網(wǎng)絡(luò)全局安全測評指導(dǎo)書

1、網(wǎng)絡(luò)全局安全測評指導(dǎo)書序號測評指標(biāo)測評項(xiàng)檢查方法預(yù)期結(jié)果1結(jié)構(gòu)安全a)檢查網(wǎng)絡(luò)拓?fù)淝闆r、核查核心交換機(jī)、路由器，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。訪談： 詢問是否對主要網(wǎng)絡(luò)設(shè)備性能進(jìn)行監(jiān)控（CPU、內(nèi)存使用等）。主要網(wǎng)絡(luò)設(shè)備的性能（CPU、內(nèi)存）具備冗余空間，能夠滿足業(yè)務(wù)高峰期需求。b)檢查網(wǎng)絡(luò)拓?fù)淝闆r、核查核心交換機(jī)、路由器，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。訪談： 詢問在業(yè)務(wù)高峰期內(nèi)，帶寬是否滿足網(wǎng)絡(luò)各部分的需求，是否根據(jù)業(yè)務(wù)重要程度合理分配帶寬。 檢查： 檢查設(shè)備配置文件，查看是否對帶寬做了Qos參數(shù)配置。通過流量控制軟件或QOS，已根據(jù)業(yè)務(wù)重

2、要程度合理分配帶寬，在業(yè)務(wù)高峰期時(shí)現(xiàn)有帶寬能夠滿足網(wǎng)絡(luò)各部分需求。c)檢查網(wǎng)絡(luò)拓?fù)淝闆r、核查核心交換機(jī)、路由器，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。訪談： 通過何種方式在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立訪問路徑，訪問路徑是否安全可靠。 檢查： 是否配置路由控制策略建立安全的訪問路徑。 輸入命令：show running-config 如果使用靜態(tài)路由協(xié)議，檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)： ip route x.x.x.x x.x.x.x x.x.x.x 如果使用OSPF路由協(xié)議，檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)： router osp 100 ip ospf auth

3、entication ip ospf message-digest-key 1 md5 7 *1）使用靜態(tài)路由協(xié)議，靜態(tài)路由采用最小匹配原則進(jìn)行規(guī)劃； 2）使用OSPF路由協(xié)議，動(dòng)態(tài)路由采用加密算法，保障網(wǎng)絡(luò)中路由安全認(rèn)證。d)檢查網(wǎng)絡(luò)拓?fù)淝闆r、核查核心交換機(jī)、路由器，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。檢查： 查看網(wǎng)絡(luò)拓?fù)鋱D與當(dāng)前運(yùn)行情況是否一致。網(wǎng)絡(luò)拓?fù)鋱D與當(dāng)前運(yùn)行情況一致。e)檢查網(wǎng)絡(luò)拓?fù)淝闆r、核查核心交換機(jī)、路由器，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。檢查： 是否進(jìn)行了子網(wǎng)劃分。 輸入命令：show vlan 檢查配置文件中是否出現(xiàn)類似如下配置項(xiàng)

4、： vlan 2 name info1）已根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，配置文件中存在如下配置項(xiàng)：Vlan 2 name info； 2）按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；f)檢查網(wǎng)絡(luò)拓?fù)淝闆r、核查核心交換機(jī)、路由器，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。檢查： 1）查看網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，重要網(wǎng)段是否不在網(wǎng)絡(luò)邊界處； 2）重要網(wǎng)段和其他網(wǎng)段之間是否隔離部署。1）重要網(wǎng)段未部署在網(wǎng)絡(luò)邊界處； 2）重要網(wǎng)段和其他網(wǎng)段之間采取可靠的技術(shù)手段隔離部署。g)檢查網(wǎng)絡(luò)拓?fù)淝闆r、核查核心交換機(jī)、路由器，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分

5、、隔離等情況的合理性和有效性。檢查： 是否按照業(yè)務(wù)服務(wù)的重要次序配置了帶寬控制策略。按照業(yè)務(wù)服務(wù)的重要次序制定了帶寬分配優(yōu)先級別，在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。2邊界完整性檢查a)檢查邊界完整性檢查設(shè)備,接入邊界完整性檢查設(shè)備進(jìn)行測試等過程，測評分析信息系統(tǒng)私自聯(lián)到外部網(wǎng)絡(luò)的行為。訪談： 詢問如何檢查和阻斷“非法內(nèi)聯(lián)”行為。 檢查： 是否有包括網(wǎng)絡(luò)接入控制、關(guān)閉網(wǎng)絡(luò)設(shè)備未使用端口、IP/MAC地址綁定等技術(shù)手段檢查和阻斷“非法內(nèi)聯(lián)”。1）通過網(wǎng)絡(luò)接入控制對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷； 2）已關(guān)閉未使用的網(wǎng)絡(luò)端口，并通過IP/MAC地址綁定

6、等技術(shù)手段檢查和阻斷“非法內(nèi)聯(lián)”行為。b)檢查邊界完整性檢查設(shè)備,接入邊界完整性檢查設(shè)備進(jìn)行測試等過程，測評分析信息系統(tǒng)私自聯(lián)到外部網(wǎng)絡(luò)的行為。訪談： 詢問如何檢查和阻斷“非法外聯(lián)”行為。 檢查： 在網(wǎng)絡(luò)管理員配合下驗(yàn)證有效性。通過桌面管理軟件能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷。3入侵防范a)測評分析信息系統(tǒng)對攻擊行為的識別和處理情況。訪談： 訪談是否部署了包含入侵防范功能的設(shè)備。 檢查： 檢查設(shè)備是否能夠?qū)Χ丝趻呙枘抉R后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等攻擊行為進(jìn)行檢測。 檢查設(shè)備規(guī)則庫更新程度；驗(yàn)證監(jiān)控策略有效

7、性。部署了入侵防范功能設(shè)備，能夠?qū)Χ丝趻呙?、?qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等攻擊行為進(jìn)行檢測。b)測評分析信息系統(tǒng)對攻擊行為的識別和處理情況。檢查： 檢查設(shè)備的日志記錄，查看是否記錄了攻擊源IP、攻擊類型、攻擊目的和攻擊時(shí)間等信息，查看設(shè)備采用何種方式進(jìn)行報(bào)警。入侵防范系統(tǒng)能夠記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。4惡意代碼防范a)檢查網(wǎng)絡(luò)防惡意代碼產(chǎn)品等過程，測評分析信息系統(tǒng)網(wǎng)絡(luò)邊界和核心網(wǎng)段對病毒等惡意代碼的防護(hù)情況。訪談： 訪談是否部署了防惡意代碼產(chǎn)品。 檢查： 查看是否啟用了惡意代碼檢測及阻斷功能，并查看日志記錄中是否有相關(guān)阻斷信息。在網(wǎng)絡(luò)邊界處部署了惡意代碼防范系統(tǒng)，對惡意代碼能夠進(jìn)行檢測和清除。b)檢