西南科技大学计算机科学与技术学院 实验报告 实 验 名 称 交换机安全测评及加固 实 验 地 点 实 验 日 期 指 导 教 师 学 生 班 级 学 生 姓 名 学 生 学 号 提 交 日 期 2015年3月信息安全系制
一、实验目的
通过对交换机进行安全测评和安全加固,掌握交换机安全测评方案的设计、安全测评实施及结果分析;了解安全加固的方法。
二、实验题目
根据《信息系统安全等级保护基本要求》的第三级基本要求,按照实验指导书中的示范,对交换机进行安全测评,安全等级为三级。
三、实验设计
应从结构安全、访问控制、 安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护这七个方面入手,按照《信息系统安全等级保护基本要求》的第三级基本要求进行测评,重点查看交换机中的各项配置信息,密码等设置是否符合要求。
结构安全(G3)
c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径; 看主机所用的路由器是静态路由还是动态路由。静态路由是管理员手工配置的,动态路由是路由器动态建立的,为了保证网络安全,应添加认证功能。
此外,采用内部路由和外部路由。对于外部路由要进行验证,例如ospf协议要进行验证,对于内部路由要按照访问路径进行访问,可以tracert一下,检查是否按照设计的路径进行访问。
f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
针对大型的网络,采用动态路由,对进出各区域的路由进行控制(特别在不同动态路由协议之间的重分布<如OSPF,EIGRP等之间>,路由过滤,路径选择等控制),允许必要的外部路由进入,允许向外通告内部路由。可通过询问管理员的方式看是否采用了隔离手段。
g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
对数据包进行过滤和流量控制。
访问控制(G3)
c) 应对进出网络的信息内容进行过滤,实现对应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制;
询问系统管理员是否对进出网络的信息内容进行过滤。
d) 应在会话处于非活跃一定时间或会话结束后终止网络连接; 使会话处于非活跃一定时间或会话结束后看是否终止网络连接。
e) 应限制网络最大流量数及网络连接数;
打开防火墙,查看网络是否限制了上行和下行的带宽,以及容许连接的最大值。
f) 重要网段应采取技术手段防止地址欺骗; 方法:重要网段绑定MAC地址和IP地址。
安全审计(G3)
c) 应能够根据记录数据进行分析,并生成审计报表; 查看日志系统。
d) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。 查看日志系统的读、写、可执行的权限。
边界完整性检查(S3)
本项要求包括:
a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。 手段:访问网络管理员,询问采用了何种技术手段或管理措施对“非法外联”行为进行检查,以及对非授权设备私自联到内部网络的行为进行检查。在网络管理员配合下验证其有效性。
入侵防范(G3)
b) 当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
询问管理员是否有报警措施。
恶意代码防范(G3)
a) 应在网络边界处对恶意代码进行检测和清除; 查看防火墙设置,是否安装杀毒软件。
b) 应维护恶意代码库的升级和检测系统的更新。
查看是否安装杀毒软件,杀毒软件版本是否是最新。查看系统版本信息。
网络设备防护(G3)
d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别; 重新启动设备,查看登录设备所需的条件。(即是否进行认证,认证方法有几种)
h) 应实现设备特权用户的权限分离。
信息安全测评实验二
