信息安全测评实验二分析

西南科技大学计算机科学技术学院实验报告实际测试名称为交换机安全评估和增强从实际上占卜实证日期间指向讲师学生班级学习学生声明学生学号提高交货期2015年3月信息安全系统一、实验目的通过交换机安全评估和加强安全，掌握交换机安全评估方案的设计、安全评估实施和结果分析。了解安全加固方法。二、实验主题根据信息系统安全等级保护基本要求的第3阶段基本要求，根据实验说明中的演示，对交换机进行安全评估，步骤3。三、实验设计根据信息系统安全等级保护基本要求的第三项基本要求，应重点评估交换机的配置信息、密码等设置是否符合要求，这包括结构安全性、访问控制、安全审核、边界完整性检查、入侵预防、恶意代码预防和网络设备保护等七个方面。结构安全性(G3)c)必须通过业务终端和业务服务器之间的路由控制建立安全的访问路径。确定主机使用的路由器是静态路径还是动态路径。静态路由由管理员手动配置；动态路由由路由器动态设置；需要添加身份验证功能以确保网络安全。还使用内部和外部布线。要验证外部路由并根据访问路径访问内部路由(如Ospf协议)，可以单击tracert查看是否根据设计的路径访问内部路由。f)应避免将重要网段和直接连接外部信息系统，并在重要网段和其他网段之间存在可靠的技术隔离手段。对于大型网络，动态路由可用于控制进出区域的路由(尤其是在其他动态路由协议(如OSPF、EIGRP等)之间重新分配、路由过滤、路由选择等控制)，允许所需的外部路由，并向外部通知内部路由。您可以与管理员联系，确定是否使用了隔离手段。g)带宽分配优先级必须按对业务服务至关重要的顺序排列，以便在网络拥塞的情况下优先保护关键主机。过滤数据包并执行流控制。存取控制(G3)c)需要为应用层HTTP、FTP、telnet、SMTP、POP3筛选进出网络的信息内容协议命令级别控制等；询问系统管理员是否过滤进出网络的信息内容。d)会话不活动或会话结束后，必须终止网络连接。确定是否使会话不活动一段时间，或在会话结束后终止网络连接。e)需要限制最大网络流量数和网络连接数。打开防火墙，网络限制上行链路和下行带宽，并检查允许的最大连接值。f)重要网段必须采取技术措施防止地址欺诈。方法：重要网段绑定MAC地址和IP地址。安全审计(G3)c)能够根据历史数据进行分析和生成审核报告。查看日志系统。d)必须保护审计记录，以防止意外的删除、修改或复盖。查看日志系统的读取、写入和执行权限。边界完整性检查(S3)此要求包括：a)必须检查将未经许可的设备私下连接到内部网络的行为，正确确定位置，并有效地阻止它们。b)内部网络用户必须能够检查与外部网络个人相关联的行为，准确确定位置，有效地切断。工具：访问网络管理员，确认哪些技术手段或管理措施检查“非法宣传”行为，以及未授权设备是否与内部网络私通。网络管理员合作验证。入侵防护(G3)b)如果检测到攻击行为，则应记录攻击源IP、攻击类型、攻击目的、攻击时间，并在发生严重入侵事件时提供警报。询问管理员是否有警告措施。防止恶意代码(G3)a)在网络边界检测并删除恶意代码。查看防火墙设置以确定是否安装了防病毒软件。b)维护恶意代码库的升级，并检测系统的更新。确定是否安装了防病毒软件，以及防病毒软件版本是否为最新版本。查看系统版本信息。网络设备保护(G3)d)需要同一用户选择两种或多种身份验证技术进行身份验证的主要网络设备：重新启动设备以确定登录设备所需的条件。(是否验证，验证方法有多种)h)必须实现设备权限用户的权限分离。查看管理员以外的特权用户(例如管理员是否存在、审计者等)，以查看用户的权限。四、实验记录l结构安全此要求包括：a)设备的业务处理能力具有冗馀空间，满足最大业务要求。1.打开PuTTY，然后输入用户名和密码以登录到终端2.输入display CPU以查看CPU利用率。3.输入显示内存以确认内存使用量4.输入display connection确认会话连接的数量实际：CPU，内存利用率不超过50%，连接会话数不超过70%。b)在网络的每个部分，必须确保带宽满足业务峰值要求。(1)输入display brief interface以确认端口的使用。实际结果：Eth1/0/1表示向下状态，Eth1/0/3、Eth1/0/4、Eth1/0/5、Eth1/0/11等表示向上状态。2)找到处于UP状态的端口Eth1/0/3，输入display interface Eth1/0/3以查看有关接口Eth1/0/3的详细信息。et h1/0/3-(114482)/(100 * 1024 * 1024)=596/1%et h1/0/4-(565 4078)/(100 * 1024 * 1024)=4643/1%et h1/0/5-(14950 2006)/(100 * 1024 * 1024)=16696/1%et h1/0/11-(211 1200)/(100 * 1024 * 1024)=1411/1%实际结果：所有端口利用率计算均低于宽带的70%c)必须通过业务终端和业务服务器之间的路由控制建立安全的访问路径。方法：确定主机使用的路由器是静态路径还是动态路径。静态路由由管理员手动配置；动态路由由路由器动态设置；需要添加身份验证功能以确保网络安全。输入Display IP routing-table以查看静态路径f)应避免将重要网段和直接连接外部信息系统，并在重要网段和其他网段之间存在可靠的技术隔离手段。使用内部网和外部网离开。通过联系管理员的方式。结果：使用intranet。g)带宽分配优先级必须按对业务服务至关重要的顺序排列，以便在网络拥塞的情况下优先保护关键主机如何：请与管理员联系，确定是否已实施包过滤和流控制。结果：实现了包过滤和流控制。