天融信信息安全等保中心編號：測評指導書《信息系統安全等級保護基本要求》基礎網絡安全-通用網絡設備-第三級V1.0天融信信息安全等保中心天融信信息安全等保中心1、測評對象對象名稱及IP地址 備注（測評地點及環境等）2、入場確認序號 確認內容測評對象中的關鍵數據已備份。如果沒有備份則不進行測評測評對象工作正常。如工作異常則不進行測評。開始時確認簽字間3、離場確認序號 確認內容測評工作未對測評對象造成不良影響，測評對象工作正常。結束時間

確認簽字天融信信息安全等保中心序號 類別 測評項a)應在網絡邊界部署訪問控制設備，啟用訪問控制功能；訪問控制設備應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；應對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、1 訪問控制POP3等協議命令級的控制；應在會話處于非活躍一定時間或會話結束后終止網絡連接；應限制網絡最大流量數及網絡連接數；

測評實施檢查：檢查網絡拓撲結構和相關交換機配置，查看是否在交換機上啟用了訪問控制功能。輸入命令 showaccess-lists檢查配置文件中是否存在以下類似配置項ipaccess-list1denyx.x.x.x檢查：輸入命令 shourunning，檢查訪問控制列表的控制粒度是否為端口級，如access-list101permitudpany55eq21檢查：檢查防火墻或IPS安全策略是否對重要數據流啟用應用層協議檢測、過濾功能。訪談：訪談系統管理員，是否在會話處于非活躍一定時間或會話結束后終止網絡連接；檢查：輸入命令showrunning，查看配置中是否存在命令設定管理會話的超時時間：linevty04exec-timeoutxx檢查：1）在網絡出口和核心網絡處的交換機是否配置了網絡最大流量數及網絡連接數；2）是否有專用的流量控制設備限制網絡最大流量數及網絡連接數。

預期結果 符合情況交換機啟用了訪問控制功能，根據需要配置了訪問控制列表。根據會話狀態信息為數據流提供了明確的訪問控制策略，控制粒度為端口級。防火墻或IPS開啟了重要數據流應用層協議檢測、過濾功能，可以對應用層HTTP、FTP、TELNET、SMTP、POP3等協議進行控制。1）會話處于非活躍一定時間或會話結束后，交換機會終止網絡連接；2）交換機配置中存在會話超時相關配置。1）網絡出口和核心網絡處的交換機配置了合理QOS策略，優化了網絡最大流量數；2）通過專用的流量控制設備限制網絡最大流量數及網絡連接數。天融信信息安全等保中心序號 類別 測評項重要網段應采取技術手段防止地址欺騙；應按用戶和系統之間的允許訪問規則，定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶；應限制具有撥號訪問權限的用戶數量。應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；

測評實施檢查：是否通過 IP/MAC 綁定手段防止地址欺騙，輸入命令 showrunning，檢查配置文件中是否存在 arp綁定配置：arpx.x.x.xx.x.x.x檢查：決 1）是否針對單個遠程撥號用戶或 VPN用戶訪問受控資源進行了有效控制；2）以撥號或VPN等方式接入網絡的，是否采用強認證方式。檢查：是否限制具有遠程訪問權限的用戶數量。檢查：1）網絡系統中的交換機是否開啟日志記錄功能；輸入showlogging命令，檢查Sysloglogging進程是否為enable狀態；2）是否對交換機的運行狀況、網絡流量進行監控和記錄。

預期結果 符合情況1）通過配置命令進行IP/MAC地址綁定防止地址欺騙；2）通過專用軟件或設備進行IP/MAC地址綁定防止地址欺騙。1）對單個遠程撥號用戶或VPN用戶訪問受控資源進行了有效控制；2）通過撥號或VPN等方式接入網絡時，采用了強認證方式（證書、KEY等）。限制了具有遠程訪問權限的用戶數量。1）交換機開啟了日志記錄功能，命令showlogging的輸出配置中顯示：Sysloglogging:enabled2）對交換機的運行狀況、網絡流量進行監控和記錄（巡檢記錄或第三方監控軟件）。審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計安全審計相關的信息；應能夠根據記錄數據進行分析，并生成審計報表；應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。

檢查：查看日志內容，是否包括事件的日期和時間、設備管理員操作行為、 事件類型等信息。檢查：查看如何實現審計記錄數據的分析和報表生成。檢查：1）檢查對審計記錄監控和保護的措施。例如：通過專用日志服務器或存儲設備對審計記錄進行備份，并避免對審計記錄未預期的修改、刪除或覆蓋；

日志內容包括事件的日期和時間、設備管理員操作行為、事件類型等信息。定期對審計記錄數據進行分析并生成紙質或電子的審計報表。1）設置了交換機日志服務器地址，交換機日志發送到安全的日志服務器或第三方審計設備；2、由專人對審計記錄進行管理，避免審計記錄受到未預期的刪除、 修改天融信信息安全等保中心序號 類別 測評項應對登錄網絡設備的用戶進行身份鑒別；應對網絡設備的管理員登錄地址進行限制；網絡設備3防護網絡設備用戶的標識應唯一；主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；應具有登錄失敗處理功能，可采取結束

