网络安全等保三级培训材料.docxVIP

网络安全培训材料 1、测试环境 路由器、交换机、防火墙 2、测试说明 网络安全测评共有7步，分别是结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护，如下是步骤详解。 3、测试步骤 3.1 三级等保要求 3.1.1 结构安全 应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。 检查方法和判断标准： 询问网络管理员，主要网络设备的性能及业务高峰期流量，性能指的是网络设备中的CPU、内存等资源的占用是否合理，是否具备冗余空间，一般来说CPU、内存占用率不超过30%，未发生业务高峰流量瓶颈事件，则符合。 主要网络设备是指：核心交换机、汇聚层交换机、核心到互联网出口的设备 核心网络设备：核心交换机、互联网边界网络设备（看业务需求） 应保证网络各个部分的带宽满足业务高峰期需要。 检查方法和判断标准： 确认内部的网络带宽，一般是千兆以上，大网络可能是万兆，主要网络设备间可能是光纤万兆接口。 外部出口带宽：无论出口带宽多少，建议保持在80%一下，或看实际业务需求对出口带宽做单独要求（如学校开学期间数据流陡增，日常出口流量建议在50%左右）。 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径。 检查方法和判断标准： 主要查看网络设备中的路由控制是否建立了安全的访问路径，也就是说在网络设备中应配置路由认证功能，则算符合；如果网络设备中未配置此功能，则不符合。 或直接采用静态路由指向。 应绘制与当前运行情况相符的网络拓扑结构图。 检测方法和判断标准： 询问网络管理员，检查网络拓扑图，查看其与当前运行的网络情况是否一致。 应绘制与当前运行情况相符合的网络拓扑结构图，当网络拓扑结构发生改变时，应及时更新，则算符合；其他一律不符合。 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。 检查方法和判断标准： 应在主要网络设备上进行VLAN划分或者子网划分，不同VLAN内的报文在传输时是相互隔离的。如果不同VLAN要进行通信，则需要通过路由器或者三层交换机等三层设备实现。 网络设备上划分VLAN，并且为各子网分配了地址段，则算符合，如下图: 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段。 检查方法和判断标准： 检查网络拓扑图，查看是否将重要网段部署在网络边界处，重要网段和其他网段之间是否配置安全策略进行访问控制。 如网络内部有对外的应用，是否单独划分DMZ区？DMZ区和网络设备交互之间是否有安全设备进行防护； 是否在服务器区/数据存储区/数据库区到网络设备直接有安全隔离设备进行访问控制和安全防护，建议做白名单的控制形式。 应按照对业务服务的重要次序来指定带宽分配优先级，保证在网络发生拥堵的时候优先保护重要主机。 检测方法和判断标准： 出口部署有流控设备，做了流量控制的配置，如整体出口带宽有100M，单独划分10M给官方网站，防止因其他业务导致出口带宽占满官方网站无法对外提供服务。 上网行为管理设备可以对内部的业务数据进行优先级排序，保证重要业务数据处理的优先级。 如果上诉两种都没有，不符合，如有一种，部分符合，存在两种算符合（看具体应用，如无重要业务系统，存在一种也算符合）。 3.1.2访问控制 应在网络边界部署访问控制设备，启用访问控制功能。 检测方法和判断标准： 访问控制设备：汇聚、核心交换机、防火墙、堡垒机、VPN等 在看各类设备上是否有访问控制功能，如做acl或黑、白名单的配置，如有，符合，如网络设备仅配置网络互通或未启用acl，安全设备对任意流量直接放行，不符合 下图是交换机访问控制策略配置：表示网段与网段之间不能互相访问。 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 检测方法和判断标准： 内部配置的访问控制列表应有明确的源/目的地址、源/目的、协议及服务等。如网络设备/安全设备控制列表有明确的拒绝/允许功能，算部分符合，如控制粒度达到端口级，则算符合。 下图表示交换机中配置基于端口级的访问控制策略。网段内的主机均能访问00主机的80端口，其余网段均拒绝访问。 应对进出网络的信息内容进行过滤，实现对应用层HTTP，FTP，TELNET，SMTP，POP3等协议命令级的控制。 检测方法和判断标准： 对访问控制策略加上基于协议的过滤，在网络设备或安全设备上做； 在安全设备上对基于协议的请求做不同类型的需求过滤，如http的post和get请求的区分对待，如在入侵检测设备进行配置。 如满足1，算部分符合，如，满足1、2或2，算符合。 应在会话处于非活跃一定时间或会话结束后终止网络连接。 检查方法和判断标准： 一般来说