1、为防止非授权人员进入机房,需要安装电 子门禁系统对机房及机房内区域的出入 人员实施访问控制,避免由于非授权人员 的擅自进入,造成系统运行中断、设备丢 失或损坏、数据被窃取或篡改,并可利用 系统实现对人员进入情况的记录1)核查出入口是否配置电子门禁系统2)核查电子门禁系统是否开启并正常 运行3)核查电子门禁系统是否可以鉴别、 记录进入的人员信息1)机房出入口是配备电子门禁2)电子门禁系统工作正常,可对进出人员进行鉴别防盗 窃和 防破 坏a)应将设备或主要部 件进行固定,并设置明 显的不易除去的标识对于安放在机房内用于保障系统正常运 行的设备或主要部件需要进行固定,并设 置明显的不易除去的标记用于
2、识别1)核查机房内设备或主要部件是否固 定2)核查机房内设备或主要部件上是否 设置了明显且不易除去的标记1)机房内设备均放置在机柜或机架, 并已固定2)设备或主要部件均设置了不易除去 的标识、标志,如使用粘贴方式则不 能有翘起b)应将通信线缆铺设在隐蔽安全处机房内通信线缆需要铺设在隐蔽安全处 防止线缆受损,核查机房内通信线缆是否铺设在隐蔽 安全处机房通信线缆铺设在线槽或桥架里c)应设置机房防盗报 警系统或设置有专人 值守的视频监控系统机房需要安装防盗报警系统,或在安装视 频监控系统的同时安排专人进行值守,防 止盗窃和恶意破坏行为的发生1)核查是否配置防盗报警系统或专人 值守的视频监控系统2)核
3、查防盗报警系统或视频监控系统 是否开启并正常运行1)机房内配置了防盗报警系统或专 人值守的视频监控系统 2)现场观测时监控系统正常工作防雷 击a)应将各类机柜、设施 和设备等通过接地系 统安全接地在机房内对机柜、各类设施和设备采取接地措施,防止雷击对电子设备产生 损害核查机房内机柜、设施和设备等是否 进行接地处理,通常黄绿色相间的电 线为接地用线机房内所有机柜、设施和设备等均已采取了接地的控制措施b)应采取措施防止感 应雷,例如设置防雷保 安器或过压保护装置 等在机房内安装防雷保安器或过压保护等 装置,防止感应雷对电子设备产生损害1)核查机房内是否设置防感应雷措施 2)核查防雷装置是否通过验收
4、或国家 有关部门的技术检测1)机房内设置了防感应雷措施,如设 置了防雷感应器、防浪涌插座等 2)防雷装置通过了国家有关部门的技 术检测防火a)机房应设置火灾自 动消防系统,能够自动 检测火情、自动报警, 并自动灭火机房内需要设置火灾自动消防系统,可 在发生火灾时进行自动检测、报警和灭 火,如采用自动气体消防系统、自动喷 淋消防系统等1)核查机房内是否设置火灾自动消 系统2)核查火灾自动消防系统是否可以自 动检测火情、自动报警并自动灭火 3)核查火灾自动消防系统是否通过验 收或国家有关部门的技术检测1)机房内设置火灾自动消防系统2)现场观测时火灾自动消防系统工作 正常b)机房及相关的工作 房间和
5、辅助房应采用 具有耐火等级的建筑 材料机房内需要采用具有耐火等级的建筑材料,防止火灾的发生和火势蔓延核查机房验收文档是否明确所用建筑材料的耐火等级机房所有材料为耐火材料,如使用墙 体、防火玻璃等,但使用金属栅栏的 不能算符合c)应对机房划分区域 进行管理,区域和区域 之间设置隔离防火措 施机房内需要进行区域划分并设置隔离防 火措施,防止水灾发生后火势蔓延1)核查是否进行了区域划分2)核查各区域间是否采取了防火隔离 措施1)机房进行了区域划分,如过渡区、主机房2)区域间部署了防火隔离装置防水 和防 潮a)应采取措施防止雨 水通过机房窗户、屋 顶和墙壁渗透机房内需要采取防渗漏措施,防止窗户屋顶和墙
6、壁存在水渗透情况、核查窗户、屋顶和墙壁是否采取了防 渗漏的措施机房采取了防雨水渗透的措施,如封 锁了窗户并采取了防水、屋顶和墙壁 均采取了防雨水渗透的措施b)应采取措施防止机 房内水蒸气结露和地 下积水的转移与渗透机房内需要采取防结露和排水措施,防止水蒸气结露和地面产生积水1)核查是否采取了防止水蒸气结露的 措施2)核查是否采取了排水措施,防止地 面产生积水1)机房内配备了专用的精密空调来防 止水蒸气结露的控制措施2)机房内部署了漏水检测装置,可以 对漏水进行监控报警c)应安装对水敏感的 检测仪表或元件,对机 房进行防水检测和报 警机房内需要布设对水敏感的检测装置,对渗水、漏水情况进行检测和报
