二級-02網(wǎng)絡(luò)安全測評記錄V2.0概要

1、文件編號CDJX-DJC P-002文件版本V2.0編寫錢平校對胥滔審核朱光劍修訂次數(shù)2打印份數(shù)控制狀態(tài)是否裝訂歸檔部門信息系統(tǒng)安全等級保護(hù)測評附件2網(wǎng)絡(luò)安全測評記錄（S2A2G級）單位名稱: 系統(tǒng)名稱:測試時間、網(wǎng)絡(luò)安全測評記錄判定 二、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（必須畫出） 三、路由、交換設(shè)備（資產(chǎn)識別） 四、網(wǎng)絡(luò)安全設(shè)備（資產(chǎn)識別）五、交換機測評記錄錯誤！未定義書簽。六、路由器測評記錄錯誤！未定義書簽。七、網(wǎng)絡(luò)安全設(shè)備測評記錄錯誤！未定義書簽。網(wǎng)絡(luò)安全測評記錄（三級）網(wǎng)絡(luò)安全測評記錄判定類別序號測評項測評實施結(jié)果記錄符合情況結(jié)果情況記錄符合不符合結(jié)構(gòu)安全（G2）1a）應(yīng)保證主要網(wǎng)絡(luò)設(shè)備 的業(yè)務(wù)處理能力

2、具備冗余 空間，滿足業(yè)務(wù)高峰期需 要；1）應(yīng)訪談網(wǎng)絡(luò)管理員，詢問主要 網(wǎng)絡(luò)設(shè)備的性能以及目前業(yè)務(wù)高 峰流量情況；通過： 不通過： 不適用：2b）應(yīng)保證接入網(wǎng)絡(luò)和核 心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高 峰期需要；1）應(yīng)檢查網(wǎng)絡(luò)設(shè)計或驗收文檔， 查看是否有主要網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處 理能力、接入網(wǎng)絡(luò)及核心網(wǎng)絡(luò)的 帶寬滿足業(yè)務(wù)高峰期的需要以及 不存在帶寬瓶頸等方面的設(shè)計或 描述；通過： 不通過： 不適用：3C）應(yīng)繪制與當(dāng)前運行情 況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖1）應(yīng)檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，查看 其與當(dāng)前運行的實際網(wǎng)絡(luò)系統(tǒng)是 否一致；通過： 不通過： 不適用：類別序號測評項測評實施結(jié)果記錄符合情況結(jié)果情況記錄符合不符合4d）應(yīng)根據(jù)各

3、部門的工作 職能、重要性和所涉及信 息的重要程度等因素，劃 分不同的子網(wǎng)或網(wǎng)段，并 按照方便管理和控制的原 則為各子網(wǎng)、網(wǎng)段分配地 址段1）查看是否有根據(jù)各部門的工作 職能、重要性和所涉及信息的重 要程度等因素，劃分不冋的子網(wǎng) 或網(wǎng)段；通過： 不通過： 不適用：訪問控制（G2）5a）應(yīng)在網(wǎng)絡(luò)邊界部署訪 問控制設(shè)備，啟用訪問控 制功能；1）應(yīng)訪談安全管理員，詢問網(wǎng)絡(luò) 訪問控制措施有哪些；通過： 不通過： 不適用：2）應(yīng)對網(wǎng)絡(luò)訪問控制措施進(jìn)行 滲透測試，可通過采用多種滲透 測試技術(shù)，驗證網(wǎng)絡(luò)訪問控制措 施是否不存在明顯的弱點；通過： 不通過： 不適用：6b）應(yīng)能根據(jù)會話狀態(tài)信 息為數(shù)據(jù)流提供明確的

4、允 許/拒絕訪問的能力，控制 粒度為網(wǎng)段級；1）應(yīng)檢查邊界網(wǎng)絡(luò)設(shè)備，查看其 是否根據(jù)會話狀態(tài)信息對數(shù)據(jù)流 進(jìn)行控制，控制粒度是否為網(wǎng)段 級；通過： 不通過： 不適用：7C）應(yīng)按用戶和系統(tǒng)之間 的允許訪問規(guī)則，決定允 許或拒絕用戶對受控系統(tǒng) 進(jìn)行資源訪問，控制粒度 為單個用戶；1）應(yīng)測試邊界網(wǎng)絡(luò)設(shè)備，可通過 試圖訪問未授權(quán)的資源，驗證訪 問控制措施對未授權(quán)的訪問行為 的控制是否有效，控制粒度是否 為單個用戶；通過： 不通過： 不適用：類別序號測評項測評實施結(jié)果記錄符合情況結(jié)果情況記錄符合不符合8d）應(yīng)限制具有撥號訪問 權(quán)限的用戶數(shù)量1）應(yīng)檢查邊界網(wǎng)絡(luò)設(shè)備查看其 是否限制具有撥號訪問權(quán)限的用 戶數(shù)

5、量；通過： 不通過： 不適用：安全審計（G2）9a）應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng) 絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流 量、用戶行為等進(jìn)行日志 記錄；1）應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備， 查看審計策略是否包含網(wǎng)絡(luò)系統(tǒng) 中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流 量、用戶行為等；通過： 不通過： 不適用：10b）審計記錄應(yīng)包括：事件 的日期和時間、用戶、事 件類型、事件是否成功及 其他與審計相關(guān)的信息1）應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備， 查看事件審計記錄是否包括：事 件的日期和時間、用戶、事件類 型、事件成功情況，及其他與審 計相關(guān)的信息；通過： 不通過： 不適用：邊界完整 性檢查（S3）11a）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備 私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為 進(jìn)行

