GBT22239-2019信息安全技术网络安全等级保护二级等保2Word文档格式.docx
《GBT22239-2019信息安全技术网络安全等级保护二级等保2Word文档格式.docx》由会员分享,可在线阅读,更多相关《GBT22239-2019信息安全技术网络安全等级保护二级等保2Word文档格式.docx(97页珍藏版)》请在冰点文库上搜索。
为防止非授权人员进入机房,需要安装电子门禁系统对机房及机房内区域的出入人员实施访问控制,避免由于非授权人员的擅自进入,造成系统运行中断、设备丢失或损坏、数据被窃取或篡改,并可利用系统实现对人员进入情况的记录
1)核查出入口是否配置电子门禁系统
2)核查电子门禁系统是否开启并正常运行
3)核查电子门禁系统是否可以鉴别、记录进入的人员信息
1)机房出入口是配备电子门禁
2)电子门禁系统工作正常,可对进出
人员进行鉴别
防盗窃和防破坏
a)应将设备或主要部件进行固定,并设置明显的不易除去的标识
对于安放在机房内用于保障系统正常运行的设备或主要部件需要进行固定,并设置明显的不易除去的标记用于识别
1)核查机房内设备或主要部件是否固定
2)核查机房内设备或主要部件上是否设置了明显且不易除去的标记
1)机房内设备均放置在机柜或机架,并已固定
2)设备或主要部件均设置了不易除去的标识、标志,如使用粘贴方式则不能有翘起
b)应将通信线缆铺设
在隐蔽安全处
机房内通信线缆需要铺设在隐蔽安全处防止线缆受损
,核查机房内通信线缆是否铺设在隐蔽安全处
机房通信线缆铺设在线槽或桥架里
c)应设置机房防盗报警系统或设置有专人值守的视频监控系统
机房需要安装防盗报警系统,或在安装视频监控系统的同时安排专人进行值守,防止盗窃和恶意破坏行为的发生
1)核查是否配置防盗报警系统或专人值守的视频监控系统
2)核查防盗报警系统或视频监控系统是否开启并正常运行
1)机房内配置了防盗报警系统或专人值守的视频监控系统 2)现场观测时监控系统正常工作
防雷击
a)应将各类机柜、设施和设备等通过接地系统安全接地
在机房内对机柜、各类设施和设备采取接
地措施,防止雷击对电子设备产生 损害
核查机房内机柜、设施和设备等是否进行接地处理,通常黄绿色相间的电线为接地用线
机房内所有机柜、设施和设备等均已
采取了接地的控制措施
b)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等
在机房内安装防雷保安器或过压保护等装置,防止感应雷对电子设备产生损害
1)核查机房内是否设置防感应雷措施 2)核查防雷装置是否通过验收或国家有关部门的技术检测
1)机房内设置了防感应雷措施,如设置了防雷感应器、防浪涌插座等 2)防雷装置通过了国家有关部门的技术检测
防火
a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火
机房内需要设置火灾自动消防系统,可在发生火灾时进行自动检测、报警和灭火,如采用自动气体消防系统、自动喷淋消防系统等
1)核查机房内是否设置火灾自动消系统
2)核查火灾自动消防系统是否可以自动检测火情、自动报警并自动灭火 3)核查火灾自动消防系统是否通过验收或国家有关部门的技术检测
1)机房内设置火灾自动消防系统
2)现场观测时火灾自动消防系统工作正常
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料
机房内需要采用具有耐火等级的建筑材
料,防止火灾的发生和火势蔓延
核查机房验收文档是否明确所用建筑
材料的耐火等级
机房所有材料为耐火材料,如使用墙体、防火玻璃等,但使用金属栅栏的不能算符合
c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施
机房内需要进行区域划分并设置隔离防火措施,防止水灾发生后火势蔓延
1)核查是否进行了区域划分
2)核查各区域间是否采取了防火隔离措施
1)机房进行了区域划分,如过渡区、
主机房
2)区域间部署了防火隔离装置
防水和防潮
a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透
机房内需要采取防渗漏措施,防止窗户
屋顶和墙壁存在水渗透情况
、核查窗户、屋顶和墙壁是否采取了防渗漏的措施
机房采取了防雨水渗透的措施,如封锁了窗户并采取了防水、屋顶和墙壁均采取了防雨水渗透的措施
b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透
机房内需要采取防结露和排水措施,防止
水蒸气结露和地面产生积水
1)核查是否采取了防止水蒸气结露的措施
2)核查是否采取了排水措施,防止地面产生积水
1)机房内配备了专用的精密空调来防止水蒸气结露的控制措施
2)机房内部署了漏水检测装置,可以对漏水进行监控报警
c)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警
机房内需要布设对水敏感的检测装置,对
渗水、漏水情况进行检测和报警
1)核查是否安装了对水敏感的检测装置
2)核查防水检测和报警装置是否开启并正常运行
1)机房内部署了漏水检测装置,如漏
水检测绳等
2)检测和报警工作正常
a)应采用防静电地板或地面并采用必要的接地防静电措施
机房内需要安装防静电地板或在地面采
