等級保護 2.0 測評范圍和內容分別是什么

貫徹落實等級保護2.0是關鍵基礎設施運營單位義不容辭的義務，未落實等保的單位將面臨被有關部門責令整改、行政處罰、暫停注冊、暫停運營等處罰。等保測評是開展網絡安全等級保護工作、落實網絡安全等級保護制度的核心部分，網絡運營者在系統建設完成時（或三級系統正式上線運營前），需選擇符合規定條件的測評機構定期進行等級測評工作（**目前全國推薦等保測評機構共有198家**）。

測評機構在開展等級測評工作中需根據網絡運營者定級情況開展測評工作，流程主要如下：

測評相關方之間的溝通與洽談應貫穿整個網絡安全等級保護測評工作，等保測評過程的四個基本測評活動分別為：測評準備活動、方案編制活動、現場測評活動、報告編制活動。主要工作方法包括訪談、文檔審查、配置檢查、工具測試和實地察看。

測評過程中重點依據是《信息系統安全等級保護基本要求》、《信息系統安全等級保護測評要求》等相關規定標準來進行，基本要求中網絡安全的控制點與要求項各級分布：

檢查范圍（例子）

被測單位劃分了5個區域。

在內部接入域和外網接入域的路由器配置一樣，所以只用選一臺，同理，入侵防御IPS也只用一臺，防火墻一臺即可。

可以看到在抽取設備的時候不用每個設備都抽取，但是所有內容都有覆蓋。

檢查內容（以三級為例）

按照基本要求中結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護7個控制點33個要求項進行檢查。

一、結構安全（7項）

結構安全是網絡安全測評檢查的重點，網絡結構是否合理直接關系到信息系統的整體安全。

條款解讀

a）應保證主要網絡設備的業務處理能力具備冗余空間，滿足業務高峰期需要；（CPU占用，內存和硬盤存儲空間）

◆ 條款理解

為了保證信息系統的高可用性，主要網絡設備的業務處理能力應具備冗余空間。

◆ 檢查方法

訪談網絡管理員，詢問主要網絡設備的性能及業務高峰流量。

訪談網絡管理員，詢問采用何種手段對網絡設備進行監控。

b）應保證網絡各個部分的帶寬滿足業務高峰期需要；

◆ 條款理解

對網絡各個部分進行分配帶寬，從而保證在業務高峰期業務服務的連續性。

◆ 檢查方法

詢問當前網絡各部分的帶寬是否滿足業務高峰需要。

如果無法滿足業務高峰期需要，則需進行帶寬分配。檢查主要網絡設備是否進行帶寬分配。

c）應在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑；

◆ 條款理解

靜態路由是指由網絡管理員手工配置的路由信息。動態路由是指路由器能夠自動地建立自己的路由表。

路由器之間的路由信息交換是基于路由協議實現的，如OSPF路由協議是一種典型的鏈路狀態的路由協議。

如果使用動態路由協議應配置使用路由協議認證功能，保證網絡路由安全。

◆ 檢查方法

檢查邊界設備和主要網絡設備，查看是否進行了路由控制建立安全的訪問路徑。

以CISCO IOS為例，輸入命令：show running-config檢查配置文件中應當存在類似如下配置項：

• ip route 192.168.1.0 255.255.255.0 192.168.1.193（靜態）
• router ospf 100（動態）
• ip ospf message-digest-key I md5 7 XXXXXX（認證碼）