7、警1)核查是否安装了对水敏感的检测装 置2)核查防水检测和报警装置是否开启 并正常运行1)机房内部署了漏水检测装置,如漏水检测绳等2)检测和报警工作正常a)应采用防静电地板 或地面并采用必要的 接地防静电措施机房内需要安装防静电地板或在地面采取必要的接地措施,防止静电的产生1)核查是否安装了防静电地板2)核查是否采用了防静电接地措施1)机房部署了防静电地板2)机房采用了接地的防静电措施防静 电b)应采取措施防上静 电的产生,例如采用静 电消除器、佩戴防静电 手环等。机房内需要配备静电消除器E佩戴防静电手环等消除静电的设备。核查机房内是否配备了静电消除设 备。机房配备了防静电设备湿温 度控 制应
8、设置温、湿度自动调 节设施,使机房温、湿 度的变化在设备运行 所允许的范围之内机房内需要安装温、湿度自动调节装置, 如空调、除湿机、通风机等,使机房内温、 湿度的变化在适宜设备运行所允许的范 围之内。通常机房内适宜的温度范围是 1827,空气湿度范围是3575%1)核查机房内是否配备了专用空调2)核查机房内温湿度是否在设备运行 所允许的范围之内1)机房内配备了专用的精密空调2)机房内温湿度设置在20-25,湿度为:40%-60%电力 供应a)应在机房供电线路 上配置稳压器和过电 压防护设备机房供电线路上需要安装电流稳压器和 电压过载保护装置,防止电力波动对电子 设备造成损害核查供电线路上是否配
9、置了稳压器和过电压防护设备1)机房的计算机系统供电线路上设置 了稳压器和过电压防护设备 2)现场观测时稳压器和过电压防护设 备可正常工作b)应提供短期的备用 电力供应,至少满足设 备在断电情况下的正 常运行要求机房供电需要配备不间断电源(UPS)或备 用供电系统,如备用发电机或使用第三方 提供的备用供电服务,防止电力中断对设 备运转和系统运行造成损害1)核查是否配备不间断电源(UPS)等备用供电系统2)核查不间断电源(UPS)等备用供电 系统的运行切换记录和检修维护记录1)机房配备了UPS后备电源系统2)UPS能够满足短期断电时的供电要 求c)应设置冗余或并行 的电力电缆线路为计 算机系统供电
10、机房供电需要使用冗余或并行的电力电 缆线路,防止电力中断对设备运转和系统 运行造成损害核查是否设置了冗余或并行的电力电缆线路为计算机系统供电为机房配备了冗余的供电线路,如市 电双路接入电磁 防护a)电源线和通信线缆 应隔离铺设,避免互相 干扰机房内电源线和通信线缆需要隔离铺设 在不同的管道或桥架内,防止电磁辐射和 干扰对设备运转和系统运行产生的影响核查机房内电源线缆和通信线缆是否 隔离铺设机房内电源线缆和通信线缆隔离铺 设,如通过线槽或桥架进行了隔离b)应对关键设备实施 电磁屏蔽机房内关键设备需要安放在电磁屏蔽机 柜内或电磁屏蔽区域内,防止电磁辐 射和干扰对设备运转和系统运行产生的 影响核查机
11、房内是否为关键设备配备了电 磁屏蔽装置为关键设备采取了电磁屏蔽措施,如 配备了屏蔽机柜或屏蔽机房,关键设 备如加密机安全通信网络网络 架构a)应保证网络设备的 业务处理能力满足业 务高峰期需要为了保证主要网络设备具备足够处理能 力,应定期检查设备资源占用情况,确 保设备的业务处理能力具备冗余空间。1)应访谈网络管理员业务高峰时期为 何时,核查边界设备和主要网络设备 的处理能力是否满足业务高峰期需 要,询问采用何种手段对主要网络设 备的运行状态进行监控。 以华为交换机为例,输入命令displaycpu-usage,display memory-usage查看相关配置。一般来 说,在业务高峰期主要
12、网络设备的CPU 内存最大使用率不宜超过70%,也可以 通过综合网管系统查看主要网络设备 的CPU、内存的使用情况2)应访谈或核查是否因设备处理能力 不足而出现过宕机情况,可核查综合 网管系统告警日志或设备运行时间 等,或者访谈是否因设备处理能力不 足而进行设备升级。以华为设备为例,输入命令display version”,查看设备在线时长,如 备在线时间在近期有重启可询问原因 3)应核查设备在一段时间内的性能峰 值,结合设备自身的承载性能,分析 是否能够满足业务处理能力1)设备CPU和内存使用率峰值不大于 70%,通过命令核查相关使用情况: displaycpu-usage CPUUsage