l访问控制此要求包括：a)必须在网络边界放置访问控制设备以启用访问控制功能。结果：未部署访问控制设备和操作的访问管理器。b)提供基于会话状态信息显式允许/拒绝访问数据流的能力，控制粒度是端口级别。c)需要筛选进出网络的信息内容，以便进行应用层HTTP、FTP、telnet、SMTP、POP3等协议命令级别的控制。结果：交换机没有限制这一点。d)会话不活动或会话结束后，必须终止网络连接。结果：长时间不移动的连接会自动断开。e)需要限制最大网络流量数和网络连接数。方法：请咨询系统管理员，确定是否限制网络通信量的最大数量和网络连接。结果：大多数端口有100个最大流量限制和10个最大连接数限制。f)重要网段必须采取技术措施防止地址欺诈。结果：重要网段没有使用其他技术手段。g)根据用户与系统之间的允许访问规则，决定允许或拒绝用户对受管理系统的资源访问，并控制单个用户的控制粒度。登录设备验证是否验证拨号用户，以及访问控制规则是否配置为允许成功验证的用户访问受控资源。预期结果：对于远程拨号用户，可以在设备上使用用户身份验证功能。通过配置用户、用户组并与访问控制规则相结合，认证成功的用户可以访问受控资源。步骤：输入display ACL all以验证是否配置了访问控制列表。实际结果：如果访问控制列表为空，则表示系统中未部署访问控制规则。h)必须限制具有拨号访问权限的用户数。(1)询问系统管理员是否有远程拨号用户、以何种方式访问系统以及以何种方式验证。取决于用户数。步骤1:输入display version以查看系统的许可信息步骤2:输入display current-configuration查看系统配置信息，然后验证拨号用户数的配置。测试结果：将具有拨号访问权限的用户数限制为1。安全审计此要求包括：a)必须记录网络系统的网络设备状态、网络通信量、用户操作等。目的：验证日志记录是否已启用，日志记录是本地存储还是传送到日志记录服务器。日志服务器的地址(1)输入display logbuffer以显示系统日志缓冲区和配置信息。(2)显示display diagnostic-information系统中每个功能模块当前操作的统计信息。Display diagnostic-information命令配置了每个命令(display clock、display version、display device和display current-configuration)，然后是终端将此信息。保存在diag文件(例如aa.diag)中。在用户视图中运行“more aa.diag”命令并与/键一起使用，可以查看aa.diag文件的历史记录内容。显示的工作记录，使用者的动作：注册情况：VLAN的1/1/1端口操作：NULL0接口：不可地址或封装的伪接口，始终是UP，但不转发或接受任何通信，发送到该接口的所有通信都将直接销毁。测试结果：您可以检查网络设备状态、网络流量、用户行为等。b)审计记录必须包含事件的日期和时间、用户、事件类型、事件是否成功以及其他与审计相关的信息。登录到评估目标或日志服务器，确认日志记录中包含事件的日期和时间、用户、事件类型、事件是否成功等信息。步骤：输入display logbuffer以查看日志缓冲区和配置信息。测试结果：您可以查看事件的日期和时间、用户、事件类型、事件是否成功以及其他与审计相关的信息。c)能够根据历史数据进行分析和生成审核报告。采访和审查网络管理员使用了什么方法来分析和报告审计记录数据。d)必须保护审计记录，以防止意外的删除、修改或复盖。网络设备管理员使用了什么方法来防止未经授权的修改、删除和损坏审核日志？防止恶意代码(G3)此要求包括：a)在网络边界检测并删除恶意代码。b)维护恶意代码库的升级，并检测系统的更新。步骤：询问管理员系统上是否安装了防病毒软件。询问管理员病毒库更新策略。确保最新版本的病毒库已更新一周或更长时间。7)保护网络设备此要求包括：a)必须认证登录网络设备的用户。目的：检查评估目标如何登录、登录用户是否已验证、默认用户名和密码是否已修改。步骤1:输入display current-configuration确认用户名密码器验证配置。其中authentication-mode password表示本地密码身份验证。Authentication-mode方案表示本地或远程用户名和密码验证。Ssh telnet使用远程控制web服务器，您必须通过输入用户名和密码登录到服务器。步骤2:要查看所有用户信息和用户级别，请输入display users all。测试结果：已记录IP地址等，并已验证登录到网络设备的用户。b)必须限制网络设备的管理员登录地址。目的：检查是否有控制管理员登录的控制列表。步骤：输入display ACL all以查看是否有控制管理员登录的控制列表。测试结果：没有控制管理员登录的控制列表。c)网络设备用户的id必须唯一。手段：登录网络设备，确保设置的用户具有相同的用户名。询问网络管理员是否为每个管理员设置了单独的帐户。方法；方法。输入Display current-configuration以确认设置的用户名。测试结果：权限不足，无法确定是否存在重复的用户名。d)认证信息必须具有不容易使用的特性，密码必须具有复杂性要求，并且必须定期更换。(1)询问网络管理员有关身份验证的具体措施，包括密码的配置、长度和更改周期。(2)通过访谈确认设备的用户、密码信息和是否定期更换，display cur查看系统配置。测试结果：可以保证密码复杂性和定期更改的要求。e)必须具有登录失败处理功能，以便在会话终止、非法登录次数限制、网络登录连接超时时自动终止等措施。目的：查看系统配置中登录失败的处理机制。方法：以CISCO IOS为例，输入命