網(wǎng)絡(luò)安全專(zhuān)項(xiàng)檢查

1、附件：網(wǎng)絡(luò)安全專(zhuān)項(xiàng)檢查內(nèi)容、核心網(wǎng)絡(luò)安全性）網(wǎng)絡(luò)結(jié)構(gòu)安全性類(lèi)別檢查要求檢查結(jié)果a）應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；b）應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；c）應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn) 行路由控制建立安全的訪問(wèn)路徑；結(jié)構(gòu)安全d）應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò) 拓?fù)浣Y(jié)構(gòu)圖；e）應(yīng)根據(jù)各部門(mén)的工作職能、重要性 和 所涉及信息的重要程度等因素，劃分 不同的子網(wǎng)或網(wǎng)段，并按照方便管理和 控 制的原則為各子網(wǎng)、網(wǎng)段分配地址f）應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處 且直接連接外部信息系統(tǒng)，重要網(wǎng)段與 其他網(wǎng)段之間釆取可靠的技術(shù)隔離手 段；7g）應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重

2、要次序來(lái)指定 帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生 擁 堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。8訪問(wèn)控制a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備， 啟用訪問(wèn)控制功能；910數(shù)據(jù)防泄露a）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部 網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；b）應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為及內(nèi)容進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。12入侵防范a）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為： 端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等；b）當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類(lèi)型、攻擊目的、攻擊時(shí)間， 在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。131

3、4惡意代碼防范a）應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；b）應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系 統(tǒng)的更新。二）網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全設(shè)備安全性序號(hào)類(lèi)別測(cè)評(píng)項(xiàng)結(jié)果記錄a）應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提1供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)；b）應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，2實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)c）應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)3訪問(wèn)控制話結(jié)束后終止網(wǎng)絡(luò)連接；d）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接4數(shù)；e）重要網(wǎng)段應(yīng)釆取技術(shù)手段防止地址5欺騙；f）應(yīng)按川八和系統(tǒng)之間的允許訪問(wèn)規(guī)6則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用

4、戶；7安全審計(jì)a）應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀 況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記 錄；17g）當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，釆取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；應(yīng)18h）應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。19升級(jí)情況安全設(shè)備入侵檢測(cè)特征庫(kù)、病毒庫(kù)、用特征庫(kù)等是否定期升級(jí)應(yīng)、服務(wù)器安全性類(lèi)別檢查要求檢查結(jié)果5a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的 川八進(jìn)行身份標(biāo)識(shí)和鑒別；b）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身 份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；身份鑒別c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；d）當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采 取必

5、要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)的不同用戶6分配不同的用戶名，確保用戶名具有唯一性。f）應(yīng)釆用兩種或兩種以上組合的鑒別技 術(shù)對(duì)管理用戶進(jìn)行身份鑒別。a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客7戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用八b）審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系 統(tǒng)8資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；c）審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、9安全審計(jì)類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；10d）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并 生成審計(jì)報(bào)表；11e）應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期 的中斷；f）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的12刪除、修改或覆蓋等。

6、a）應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊13入侵防范的類(lèi)型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；14b）應(yīng)能夠?qū)χ匾绦蛲暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施；c）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅 安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)15置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。16a）應(yīng)安裝防惡意代碼軟件，并及時(shí)更 新防惡意代碼軟件版本和惡意代碼庫(kù)；17惡意代碼防b）主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)范防惡意代碼產(chǎn)品不同的惡意代碼庫(kù)；18c）應(yīng)支持防惡意代碼的統(tǒng)一管理。19a）應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地 址范圍等條件限制終端登錄；b）應(yīng)根據(jù)安全策略設(shè)置登錄終端的操20作超時(shí)鎖定；c）應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視21資源控制服務(wù)器的CPU、硬盤(pán)、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況;d）應(yīng)限制單個(gè)川八對(duì)系統(tǒng)資源的最大22或最小使用限度；23e）應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)