信息安全管理制度网络安全设备配置规范.docx
- 文档编号:28498058
- 上传时间:2023-07-15
- 格式:DOCX
- 页数:24
- 大小:22.82KB
信息安全管理制度网络安全设备配置规范.docx
《信息安全管理制度网络安全设备配置规范.docx》由会员分享,可在线阅读,更多相关《信息安全管理制度网络安全设备配置规范.docx(24页珍藏版)》请在冰豆网上搜索。
信息安全管理制度网络安全设备配置规范
网络安全设备配置规范
2011年1月
⏹文档信息
标题
文档全名
版本号
1.0
版本日期
2011年1月
文件名
网络安全设备配置规范
所有者
作者
修订记录
日期
描述
作者
版本号
2011-1
创建
1.0
文档审核/审批(此文档需如下审核)
姓名
公司/部门
职务/职称
文档分发(此文档将分发至如下各人)
姓名
公司/部门
职务/职称
网络安全设备配置规范
1防火墙
1.1防火墙配置规范
1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等,并定义相应的职责,维护相应的文档和记录。
2.防火墙管理人员应定期接受培训。
3.对防火墙管理的限制,包括,关闭、、、等,以及使用而不是远程管理防火墙。
4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如何进行口令变更?
1.2变化控制
1.防火墙配置文件是否备份?
如何进行配置同步?
2.改变防火墙缺省配置。
3.是否有适当的防火墙维护控制程序?
4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁,确保补丁的来源可靠。
5.是否对防火墙进行脆弱性评估/测试?
(随机和定期测试)
1.3规则检查
1.防火墙访问控制规则集是否和防火墙策略一致?
应该确保访问控制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。
2.防火墙访问控制规则是否有次序性?
是否将常用的访问控制规则放在前面以增加防火墙的性能?
评估防火墙规则次序的有效性。
防火墙访问控制规则集的一般次序为:
✧反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地址)
✧用户允许规则(如,允许到公网服务器)
✧管理允许规则
✧拒绝并报警(如,向管理员报警可疑通信)
✧拒绝并记录(如,记录用于分析的其它通信)
防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。
3.防火墙访问控制规则中是否有保护防火墙自身安全的规则
4.防火墙是否配置成能抵抗攻击?
5.防火墙是否阻断下述欺骗、私有(1918)和非法的地址
✧标准的不可路由地址(255.255.255.255、127.0.0.0)
✧私有(1918)地址(10.0.0.0–10.255.255.255、172.16.0.0–172.31..255.255、192.168.0.0–192.168.255.255)
✧保留地址(224.0.0.0)
✧非法地址(0.0.0.0)
6.是否确保外出的过滤?
确保有仅允许源是内部网的通信通过而源不是内部网的通信被丢弃的规则,并确保任何源不是内部网的通信被记录。
7.是否执行,配置是否适当?
任何和外网有信息交流的机器都必须经过地址转换()才允许访问外网,同样外网的机器要访问内部机器,也只能是其经过后的,以保证系统的内部地址、配置和有关的设计信息如拓扑结构等不能泄露到不可信的外网中去。
8.在适当的地方,防火墙是否有下面的控制?
如,过滤、端口阻断、防欺骗、过滤进入的或、防病毒等。
9.防火墙是否支持“拒绝所有服务,除非明确允许”的策略?
1.4审计监控
1.具有特权访问防火墙的人员的活动是否鉴别、监控和检查?
对防火墙的管理人员的活动,防火墙应该有记录,并要求记录不能修改,以明确责任,同时能检查对防火墙的变化。
2.通过防火墙的通信活动是否日志?
在适当的地方,是否有监控和响应任何不适当的活动的程序?
确保防火墙能够日志,并标识、配置日志主机,确保日志安全传输。
管理员通过检查日志来识别可能显示攻击的任何潜在模式,使用审计日志可以监控破坏安全策略的进入服务、外出服务和尝试访问。
3.是否精确设置并维护防火墙时间?
配置防火墙使得在日志记录中包括时间信息。
精确设置防火墙的时间,使得管理员追踪网络攻击更准确。
4.是否按照策略检查、回顾及定期存档日志,并存储在安全介质上?