13、Stat,Cycle:60(Second) CPUUsage:3%Max:45%. CPUUsageStat.Time:218-05-26 16:58:16CPUutilizationforfiveseconds 15%:oneminute:15%:fiveminutes: 15%displaymemory-usage CPUutilizationforfiveseconds 15%:oneminute:15%:five minutes:15%SystemTotalMemoryIs:75312648 bytesTotalMemoryUsedIs:45037704 bytesMemoryUsin
14、gPercentageIs:59% 2)未出现宕机情况,网管平台未出现 宕机告警日志,设备运行时间较长:displayversionHuaweiVersatileRoutingPlatfor SoftwareVRP(R)software,Version5.130 (AR1200V200ROO3C0OCopyright(C)2011-2012HUAWEI TECHCo.,LTDHuaweiAR1220Routeruptimeis0 week,0day,0hour,1minute MPU0(Master):uptimeis0week,0 day,0hour,Iminute3)业务高峰流量不超过设备
15、处理能力 的70%: m b)应保证网络各个部 分的带宽满足业务高 峰期需要为了保证业务服务的连续性,应保证网络 各个部分的带宽满足业务高峰期需要。如 果存在带宽无法满足业务高峰期需要的 情况,则需要在主要网络设备上进行带宽 配置,保证关键业务应用的带宽需求1)应访谈管理员高峰时段的流量使用 情况,是否部署流量控制设备对关键 业务系统的流量带宽进行控制,或在 相关设备上启用QoS配置,对网络各 个部分进行带宽分配,从而保证业务 高峰期业务服务的连续性2)应该查综合网管系统在业务商峰时 段的带宽占用情况,分析是否满足业 务需求。如果无法满足业务高蜂期需 要,则需要在主要网络设备上进行带 宽配置3
16、)测试验证网络各个部分的带宽是否 满足业务高峰期需求1)在各个关键节点部署流量监控系 统,能够监测网络中的实时流量,部 署流量控制设备,在关键节点设备品 置QoS策略,对关健业务系统的流量 带宽进行控制2)节点设备配置了流量监管和流量整 形策略;流量监管配置: class-map:class-1 bandwidthpercent50 bandwidth5000(kbps)max threshold64(packets) class-map:class-2 bandwidthpercent15 bandwidth1500(kbps)max threshold64(packets) 流量整形配置:
17、trafficclassifierc1operatoro if-matchacl3002trafficbehaviorb1 remarklocal-precedenceaf3 trafficpolicyp1classifierc1behaviorb1 interfacegigabitethernet3/0/0 traffic-policyp1inbound 3)各通信链路高峰流量均不大其带 宽的70%c)应划分不同的网络 区域,并按照方便管理 和控制的原则为各网 络区域分配地址根据实际情况和区域安全防护要求,应在 主要网络设备上进行VLAN划分。VLAN是 一种通过将局域网内的设备逻辑地而不
