4-SGISLOP-SA04-10网络架构等级保护测评作业指导书(二级).doc

控制编号：SGISL/OP-SA04-10 信息安全等级保护测评作业指导书 网络架构（二级） 版 号： 第 2 版 修 改 次 数： 第 0 次 生 效 日 期： 2010年01月06日 中国电力科学研究院信息安全实验室 中国电力科学研究院 信息安全实验室 控制编号：SGISL/OP-SA04-10 第 12 页 共 12 页 网络架构等级保护测评作业指导书 第 2 版 第 0 次修订 发布日期：2010年01月06日 修改页 修订号 控制编号 版号/ 章节号 修改人 修订原因 批准人 批准日期 备注 1 SGISL/OP-SA04-10 张鹏 按公安部要求修订 詹雄 2010.3.8 一、结构安全 1. 关键设备冗余能力 测评项编号 ADT-NET-OVERALL-01 对应要求 应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。 测评项名称 关键设备冗余能力 测评分项1：查看关键网络设备是否具有冗余。 操作步骤 查看拓扑并实地查看核心交换机和关键网络设备是否具备冗余。 适用版本 任何版本 实施风险 无 符合性判定 如果网络设备采用双机热备形式部署并且具备冗余链路，判定结果为符合； 如果网络设备未采用双机热备形式部署或不具备冗余链路，判定结果为不符合。 备注 2. 保证带宽需求 测评项编号 ADT-NET-OVERALL-02 对应要求 应保证接入网络和核心网络的带宽满足业务高峰期需要； 测评项名称 保证带宽需求 测评分项1： 检查核心交换机吞吐量是否满足业务需求 操作步骤 询问核心交换机吞高峰时段带宽是否满足需求 适用版本 实施风险 无 符合性判定 核心交换机高峰时段带宽满足需求，判定结果为符合； 核心交换机高峰时段带宽不满足需求，判定结果为不符合。 测评分项2：访谈检查接入交换机吞吐量是否满足业务需求 操作步骤 询问接入交换机吞高峰时段带宽是否满足需求 适用版本 实施风险 无 符合性判定 接入交换机吞高峰时段带宽满足需求，判定结果为符合 接入交换机吞高峰时段带宽不满足需求，判定结果为不符合。 备注 3. 拓扑图符合情况 测评项编号 ADT-NET-OVERALL-03 对应要求 应绘制与当前运行情况相符的网络拓扑结构图； 测评项名称 拓扑图符合情况 测评分项1： 查看网络拓扑是否与实际网络情况相符 操作步骤 查看网络拓扑与实际网络情况对照是否相符 适用版本 实施风险 无 符合性判定 网络拓扑与实际网络情况对照相符，判定结果为符合； 网络拓扑与实际网络情况对照不相符，判定结果为不符合。 符合性判定 备注 4. 网段划分情况 测评项编号 ADT-NET-OVERALL-04 对应要求 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。 测评项名称 网段划分情况 测评分项1： 询问网段划分原则和查看交换机配置VLAN划分情况。 操作步骤 询问网段划分原则和VLAN划分情况，是否按照管理方便和控制的原则划分。 适用版本 实施风险 无 符合性判定 网段划分原则和VLAN划分情况，按照管理方便和控制的原则划分，判定结果为符合； 网段划分原则和VLAN划分情况，未按照管理方便和控制的原则划分，，判定结果为不符合。 符合性判定 备注 二、访问控制 1. 边界访问控制措施 测评项编号 ADT-NET-OVERALL-05 对应要求 应在网络边界部署访问控制设备，启用访问控制功能； 测评项名称 边界访问控制措施 测评分项1： 网络边界是否部署网络访问控制措施 操作步骤 查看网络边界是否部署网络访问控制措施 适用版本 实施风险 无 符合性判定 网络边界部署网络访问控制措施，判定结果为符合； 网络边界未部署网络访问控制措施，判定结果为不符合。 符合性判定 备注 2. 网络访问控制能力 测评项编号 ADT-NET-OVERALL-06 对应要求 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。 测评项名称 网络访问控制能力 测评分项1： 网络边界访问控制是否达到网络段级 操作步骤 查看网络访问控制措施访问控制是否达到网络段级 适用版本 实施风险 无 符合性判定 网络访问控制措施访问控制达到网络段级，判定结果为符合； 网络访问控制措施访问控制未达到网络段级，判定结果为不符合。 符合性判定 备注 3. 网络访问控制能力-2 测评项编号 ADT-NET-OVERALL-02 对应要求 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户； 测评项名称 网络访问控制能力-2 测评分项1：网络边界访问控制是否达到IP级 操作步骤 查看网络访问控制措施访问控制是否达到IP段级 适用版本 实施风险 无 符合性判定 网络访问控制措施访问控制达到IP段级，判定结果为符合； 网络访问控制措施访问控制未达到IP段级，判定结果为不符合。 符合性判定 备注 4. 拨号访问控制 测评项编号 ADT-NET-OVERALL-08 对应要求 应限制具有拨号访问权限的用户数量。 测评项名称 拨号访问控制 测评分项1：是否限制拨号用户的数量 操作步骤 查看是否采用拨号访问，是否限制拨号用户的数量 适用版本 实施风险 无 符合性判定 限制拨号用户的数量，判定结果为符合； 未限制拨号用户的数量，判定结果为不符合。 符合性判定 备注 三、边界完整性检查 1. 非法外联检测 测评项编号 ADT-NET-OVERALL-09 对应要求 应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查 测评项名称 非法外联检测 测评分项1：是否采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查 操作步骤 查看是否采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查 适用版本 实施风险 无 符合性判定 采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查且措施有效，判定结果为符合； 未采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查或措施无效，判定结果为不符合。 符合性判定 备注 四、入侵防范 1. 入侵检测 测评项编号 ADT-NET-OVERALL-02 对应要求 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 测评项名称 入侵检测 测评分项1：网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击 操作步骤 查看网络边界处是否有能力监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击 适用版本 实施风险 无 符合性判定 网络边界处有能力监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击，判定结果为符合； 网络边界处没有能力监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击，判定结果为不符合。 符合性判定 备注