1、测评中心 控制编号:BJ-4122-08 / 修改记录:第 0 次 编号:BC-2012-1019/19重要信息系统安全等级测评现 场 检 测 表被测单位名称: 被测系统名称:测试对象编号:测试对象名称:配合人员签字:测试人员签字:核实人员签字:测试日期:测评中心现场检测表(BC-2012-1019)第 2 页 共 6 页测试类别 等级测评(二级)测试对象测 试 类 网络安全测 试 项 安全审计测试要求:1. 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;2. 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。测试内容:1. 应访谈安全审
2、计员,询问边界和关键网络设备是否开启审计功能,审计内容包括哪些项;询问审计记录的主要内容有哪些;2. 应检查边界和关键网络设备,查看其审计策略是否包括网络设备运行状况、网络流量、用户行为等;3. 应检查边界和关键网络设备,查看其事件审计记录是否包括:事件的日期和时间、用户、事件类型、事件成功情况及其他与审计相关的信息。测试记录:1. 入侵检测设备是否启用系统日志功能? 否 是2. 网络中是否部署网管软件? 否 是,软件名称为:_3. 日志记录是否包括设备运行状况、网络流量、用户行为等? 否 是4. 日志审计内容包括: 时间 类型 用户 事件类型 事件是否成功 其他_备注:现场检测表(BC-20
3、12-1019)第 3 页 共 6 页测试类别 等级测评(二级)测试对象测 试 类 网络安全测 试 项 入侵防范测试要求:1) 能在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、 拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击、网络蠕虫攻击等入侵事件的发生。测试内容:1) 访谈安全管理员,询问网络入侵防范措施有哪些;询问是否有专门设备对网络入侵进行防范;2) 评测网络入侵防范设备,查看是否能检测以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等; 3) 评测网络入侵防范设备,查看其规则库是否为最新; 4) 测试网络入侵防范设
4、备,验证其检测策略是否有效。测试记录:1. 查看入侵检测设备检测的攻击行为是否包含以下类别? 端口扫描 强力攻击 木马后门攻击 拒绝服务攻击 缓冲区溢出攻击 IP 碎片攻击 网络蠕虫攻击 其他_2. 查看入侵检测系统的规则库是否为最新? 否 是,最后更新时间:_3. 入侵检测系统是否启用了相应的检测规则? 否 是4. 入侵检测系统是否对检测到的行为进行日志记录: 否 是,记录保存时间(多长):_备注:现场检测表(BC-2012-1019)第 4 页 共 6 页测试类别 等级测评(二级)测试对象测 试 类 网络安全测 试 项 网络设备防护测试要求:1. 应对登录网络设备的用户进行身份鉴别;2.
5、应对网络设备的管理员登录地址进行限制;3. 网络设备用户的标识应唯一;4. 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;5. 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;6. 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。测试内容:1. 应访谈网络管理员,询问边界和关键网络设备的防护措施有哪些;询问边界和关键网络设备的登录和验证方式做过何种配置;询问远程管理的设备是否采取措施防止鉴别信息被窃听;2. 应访谈网络管理员,询问网络设备的口令策略是什么;3. 应检查边界和关键网络设备,查看是否配置了
6、对登录用户进行身份鉴别的功能,口令设置是否有复杂度和定期修改要求;4. 应检查边界和关键网络设备,查看是否配置了鉴别失败处理功能;5. 应检查边界和关键网络设备,查看是否配置了对设备远程管理所产生的鉴别信息进行保护的功能;6. 应检查边界和关键网络设备,查看是否对网络设备管理员登录地址进行限制;7. 应对边界和关键网络设备进行渗透测试,通过使用各种渗透测试技术对网络设备进行渗透测试,验证网络设备防护能力是否符合要求。现场检测表(BC-2012-1019)第 5 页 共 6 页测试记录:1. 登录入侵检测设备是否为默认账号及口令? 否 是,账号/口令为: _2. 是否对远程管理入侵检测设备的登录
7、地址进行限制,避免未授权的访问? 否 是,地址为:_3. 是否为每名管理员设置一个单独的账户,防止多人共用一个账户,实行分账户管理? 否 是4. 防止入侵检测设备身份鉴别信息被冒用的措施有: 令牌 认证服务器 口令 口令组成: 数字 字母 特殊字符 口令长度:_位 更改周期:_ 其它_5. 入侵检测设备登录失败处理功能包括: 无 结束会话 限制非法登录次数,次数为:_次 其他措施_6. 入侵检测设备是否配置登录超时时间? 否 是,时长为_秒备注:现场检测表(BC-2012-1019)第 6 页 共 6 页测试类别 等级测评(二级)测试对象测 试 类 数据安全测 试 项 备份和恢复测试要求:1
8、应能够对重要信息进行备份和恢复;2 应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性。测试内容:1 应访谈网络管理员,询问是否对网络设备中的配置文件进行备份,备份策略是什么;当其受到破坏时,恢复策略是什么;是否提供关键网络设备、通信线路的硬件冗余;2 应访谈系统管理员,询问是否对操作系统中的重要信息进行备份,备份策略是什么;当其受到破坏时,恢复策略是什么;是否提供关键服务器的硬件冗余;3 应访谈数据库管理员,询问是否对数据库管理系统中的关键数据进行备份,备份策略是什么;当其受到破坏时,恢复策略是什么;4 应访谈安全管理员,询问是否对应用系统中的应用程序进行备份,备份策略是什么;当其受到破坏时,恢复策略是什么;5 应检查关键主机操作系统、关键网络设备、关键数据库管理系统和关键应用系统,查看其是否提供备份和恢复功能,其配置是否正确,并且查看其备份结果是否与备份策略一致;6 应检查关键网络设备、通信线路和服务器是否提供硬件冗余。测试记录:1 是否备份入侵检测设备配置文件? 否 是备份策略:_备份方式:_备份介质是否场外存放? 否 是2 入侵检测设备是否提供硬件或线路冗余? 否 是备注:
