网络结构安全(S3A2G3)-2015-v01.xlsVIP

资产编号： 设备型号/IOS： N/A 名称： 网络结构安全 IP地址： N/A 所属系统： 配合人： 测评师： 测评日期： 适用范围： 网络结构安全 网络安全-网络结构安全（S3A2G3）测评表 测评指标 测评项 测评方法 结果记录 备注 e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段； 访谈网络管理员，是否依据部门的工作职能、重要性和应用系统的级别划分了不同的VLAN，并检查交换机的配置。 □N/A ； □未根据实际安全需求划分网段和VLAN； □已根据实际安全需求划分网段和VLAN； □网段划分依据：□部门职能、□信息系统、□应用系统、□其他 ； 网段划分的实际情况为： f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段； 访谈网络管理员和监察网络拓扑结构，查看是否将重要的网段部署在网络边界处，重要网段和其他网段之间是否采取可靠的技术隔离手段、配置安全策略进行访问控制。 □N/A ； □重要网段与外部信息系统之间未采取有效的隔离手段； □重要网段与其他网段之间未采取有效的隔离手段； □该系统重要网段分为： ； □ 网段通过 与外部信息系统进行隔离； □ 网段通过 与其他网段之间进行隔离； g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。 访谈网络管理员，依据实际应用系统状况是否进行了带宽优先级分配，并检查防火墙和路由器的配置。如果在网络边界处部署防火墙，检查防火墙是否存在策略带宽配置。如果网络边界处未部署防火墙，检查边界网络设备是否存在相关配置信息。 □N/A ； □未根据业务重要情况来分配带宽优先级； □已根据业务重要情况来分配带宽优先级； 带宽优先级分配策略： 访问控制 (G3) a)应在网络边界部署访问控制设备，启用访问控制功能； 访谈网络管理员、安全管理员，检查网络拓扑结构，查看是否在网络边界处部署访问控制设备并配置启用了访问控制策略。 □N/A ； □该系统网络有以下网络边界： ； □在 边界处未启用访问控制功能； □在 边界处已启用访问控制功能； b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； 1）在特权模式下输入命令：show ip access-list会输出该交换机相关配置信息。 2)检查配置信息中应当存在类似如下配置信息： ip access-list extended 111 access-list 111 permit tcp host 6 any eq 443 access-list 111 deny any any 3)网络设备中默认开启了一些服务，有些服务在实际使用中试不需要的，而这些服务本身却可能存在一些安全隐患，因此，需要主动关闭这些服务。 □N/A ； □未在 区域边界配置访问控制列表对进出的数据进行过滤； □已在 区域边界配置访问控制列表对进出的数据进行过滤； □ 区域边界访问控制粒度为网段级； □ 区域边界访问控制粒度为端口级； 各个区域的配置情况： c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制； 如果在网络边界处部署防火墙，该项要求一般在防火墙上实现。 □N/A ； □未在 区域边界启用对应用层协议的控制； □在 区域边界配置了对应用层□HTTP、□FTP、□TELNET、□SMTP、□POP3等协议命令级的控制； 各个区域的配置情况： d)应在会话处于非活跃一定时间或会话结束后终止网络连接； 此项可以在路由器和防火墙上实现，应当在会话终止或长时间无响应的情况下终止网络连接，释放被占用网络资源，保证业务可以被正常访问。 □N/A ； □未在 区域配置会话非活跃或会话结束后终止网络； □已在 区域配置会话非活跃 分钟自动终止网络链接； e)应限制网络最大流量数及网络连接数； 访谈系统管理员，依据实际网络状况是否需要限制网络流量数及网络连接数，并检查交换机配置。如果网络中部署防火墙，该项要求一般在防火墙上实现。 输入命令：show running-config，查看QoS的配置。 □N/A ； □ 区域需限制网络最大流量数及连接数； 网络流量是否限制：□是 □否；