6、檢查；1）應(yīng)訪談安全管理員，詢問是否 對內(nèi)部用戶私自接入到內(nèi)部網(wǎng)絡(luò) 的行為進(jìn)行監(jiān)控；通過： 不通過： 不適用：2）應(yīng)測試邊界完整性檢查設(shè)備， 測試是否能夠?qū)Ψ鞘跈?quán)設(shè)備私自 接入內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查；通過： 不通過： 不適用：類別序號測評項測評實施結(jié)果記錄符合情況結(jié)果情況記錄符合不符合入侵防范（G2）12a）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視 以下攻擊行為：端口掃描、 強力攻擊、木馬后門攻擊、 拒絕服務(wù)攻擊、緩沖區(qū)溢 出攻擊、IP碎片攻擊和網(wǎng) 絡(luò)蠕蟲攻擊等1）應(yīng)訪談安全管理員，詢問網(wǎng)絡(luò) 入侵防范措施有哪些，是否有專 門設(shè)備對網(wǎng)絡(luò)入侵進(jìn)行防范；通過： 不通過： 不適用：2）應(yīng)檢查網(wǎng)絡(luò)入侵防范設(shè)備，查 看是否能檢

7、測以下攻擊行為：端 口掃描、強力攻擊、木馬后門攻 擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出 攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲攻 擊等；通過： 不通過： 不適用：3）應(yīng)測試網(wǎng)絡(luò)入侵防范設(shè)備，驗 證其報警策略是否有效；通過： 不通過： 不適用：網(wǎng)絡(luò)設(shè)備防護(hù)（G2）13a）應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的 用戶進(jìn)行身份鑒別；1）應(yīng)訪談網(wǎng)絡(luò)管理員，詢問主要 網(wǎng)絡(luò)設(shè)備的防護(hù)措施有哪些通過： 不通過： 不適用：14b）應(yīng)對網(wǎng)絡(luò)設(shè)備的管理 員登錄地址進(jìn)行限制；1）應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備， 查看是否對邊界和主要網(wǎng)絡(luò)設(shè)備 的管理員登錄地址進(jìn)行限制通過： 不通過： 不適用：15C）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識 應(yīng)唯一；1）應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備用

8、戶的標(biāo)識應(yīng)唯一通過： 不通過： 不適用：測評人員（簽字）：結(jié)果確認(rèn)（簽字）：測評日期:類別序號測評項測評實施結(jié)果記錄符合情況結(jié)果情況記錄符合不符合16e）身份鑒別信息應(yīng)具有 不易被冒用的特點，口令 應(yīng)有復(fù)雜度要求并定期更 換；1）應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備， 查看是否配置了登錄用戶身份鑒 別功能，口令設(shè)置是否有復(fù)雜度 和定期修改要求；通過： 不通過： 不適用：2）應(yīng)訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)絡(luò) 設(shè)備的口令策略是什么；通過： 不通過： 不適用：17f）應(yīng)具有登錄失敗處理 功能，可米取結(jié)束會話、 限制非法登錄次數(shù)和當(dāng)網(wǎng) 絡(luò)登錄連接超時自動退出 等措施；1）應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備， 查看是否配置了鑒別失

9、敗處理功 能;通過： 不通過： 不適用：2）查看是否設(shè)置網(wǎng)絡(luò)登錄連接超 時，并自動退出通過： 不通過： 不適用：18g）當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn) 程管理時，應(yīng)采取必要措 施防止鑒別信息在網(wǎng)絡(luò)傳 輸過程中被竊聽；1）應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備， 查看是否配置了對設(shè)備遠(yuǎn)程管理 所產(chǎn)生的鑒別信息進(jìn)行保護(hù)的功 能;通過： 不通過： 不適用：二、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（必須畫出）三、路由、交換設(shè)備（資產(chǎn)識別）名稱/型號版本位置（物理位置及網(wǎng)絡(luò)拓?fù)湮恢茫┧?、網(wǎng)絡(luò)安全設(shè)備（資產(chǎn)識別）名稱/型號版本位置（物理位置及網(wǎng)絡(luò)拓?fù)湮恢茫┪濉⒙酚稍O(shè)備相關(guān)配置（且主要配置抓圖）結(jié)構(gòu)安全帶寬分配管理（Qos）配置情況:是否有網(wǎng)絡(luò)管理協(xié)議（如

10、：SNMP）配置情況：主要網(wǎng)絡(luò)接口配置:路由表:第8頁共32頁網(wǎng)絡(luò)安全測評記錄(三級)訪問控制是否開啟訪問控制功能及相關(guān)配置:是否開啟tel net (vty)及相關(guān)配置:第9頁共32頁網(wǎng)絡(luò)安全測評記錄（三級）其他：入侵防范相關(guān)配置：其他：賬戶設(shè)置賬戶設(shè)置信息：安全審計測評人員（簽字）：結(jié)果確認(rèn)（簽字）：測評日期：六、網(wǎng)絡(luò)交換設(shè)備相關(guān)配置（且主要配置抓圖）結(jié)構(gòu)安全帶寬分配管理（Qos）配置情況：是否有網(wǎng)絡(luò)管理協(xié)議（如：SNMP）配置情況：第11頁共32頁網(wǎng)絡(luò)安全測評記錄（三級）主要網(wǎng)絡(luò)接口配置:訪問控制是否開啟訪問控制功能及相關(guān)配置:是否開啟tel net (vty)及相關(guān)配置:其他:賬戶設(shè)置賬戶設(shè)置信息