5-SGISLOP-SA05-10网络架构等级保护测评作业指导书(三级).doc

1、 控制编号：SGISL/OP-SA05-10 信息安全等级保护测评作业指导书 网络架构（三级） 版 号： 第 2 版 修 改 次 数： 第 0 次 生 效 日 期： 2010年01月06日 中国电力科学研究院信息安全实验室 中国电力科学研究院 信息安全实验室 控制编号：SGISL/OP-SA05-10 第 23 页 共 23 页 网络架构等级保护测评

2、作业指导书 第 2 版 第 0 次修订 发布日期：2010年01月06日 修改页 修订号 控制编号 版号/ 章节号 修改人 修订原因 批准人 批准日期 备注 1 SGISL/OP-SA05-10 毛澍 按公安部要求修订 詹雄 2010.3.8 一、结构安全 1. 关键设备冗余能力 测评项编号 ADT-NET-OVERALL-01 对应要求 应保证主要网络设备的业务处理能力具备冗余空间，满

3、足业务高峰期需要； 测评项名称 关键设备冗余能力 测评分项1：查看主要网络设备是否具有冗余。 操作步骤 查看拓扑并实地查看主要网络设备是否具备冗余。 适用版本 任何版本 实施风险 无 符合性判定 如果主要网络设备采用双机热备形式部署并且具备冗余链路，判定结果为符合； 如果主要网络设备未采用双机热备形式部署或不具备冗余链路，判定结果为不符合。 备注 2. 保证带宽需求 测评项编号 ADT-NET-OVERALL-02 对应要求 应保证网络各个部分的带宽满足业务高峰期需要； 测评项名称 保证带宽需求 测评分项1： 检查各个部分网络带宽是否满足业

4、务需求 操作步骤 询问网络中各个网络节点高峰时段带宽是否满足需求 适用版本 实施风险 无 符合性判定 网络中各个网络节点高峰时段带宽满足需求，判定结果为符合； 网络中各个网络节点高峰时段带宽不满足需求，判定结果为不符合。 备注 3. 安全路径 测评项编号 ADT-NET-OVERALL-03 对应要求 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径 测评项名称 安全路径 测评分项1： 检查在业务终端与业务服务器之间是否进行路由控制，建立安全的访问路径 操作步骤 检查在业务终端与业务服务器之间是否进行有效路由控制，建立安全的访问路径。

5、 适用版本 实施风险 无 符合性判定 在业务终端与业务服务器之间是否进行有效路由控制，建立安全的访问路径，判定结果为符合； 未在业务终端与业务服务器之间是否进行有效路由控制，建立安全的访问路径，判定结果为不符合。 备注 4. 拓扑图符合情况 测评项编号 ADT-NET-OVERALL-04 对应要求 应绘制与当前运行情况相符的网络拓扑结构图； 测评项名称 拓扑图符合情况 测评分项1： 查看网络拓扑是否与实际网络情况相符 操作步骤 查看网络拓扑与实际网络情况对照是否相符 适用版本 实施风险 无 符合性判定 网络拓扑与实际网络情况对照相符，判

6、定结果为符合； 网络拓扑与实际网络情况对照不相符，判定结果为不符合。 符合性判定 备注 5. 网段划分情况 测评项编号 ADT-NET-OVERALL-05 对应要求 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。 测评项名称 网段划分情况 测评分项1： 询问网段划分原则和查看交换机配置VLAN划分情况。 操作步骤 询问网段划分原则和VLAN划分情况，是否按照管理方便和控制的原则划分。 适用版本 实施风险 无 符合性判定 网段划分原则和VLAN划分情况，

7、按照管理方便和控制的原则划分，判定结果为符合； 网段划分原则和VLAN划分情况，未按照管理方便和控制的原则划分，，判定结果为不符合。 符合性判定 备注 6. 网络隔离 测评项编号 ADT-NET-OVERALL-06 对应要求 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段； 测评项名称 网络隔离 测评分项1：重要网段与其他网段之间进行网络隔离。 操作步骤 查看重要网段与其他网段之间进行网络隔离。 适用版本 实施风险 无 符合性判定 重要网段与其他网段之间进行网络隔离，判定结果为符合；

