5SGISLOPSA0510 网络架构等级保护测评作业指导书三级Word文件下载.docx

1、批准日期备注1SGISL/OP-SA05-10毛澍按公安部要求修订詹雄2010.3.8一、结构安全1. 关键设备冗余能力测评项编号ADT-NET-OVERALL-01对应要求应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； 测评项名称关键设备冗余能力测评分项1：查看主要网络设备是否具有冗余。操作步骤查看拓扑并实地查看主要网络设备是否具备冗余。适用版本任何版本实施风险无符合性判定如果主要网络设备采用双机热备形式部署并且具备冗余链路，判定结果为符合；如果主要网络设备未采用双机热备形式部署或不具备冗余链路，判定结果为不符合。2. 保证带宽需求ADT-NET-OVERALL-02应保

2、证网络各个部分的带宽满足业务高峰期需要； 检查各个部分网络带宽是否满足业务需求询问网络中各个网络节点高峰时段带宽是否满足需求网络中各个网络节点高峰时段带宽满足需求，判定结果为符合；网络中各个网络节点高峰时段带宽不满足需求，判定结果为不符合。3. 安全路径ADT-NET-OVERALL-03应在业务终端与业务服务器之间进行路由控制建立安全的访问路径 检查在业务终端与业务服务器之间是否进行路由控制，建立安全的访问路径检查在业务终端与业务服务器之间是否进行有效路由控制，建立安全的访问路径。在业务终端与业务服务器之间是否进行有效路由控制，建立安全的访问路径，判定结果为符合；未在业务终端与业务服务器之间

3、是否进行有效路由控制，建立安全的访问路径，判定结果为不符合。4. 拓扑图符合情况ADT-NET-OVERALL-04应绘制与当前运行情况相符的网络拓扑结构图； 查看网络拓扑是否与实际网络情况相符查看网络拓扑与实际网络情况对照是否相符网络拓扑与实际网络情况对照相符，判定结果为符合；网络拓扑与实际网络情况对照不相符，判定结果为不符合。5. 网段划分情况ADT-NET-OVERALL-05应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。 询问网段划分原则和查看交换机配置VLAN划分情况。询问网段划分原则和VLAN划

4、分情况，是否按照管理方便和控制的原则划分。网段划分原则和VLAN划分情况，按照管理方便和控制的原则划分，判定结果为符合；网段划分原则和VLAN划分情况，未按照管理方便和控制的原则划分，判定结果为不符合。6. 网络隔离ADT-NET-OVERALL-06应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；重要网段与其他网段之间进行网络隔离。查看重要网段与其他网段之间进行网络隔离。重要网段与其他网段之间进行网络隔离，判定结果为符合；重要网段与其他网段之间未进行网络隔离，判定结果为不符合。7. 网络优先ADT-NET-OVERALL-07应按照对业务

5、服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。是否按关键业务服务的重要次序来指定带宽分配优先级别。查看交换机及防火墙配置是否有按关键业务服务的重要次序来指定带宽分配优先级别。交换机及防火墙配置按关键业务服务的重要次序来指定带宽分配优先级别。判定结果为符合；交换机及防火墙配置未按关键业务服务的重要次序来指定带宽分配优先级别，判定结果为不符合。二、访问控制1. 边界访问控制措施ADT-NET-OVERALL-08应在网络边界部署访问控制设备，启用访问控制功能；边界访问控制措施 网络边界是否部署网络访问控制措施查看网络边界是否部署网络访问控制措施网络边界部署网络访问

6、控制措施，判定结果为符合；网络边界未部署网络访问控制措施，判定结果为不符合。网络访问控制能力ADT-NET-OVERALL-09应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。 网络边界访问控制是否达到网络段级查看网络访问控制措施访问控制是否达到网络段级网络访问控制措施访问控制达到网络段级，判定结果为符合；网络访问控制措施访问控制未达到网络段级，判定结果为不符合。内容过滤应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；是否实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控

7、制查看网络边界是否具备对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令进行控制的能力。网络边界具备对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令进行控制的能力，判定结果为符合；网络边界不具备对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令进行控制的能力，判定结果为不符合。断开超时连接应在会话处于非活跃一定时间或会话结束后终止网络连接； 查看网络是否具有断开超时连接的能力查看网络设备或安全设备是否有断开超市连接的相关配置。网络设备或安全设备有断开超市连接的相关配置，判定结果为符合；网络设备或安全设备没有断开超市连接的相关配置，判定结果

8、为不符合。限制流量及连接数应限制网络最大流量数及网络连接数；查看网络是否有限制网络最大流量数及网络连接数的能力查看网络设备或安全设备配置是否有限制网络最大流量数及网络连接数的相关配置网络设备或安全设备配置有限制网络最大流量数及网络连接数的相关配置，判定结果为符合；网络设备或安全设备配置没有限制网络最大流量数及网络连接数的相关配置，判定结果为不符合。防地址欺骗重要网段应采取技术手段防止地址欺骗；重要网段是否采取技术手段防止地址欺骗查看网络设备配置重要网段是否采用了IP-MAC绑定措施网络设备配置重要网段采用了IP-MAC绑定措施，判定结果为符合；网络设备配置重要网段未采用了IP-MAC绑定措施，

9、判定结果为不符合。网络访问控制能力-2ADT-NET-OVERALL-10应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；网络边界访问控制是否达到IP级查看网络访问控制措施访问控制是否达到IP段级网络访问控制措施访问控制达到IP段级，判定结果为符合；网络访问控制措施访问控制未达到IP段级，判定结果为不符合。8. 拨号访问控制应限制具有拨号访问权限的用户数量。是否限制拨号用户的数量查看是否采用拨号访问，是否限制拨号用户的数量限制拨号用户的数量，判定结果为符合；未限制拨号用户的数量，判定结果为不符合。三、边界完整性检查1. 非法接入检测应能够对非授权

10、设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；非法接入检测是否采用技术手段对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断查看是否采用技术手段对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断采用技术手段对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断，判定结果为符合；未采用技术手段对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断，判定结果为不符合。非法外联检测应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。是否采用技术手段

11、对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。查看是否采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查且措施有效，准确定出位置，并对其进行有效阻断。，判定结果为符合；未采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查或措施无效，准确定出位置，并对其进行有效阻断。，判定结果为不符合。四、入侵防范1. 入侵检测应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻

12、击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。入侵检测网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击查看网络边界处是否有能力监视以下攻击行为：网络边界处有能力监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击，判定结果为符合；网络边界处没有能力监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击，判定结果为不符合。入侵审计和告警当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，

13、在发生严重入侵事件时应提供报警。当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警查看安全设备当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警，判定结果为符合；当检测到攻击行为时，不能记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警，判定结果为不符合。五、恶意代码防范1. 边界恶意代码检测应在网络边界处对恶意代码进行检测和清除；边界恶意代码检测网络边界处对恶意代码进行检测和清除查看网络边界处是否有能力对恶意代码进行检测和清除网络边界处有能力对恶意代码进行检测和清除，判定结果为符合；网络边界处没有能力对恶意代码进行检测和清除，判定结果为不符合。恶意代码库更新应维护恶意代码库的升级和检测系统的更新。是否维护恶意代码库的升级和检测系统的更新查看是否维护恶意代码库的升级和检测系统的更新维护恶意代码库的升级和检测系统的更新，判定结果为符合；未维护恶意代码库的升级和检测系统的更新，判定结果为不符合。