18、是物理地划分成不同子网从而实现虚拟 工作组的新技术。不同VLAN内的报文在 传输时是相互隔离的,即一个VLAN内的 用户不能和其它VLAN内的用户直接通 信,如果不同VLAN要进行通信,则需要 通过路由器或三层交换机等三层设备实 现应访谈网络管理员,是否依据部门的 工作职能、等级保护对象的重要程度 和应用系统的级别等实际情况和区域 安全防护要求划分了不同的VLAN,并 核查相关网络设备配置信息,验证划 分的网络区域是否与划分原则一致。 以CiscoIOS为例,输入命令“show vlanbrief”,查看相关配置划分不同的网络区域,按照方便管理 和控制的原则为各网络区域分配地 址,不同网络区域
19、之间应采取边界防 护措施:10serveractive20useractive 30testactive 99managementactived)应避免将重要网络 区域部署在边界处,重 要网络区域与其他网 络区域之间应采取可 靠的技术隔离手段为了保证等级保护对象的安全,应避免将 重要网段部署在网络边界处且直接连接 外部等级保护对象,防止来自外部等级保 护对象的攻击。同时,应在重要网段和其 它网段之间配置安全策略进行访问控制1)应核查网络拓扑图是否与实际网络 运行环境一致2)应核查重要网络区域是否未部署在 网络边界处;网络区域边界处是否部 署了安全防护措施3)应核查重要网络区域与其他网络区 域之
20、间,例如应用系统区、数据库系 统区等重要网络区域边界是否采取可 靠的技术隔离手段,是否部署了网闸、 防火墙和设备访问控制列表(ACL)等1)网络拓扑图与实际网络运行环境一 致2)重要网络区域未部署在网络边界处 3)在重要网络区域与其他网络区域之 间部署了网闸、防火墙等安全设备实 现了技术隔离e)应提供通信线路、关 键网络设备和关键计 算设备的硬件冗余,保 证系统的可用性本要求虽然放在“安全通信网络”分类中, 实际是要求整个网络架构设计需要冗余 为了避免网络设备或通信线路出现故障 时引起系统中断,应采用冗余技术设计网 络拓扑结构,以确保在通信线路或设备故 障时提供备用方案,有效增强网络的可靠 性
21、。应核查系统的出口路由器、核心交换 机、安全设备等关键设备是否有硬件 冗余和通信线路冗余,保证系统的高 可用性采用HSRP、VRRP等冗余技术设计网络 架构,确保在通信线路或设备故障时 网络不中断,有效增强网络的可靠性通信 传输a)应采用校验技术或 密码技术保证通信过 程中数据的完整性为了防止数据在通信过程中被修改或破 坏,应采用校验技术或密码技术保证通信 过程中数据的完整性,这些数据包括鉴别 数据、重要业务数据、重要审计数据、 要配置数据、重要视频数据和重要个人信 息等1)应核查是否在数据传输过程中使用 校验技术或密码技术来保证其完整性 2)应测试验证设备或组件是否保证通 重信过程中数据的完
22、整性。例如使用 FileChecksumIntegrityVerifie、r SigCheck等工具对数据进行完整性 校验1)对鉴别数据、重要业务数据、重要 审计数据、重要配置数据、重要视频 数据和重要个人信息数据等采用校验 技术或密码技术保证通信过程中数据 的完整性;2)FileChecksumIntegrityVerifier 计算数据的散列值,验证数据的完整 性b)应采用密码技术保 证通信过程中数据的 保密性根据实际情况和安全防护要求,为了防止 信息被窃听,应采取技术手段对通信过程 中的敏感信息字段或整个报文加密,可采 用对称加密、非对称加密等方式实现数据 的保密性1)应核查是否在通信过
23、程中采取保密 措施,具体采用哪些技术措施 2)应测试验证在通信过程中是否对敏 感信息字段或整个报文进行加密,可 使用Sniffer、Wireshark等测试工具 通过流量镜像等方式抓取网络中的数 据,验证数据是否加密1)对鉴别数据、重要业务数据,重要 审计数据、重要配置数据、重要视频 数据和重要个人信息数据等采用密码 技术保证通信过程中数据的保密性 2)Sniffer.Wireshak可以监视到信 息的传送,但是显示的是加密报文可信 验证可基于可信根对通信 设备的系统引导程序、 系统程序、重要配置参 数和通信应用程序等 进行可信验证,并在应 用程序的关键执行环 节进行动态可信验证, 在检测到其
