5-SGISLOP-SA05-10网络架构等级保护测评作业指导书(三级).doc

1、控制编号：SGISL/OP-SA05-10信息安全等级保护测评作业指导书网络架构（三级）版 号：第 2 版修 改 次 数：第 0 次生 效 日 期：2010年01月06日中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA05-10第 23 页 共 23 页网络架构等级保护测评作业指导书第 2 版 第 0 次修订发布日期：2010年01月06日修改页修订号控制编号版号/章节号修改人修订原因批准人批准日期备注1SGISL/OP-SA05-10毛澍按公安部要求修订詹雄2010.3.8一、结构安全1. 关键设备冗余能力测评项编号ADT-NET-OVERAL

2、L-01对应要求应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； 测评项名称关键设备冗余能力测评分项1：查看主要网络设备是否具有冗余。操作步骤查看拓扑并实地查看主要网络设备是否具备冗余。适用版本任何版本实施风险无符合性判定如果主要网络设备采用双机热备形式部署并且具备冗余链路，判定结果为符合；如果主要网络设备未采用双机热备形式部署或不具备冗余链路，判定结果为不符合。备注2. 保证带宽需求测评项编号ADT-NET-OVERALL-02对应要求应保证网络各个部分的带宽满足业务高峰期需要； 测评项名称保证带宽需求测评分项1： 检查各个部分网络带宽是否满足业务需求操作步骤询问网络中各个

3、网络节点高峰时段带宽是否满足需求适用版本实施风险无符合性判定网络中各个网络节点高峰时段带宽满足需求，判定结果为符合；网络中各个网络节点高峰时段带宽不满足需求，判定结果为不符合。备注3. 安全路径测评项编号ADT-NET-OVERALL-03对应要求应在业务终端与业务服务器之间进行路由控制建立安全的访问路径 测评项名称安全路径测评分项1： 检查在业务终端与业务服务器之间是否进行路由控制，建立安全的访问路径操作步骤检查在业务终端与业务服务器之间是否进行有效路由控制，建立安全的访问路径。适用版本实施风险无符合性判定在业务终端与业务服务器之间是否进行有效路由控制，建立安全的访问路径，判定结果为符合；未

4、在业务终端与业务服务器之间是否进行有效路由控制，建立安全的访问路径，判定结果为不符合。备注4. 拓扑图符合情况测评项编号ADT-NET-OVERALL-04对应要求应绘制与当前运行情况相符的网络拓扑结构图； 测评项名称拓扑图符合情况测评分项1： 查看网络拓扑是否与实际网络情况相符操作步骤查看网络拓扑与实际网络情况对照是否相符适用版本实施风险无符合性判定网络拓扑与实际网络情况对照相符，判定结果为符合；网络拓扑与实际网络情况对照不相符，判定结果为不符合。符合性判定备注5. 网段划分情况测评项编号ADT-NET-OVERALL-05对应要求应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，

5、划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。 测评项名称网段划分情况测评分项1： 询问网段划分原则和查看交换机配置VLAN划分情况。操作步骤询问网段划分原则和VLAN划分情况，是否按照管理方便和控制的原则划分。适用版本实施风险无符合性判定网段划分原则和VLAN划分情况，按照管理方便和控制的原则划分，判定结果为符合；网段划分原则和VLAN划分情况，未按照管理方便和控制的原则划分，判定结果为不符合。符合性判定备注6. 网络隔离测评项编号ADT-NET-OVERALL-06对应要求应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技

6、术隔离手段； 测评项名称网络隔离测评分项1：重要网段与其他网段之间进行网络隔离。操作步骤查看重要网段与其他网段之间进行网络隔离。适用版本实施风险无符合性判定重要网段与其他网段之间进行网络隔离，判定结果为符合；重要网段与其他网段之间未进行网络隔离，判定结果为不符合。符合性判定备注7. 网络优先测评项编号ADT-NET-OVERALL-07对应要求应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。 测评项名称网络优先测评分项1：是否按关键业务服务的重要次序来指定带宽分配优先级别。操作步骤查看交换机及防火墙配置是否有按关键业务服务的重要次序来指定带宽分配优先

7、级别。适用版本实施风险无符合性判定交换机及防火墙配置按关键业务服务的重要次序来指定带宽分配优先级别。判定结果为符合；交换机及防火墙配置未按关键业务服务的重要次序来指定带宽分配优先级别，判定结果为不符合。符合性判定备注二、访问控制1. 边界访问控制措施测评项编号ADT-NET-OVERALL-08对应要求应在网络边界部署访问控制设备，启用访问控制功能； 测评项名称边界访问控制措施测评分项1： 网络边界是否部署网络访问控制措施操作步骤查看网络边界是否部署网络访问控制措施适用版本实施风险无符合性判定网络边界部署网络访问控制措施，判定结果为符合；网络边界未部署网络访问控制措施，判定结果为不符合。符合性

8、判定备注2. 网络访问控制能力测评项编号ADT-NET-OVERALL-09对应要求应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。 测评项名称网络访问控制能力测评分项1： 网络边界访问控制是否达到网络段级操作步骤查看网络访问控制措施访问控制是否达到网络段级适用版本实施风险无符合性判定网络访问控制措施访问控制达到网络段级，判定结果为符合；网络访问控制措施访问控制未达到网络段级，判定结果为不符合。符合性判定备注3. 内容过滤测评项编号ADT-NET-OVERALL-09对应要求应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、PO