取必要的接地措施,防止静电的产生
1)核查是否安装了防静电地板
2)核查是否采用了防静电接地措施
1)机房部署了防静电地板
2)机房采用了接地的防静电措施
防静电
b)应采取措施防上静电的产生,例如采用静电消除器、佩戴防静电手环等。
机房内需要配备静电消除器E佩戴防静
电手环等消除静电的设备。
核查机房内是否配备了静电消除设备。
机房配备了防静电设备
湿温度控制
应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内
机房内需要安装温、湿度自动调节装置,如空调、除湿机、通风机等,使机房内温、湿度的变化在适宜设备运行所允许的范围之内。
通常机房内适宜的温度范围是18~27℃,空气湿度范围是35~75%
1)核查机房内是否配备了专用空调
2)核查机房内温湿度是否在设备运行所允许的范围之内
1)机房内配备了专用的精密空调
2)机房内温湿度设置在20-25,湿度
为:
40%-60%
电力供应
a)应在机房供电线路上配置稳压器和过电压防护设备
机房供电线路上需要安装电流稳压器和电压过载保护装置,防止电力波动对电子设备造成损害
核查供电线路上是否配置了稳压器和
过电压防护设备
1)机房的计算机系统供电线路上设置了稳压器和过电压防护设备 2)现场观测时稳压器和过电压防护设备可正常工作
b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求
机房供电需要配备不间断电源(UPS)或备用供电系统,如备用发电机或使用第三方提供的备用供电服务,防止电力中断对设备运转和系统运行造成损害
1)核查是否配备不间断电源(UPS)等
备用供电系统
2)核查不间断电源(UPS)等备用供电系统的运行切换记录和检修维护记录
1)机房配备了UPS后备电源系统
2)UPS能够满足短期断电时的供电要求
c)应设置冗余或并行的电力电缆线路为计算机系统供电
机房供电需要使用冗余或并行的电力电缆线路,防止电力中断对设备运转和系统运行造成损害
核查是否设置了冗余或并行的电力电
缆线路为计算机系统供电
为机房配备了冗余的供电线路,如市电双路接入
电磁防护
a)电源线和通信线缆应隔离铺设,避免互相干扰
机房内电源线和通信线缆需要隔离铺设在不同的管道或桥架内,防止电磁辐射和干扰对设备运转和系统运行产生的影响
核查机房内电源线缆和通信线缆是否隔离铺设
机房内电源线缆和通信线缆隔离铺设,如通过线槽或桥架进行了隔离
b)应对关键设备实施电磁屏蔽
机房内关键设备需要安放在电磁屏蔽机柜内或电磁屏蔽区域内,防止电磁辐 射和干扰对设备运转和系统运行产生的影响
核查机房内是否为关键设备配备了电磁屏蔽装置
为关键设备采取了电磁屏蔽措施,如配备了屏蔽机柜或屏蔽机房,关键设备
如加密机
安全通信网络
网络架构
a)应保证网络设备的业务处理能力满足业务高峰期需要
为了保证主要网络设备具备足够处理能力,应定期检查设备资源占用情况,确保设备的业务处理能力具备冗余空间。
1)应访谈网络管理员业务高峰时期为何时,核查边界设备和主要网络设备的处理能力是否满足业务高峰期需要,询问采用何种手段对主要网络设备的运行状态进行监控。
以华为交换机为例,输入命令
"
displaycpu-usage"
"
display memory-usage"
查看相关配置。
一般来说,在业务高峰期主要网络设备的CPU内存最大使用率不宜超过70%,也可以通过综合网管系统查看主要网络设备的CPU、内存的使用情况
2)应访谈或核查是否因设备处理能力不足而出现过宕机情况,可核查综合网管系统告警日志或设备运行时间等,或者访谈是否因设备处理能力不足而进行设备升级。
以华为设备为例,输入命令"
displayversion”,查看设备在线时长,如备在线时间在近期有重启可询问原因 3)应核查设备在一段时间内的性能峰值,结合设备自身的承载性能,分析是否能够满足业务处理能力
1)设备CPU和内存使用率峰值不大于70%,通过命令核查相关使用情况:
<
Huawei>
displaycpu-usage CPUUsageStat,Cycle:
60(Second)CPUUsage:
3% Max:
45%. CPUUsageStat. Time:
2Õ
18-05-2616:
58:
16
CPUutilizationforfiveseconds15%:
oneminute:
15%:
fiveminutes:
15%
<
displaymemory-usage CPUutilizationforfiveseconds15%:
one minute:
15%:
five minutes:
15%
SystemTotalMemoryIs:
75312648bytes
TotalMemoryUsed Is:
45037704bytes
MemoryUsingPercentageIs:
59%2)未出现宕机情况,网管平台未出现宕机告警日志,设备运行时间较长:
displayversion
HuaweiVersatileRoutingPlatforSoftware
VRP(R)software,Version5.130(AR1200V200ROO3C0O
Copyright(C)2011-2012HUAWEI TECHCo.,LTD
