二级02网络安全测评记录 V20概要.docx
《二级02网络安全测评记录 V20概要.docx》由会员分享,可在线阅读,更多相关《二级02网络安全测评记录 V20概要.docx(14页珍藏版)》请在冰豆网上搜索。
二级02网络安全测评记录V20概要
文件编号
CDJX-DJCP--002
文件版本
V2.0
编写
钱平
校对
胥滔
审核
朱光剑
修订次数
2
打印份数
控制状态
是否装订
归档部门
信息系统安全等级保护测评
附件2网络安全测评记录(S2A2G2级)
单位名称:
系统名称:
测试时间年月日-月日
目录
一、网络安全测评记录判定1
二、网络拓扑结构(必须画出)10
三、路由、交换设备(资产识别)11
四、网络安全设备(资产识别)12
五、交换机测评记录13
六、路由器测评记录19
七、网络安全设备测评记录25
一、网络安全测评记录判定
类别
序号
测评项
测评实施
结果记录
符合情况
结果
情况记录
符合
不符合
结构安全(G2)
1
a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
1)应访谈网络管理员,询问主要网络设备的性能以及目前业务高峰流量情况;
通过:
□
不通过:
□
不适用:
□
2
b)应保证接入网络和核心网络的带宽满足业务高峰期需要;
1)应检查网络设计或验收文档,查看是否有主要网络设备业务处理能力、接入网络及核心网络的带宽满足业务高峰期的需要以及不存在带宽瓶颈等方面的设计或描述;
通过:
□
不通过:
□
不适用:
□
3
c)应绘制与当前运行情况相符的网络拓扑结构图
1)应检查网络拓扑结构图,查看其与当前运行的实际网络系统是否一致;
通过:
□
不通过:
□
不适用:
□
4
d)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段
1)查看是否有根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段;
通过:
□
不通过:
□
不适用:
□
访问控制(G2)
5
a)应在网络边界部署访问控制设备,启用访问控制功能;
1)应访谈安全管理员,询问网络访问控制措施有哪些;
通过:
□
不通过:
□
不适用:
□
2)应对网络访问控制措施进行渗透测试,可通过采用多种渗透测试技术,验证网络访问控制措施是否不存在明显的弱点;
通过:
□
不通过:
□
不适用:
□
7
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级;
1)应检查边界网络设备,查看其是否根据会话状态信息对数据流进行控制,控制粒度是否为网段级;
通过:
□
不通过:
□
不适用:
□
8
c)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
1)应测试边界网络设备,可通过试图访问未授权的资源,验证访问控制措施对未授权的访问行为的控制是否有效,控制粒度是否为单个用户;
通过:
□
不通过:
□
不适用:
□
9
d)应限制具有拨号访问权限的用户数量
1)应检查边界网络设备查看其是否限制具有拨号访问权限的用户数量;
通过:
□
不通过:
□
不适用:
□
安全审计(G2)
10
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
1)应检查边界和主要网络设备,查看审计策略是否包含网络系统中的网络设备运行状况、网络流量、用户行为等;
通过:
□
不通过:
□
不适用:
□
11
b)审计记录应包括:
事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
1)应检查边界和主要网络设备,查看事件审计记录是否包括:
事件的日期和时间、用户、事件类型、事件成功情况,及其他与审计相关的信息;
通过:
□
不通过:
□
不适用:
□
边界完整性检查(S3)
12
a)应能够对非授权设备私自联到内部网络的行为进行检查;
1)应访谈安全管理员,询问是否对内部用户私自接入到内部网络的行为进行监控;
通过:
□
不通过:
□
不适用:
□
2)应测试边界完整性检查设备,测试是否能够对非授权设备私自接入内部网络的行为进行检查;
通过:
□
不通过:
□
不适用:
□
入侵防范(G2)
14
a)应在网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等
1)应访谈安全管理员,询问网络入侵防范措施有哪些,是否有专门设备对网络入侵进行防范;
通过:
□
不通过:
□
不适用:
□
2)应检查网络入侵防范设备,查看是否能检测以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等;
通过:
□
不通过:
□
不适用:
□
3)应测试网络入侵防范设备,验证其报警策略是否有效;
通过:
□
不通过:
□
不适用:
□
网络设备防护(G2)
17
a)应对登录网络设备的用户进行身份鉴别;
1)应访谈网络管理员,询问主要网络设备的防护措施有哪些
通过:
□
不通过:
□
不适用:
□
18
b)应对网络设备的管理员登录地址进行限制;
1)应检查边界和主要网络设备,查看是否对边界和主要网络设备的管理员登录地址进行限制
通过:
□
不通过:
□
不适用:
□
19
c)网络设备用户的标识应唯一;
1)应检查边界和主要网络设备用户的标识应唯一
通过:
□
不通过:
□
不适用:
□
20
e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
1)应检查边界和主要网络设备,查看是否配置了登录用户身份鉴别功能,口令设置是否有复杂度和定期修改要求;
通过:
□
不通过:
□
不适用:
□
2)应访谈网络管理员,询问网络设备的口令策略是什么;
通过:
□
不通过:
□
不适用:
□
22
f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
1)应检查边界和主要网络设备,查看是否配置了鉴别失败处理功能;
通过:
□
不通过:
□
不适用:
□
2)查看是否设置网络登录连接超时,并自动退出
通过:
□
不通过:
□
不适用:
□
24
g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
1)应检查边界和主要网络设备,查看是否配置了对设备远程管理所产生的鉴别信息进行保护的功能;
通过:
□
不通过:
□
不适用:
□
测评人员(签字):
结果确认(签字):
测评日期:
二、网络拓扑结构(必须画出)
三、路由、交换设备(资产识别)
名称/型号
版本
位置(物理位置及网络拓扑位置)
四、网络安全设备(资产识别)
名称/型号
版本
位置(物理位置及网络拓扑位置)
五、路由设备相关配置(且主要配置抓图)
结构安全
带宽分配管理(Qos)配置情况:
是否有网络管理协议(如:
SNMP)配置情况:
主要网络接口配置:
路由表:
访问控制
是否开启访问控制功能及相关配置:
是否开启telnet(vty)及相关配置:
其他:
入侵防范
相关配置:
其他:
账户设置
账户设置信息:
安全审计
测评人员(签字):
结果确认(签字):
测评日期:
六、网络交换设备相关配置(且主要配置抓图)
结构安全
带宽分配管理(Qos)配置情况:
是否有网络管理协议(如:
SNMP)配置情况:
主要网络接口配置:
访问控制
是否开启访问控制功能及相关配置:
是否开启telnet(vty)及相关配置:
其他:
账户设置
账户设置信息:
安全审计
测评人员(签字):
结果确认(签字):
测评日期:
七、网络安全设备相关配置(且主要配置抓图)
结构安全
带宽分配管理(Qos)配置情况:
主要网络接口配置:
路由表:
访问控制
入侵防范
安全审计
账户设置
账户设置信息:
管理设置
登录是否需要安装证书:
证书管理方式:
测评人员(签字):
结果确认(签字):
测评日期:
升级会员 