測評實施2）輸入命令 showrunning檢查配置文件中是否存在類似如下配置項loggingx.x.x.x訪談、檢查：1）訪談設備管理員，詢問登錄設備的身份標識和鑒別機制采用何種措施實現；2）登錄交換機，查看是否提示輸入用戶口令，然后以正確口令登錄系統，再以錯誤口令或空口令重新登錄，觀察是否成功。檢查：輸入命令 showrunning，查看配置文件里是否存在類似如下配置項限制管理員登錄地址：access-list1permitx.x.x.xlinevty04access-class1in檢查：1）檢查交換機標識是否唯一；2）檢查同一交換機的用戶標識是否唯一；3）檢查是否不存在多個人員共用一個賬號的現象。訪談：訪談采用了何種鑒別技術實現雙因子鑒別，并在網絡管理員的配合下驗證雙因子鑒別的有效性。訪談、檢查：1）訪談交換機管理員,詢問用戶口令是否滿足復雜性要求；2）檢查配置文件中口令是否加密存儲。訪談：訪談設備管理員， 交換機是否設置了登錄失

預期結果 符合情況或覆蓋。1）交換機使用口令鑒別機制對登錄用戶進行身份標識和鑒別；2）登錄時提示輸入用戶名和口令；以錯誤口令或空口令登錄時提示登錄失敗，驗證了登錄控制功能的有效性；3）交換機中不存在密碼為空的用戶。配置了合理的訪問控制列表限制對交換機進行登錄的管理員地址。1）交換機標識唯一；2）同一交換機的用戶標識唯一；3）不存在多個人員共用一個賬號的現象。用戶的認證方式選擇兩種或兩種以上組合的鑒別技術，只用一種技術無法認證成功。1）交換機用戶口令長度不小于 8位，由字母、數字和特殊字符構成，并定期更換；2）在配置文件中， 口令為加密存儲。1）以錯誤的口令登錄交換機，嘗試次數超過閥值，交換機自動斷開連接天融信信息安全等保中心序號 類別 測評項會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施；g)當對網絡設備進行遠程管理時， 應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽；應實現設備特權用戶的權限分離。為規范保安工作，使保安工作系統化 /規范化,最終使保安具備滿足工作需要的知識和技能，特制定本教學教材大綱。

測評實施敗處理功能。檢查：在允許的情況下， 根據使用的登錄失敗處理方式，采用如下測試方法進行測試：a)以錯誤的口令登錄交換機，觀察反應；當網絡登錄連接超時時，觀察連接終端反應。訪談：詢問設備管理員，是否采用了安全的遠程管理方法。檢查：輸入命令 showrunning查看配置文件中是否存在類似如下配置項 :linevty04transportinputssh訪談、檢查：1）訪談設備管理員，是否實現了特權用戶的權限分離；2）輸入命令 showrunning，檢查配置文件中是否存在類似如下配置項：usernamecisco1privilege0password0ciscousernamecisco1privilege15password0cisco3）檢查是否部署了日志服務器對管理員的操作進行審計記錄；4）審計記錄是否有專人管理，非授權用戶是否無法進行操作。物業安保培訓方案

預期結果 符合情況或鎖定一段時間；2）正常登錄交換機后不做任何操作，超過設定的超時時間后，登錄連接自動退出。1）使用SSH協議對交換機進行遠程管理；2）沒有采用明文的傳輸協議對交換機進行遠程管理；3）采用第三方管理工具保證遠程管理的鑒別信息保密。1）實現了交換機特權用戶的權限分離，不同類型的賬號擁有不同權限；2）部署了專用日志服務器對管理員的操作進行審計并記錄；3）審計記錄有專人管理，非授權用戶無法進行操作。一、課程設置及內容 全部課程分為專業理論知識和技能訓練兩大科目。天融信信息安全等保中心其中專業理論知識內容包括：保安理論知識、消防業務知識 、職業道德、法律常識、保安禮儀、救護知識。作技能訓練內容包括：崗位操作指引、勤務技能、消防技能、軍事技能。二．培訓的及要求培訓目的1）保安人員培訓應以保安理論知識、消防知識、法律常識教學為主，在教學過程中，應要求學員全面熟知保安理論知識及消防專業知識，在工作中的操作與運用，并基本掌握現場保護及處理知識 2）職業道德課程的教學應根據不同的崗位元而予以不同的內容，使保安在各自不同的工作崗位上都能養成具有本職業特點的良好職業道德和行為規范）法律常識教學是理論課的主要內容之一，要求所有保安都應熟知國家有關法律、法規，成為懂法、知法、守法的公民，運用法律這一有力武器與違法犯罪分子作斗爭。工作入口門衛守護，定點守衛及區域巡邏為主要內容，在日常管理和發生突發事件時能夠運用所學的技能保護公司財產以及自身安全。2、培訓要求1）保安理論培訓通過培訓使保安熟知保安工作性質、地位、任務、及工作職責權限，