等级保护测评-网络安全.docxVIP

网络安全测评指导书 网络全局安全测评 序号 测评指标 测评项 检查方法 预期结果 备注说明 1 结构安全 a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； 1）访谈网络管理员了解信息系统的业务高峰流量。 2）检查主要网络设备处理能力，查看业务高峰期设备的CPU和内存使用率。 （以CISCO设备为例，输入sh processes cpu，sh processes memory） 1) 业务高峰流量不超过设备处理能力。 2）设备CPU和内存使用率峰值不大于70% b)应保证网络各个部分的带宽满足业务高峰期需要； 1）访谈网络管理员了解各通信链路带宽、高峰流量。 1）各通信链路高峰流量均不大于其带宽的70%。 c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径； 1)检查访问路径上的路由设备配置信息，查看是否启用了路由协议认证及其控制策略（以CISCO设备为例，输入show run命令） 有如下类似配置： 1） Router ospf 100 area 1 authentication message-digest interface FastEthernet0/0 ip ospf message-digest-key 1 md5 xxxx 2） router eigrp 100 redistribute ospf 100 metric 10000 100 1 255 1500 route-map cisco d)应绘制与当前运行情况相符的网络拓扑结构图； 1)查看网络拓扑图。 1）网络拓扑图与当前运行情况一致。 e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段； 1）访谈网络管理员依据何种原则划分不同的子网或网段。并检查相关网络设备配置信息，验证划分的子网或网段是否与访谈结果一致。 1）根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段。 f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段； 1）访谈网络管理员并查看网络拓扑图重要网段是否部署在网络边界处且直接连接外部信息系统； 2）访谈网络管理员并查看网络拓扑图重要网段与其他网段之间是否采取可靠的技术隔离手段，如网闸、防火墙、ACL等。 1）重要网段未部署在网络边界处。 2）在重要网段与其他网段之间采取了网闸、防火墙或ACL等技术隔离手段。 g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。 1）访谈网络管理员了解配置QoS的具体设备（如防火墙、路由、交换设备或专用带宽管理设备），并检查该设备的QoS配置情况。（以CISCO设备为例，输入show run命令） 1）有如下类似配置： class-map match-all voice match access-group 100 policy-map voice-policy class voice bandwidth 60 interface Serial1 service-policy output voice-policy 2 访问控制 a）应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； 1）访谈网络管理员并查看网络拓扑图，是否所有网络边界都有访问控制措施。 1）在网络各个边界处部署了访问控制技术措施，如部署网闸、防火墙或ACL等。 3 边界完整性检查 a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断； 1）访谈网络管理员是否部署终端管理软件或采用网络准入控制技术手段防止非授权设备接入内部网络，并进行验证。 2）检查交换机配置信息，所有闲置端口是否关闭。 （以CISCO设备为例，输入show run命令） 1）终端均部署了终端管理软件或交换机上启用了网络准入控制。 2）交换机闲置端口均已关闭。应存在如下类似配置： Interface FastEthernet 0/1 shutdown b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。 1）访谈网络管理员是否部署终端管理软件或采取其它技术手段防止非法外联行为，并进行验证。 1）部署了终端管理软件或其它技术手段，限制终端设备相关端口的使用，如禁止双网卡、USB接口、Modem、无线网络等。 4 恶意代码防范 a)应在网络边界处对恶意代码进行检测和清除； 1）检查是否在网络边界处部署恶意代码防范技术措施，是否启用了检测和阻断功能。 1）网络边界处部署了恶意代码防范设备并有相关检测记录。 b)应维护恶意代码库的升级和检测系统的更新。