d）應繪制與當前運行情況相符的網絡拓撲結構圖；

◆ 條款理解

為了便于網絡管理，應繪制與當前運行情況相符的網絡拓撲結構圖。當網絡拓撲結構發生改變時，應及時更新。

◆ 檢查方法

檢查網絡拓撲圖，查看其與當前運行情況是否一致。

e）應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段；

◆ 條款理解

根據實際情況和區域安全防護要求，應在主要網絡設備上進行VLAN劃分或子網劃分。

不同VLAN內的報文在傳輸時是相互隔離的。如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備實現。

◆ 檢查方法

訪談網絡管理員，是否依據部門的工作職能、重要性和應用系統的級別劃分了不同的VLAN或子網。

以CISCO IOS為例，輸入命令：show vlan檢查配置文件中應當存在類似如下配置項：

• vlan 2 name info
• int e0/2
• vlan-membership static 2

f）應避免將重要網段部署在網絡邊界處且直接連接外部信息系統，重要網段與其他網段之間采取可靠的技術隔離手段；

◆ 條款理解

為了保證信息系統的安全，應避免將重要網段部署在網絡邊界處且直接連接外部信息系統，防止來自外部信息系統的攻擊。

在重要網段和其它網段之間配置安全策略進行訪問控制。

◆ 檢查方法

檢查網絡拓撲結構，查看是否將重要網段部署在網絡邊界處，重要網段和其它網段之間是否配置安全策略進行訪問控制。

g）應按照對業務服務的重要次序來指定帶寬分配優先級別，保證在網絡發生擁堵的時候優先保護重要主機。

◆ 條款理解

為了保證重要業務服務的連續性，應按照對業務服務的重要次序來指定帶寬分配優先級別，從而保證在網絡發生擁堵的時候優先保護重要主機。

◆ 檢查方法

訪談網絡管理員，依據實際應用系統狀況，是否進行了帶寬優先級分配。搞清楚是在哪個設備上配置的。

以CISCO IOS為例，檢查配置文件中是否存在類似如下配置項：

• policy-map bar
• class voice
• priority percent 10
• class data
• bandwidth percent 30
• class video
• bandwidth percent 20

二、訪問控制（8項）

訪問控制是網絡測評檢查中的核心部分，涉及到大部分網絡設備、安全設備。

條款解讀

a）應在網絡邊界部署訪問控制設備，啟用訪問控制功能；

◆ 條款理解

在網絡邊界部署訪問控制設備，防御來自其他網絡的攻擊，保護內部網絡的安全。

◆ 檢查方法

檢查網絡拓撲結構，查看是否在網絡邊界處部署了訪問控制設備，是否啟用了訪問控制功能。

b）應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；

◆ 條款理解

在網絡邊界部署訪問控制設備，對進出網絡的流量進行過濾，保護內部網絡的安全。

配置的訪問控制列表應有明確的源/目的地址、源/目的、協議及服務等。

◆ 檢查方法

以CISCO IOS為例，輸入命令：show ip access-list檢查配置文件中應當存在類似如下配置項：

• ip access-list extended 111
• deny ip x.x.x.0 0.0.0.255 any log
• interface eth 0/0
• ip access-group 111 in

以防火墻檢查為例，應有明確的訪問控制策略，如下圖所示：

以聯想網域防火墻為例，如下圖所示：

d）應在會話處于非活躍一定時間或會話結束后終止網絡連接；

◆ 條款理解

當惡意用戶進行網絡攻擊時，有時會發起大量會話連接，建立會話后長時間保持狀態連接從而占用大量網絡資源，最終將網絡資源耗盡的情況。

應在會話終止或長時間無響應的情況下終止網絡連接，釋放被占用網絡資源，保證業務可以被正常訪問。

◆ 檢查方法

該測評項一般在防火墻上檢查。

登錄防火墻，查看是否設置了會話連接超時，設置的超時時間是多少，判斷是否合理。

以天融信防火墻為例，如下圖所示：

e）應限制網絡最大流量數及網絡連接數；

◆條款理解

可根據IP地址、端口、協議來限制應用數據流的最大流量，還可以根據IP地址來限制網絡連接數，從而保證業務帶寬不被占用，業務系統可以對外正常提供業務。

◆ 檢查方法

該測評項一般在防火墻上檢查。訪談系統管理員，依據實際網絡狀況是否需要限制網絡最大流量數及網絡連接數。

登錄設備查看是否設置了最大流量數和連接數，并做好記錄。

以天融信防火墻為例，如下圖所示：

f）重要網段應采取技術手段防止地址欺騙；

◆ 條款理解

地址欺騙在網絡安全中比較重要的一個問題，這里的地址，可以是MAC地址，也可以是IP地址。在關鍵設備上，采用IP/MAC地址綁定方式防止地址欺騙。（路由器IP地址欺騙，假網關地址欺騙兩種。）

