【正文】 是否存在路由協(xié)議認(rèn)證：show runningconfig display currentconfiguration 查看vlan劃分情況： show vlan display vlan all（S3）a) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷；（技術(shù)手段:網(wǎng)絡(luò)接入控制、關(guān)閉網(wǎng)絡(luò)未使用的端口、ip/mac地址綁定；管理措施：進(jìn)入機(jī)房全程陪同、紅外視頻監(jiān)控）b) 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷。 不同vlan內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的。如果使用動(dòng)態(tài)路由協(xié)議應(yīng)配置使用路由協(xié)議認(rèn)證 功能，保證網(wǎng)絡(luò)路由安全。動(dòng)態(tài)路由機(jī)制的運(yùn)作依賴路由的兩個(gè)基本功能：對路由表的維護(hù)和路由器之間適時(shí)的路由信 息交換。（檢查防火墻是否存在策略帶寬配置）注釋： 1）靜態(tài)路由是指由網(wǎng)絡(luò)管理員手工配置的路由信息，當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或鏈路的狀態(tài)發(fā) 生變化 時(shí)，網(wǎng)絡(luò)管理員需要手工修改路由表中相關(guān)的靜態(tài)路由信息。第1章 網(wǎng)絡(luò)安全測評網(wǎng)絡(luò)全局（G3）a) 應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；b) 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；c) 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；（靜態(tài)動(dòng)態(tài)路由、動(dòng)態(tài)路由協(xié)議認(rèn)證功能。）ospf開放最短路徑優(yōu)先）d) 應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；e) 應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；（VLAN劃分）f) 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；（在網(wǎng)絡(luò)邊界處部署：防火墻、網(wǎng)閘、或邊界網(wǎng)絡(luò)設(shè)備配置并啟用acl）g) 應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。 2）動(dòng)態(tài)路由是指路由器能夠自動(dòng)地建立自己的路由表，并且能夠根據(jù)實(shí)際情況的變化適時(shí)的進(jìn)行調(diào) 整。路由器之間的信息交換是基于路由協(xié)議實(shí)現(xiàn)的，如ospf路由協(xié)議是一種典型的鏈路狀態(tài) 路由協(xié)議，它通過路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)，來建立鏈路狀態(tài)數(shù)據(jù)庫，生成最短路徑樹， 每個(gè)ospf路由器使用這寫最短路徑構(gòu)造路由表。 3）vlan是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯而不是物理劃分成不同子網(wǎng)從而實(shí)現(xiàn)虛擬工作組的新技術(shù)。如果不同vlan要進(jìn)行通信，則需要通過路由器或三層交 換機(jī)等三層設(shè)備實(shí)現(xiàn)。（方法：非法外聯(lián)監(jiān)控功能、非法外聯(lián)軟件）（G3）a) 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；（入侵防范的技術(shù)：入侵檢測系統(tǒng)IDS，包含入侵防范模塊的多功能安全網(wǎng)關(guān)UTM）b) 當(dāng)檢測到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。 主動(dòng)入侵檢測：在攻擊的同時(shí)檢測到。 被動(dòng)入侵檢測：攻擊之后的檢測。 2）多功能安全網(wǎng)關(guān)的功能：防火墻、虛擬防火墻、入侵檢測和防御、防病毒、防垃圾郵件、p2p流量控 制、URL過濾等功能。（防惡意代碼產(chǎn)品：防病毒網(wǎng)關(guān)、包含防病毒模塊的多功能安全網(wǎng)關(guān)、網(wǎng)絡(luò)版防病毒系統(tǒng)等）b) 應(yīng)維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更新。（路由或相關(guān)設(shè)備應(yīng)提供限制具有撥號訪問權(quán)限的用戶數(shù)量的相關(guān)功能） 注釋：1 ) 路由器上配置合理的訪問列表為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，對進(jìn)出網(wǎng)絡(luò)的流量進(jìn)行 過濾。流出流量過濾：用于防止由單位內(nèi)部機(jī)器發(fā)出的偽造源ip的攻擊數(shù)據(jù)流。路由器的帶寬策略一般采用分層的帶寬管理機(jī)制，管理員可以通過設(shè)置細(xì)粒度的帶寬 策略，對數(shù)據(jù)報(bào)文做帶寬限制和優(yōu)先級別設(shè)定，還可以通過源地址、目的地址、用戶和協(xié)議四個(gè)方面 來限制帶寬。目前發(fā)生比較多的是arp地址欺騙，arp地址欺騙是 mac地址欺騙的一種。 ARP的分類：截獲網(wǎng)關(guān)數(shù)據(jù)。 偽造網(wǎng)關(guān)。一般 來說，arp欺騙攻擊的后果很嚴(yán)重，大多數(shù)情況下會(huì)造成大面積掉線。 Display ipsec5） 當(dāng)惡意用戶進(jìn)行網(wǎng)絡(luò)攻擊時(shí)，有時(shí)會(huì)發(fā)起大量會(huì)話連接，建立會(huì)話后長時(shí)間保持狀態(tài)連接，從而占用大量網(wǎng)絡(luò)資源，最終將網(wǎng)絡(luò)資源耗盡的情況。一般在防火墻上實(shí)現(xiàn)。