确保对防火墙日志进行定期存储并检查,产生防火墙报告,为管理人员提供必需的信息以帮助分析防火墙的活动,并为管理部门提供防火墙效率情况。
1.5应急响应
1.重大事件或活动是否设置报警?
是否有对可以攻击的响应程序?
如适当设置入侵检测功能,或者配合使用(入侵检测系统),以防止某些类型的攻击或预防未知的攻击。
2.是否有灾难恢复计划?
恢复是否测试过?
评估备份和恢复程序(包括持续性)的适当性,考虑:
对重要防火墙的热备份、备份多长时间做一次、执行备份是否加密、最近成功备份测试的结果等。
2交换机
2.1交换机配置文件是否离线保存、注释、保密、有限访问,并保持与运行配置同步
2.2是否在交换机上运行最新的稳定的版本
2.3是否定期检查交换机的安全性?
特别在改变重要配置之后。
2.4是否限制交换机的物理访问?
仅允许授权人员才可以访问交换机。
2.51中不允许引入用户数据,只能用于交换机内部通讯。
2.6考虑使用,隔离一个中的主机。
2.7考虑设置交换机的,陈述“未授权的访问是被禁止的”。
2.8是否关闭交换机上不必要的服务?
包括:
和小服务、、等。
2.9必需的服务打开,是否安全地配置这些服务?
。
2.10保护管理接口的安全
2.11所有不用的端口。
并将所有未用端口设置为第3层连接的。
2.12加强、、等端口的安全。
2.13将密码加密,并使用用户的方式登陆。
2.14使用代替,并设置强壮口令。
无法避免时,是否为的使用设置了一些限制?
2.15采用带外方式管理交换机。
如果带外管理不可行,那么应该为带内管理指定一个独立的号。
2.16设置会话超时,并配置特权等级。
2.17使失效,即,不使用浏览器配置和管理交换机。
2.18如果使用,建议使用2,并使用强壮的。
或者不使用时,使失效。
2.19实现端口安全以限定基于地址的访问。
使端口的失效。
2.20使用交换机的端口映像功能用于的接入。
2.21使不用的交换机端口失效,并在不使用时为它们分配一个号。
2.22为端口分配一个没有被任何其他端口使用的号。
2.23限制能够通过传输,除了那些确实是必需的。
2.24使用静态配置。
2.25如果可能,使失效。
否则,为设置:
管理域、口令和。
然后设置为透明模式。
2.26在适当的地方使用访问控制列表。
2.27打开功能,并发送日志到专用的安全的日志主机。
2.28配置使得包括准确的时间信息,使用和时间戳。
2.29依照安全策略的要求对日志进行检查以发现可能的事件并进行存档。
2.30为本地的和远程的访问交换机使用特性。
3路由器
1.是否有路由器的安全策略?
明确各区域的安全策略
●物理安全
设计谁有权安装、拆除、移动路由器。
设计谁有权维护和更改物理配置。
设计谁有权物理连接路由器
设计谁有权物理在端口连接路由器
设计谁有权恢复物理损坏并保留证据
●静态配置安全
设计谁有权在端口登录路由器。
设计谁有权管理路由器。
设计谁有权更改路由器配置
设计口令权限并管理口令更新
设计允许进出网络的协议、地址
设计日志系统
限制的管理权限
定义管理协议(,,,)与更新时限
定义加密密钥使用时限
●动态配置安全
识别动态服务,并对使用动态服务作一定的限制
识别路由器协议,并设置安全功能
设计自动更新系统时间的机制()
如有,设计使用的密钥协商和加密算法
●网络安全
列出允许和过滤的协议、服务、端口、对每个端口或连接的权限。
●危害响应
列出危害响应中个人或组织的注意事项
定义系统被入侵后的响应过程
收集可捕获的和其遗留的信息
●没有明确允许的服务和协议就拒绝
2.路由器的安全策略的修改
●内网和外网之间增加新的连接。
●管理、程序、和职员的重大变动。
●网络安全策略的重大变动。
●增强了新的功能和组件。
()
●察觉受到入侵或特殊的危害。
3.定期维护安全策略
访问安全
1.保证路由器的物理安全
2.严格控制可以访问路由器的管理员
3.口令配置是否安全
534242w
4.使路由器的接口更安全
5.使路由器的控制台、辅助线路和虚拟终端更安全
控制台
#t
..
