XX公司
2010年12月
项目编号:
测评等级:二级
测评指导书适用范围:
Cisco ASA 5500 系列设备,IOS系统版本高于7.0
版本:Ver1.0
一、 测评对象
| 名称 | 型号 | 对象分类 | 说明 |
| Cisco自适应安全设备 | Cisco ASA 5520 | 产品类 |
网络安全:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护
三、测评实施
| 类别 | 测评项 | 实施过程 | 预期结果 | 说明 |
| 结构安全 | a、设备的业务处理能力具备冗余空间,满足业务高峰期需要 | Show cpu 查看CPU使用率; show memory查看内存使用情况; show resource usage all查看会话连接数情况。 | CPU、内存使用率不超过50%,conn会话数不超过最大值70%; | |
| b、应保证网络各个部分的带宽满足业务高峰期需要 | show interface gigabitEthernet 0/X查看端口工作信息,判断端口的流量状况,如: 5 minute input rate 1729 pkts/sec, 94488 bytes/sec 5 minute output rate 3884 pkts/sec, 4987242 bytes/sec | 计算得出的值应小于带宽值的70% | ||
| c、应绘制与当前运行情况相符的网络拓扑结构图; | 检查网络拓扑图看是否当前允许情况一致 | 网络拓扑图与当前允许情况一致 | ||
| d、应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段 | show running-config查看各个接口是否配置IP地址; show interface gigabitEthernet 0/X查看端口工作是否正常 | 针对不同业务接口配置不同网段; 各个接口工作状态正常,收发包数量在合理范围内 | ||
| 访 问 控 制 | a、应在网络边界部署访问控制设备,启用访问控制功能 | show access-list查看是否配置访问控制列表 | 部署有访问控制列表,控制网络间的网络访问 | |
| b、应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级 | show running-config查看配置有NAT地址转换配置; show access-list每条策略是否有明确的源IP、目的IP及协议等 | 配置有NAT配置; 每条策略有明确的源IP、目的IP、协议及端口 | ||
| c、应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户 | show access-list查看是否配置访问控制列表 | 部署有访问控制列表,控制各个网段间的网络访问 | ||
| d、应具有拨号访问权限的用户数量 | show version查看系统的授权信息; show running-config查看系统配置信息,确认拨号用户数的数量配置 | 通过配置拨号用户获得IP地址的数量来用户数 | ||
| 安全审计 | a、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录 | Show logging; Show local-host; show resource usage all; show cpu; show menory Show nat或者通过ASDM登陆ASA设备查看相关信息 | 能查看系统运行状况,系统保留日志及用户行为记录,以及系统的运行状况 | |
| b、审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 | Show logging; Show local-host; show resource usage all; | 能查看系统运行状况,系统保留日志及用户行为记录,以及系统的运行状况 | ||
| 边 界 完 整 性 检 查 | a、应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查 | 此设备不具备此功能,此项为不适应项 | ||
| 恶 意 代 码 防 范 | a、应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等 | 通过端口扫描工具等测试工具判断此项 | 能监视端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击功能 | |
| 网 络 设 备 防 护 | a、应对登录网络设备的用户进行身份鉴别 | show running-config 查看用户名密码机认证配置如:username admin password fMQ/rjnxl9Vwe9mv encrypted privilege 15; aaa authentication telnet console LOCAL aaa authentication ssh console LOCAL aaa authentication enable console LOCAL | 有配置用户名及密码,对console、telnet、ssh、web已开启认证 | |
| b、应对网络设备的管理员登录地址进行 | show access-lis查看是否有控制列表对管理员登陆进行控制; show run telnet 0.0.0.0 0.0.0.0 inside ssh 0.0.0.0 0.0.0.0 Outside | 确定有控制列表或登陆设置对登陆的地址进行 | ||
| c、网络设备用户的标识应唯一 | Show run 查看系统配置 | 确认设备用户的标识是唯一 | ||
| d、身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换 | 通过访谈检查设备的用户、口令信息及是否定期更换Show run 查看系统配置 | 用户名口令复杂度高,密码定期更换 | ||
| e、应具有登录失败处理功能,可采取结束会话、非法登录次数和当网络登录连接超时自动退出等措施 | 登陆测试 | 登录失败时系统采取结束会话、非法登录次数和当网络登录连接超时自动退出 | ||
| f、当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听 | Show run查看配置是否开启ssh,如 aaa authentication ssh console LOCAL | 配置中有此项配置 |
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