8、 重要网段与其他网段之间未进行网络隔离，判定结果为不符合。 符合性判定 备注 7. 网络优先 测评项编号 ADT-NET-OVERALL-07 对应要求 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。 测评项名称 网络优先 测评分项1：是否按关键业务服务的重要次序来指定带宽分配优先级别。 操作步骤 查看交换机及防火墙配置是否有按关键业务服务的重要次序来指定带宽分配优先级别。 适用版本 实施风险 无 符合性判定 交换机及防火墙配置按关键业务服务的重要次序来指定带宽分配优先级别。判定结果为符合； 交换

9、机及防火墙配置未按关键业务服务的重要次序来指定带宽分配优先级别，判定结果为不符合。 符合性判定 备注 二、访问控制 1. 边界访问控制措施 测评项编号 ADT-NET-OVERALL-08 对应要求 应在网络边界部署访问控制设备，启用访问控制功能； 测评项名称 边界访问控制措施 测评分项1： 网络边界是否部署网络访问控制措施 操作步骤 查看网络边界是否部署网络访问控制措施 适用版本 实施风险 无 符合性判定 网络边界部署网络访问控制措施，判定结果为符合； 网络边界未部署网络访问控制措施，判定结果为不符合。 符合性判定 备注

10、 2. 网络访问控制能力 测评项编号 ADT-NET-OVERALL-09 对应要求 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。 测评项名称 网络访问控制能力 测评分项1： 网络边界访问控制是否达到网络段级 操作步骤 查看网络访问控制措施访问控制是否达到网络段级 适用版本 实施风险 无 符合性判定 网络访问控制措施访问控制达到网络段级，判定结果为符合； 网络访问控制措施访问控制未达到网络段级，判定结果为不符合。 符合性判定 备注 3. 内容过滤 测评项编号 ADT-NET-OVERALL-09 对

11、应要求 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制； 测评项名称 内容过滤 测评分项1：是否实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制 操作步骤 查看网络边界是否具备对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令进行控制的能力。 适用版本 实施风险 无 符合性判定 网络边界具备对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令进行控制的能力，判定结果为符合； 网络边界不具备对应用层HTTP、FTP、TELNET、SM

12、TP、POP3等协议命令进行控制的能力，判定结果为不符合。 符合性判定 备注 4. 断开超时连接 测评项编号 ADT-NET-OVERALL-09 对应要求 应在会话处于非活跃一定时间或会话结束后终止网络连接； 测评项名称 断开超时连接 测评分项1： 查看网络是否具有断开超时连接的能力 操作步骤 查看网络设备或安全设备是否有断开超市连接的相关配置。 适用版本 实施风险 无 符合性判定 网络设备或安全设备有断开超市连接的相关配置，判定结果为符合； 网络设备或安全设备没有断开超市连接的相关配置，判定结果为不符合。 符合性判定 备注

13、 5. 限制流量及连接数 测评项编号 ADT-NET-OVERALL-09 对应要求 应限制网络最大流量数及网络连接数； 测评项名称 限制流量及连接数 测评分项1：查看网络是否有限制网络最大流量数及网络连接数的能力 操作步骤 查看网络设备或安全设备配置是否有限制网络最大流量数及网络连接数的相关配置 适用版本 实施风险 无 符合性判定 网络设备或安全设备配置有限制网络最大流量数及网络连接数的相关配置，判定结果为符合； 网络设备或安全设备配置没有限制网络最大流量数及网络连接数的相关配置，判定结果为不符合。 符合性判定 备注 6. 防地址欺骗

14、 测评项编号 ADT-NET-OVERALL-09 对应要求 重要网段应采取技术手段防止地址欺骗； 测评项名称 防地址欺骗 测评分项1：重要网段是否采取技术手段防止地址欺骗 操作步骤 查看网络设备配置重要网段是否采用了IP-MAC绑定措施 适用版本 实施风险 无 符合性判定 网络设备配置重要网段采用了IP-MAC绑定措施，判定结果为符合； 网络设备配置重要网段未采用了IP-MAC绑定措施，判定结果为不符合。 符合性判定 备注 7. 网络访问控制能力-2 测评项编号 ADT-NET-OVERALL-10 对应要求 应按用户和系统之间的允