HuaweiAR1220Routeruptimeis0week,0day,0hour,1minute MPU0(Master):
uptimeis0week,0day,0hour,Iminute
3)业务高峰流量不超过设备处理能力的70%
:
m
b)应保证网络各个部分的带宽满足业务高峰期需要
为了保证业务服务的连续性,应保证网络各个部分的带宽满足业务高峰期需要。
如果存在带宽无法满足业务高峰期需要的情况,则需要在主要网络设备上进行带宽配置,保证关键业务应用的带宽需求
1)应访谈管理员高峰时段的流量使用情况,是否部署流量控制设备对关键业务系统的流量带宽进行控制,或在相关设备上启用QoS配置,对网络各个部分进行带宽分配,从而保证业务高峰期业务服务的连续性
2)应该查综合网管系统在业务商峰时段的带宽占用情况,分析是否满足业务需求。
如果无法满足业务高蜂期需要,则需要在主要网络设备上进行带宽配置
3)测试验证网络各个部分的带宽是否满足业务高峰期需求
1)在各个关键节点部署流量监控系统,能够监测网络中的实时流量,部署流量控制设备,在关键节点设备品置QoS策略,对关健业务系统的流量带宽进行控制
2)节点设备配置了流量监管和流量整形策略;
流量监管配置:
class-map:
class-1 bandwidthpercent50 bandwidth5000(kbps)max threshold64(packets) class-map:
class-2 bandwidthpercent15 bandwidth1500(kbps)max threshold64(packets) 流量整形配置:
trafficclassifierc1operatoroif-matchacl3002
trafficbehaviorb1 remarklocal-precedenceaf3 trafficpolicyp1
classifierc1behaviorb1 interfacegigabitethernet3/0/0 traffic-policyp1inbound 3)各通信链路高峰流量均不大其带宽的70%
c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址
根据实际情况和区域安全防护要求,应在主要网络设备上进行VLAN划分。
VLAN是一种通过将局域网内的设备逻辑地而不是物理地划分成不同子网从而实现虚拟工作组的新技术。
不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备实现
应访谈网络管理员,是否依据部门的工作职能、等级保护对象的重要程度和应用系统的级别等实际情况和区域安全防护要求划分了不同的VLAN,并核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致。
以CiscoIOS为例,输入命令“showvlanbrief”,查看相关配置
划分不同的网络区域,按照方便管理和控制的原则为各网络区域分配地址,不同网络区域之间应采取边界防护措施:
10 server active
20 user active 30 test active 99 management active
d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
为了保证等级保护对象的安全,应避免将重要网段部署在网络边界处且直接连接外部等级保护对象,防止来自外部等级保护对象的攻击。
同时,应在重要网段和其它网段之间配置安全策略进行访问控制
1)应核查网络拓扑图是否与实际网络运行环境一致
2)应核查重要网络区域是否未部署在网络边界处;
网络区域边界处是否部署了安全防护措施
3)应核查重要网络区域与其他网络区域之间,例如应用系统区、数据库系统区等重要网络区域边界是否采取可靠的技术隔离手段,是否部署了网闸、防火墙和设备访问控制列表(ACL)等
1)网络拓扑图与实际网络运行环境一致
2)重要网络区域未部署在网络边界处 3)在重要网络区域与其他网络区域之间部署了网闸、防火墙等安全设备实现了技术隔离
e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性
本要求虽然放在“安全通信网络”分类中,实际是要求整个网络架构设计需要冗余为了避免网络设备或通信线路出现故障时引起系统中断,应采用冗余技术设计网络拓扑结构,以确保在通信线路或设备故障时提供备用方案,有效增强网络的可靠性
。
应核查系统的出口路由器、核心交换机、安全设备等关键设备是否有硬件冗余和通信线路冗余,保证系统的高可用性
采用HSRP、VRRP等冗余技术设计网络架构,确保在通信线路或设备故障时网络不中断,有效增强网络的可靠性
通信传输
a)应采用校验技术或密码技术保证通信过程中数据的完整性
为了防止数据在通信过程中被修改或破坏,应采用校验技术或密码技术保证通信过程中数据的完整性,这些数据包括鉴别数据、重要业务数据、重要审计数据、要配置数据、重要视频数据和重要个人信息等
1)应核查是否在数据传输过程中使用校验技术或密码技术来保证其完整性 2)应测试验证设备或组件是否保证通重信过程中数据的完整性。
例如使用FileChecksumIntegrityVerifie、rSigCheck等工具对数据进行完整性校验
