网络安全-ylr准则.docVIP

等级保护测评－检查表－网络安全(三级) 类别 测评内容 结果记录 符合情况 结构安全 a) 应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要 定期检查设备资源占用情况，保证主要网络设备的业务处理能力具备冗余空间； 询问： 信息系统中边界设备和主要网络设备的处理性能是否满足目前业务高峰流量情况； 采用何种手段对主要网络设备进行运行状态监控 b) 应保证网络各个部分的带宽满足业务高峰期需要 若不满足，则需要在主要网络设备上进行带宽配置。 例如： Show running-config 应显示如下配置项： Class-map: class-1 Bandwidth percent 50 Bandwidth 5000(kbps) max threshold 64(packets) Class-map: class-2 Bandwidth percent 15 Bandwidth 1500(kbps) max threshold 64(packets) c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径 在网络配置中主要有静态路由和动态路由。 例如：Show running-config 使用静态路由： Ip route 93 使用OSPF路由协议 Router ospf 100 Ip ospf authentication Ip ospf message-digest-key 1 md5 7xxxx(认证码) d) 应绘制与当前运行情况相符的网络拓扑结构图 查看与当前运行情况是否一致 e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段 根据实际情况和区域安全防护要求，应在主要网络设备上进行VLAN划分。 需要路由器或三层设备实现； 询问： 如左 检查： Show vlan 显示： Vlan 2 name info Vlan 3 name cisco Int e0/2 Vlan-membership static 2 Int e0/3 Vlan-membership static 3 f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段 查看： 根据网络拓扑图，是否将重要网段部署在网络边界处，重要网段和其他网段之间是否配置安全策略进行访问控制 g) 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机 查看： Show running-config 显示： Policy-map bar Class voice Priority percent 10 Class data Bandwidth percent 30 访问控制 a) 应在网络边界部署访问控制设备，启用访问控制功能 如果网络边界处未部署防火墙或其他安全访问控制设备，那么此处的访问控制主要指的是3层交换机(ylr:或交换机) 检查：网络拓扑结构 查看：交换机是否启用控制访问功能 b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制力度为端口级 交换机应配置合理的访问控制列表。 检查: Show ip access-list 显示： No access-list 111 Ip access-list extended 111 Deny ip x.x.x.0 55 any log Interface eth 0/0 Ip access-group 111 in c) 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制 此项一般在防火墙上实现 d) 应在会话处于非活跃一定时间或会话结束后终止网络连接 此项一般在防火墙上实现 e) 应限制网络最大流量数及网络连接数 如果网络中部署防火墙，此项一般在防火墙上实现。(ylr:也可以查看下流量监控) 检查： Show running-config 如限制主机的最大连接数为200 则存在： Ip nat translation max-entries host 200 f) 重要网段应采取技术手段防止地址欺骗 在关键设备上，采用IP/MAC地址绑定方式 检查： Show ip arp 存在 Arp 0000.e268.9980 arpa g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制力度为单个用户 对通过远程采用vpn技术或通过其他方式联入单位内网的用户，路由器或相关设备应提供用户认证功能，通过配置用户、用户组，并结合访问控制规则可以实现对