15、许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户； 测评项名称 网络访问控制能力-2 测评分项1：网络边界访问控制是否达到IP级 操作步骤 查看网络访问控制措施访问控制是否达到IP段级 适用版本 实施风险 无 符合性判定 网络访问控制措施访问控制达到IP段级，判定结果为符合； 网络访问控制措施访问控制未达到IP段级，判定结果为不符合。 符合性判定 备注 8. 拨号访问控制 测评项编号 ADT-NET-OVERALL-08 对应要求 应限制具有拨号访问权限的用户数量。 测评项名称 拨号访问控制 测评分项1：是

16、否限制拨号用户的数量 操作步骤 查看是否采用拨号访问，是否限制拨号用户的数量 适用版本 实施风险 无 符合性判定 限制拨号用户的数量，判定结果为符合； 未限制拨号用户的数量，判定结果为不符合。 符合性判定 备注 三、边界完整性检查 1. 非法接入检测 测评项编号 ADT-NET-OVERALL-09 对应要求 应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断； 测评项名称 非法接入检测 测评分项1：是否采用技术手段对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断 操作步骤

17、 查看是否采用技术手段对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断 适用版本 实施风险 无 符合性判定 采用技术手段对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断，判定结果为符合； 未采用技术手段对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断，判定结果为不符合。 符合性判定 备注 2. 非法外联检测 测评项编号 ADT-NET-OVERALL-09 对应要求 应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。 测评项名称

18、非法外联检测 测评分项1：是否采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。 操作步骤 查看是否采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。 适用版本 实施风险 无 符合性判定 采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查且措施有效，准确定出位置，并对其进行有效阻断。，判定结果为符合； 未采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查或措施无效，准确定出位置，并对其进行有

19、效阻断。，判定结果为不符合。 符合性判定 备注 四、入侵防范 1. 入侵检测 测评项编号 ADT-NET-OVERALL-02 对应要求 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 测评项名称 入侵检测 测评分项1：网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击 操作步骤 查看网络边界处是否有能力监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕

20、虫攻击 适用版本 实施风险 无 符合性判定 网络边界处有能力监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击，判定结果为符合； 网络边界处没有能力监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击，判定结果为不符合。 符合性判定 备注 2. 入侵审计和告警 测评项编号 ADT-NET-OVERALL-02 对应要求 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 测评项名称 入侵审

21、计和告警 测评分项1：当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警 操作步骤 查看安全设备当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警 适用版本 实施风险 无 符合性判定 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警，判定结果为符合； 当检测到攻击行为时，不能记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警，判定结果为不符合。 符合性判定 备注 五、恶意代码防范 1. 边

22、界恶意代码检测 测评项编号 ADT-NET-OVERALL-02 对应要求 应在网络边界处对恶意代码进行检测和清除； 测评项名称 边界恶意代码检测 测评分项1：网络边界处对恶意代码进行检测和清除 操作步骤 查看网络边界处是否有能力对恶意代码进行检测和清除 适用版本 实施风险 无 符合性判定 网络边界处有能力对恶意代码进行检测和清除，判定结果为符合； 网络边界处没有能力对恶意代码进行检测和清除，判定结果为不符合。 符合性判定 备注 2. 恶意代码库更新 测评项编号 ADT-NET-OVERALL-02 对应要求 应维护恶意代码库的升级和检测系统的更新。 测评项名称 入侵检测 测评分项1：是否维护恶意代码库的升级和检测系统的更新 操作步骤 查看是否维护恶意代码库的升级和检测系统的更新 适用版本 实施风险 无 符合性判定 维护恶意代码库的升级和检测系统的更新，判定结果为符合； 未维护恶意代码库的升级和检测系统的更新，判定结果为不符合。 符合性判定 备注