二级-02网络安全测评记录V2.0精编.docVIP

文件编号 CDJX-DJCP- -002 文件版本 V2.0 编写 钱平 校对 胥滔 审核 朱光剑 修订次数 2 打印份数 控制状态 是否装订 归档部门 信息系统安全等级保护测评 附件2 网络安全测评记录（S2A2G2级） 单位名称: 系统名称: 测试时间 年 月 日- 月 日 目 录 一、网络安全测评记录判定 1 二、网络拓扑结构（必须画出） 10 三、路由、交换设备（资产识别） 11 四、网络安全设备（资产识别） 12 五、交换机测评记录 13 六、路由器测评记录 19 七、网络安全设备测评记录 25 网络安全测评记录判定 类别 序号 测评项 测评实施 结果记录 符合情况 结果 情况记录 符合 不符合 结构安全(G2) a) 应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； 1) 应访谈网络管理员，询问主要网络设备的性能以及目前业务高峰流量情况； 通 过：□ 不通过：□ 不适用：□ ( ( b) 应保证接入网络和核心网络的带宽满足业务高峰期需要； 1) 应检查网络设计或验收文档，查看是否有主要网络设备业务处理能力、接入网络及核心网络的带宽满足业务高峰期的需要以及不存在带宽瓶颈等方面的设计或描述； 通 过：□ 不通过：□ 不适用：□ ( ( c) 应绘制与当前运行情况相符的网络拓扑结构图 1) 应检查网络拓扑结构图，查看其与当前运行的实际网络系统是否一致； 通 过：□ 不通过：□ 不适用：□ ( ( d) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段 1)查看是否有根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段； 通 过：□ 不通过：□ 不适用：□ ( ( 访问控制(G2) a) 应在网络边界部署访问控制设备，启用访问控制功能； 1) 应访谈安全管理员，询问网络访问控制措施有哪些； 通 过：□ 不通过：□ 不适用：□ ( ( 2) 应对网络访问控制措施进行渗透测试，可通过采用多种渗透测试技术，验证网络访问控制措施是否不存在明显的弱点； 通 过：□ 不通过：□ 不适用：□ b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级； 1) 应检查边界网络设备，查看其是否根据会话状态信息对数据流进行控制，控制粒度是否为网段级； 通 过：□ 不通过：□ 不适用：□ ( ( c) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户； 1) 应测试边界网络设备，可通过试图访问未授权的资源，验证访问控制措施对未授权的访问行为的控制是否有效，控制粒度是否为单个用户； 通 过：□ 不通过：□ 不适用：□ ( ( d) 应限制具有拨号访问权限的用户数量 1) 应检查边界网络设备查看其是否限制具有拨号访问权限的用户数量； 通 过：□ 不通过：□ 不适用：□ ( ( 安全审计(G2) a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； 1) 应检查边界和主要网络设备，查看审计策略是否包含网络系统中的网络设备运行状况、网络流量、用户行为等； 通 过：□ 不通过：□ 不适用：□ ( ( b) 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 1) 应检查边界和主要网络设备，查看事件审计记录是否包括：事件的日期和时间、用户、事件类型、事件成功情况，及其他与审计相关的信息； 通 过：□ 不通过：□ 不适用：□ ( ( 边界完整性检查(S3) a) 应能够对非授权设备私自联到内部网络的行为进行检查； 1) 应访谈安全管理员，询问是否对内部用户私自接入到内部网络的行为进行监控； 通 过：□ 不通过：□ 不适用：□ ( ( 2) 应测试边界完整性检查设备，测试是否能够对非授权设备私自接入内部网络的行为进行检查； 通 过：□ 不通过：□ 不适用：□ 入侵防范(G2) a) 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等 1) 应访谈安全管理员，询问网络入侵防范措施有哪些，是否有专门设备对网络入侵进行防范； 通