24、可信性受 到破坏后进行报警,并 将验证结果形成审计 记录送至安全管理中 心通信设备可能包括交换机、路由器或其他 通信设备等,通过设备的启动过程和运行 过程中对预装软件(包括系统引导程序、 系统程序、相关应用程序和重要配置参 数)的完整性验证或检测,确保对系统引 导程序、系统程序、重要配置参数和关键 应用程序的篡改行为能被发现,并报警便 于后续的处置动作1)应核查是否基于可信根对设备的系 统引导程序、系统程序、重要配置参 数和关键应用程序等进行可信验证 2)应核查是否在应用程序的关键执行 环节进行动态可信验证3)应测试验证当检测到设备的可信性 受到破坏后是否进行报警4)应测试验证结果是否以审计记
25、录的 形式送至安全管理中心 (2.3)1)通信设备、交换机、路由器或其他 通信设备具有可信根芯片或硬件 2)启动过程基于可信根对系统引导程 序、系统程序,重要配置参数和关键 应用程序等进行可信验证度量 3)在检测到其可信性受到破坏后进行 报警,并将验证结果形成审计记录送 至安全管理中心4)安全管理中心可以接收设备的验证 结果记录(2.3)安全区域边界边界 防护a)应保证跨越边界的 访问和数据流通过边 界设备提供的受控接 口进行通信为了保障数据通过受控边界,应明确网络 边界设备,并明确边界设备物理端口,网 络外连链路仅能通过指定的设备端口进 行数据通信1)应核查网络拓扑图与实际的网络链 路是否一
26、致,是否明确了网络边界, 且明确边界设备端口。 2)应核查路由配置信息及边界设备 配置信息,确认是否指定物理端口进 行跨越边界的网络通信。 以CiscoI0S为例,输入命令 “router#showrunning-confi”g, 查看相关配置。3)应采用其他技术手段核查是否不存 在其他未受控端口进行跨越边界的网 络通信,例如检测无线访问情况,可使 用无线嗅探器、无线入侵检测/防御系 统、手持式无线信号检测系统等相关 工具进行检测1)查看网络拓扑图,并比对实际的网 络链路,确认网络边界设备及链路接 入端口无误2)通过相关命令显示设备端口、Vlan 信息interfaceIP-Address 0
27、K?MethodStatusProtocol FastEehernet0/0192.168.11.1YES manualupup FastEehernet0/1192.168.12.1YES manualupup Vlan1unassignedYES manualdowndown (administratively) 显示路由信息IProute0.0.0.0 0.0.0.0.192.168.123)通过网络管理系统的自动拓扑发现 功能,监控是否存在非授权的网络出 口链路;通过无线嗅探器排查无线网 络的使用情况,确认无非授权WiFib)应能够对非授权设 备私自联到内部网络 的行为进行检查或限 制
28、设备的“非授权接入”可能会破坏原有的 边界设计策略,可以采用技术手段和管理 措施对“非授权接入”行为进行检查。 术手段包括部署内网安全管理系统,关闭 网络设备未使用的端口,绑定IP/MAC地 址等1)应访谈网络管理员,询问采用何种 技术手段或管理措施对非授权设备私 自联到内部网络的行为进行管控,并 在网络管理员的配合下验证其有效性 2)应核查所有路由器和交换机等设备 闲置端口是否均已关闭。以CiscoI0S为例,输入命令showip interfacesbrief” 技3)如通过部署内网安全管理系统实现 系统准入,应检查各终端设备是否统 一进行了部署,是否存在不可控特殊 权限接入设备4)如果采用了IP/MAC地址绑定的方 式进行准入控制,应核查接入层网络 设备是否配置了IP/MAC地址绑定等措 施以CiscoI0S为例,输入命令show iparp”1)非使用的端口均已关闭,查看设备 配置中是否存在如下类似配置: InterfaceFastEthernet0/1 shutdown2)网络中部署的终端管理系统已启 用,且各终端设备均已有效部署,无 特权设备3)IP/MAC地址绑定结果,查看设备配 置中是否存在如下类似配置: arp10.10.10.10000.e268.9890arpac)应能够对内部用
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2
升级会员 