()#0
()#
()#
()#50
()#
()#
设置一个用户
()#1g0055w0
()#
#
关闭辅助线路
#t
..
()#0
()#
()#
()#01
()#
()#
关闭虚拟终端
#t
..
()#90
()#90
()#04
()#90
()#
()#
()#01
()#
()#
#
访问列表
1.实现访问列表及过滤
●拒绝从内网发出的源地址不是内部网络合法地址的信息流。
()#102
()#102ip14.2.6.00.0.0.255
()#102
()#0/1
()#""
()#14.2.6.250255.255.255.0
()#102
●拒绝从外网发出的源地址是内部网络地址的信息流
●拒绝所有从外网发出的源地址是保留地址、非法地址、广播地址的信息流
()#100
()#100ip14.2.6.00.0.0.255
()#100127.0.0.00.255.255.255
()#100ip10.0.0.00.255.255.255
()#100ip0.0.0.00.255.255.255
()#100172.16.0.00.15.255.255
()#100192.168.0.00.0.255.255
()#100192.0.2.00.0.0.255
()#100169.254.0.00.0.255.255
()#100224.0.0.015.255.255.255
()#100255.255.255.255
()#10014.2.6.00.0.0.255
()#0/0
()#""
()#14.1.1.20255.255.0.0
()#100
()#
()#0/1
()#""
()#14.2.6.250255.255.255.0
()#
入路由器外部接口阻塞下列请求进入内网的端口。
1(&)
7(&)
9(&)
11()
13(&)
15()
19(&)
37(&)
43()
67()
69()
93()
111(&)
135(&)
137(&)
138(&)
139(&)
177()
445()()
512()
515()
517()
518()
540()
1900,5000(&)
2049()
6000-6063()X
6667()
12345()
12346()
31337(&)
161(&)
162(&)
513()
513()
514(),,,
514()
2.关闭路由器上不必要的服务(可运行命令显示)
3.是否过滤通过路由器的通信?
1)是否设置地址欺骗保护?
2)是否设置漏洞保护()?
功击
设置在的外网口,只允许从内部建立连接
()#10614.2.6.00.0.0.255
()#106
()#0/0
()#""
()#106
只允许到达可达用户
()#10014.1.1.2014.1.1.20
()#100
()#0/0
()#14.1.0.0/16
()#14.1.1.20255.255.0.0
()#100
()#
不允许向内部网络发送广播包
()#11014.2.6.255
()#11014.2.6.0
()#0/0
()#110
()#
和功能的设置
禁止内网
()#100
()#100
()#100
()#10014.2.6.00.0.0.255
()#1003340034400
允许外网
()#102
()#102
()#102
()#102
()#102
()#1023340034400
()
17027665
17031335
17027444
!
17016660
17065000
!
3
17033270
17039168
!
17067116712
1706776
1706669
1702222
1707000
4.是否过滤访问路由器自身的通信?
路由协议安全
协议、、、、、
1.:
2..
3..
4..
建议:
1.小型网络应用静态路由
#t
..
()#14.2.6.0255.255.255.014.1.1.20120
()#
#
2.使用动态路由设置带权限的路由信息更新。
#t
..
()#1
()#14.1.0.00.0.255.2550
()#0
()#
()#0/1
()#15r04
()#
#
#t
..
()#1
()#0
()#14.1.0.00.0.255.2550
()#14.2.6.00.0.0.2550
()#
()#0
()#15r04
()#
2支持此功能
#t
..
()#
()#1
()#
()#
()#2
()#
()#
#
#t
..
()#
()#1
()#
()#
()#2
()#
()#
#t
..
()#0/1
()#
()#5
()#
#
#t
..
()#0/0
()#
()#5
()#
#
#t
.
