預裝軟件(包括系統引導程序、系統程序、相關應用程序和重要配置參數)的完整性驗證或檢測，確保對系統引導程序、系統程序、重要配置參數和關鍵應用程序的篡改行為能被發現，並報警便於后續的處置動作	1)應核查是否基於可信根對設備的系統引導程序、系統程序、重要配置參數和關鍵應用程序等進行可信驗證 2)應核查是否應用程序的關鍵執行環節進行動態可信驗證3)應測試驗證當檢測到設備的可信性受到破壞后是否進行報警 4)應測試驗證結果是否以審計記錄形式送至安全管理中心 (3.6)	1)邊界設備（網閘、防火牆、交換機、路由器或其他邊界防護設備）具有可信根芯片或硬件 2)啟動過程基於可信根對系統引導程序、系統程序、重要配置參數和關鍵應用程序等進行可信驗證度量 3)在檢測到其可信性受到破壞后進行報警，並將驗證結果形成審計記錄送至安全管理中心 4) 安全管理中心可以接收設備的驗證結果記錄 (3.6)