1)对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息数据等采用校验技术或密码技术保证通信过程中数据的完整性;
2)FileChecksumIntegrityVerifier计算数据的散列值,验证数据的完整性
b)应采用密码技术保证通信过程中数据的保密性
根据实际情况和安全防护要求,为了防止信息被窃听,应采取技术手段对通信过程中的敏感信息字段或整个报文加密,可采用对称加密、非对称加密等方式实现数据的保密性
1)应核查是否在通信过程中采取保密措施,具体采用哪些技术措施 2)应测试验证在通信过程中是否对敏感信息字段或整个报文进行加密,可使用Sniffer、Wireshark等测试工具通过流量镜像等方式抓取网络中的数据,验证数据是否加密
1)对鉴别数据、重要业务数据,重要审计数据、重要配置数据、重要视频数据和重要个人信息数据等采用密码技术保证通信过程中数据的保密性 2)Sniffer.Wireshak可以监视到信息的传送,但是显示的是加密报文
可信验证
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
通信设备可能包括交换机、路由器或其他通信设备等,通过设备的启动过程和运行过程中对预装软件(包括系统引导程序、系统程序、相关应用程序和重要配置参数)的完整性验证或检测,确保对系统引导程序、系统程序、重要配置参数和关键应用程序的篡改行为能被发现,并报警便于后续的处置动作
1)应核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和关键应用程序等进行可信验证 2)应核查是否在应用程序的关键执行环节进行动态可信验证
3)应测试验证当检测到设备的可信性受到破坏后是否进行报警
4)应测试验证结果是否以审计记录的形式送至安全管理中心 (2.3)
1)通信设备、交换机、路由器或其他通信设备具有可信根芯片或硬件 2)启动过程基于可信根对系统引导程序、系统程序,重要配置参数和关键应用程序等进行可信验证度量 3)在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
4)安全管理中心可以接收设备的验证结果记录
(2.3)
安全区域边界
边界防护
a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信
为了保障数据通过受控边界,应明确网络边界设备,并明确边界设备物理端口,网络外连链路仅能通过指定的设备端口进行数据通信
1)应核查网络拓扑图与实际的网络链路是否一致,是否明确了网络边界,且明确边界设备端口。
2)应核查路由配置信息及边界设备配置信息,确认是否指定物理端口进行跨越边界的网络通信。
以CiscoI0S为例,输入命令“router#showrunning-confi”g,查看相关配置。
3)应采用其他技术手段核查是否不存在其他未受控端口进行跨越边界的网络通信,例如检测无线访问情况,可使用无线嗅探器、无线入侵检测/防御系统、手持式无线信号检测系统等相关工具进行检测
1)查看网络拓扑图,并比对实际的网络链路,确认网络边界设备及链路接入端口无误
2)通过相关命令显示设备端口、Vlan信息
interface IP-Address 0K?
Method Status ProtocolFastEehernet0/0192.168.11.1YESmanual up up FastEehernet0/1192.168.12.1YESmanual up up Vlan1 unassigned YESmanual down down (administratively) 显示路由信息IProute0.0.0.0 0.0.0.0.192.168.12
3)通过网络管理系统的自动拓扑发现功能,监控是否存在非授权的网络出口链路;
通过无线嗅探器排查无线网络的使用情况,确认无非授权WiFi
b)应能够对非授权设备私自联到内部网络的行为进行检查或限制
设备的“非授权接入”可能会破坏原有的边界设计策略,可以采用技术手段和管理措施对“非授权接入”行为进行检查。
术手段包括部署内网安全管理系统,关闭网络设备未使用的端口,绑定IP/MAC地址等
1)应访谈网络管理员,询问采用何种技术手段或管理措施对非授权设备私自联到内部网络的行为进行管控,并在网络管理员的配合下验证其有效性 2)应核查所有路由器和交换机等设备闲置端口是否均已关闭。
以CiscoI0S为例,输入命令"
showipinterfacesbrief”
技3)如通过部署内网安全管理系统实现系统准入,应检查各终端设备是否统一进行了部署,是否存在不可控特殊权限接入设备
4)如果采用了IP/MAC地址绑定的方式进行准入控制,应核查接入层网络设备是否配置了IP/MAC地址绑定等措施以CiscoI0S为例,输入命令"
showiparp”
1)非使用的端口均已关闭,查看设备配置中是否存在如下类似配置:
InterfaceFastEthernet0/1 shutdown
2)网络中部署的终端管理系统已启用,且各终端设备均已有效部署,无特权设备
3)IP/MAC地址绑定结果,查看设备配置中是否存在如下类似配置:
arp10.10.10.10000.e268.9890arpa
c)应能够对内部用
升级会员 