()#100
()#14.1.0.0255.255.0.0
()#
()#0/1
()#1005
()#100
()#
()#
()#1
()#
()#00:
00:
0012002
00:
00:
0012003
()#00:
00:
0012002
00:
00:
0072003
()#
#
#t
..
()#100
()#14.1.0.0255.255.0.0
()#14.2.6.0255.255.255.0
()#1
()#
()#0
()#1005
()#100
()#
()#
()#1
()#
()#00:
00:
0012002
00:
00:
0012003
()#00:
00:
0012002
00:
00:
0072003
()#
#
关闭功能
#t
..
()#0/0
()#
()#
()#0/1
()#
()#
(被动态接口)
1#
.
.
0
14.1.0.0
14.1.15.250255.255.0.0
!
1
14.2.0.0
14.2.13.150255.255.0.0
!
2
14.3.0.0
14.3.90.50255.255.0.0
!
1
14.0.0.00.0.0.2550
2
说明只在1、2上运行协议。
在2上禁止
#t
..
()#
()#0/0
()#
#
#t
..
()#5514.2.10.00.0.0.255
()#55
()#
#
#t
..
()#1
()#55
()#
#
协议
#t
..
()#5514.2.10.00.0.0.255
()#55
()#
()#55
()#
#
5
#t
..
()#26625
()#14.2.0.25027701
()#14.2.0.250r04
()#
#
7#t
..
7()#27701
7()#14.2.0.2026625
7()#14.2.0.20r04
7()#
7#
管理路由器
1.设置管理路由器的登录机制。
●在专用的管理子网
●只允许本地固定管理路由器
●管理路由器的主机与路由器间的信息加密(使用)
2.更新路由器
只有在下列情况下更新路由器
●修复安全脆弱性
●增加新的功能
●增加内存
●设置和测试管理主机和路由器间的文件传输能力
●按计划停止运行路由器和网络
重启后
●关停端口
●备份配置文件
●安装新的配置文件
日志审计
1.日志访问列表中端口是否正确
2.设置日志,并标识、配置日志主机
3.精确设置并维护路由器时间
4.按照策略定期检查、分析并存档日志
4入侵检测
1.配置产品安全策略
策略包括需要保护对象的优先顺序、规定谁可以对产品进行配置管理、以及根据操作系统、应用服务或部署位置等来制定的检测策略。
2.定期维护安全策略
的安全策略应该是活动的,当环境发生变化时,安全策略应该改变,并应该通知相关人员。
3.将产品(传感器和管理器)放置在一个环境安全且可控的区域,以保证产品的物理安全
4.安全地配置装有的主机系统
5.配置文件离线保存、注释、有限访问,并保持与运行配置同步。
6.使用产品的最新稳定版本或补丁。
7.保持产品的最新的签名数据库。
8.定期检查产品自身的安全性,特别在改变重要配置之后。
9.对管理用户进行权限分级,并对用户进行鉴别。
要求不同权限级别的用户应该具有相应的技术能力(掌握信息安全知识)及非技术能力(责任心、管理能力、分析能力等)。
10.口令配置安全
例如,使用难以猜测的口令、限制知晓范围、重要员工辞职时更换口令。
11.精确设置并维护时间(生产系统变更窗口)。
12.在发生报警时,能进行快速响应
对于报警事件,应该首先进行分析,判断事件是攻击事件还是正常事件,然后对攻击事件进行处理。
13.当非法入侵行为时,有相应的处理措施
14.管理员的日常工作
1)定时检查传感器和管理器连接状态。
(每天至少两次)
2)定时查看管理器的日志,并检查近期日志同步是否成功。
(每天一次)
3)定期对数据库进行维护,检查记录数和文件大小?
。
每周两次)
4)经常检查事件报警,查看是否有入侵事件的发生。
(不定时的)
5)定时导出最近的事件报表,进行事后的详细分析,以确定是否存在可疑的网络攻击行为。
(每天一次)
6)定期检查传感器是否正常运行。
(一周两次)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全管理 制度 网络安全 设备 配置 规范
![提示](https://static.bdocx.com/images/bang_tan.gif)