注釋： 查看日志記錄情況： show logging display currentconfiguration網(wǎng)絡(luò)設(shè)備防護(hù)（G3）（路由器、交換機(jī)、防火墻、入侵檢測系統(tǒng)/防御系統(tǒng)）a) 應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；（1）b) 應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；（2）c) 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；d) 主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；（采用方法：雙因子鑒別）e) 身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；（使用口令的組成、長度和更改周期。）g) 當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；（不應(yīng)當(dāng)使用明文傳送的telnet、服務(wù)，而應(yīng)當(dāng)采用ssh、等加密協(xié)議等方式進(jìn)行交互式管理）h) 應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。 利用虛擬終端（VTY）通過TCP/IP網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程Telnet登錄等。因此需要加強(qiáng)對路由器口令的管理，包括口令的設(shè)置、儲(chǔ)存，最好的口令存儲(chǔ) 方法是保存在TACACS+或RADIUS認(rèn)證服務(wù)器上。 路由器、交換機(jī)的口令安全包括兩類：設(shè)置登錄口令和設(shè)置使能口令（特權(quán)密碼）。 show runningconfig display currentconfiguration2 ）為了保證網(wǎng)絡(luò)管理員對路由器安全訪問的同時(shí)，避免其他人的未授權(quán)訪問，最好的方法是采用帶外管理，使用專用的管理終端和通訊路徑，將管理數(shù)據(jù)流和其他數(shù)據(jù)流分開，能夠有效地增加安全性。同時(shí)由于VTY的數(shù)目有一定的限制，當(dāng) 所有的vty用完，就不能再建立遠(yuǎn)程的網(wǎng)絡(luò)連接了，通過限制登錄地址，限制能夠防止DOS攻擊（拒絕服務(wù)攻擊）。第二章 主機(jī)安全測評身份鑒別（S3）（操作系統(tǒng)測評、數(shù)據(jù)庫系統(tǒng)測評）a) 應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別；（1）b) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；（2）c) 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施。f) 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別。linux用戶的口令經(jīng)過加密處理后存放于/etc/passwd文檔中。淡然，shadow文件時(shí)不能 被普通用戶讀取的，只有超級用戶才有權(quán)讀取。以root 身份登錄進(jìn)入linux。在windows中，如設(shè)置密碼歷史記錄、設(shè)置密碼最常使用期限、設(shè)置 密碼最短使用期限、設(shè)置最短密碼長度，設(shè)置密碼復(fù)雜性要求。由于該文件對root用戶無效，如果 /etc/shadow文件里有相同的選項(xiàng)，則以 /etc/shadow里的設(shè)置為準(zhǔn)，也就是說 /etc/shadow的配置優(yōu)先級別高于 /etc/ 。 more/etc/ PASSMAXDAYS 90 登錄密碼有效期90天 PASSMINDAYS 0 登錄密碼最短修改時(shí)間，設(shè)置為0，則禁用此功能。 PASSMINLEN 8 登錄密碼最小長度8位 PASSWARNAGE 7 登錄密碼過期提前7天提示修改 FAILDELAY 10 登錄錯(cuò)誤時(shí)等待時(shí)間10秒 FAILLOGENAB yes 登錄錯(cuò)誤記錄到日志 SYSLOGSUENAB yes 當(dāng)限定超級用戶管理日志時(shí)使用 SYSLOGSGENAB yes 當(dāng)限定超級用戶組管理日志時(shí)使用 MD5CRYPTENAB yes 當(dāng)使用MD5的加密方法時(shí)使用 3 )windows操作系統(tǒng)具備了登錄失敗處理功能，可以通過適當(dāng)?shù)呐渲谩百~戶鎖定策略”來對用戶的的登 錄進(jìn)行限制，如賬戶鎖定闕值、賬戶鎖定時(shí)間、復(fù)位賬戶鎖定計(jì)數(shù)器等。 賬戶鎖定闕值：確定用戶賬戶被鎖定的登錄嘗試失敗的次數(shù)，在管理員重置鎖定賬戶或賬戶鎖定時(shí)期 滿之前，無法使用該鎖定賬戶，次數(shù)可介于0999之間，如果將值置為0，則永遠(yuǎn)不會(huì)鎖定賬戶。如果定義了賬戶鎖定闕值，則賬戶鎖定 時(shí)間必須大于等于重置時(shí)間。可用范圍是 1 到 99,999 分鐘。只有在指定了帳戶鎖定閾值時(shí)，此策略設(shè)置才有意義。要獲得最大程度的安全性，建議在35次登錄嘗試失敗后鎖定賬戶，且不要在30分鐘內(nèi)重新啟用該賬戶，并將鎖定時(shí)間設(shè)置為“永久鎖定（直到管理員解開鎖定）” 在linux操作系統(tǒng)中，以root身份登錄進(jìn)入linux的命令： cat/etc/否存在“account required/lib/security/ deny=5 nomagicroot reset ” 5 )在linux操作系統(tǒng)中：以root身份登錄linux。 數(shù)據(jù)庫系統(tǒng) Sql 查看是否存在空口令用戶：select * from syslogins where password is null Oracle查看是否啟用口令復(fù)雜度函數(shù) select limit from dbaprofiles where profile=“DEFAULT” and resourcename=‘PASSWORDVERIFYFUNTION’登錄失敗嘗試次數(shù)的限制 select limit from dbaprofiles where profile=“DEFAULT” and resourcename=FAILEDLOGINATTEMPTS(值為unlimited表示沒有限制) 口令鎖定時(shí)間的設(shè)置語句 select limit from dbaprofiles where profile=“DEFAULT” and resourcename=PASSWORDLOCKTIME(值為unlimited表示沒有限制)