网络实验室系统等保测评报告附录.docVIP

内部资料注意保管 项目编号 报告编号 文档编号 网络实验室系统 报告 系统名称：系统 被测单位： 测评单位： 报告时间：201  目录 附录A 网络安全 1 1 核心交换机 1 附录B 主机安全 3 Server xp 3 附录C 应用安全 4 系统 4 网络安全 序号 类别 测评项 结果记录 符合情况 1 结构 安全 a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； 主要网络设备的业务处理能力具备冗余空间，能够满足业务高峰期需要，内存利用率及cpu占用率均在正常范围，通过监视，带宽的不超过%。 符合 b)应保证网络各个部分的带宽满足业务高峰期需要； 网络各部分带宽满足业务高峰期需要，各通信链路高峰流量均不超过其带宽的70%。 符合 c)应绘制与当前运行情况相符的网络拓扑结构图； 当前拓扑图与系统运行情况一致 符合 d)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。 根据安全区域，在内网核心交换机划分了VLAN,并做控制策略 符合 2 访问 控制 a)应在网络边界部署访问控制设备，启用访问控制功能。 在社保、卫生局、工行接入特定的终端访问社保工行专网，社保工行专网访问特定特定端口组 部分符合 3 边界完整性检查 a)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断(终端管理)。 没有采用U盘接入控制、双网，实现非法外联；采用+MAC绑定实现非法内 部分符合 4 入侵 防范 a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 在社保、卫生局、工行接入 不符合 核心交换机 序号 类别 测评项 结果记录 符合情况 1 访问控制 b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级； 按照业务需求无线、服务器端访问服务器相应端口。 c)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户； 各服务器和终端按配置，每个对应到相应的用户或，交换机中配置了+端口的策略。 d)应限制具有拨号访问权限的用户数量。 本设备 N/A 2 安全审计 a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录 通过防火墙实现网络审计设备不适用。 /A b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 通过防火墙实现网络审计设备不适用。 /A 3 网络设备防护 a)应对登录网络设备的用户进行身份鉴别 用户登录设备需要使用用户名/密码。 符合 b)应对网络设备的管理员登录地址进行限制 仅通过console进行调试 符合 c)网络设备用户的标识应唯一 网络设备用户标识唯一。 符合 d)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换 采用用户名/密码方式登录，密码每半年更新一次，8位以上，组合方式为：数字、字母分大小写、特殊符号。 符合 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施 经检查配置文件，没有限制非法登录次数为3次（默认），仅调试 部分符合 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听 仅调试 N/A b)应提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性。 核心交换机采用 符合 主机安全 Server xp 序号 类别 测评项 结果记录 符合情况 身份鉴别 a）应对登录操作系统和数据库系统的用户进行身份标识和鉴别； 操作系统采用用户名、密码方式登录。 b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换； 未启用了口令复杂度机制，没有设置密码最长生存期，没有设置密码最小长度。 不符合 c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 没有设置非法登录次数。 不符合 d)当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听； 远程管理通过运维审计平台进行登录，传输 符合 e)应为操作系统和数据库的不同用户分配不同的用户名，确保用户名具有唯一性。 操作系统和数据库采用用户名均为不同用户，且操作系统管理员使用操作系统账号，数据库管理员使用数据库账户，同时操作系统管理和数据