9、P3等协议命令级的控制； 测评项名称内容过滤测评分项1：是否实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制操作步骤查看网络边界是否具备对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令进行控制的能力。适用版本实施风险无符合性判定网络边界具备对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令进行控制的能力，判定结果为符合；网络边界不具备对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令进行控制的能力，判定结果为不符合。符合性判定备注4. 断开超时连接测评项编号ADT-NET-OVERALL-09对应要求应在会

10、话处于非活跃一定时间或会话结束后终止网络连接； 测评项名称断开超时连接测评分项1： 查看网络是否具有断开超时连接的能力操作步骤查看网络设备或安全设备是否有断开超市连接的相关配置。适用版本实施风险无符合性判定网络设备或安全设备有断开超市连接的相关配置，判定结果为符合；网络设备或安全设备没有断开超市连接的相关配置，判定结果为不符合。符合性判定备注5. 限制流量及连接数测评项编号ADT-NET-OVERALL-09对应要求应限制网络最大流量数及网络连接数；测评项名称限制流量及连接数测评分项1：查看网络是否有限制网络最大流量数及网络连接数的能力操作步骤查看网络设备或安全设备配置是否有限制网络最大流量数

11、及网络连接数的相关配置适用版本实施风险无符合性判定网络设备或安全设备配置有限制网络最大流量数及网络连接数的相关配置，判定结果为符合；网络设备或安全设备配置没有限制网络最大流量数及网络连接数的相关配置，判定结果为不符合。符合性判定备注6. 防地址欺骗测评项编号ADT-NET-OVERALL-09对应要求重要网段应采取技术手段防止地址欺骗；测评项名称防地址欺骗测评分项1：重要网段是否采取技术手段防止地址欺骗操作步骤查看网络设备配置重要网段是否采用了IP-MAC绑定措施适用版本实施风险无符合性判定网络设备配置重要网段采用了IP-MAC绑定措施，判定结果为符合；网络设备配置重要网段未采用了IP-MAC

12、绑定措施，判定结果为不符合。符合性判定备注7. 网络访问控制能力-2测评项编号ADT-NET-OVERALL-10对应要求应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；测评项名称网络访问控制能力-2测评分项1：网络边界访问控制是否达到IP级操作步骤查看网络访问控制措施访问控制是否达到IP段级适用版本实施风险无符合性判定网络访问控制措施访问控制达到IP段级，判定结果为符合；网络访问控制措施访问控制未达到IP段级，判定结果为不符合。符合性判定备注8. 拨号访问控制测评项编号ADT-NET-OVERALL-08对应要求应限制具有拨号访问权限的用户数量

13、。 测评项名称拨号访问控制测评分项1：是否限制拨号用户的数量操作步骤查看是否采用拨号访问，是否限制拨号用户的数量适用版本实施风险无符合性判定限制拨号用户的数量，判定结果为符合；未限制拨号用户的数量，判定结果为不符合。符合性判定备注三、边界完整性检查1. 非法接入检测测评项编号ADT-NET-OVERALL-09对应要求应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；测评项名称非法接入检测测评分项1：是否采用技术手段对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断操作步骤查看是否采用技术手段对非授权设备私自联到内部网络的行为进行检查

14、，准确定出位置，并对其进行有效阻断适用版本实施风险无符合性判定采用技术手段对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断，判定结果为符合；未采用技术手段对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断，判定结果为不符合。符合性判定备注2. 非法外联检测测评项编号ADT-NET-OVERALL-09对应要求应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。测评项名称非法外联检测测评分项1：是否采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断

15、。操作步骤查看是否采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。适用版本实施风险无符合性判定采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查且措施有效，准确定出位置，并对其进行有效阻断。，判定结果为符合；未采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查或措施无效，准确定出位置，并对其进行有效阻断。，判定结果为不符合。符合性判定备注四、入侵防范1. 入侵检测测评项编号ADT-NET-OVERALL-02对应要求应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后

16、门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 测评项名称入侵检测测评分项1：网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击操作步骤查看网络边界处是否有能力监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击适用版本实施风险无符合性判定网络边界处有能力监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击，判定结果为符合；网络边界处没有能力监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒

17、绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击，判定结果为不符合。符合性判定备注2. 入侵审计和告警测评项编号ADT-NET-OVERALL-02对应要求当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。测评项名称入侵审计和告警测评分项1：当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警操作步骤查看安全设备当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警适用版本实施风险无符合性判定当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间

18、，在发生严重入侵事件时应提供报警，判定结果为符合；当检测到攻击行为时，不能记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警，判定结果为不符合。符合性判定备注五、恶意代码防范1. 边界恶意代码检测测评项编号ADT-NET-OVERALL-02对应要求应在网络边界处对恶意代码进行检测和清除；测评项名称边界恶意代码检测测评分项1：网络边界处对恶意代码进行检测和清除操作步骤查看网络边界处是否有能力对恶意代码进行检测和清除适用版本实施风险无符合性判定网络边界处有能力对恶意代码进行检测和清除，判定结果为符合；网络边界处没有能力对恶意代码进行检测和清除，判定结果为不符合。符合性判定备注2. 恶意代码库更新测评项编号ADT-NET-OVERALL-02对应要求应维护恶意代码库的升级和检测系统的更新。测评项名称入侵检测测评分项1：是否维护恶意代码库的升级和检测系统的更新操作步骤查看是否维护恶意代码库的升级和检测系统的更新适用版本实施风险无符合性判定维护恶意代码库的升级和检测系统的更新，判定结果为符合；未维护恶意代码库的升级和检测系统的更新，判定结果为不符合。符合性判定备注