◆ 檢查方法

以CISCO IOS為例，輸入show ip arp檢查配置文件中應當存在類似如下配置項：

arp 10.10.10.1 0000.e268.9980 arpa

終端上也要做好網關的IP和MAC的綁定工作。

以聯想網域防火墻為例，如下圖所示：

g）應按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶；

◆ 條款理解

對于遠程撥號用戶，應在相關設備上提供用戶認證功能。

通過配置用戶、用戶組，并結合訪問控制規則可以實現對認證成功的用戶允許訪問受控資源。

◆ 檢查方法

登錄相關設備查看是否對撥號用戶進行身份認證，是否配置訪問控制規則對認證成功的用戶允許訪問受控資源。

三、安全審計（4項）

安全審計要對相關事件進行日志記錄，還要求對形成的記錄能夠分析、形成報表。

條款解讀

a）應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；

◆ 條款理解

為了對網絡設備的運行狀況、網絡流量、管理記錄等進行檢測和記錄，需要啟用系統日志功能。系統日志信息通常輸出至各種管理端口、內部緩存或者日志服務器。

◆ 檢查方法

檢查測評對象，查看是否啟用了日志記錄，日志記錄是本地保存，還是轉發到日志服務器。記錄日志服務器的地址。

以聯想網域防火墻為例，如下圖所示：

b）審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；

◆ 條款理解

日志審計內容需要記錄時間、類型、用戶、事件類型、事件是否成功等相關信息。

◆ 檢查方法

登錄測評對象或日志服務器，查看日志記錄是否包含了事件的日期和時間、用戶、事件類型、事件是否成功等信息。

c）應能夠根據記錄數據進行分析，并生成審計報表；

◆ 條款理解

為了便于管理員對能夠及時準確地了解網絡設備運行狀況和發現網絡入侵行為，需要對審計記錄數據進行分析和生成報表。

◆ 檢查方法

訪談并查看網絡管理員采用了什么手段實現了審計記錄數據的分析和報表生成。

d）應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。

◆ 條款理解

審計記錄能夠幫助管理人員及時發現系統運行狀況和網絡攻擊行為，因此需要對審計記錄實施技術上和管理上的保護，防止未授權修改、刪除和破壞。

◆ 檢查方法

訪談網絡設備管理員采用了何種手段避免了審計日志的未授權修改、刪除和破壞。如可以設置專門的日志服務器來接收路由器等網絡設備發送出的報警信息。

以聯想網域防火墻為例，如下圖所示：

四、邊界完整性檢查（2項）

邊界完整性檢查主要檢查在全網中對網絡的連接狀態進行監控，發現非法接入、非法外聯時能夠準確定位并能及時報警和阻斷（阻斷是二級里面沒有的）。

條款解讀

a）應能夠對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；

◆ 條款理解

可以采用技術手段和管理措施對“非法接入”行為進行檢查。技術手段包括網絡接入控制、IP/MAC地址綁定。

◆ 檢查方法

訪談網絡管理員，詢問采用何種技術手段或管理措施對“非法接入"

進行檢查，對于技術手段，在網絡管理員配合下驗證其有效性。

無線網絡的驗證

以聯想網域防火墻為例，如下圖所示：

五、入侵防范（2項）

對入侵事件不僅能夠檢測，并能發出報警，對于入侵防御系統要求定期更新特征庫，發現入侵后能夠報警并阻斷。

條款解讀

a）應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等；

◆ 條款理解

要維護系統安全，必須在網絡邊界處對常見的網絡攻擊行為進行監視，以便及時發現攻擊行為。

◆ 檢查方法

檢查網絡拓撲結構，查看在網絡邊界處是否部署了包含入侵防范功能的設備。登錄相應設備，查看是否啟用了檢測功能。（兩個步驟，一個是看有沒有設備（IPS/IDS/防火墻），而是看設備有沒有啟用相關功能）

以聯想網域防火墻為例，如下圖所示：

b）當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。

◆ 條款理解

當檢測到攻擊行為時，應對攻擊信息進行日志記錄。在發生嚴重入侵事件時應能通過短信、郵件等向有關人員報警。

◆ 檢查方法

查看在網絡邊界處是否部署了包含入侵防范功能的設備。

如果部署了相應設備，則檢查設備的日志記錄是否完備，是否提供了報警功能。

這里要注意開啟日志功能。

六、惡意代碼防范（2項）

惡意代碼防范是綜合性的、多層次的（邊界和內部都要搞），在網絡邊界處需要對惡意代碼進行防范。

條款解讀

a）應在網絡邊界處對惡意代碼進行檢測和清除；

◆ 條款理解

計算機病毒、木馬和蠕蟲的泛濫使得防范惡意代碼的破壞顯得尤為重要。在網絡邊界處部署防惡意代碼產品進行惡意代碼防范是最為直接和高效的辦法。

◆ 檢查方法

檢查網絡拓撲結構，查看在網絡邊界處是否部署了防惡意代碼產品。如果部署了相關產品，則查看是否啟用了惡意代碼檢測及阻斷功能，并查看日志記錄中是否有相關阻斷信息。

以聯想網域防火墻為例，如下圖所示：

b）應維護惡意代碼庫的升級和檢測系統的更新。

◆ 條款理解

惡意代碼具有特征變化快，特征變化快的特點。因此對于惡意代碼檢測重要的特征庫更新，以及監測系統自身的更新，都非常重要。

■檢查方法

訪談網絡管理員，詢問是否對防惡意代碼產品的特征庫進行升級及具體是升級方式。登錄相應的防惡意代碼產品，查看其特征庫、系統軟件升級情況，查看當前是否為最新版本。

七、網絡設備防護（8項）

網絡設備的防護主要是對用戶登錄前后的行為進行控制，對網絡設備的權限進行管理。

條款解讀

a）應對登錄網絡設備的用戶進行身份鑒別；

◆ 條款理解

對于網絡設備，可以采用CON、AUX、VTY等方式登錄。

對于安全設備，可以采用WEB、GUI、命令行等方式登錄。

◆ 檢查方法

檢查測評對象采用何種方式進行登錄，是否對登錄用戶的身份進行鑒別，是否修改了默認的用戶名及密碼。

以CISCO IOS為例，檢查配置文件中應當存在類似如下配置項：

• line vty 0 4
• login password xxxxxxx
• line aux 0
• login password xxxxxxx
• line con 0
• login password xxxxxxx

b）應對網絡設備的管理員登錄地址進行限制；

◆ 條款理解

為了保證安全，需要對訪問網絡設備的登錄地址進行限制，避免未授權的訪問。

◆ 檢查方法

以CISCO IOS為例，輸入命令：show running-config

access-list 3 permit x.x.x.xlog
access-list 3 deny any
line vty 0 4
access-class 3 in

以聯想網域防火墻為例，如下圖所示：

c）網絡設備用戶的標識應唯一；

◆ 條款理解

不允許在網絡設備上配置用戶名相同的用戶，要防止多人共用一個帳戶，實行分帳戶管理，每名管理員設置一個單獨的帳戶，避免出現問題后不能及時進行追查。

◆ 檢查方法

登錄網絡設備，查看設置的用戶是否有相同用戶名。詢問網絡管理員，是否為每個管理員設置了單獨的賬戶。

d）主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別：

◆ 條款理解

采用雙因子鑒別是防止身份欺騙的有效方法，雙因子鑒別不僅要求訪問者知道一些鑒別信息，還需要訪問者擁有鑒別特征，例如采用令牌、智能卡等。

◆ 檢查方法

訪談網絡設備管理員，詢問采用了何種鑒別技術實現了雙因子鑒別，并在管理員的配合下驗證雙因子鑒別的有效性。

以聯想網域防火墻為例，如下圖所示：

e）身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；

◆ 條款理解

為避免身份鑒別信息被冒用，可以通過采用令牌、認證服務器等措施，加強身份鑒別信息的保護。如果僅僅基于口令的身份鑒別，應當保證口令復雜度和定期更改的要求。

◆ 檢查方法

詢問網絡管理員對身份鑒別所采取的具體措施，使用口令的組成、長度和更改周期等。

以聯想網域防火墻為例，如下圖所示：

f）應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施；

◆ 條款理解

應對登錄失敗進行處理，避免系統遭受惡意的攻擊。

◆ 檢查方法

以CISCOIOS為例，輸入命令：show running-config檢查配置文件中應當存在類似如下配置項：

• line vty 0 4
• exec-timeout 5 0

以聯想網域防火墻為例，如下圖所示：

g）當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽；

◆ 條款理解

對網絡設備進行管理時，應采用SSH、https等加密協議，防止鑒別信息被竊聽。

◆ 檢查方法

以CISCO IOS為例，輸入命令：show running-config檢查配置文件中應當存在類似如下配置項：

• line vty 0 4
• transport input ssh

h）應實現設備特權用戶的權限分離。

◆ 條款理解

應根據實際需要為用戶分配完成其任務的最小權限。

◆ 檢查方法

登錄設備，查看有多少管理員賬戶，每個管理員賬戶是否僅分配完成其任務的最小權限。一般應該有三類賬戶：普通賬戶，審計賬戶、配置更改賬戶。

以聯想網域防火墻為例，如下圖所示：

• 文章來源：等級保護測評