網(wǎng)絡(luò)安全專項(xiàng)檢查

1、、核心網(wǎng)絡(luò)安全性（一）網(wǎng)絡(luò)結(jié)構(gòu)安全性序號類別檢查要求檢查結(jié)果1結(jié)構(gòu)安全a）應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能 力具備冗余空間，滿足業(yè)務(wù)高峰期需 要；2b）應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè) 務(wù)高峰期需要；3c）應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn) 行路由控制建立安全的訪問路徑；4d）應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò) 拓?fù)浣Y(jié)構(gòu)圖；5e）應(yīng)根據(jù)各部門的工作職能、 重要性和 所涉及信息的重要程度等因素， 劃分不 同的子網(wǎng)或網(wǎng)段，并按照方便管理和控 制的原則為各子網(wǎng)、網(wǎng)段分配地址段；6f）應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段 與具他網(wǎng)段之間米取可靠的技術(shù)隔離 手段；7g）應(yīng)按照對業(yè)務(wù)服務(wù)的

2、重要次序來指 定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生 擁堵的時候優(yōu)先保護(hù)重要主機(jī)。8訪問控制a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；9數(shù)據(jù)防泄露a）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部 網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置， 并對其進(jìn)行有效阻斷；10b）應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為及內(nèi)容進(jìn)行檢查， 準(zhǔn)確定 出位置，并對其進(jìn)行有效阻斷。入侵防范a）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為： 端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；12b）當(dāng)檢測到攻擊行為時，記錄攻擊源 IP、攻擊類型、攻擊目的、攻擊時間， 在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報(bào)警。1

3、3惡意代碼防a）應(yīng)在網(wǎng)絡(luò)邊界處對?？偞a進(jìn)行檢 測和清除；14范b）應(yīng)維護(hù)惡意代碼庫的升級和檢測系 統(tǒng)的更新。（二）網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全設(shè)備安全性序 號類別測評項(xiàng)結(jié)果記錄1訪問控制a）應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提 供明確的允許/拒絕訪問的能力，控制 粒度為端口級；2b）應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對應(yīng)用層 HTTP FTP、TELNET SMTPPOP政協(xié)議命令級的控制；3c）應(yīng)在會話處于非活躍一定時間或會 話結(jié)束后終止網(wǎng)絡(luò)連接；4d）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接 數(shù)；5e）重要網(wǎng)段應(yīng)米取技術(shù)手段防止地址 欺騙；6f）應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī) 則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)

4、 行資源訪問，控制粒度為單個用戶；7安全審計(jì)a）應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀 況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；8b）審計(jì)記錄應(yīng)包括：事件的日期和時 間、用戶、事件類型、事件是否成功及 其他與審計(jì)相關(guān)的信息；9c）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生 成審計(jì)報(bào)表；10d）應(yīng)對審計(jì)記錄進(jìn)行保護(hù)， 避免受到未 預(yù)期的刪除、修改或覆蓋等。11網(wǎng)絡(luò)設(shè)備防 護(hù)a）應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份 鑒別；12b）應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn) 行限制；13c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；14d）主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩 種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；15e）身份鑒別信息應(yīng)具后不易被冒用的

5、特點(diǎn)，口令應(yīng)有復(fù)雜皮要求并定期更 換；16f）應(yīng)具有登錄失敗處理功能，可采取結(jié) 束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登 錄連接超時自動退出等措施；17g）當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；18h）應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。19升級情況安全設(shè)備入侵檢測特征庫、 病毒庫、應(yīng) 用特征庫等是否定期升級、服務(wù)器安全性序 號類別檢查要求檢查結(jié)果1身份鑒別a）應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的 用戶進(jìn)行身份標(biāo)識和鑒別；2b）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身 份標(biāo)識應(yīng)具后不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜皮要求并定期更換；3c）應(yīng)啟用登錄失敗處理功能，可采取結(jié) 束會話、限制非

6、法登錄次數(shù)和自動退出 等措施；4d）當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時，應(yīng)采取 必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過 程中被竊聽；5e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫的不同用戶 分配/、同的用戶名，確保用戶名具有唯 一性。6f）應(yīng)米用兩種或兩種以上組合的鑒別 技術(shù)對管理用戶進(jìn)行身份鑒別。7安全審計(jì)a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客 戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫 用戶；8b）審計(jì)內(nèi)谷應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使 用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；9c）審計(jì)記錄應(yīng)包括事件的日期、時間、 類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；10d）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析， 并生 成審計(jì)報(bào)表；11e）應(yīng)保護(hù)審

7、計(jì)進(jìn)程，避免受到未預(yù)期的 中斷；12f）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的 刪除、修改或覆蓋等。13入侵防范a）應(yīng)能夠檢測到對重要服務(wù)器進(jìn)行入 侵的行為，能夠記錄入侵的源 IP、攻 擊的類型、攻擊的目的、攻擊的時間， 并在發(fā)生嚴(yán)重入侵事件時提供報(bào)警；14b）應(yīng)能夠?qū)χ匾绦蛲暾赃M(jìn)行檢測， 并在檢測到完整性受到破壞后具有恢 復(fù)的措施；15c）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅 安裝需要的組件和應(yīng)用程序，并通過設(shè) 置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及 時得到更新。16惡意代碼防 范a）應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；17b）主機(jī)防潛總代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò) 防新總代碼產(chǎn)品小同的新總代碼庫；18c）應(yīng)支持防惡意代碼的統(tǒng)一管理。19資源控制a）應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址 范圍等條件限制終端登錄；20b）應(yīng)根據(jù)安全策略設(shè)置登錄終端的操 作超時鎖定；21c）應(yīng)對重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視 服務(wù)器的CPU硬盤、內(nèi)存、網(wǎng)絡(luò)等資 源的使用情況；22d）應(yīng)限制單個用戶對系統(tǒng)資源的最大 或最小使用限度；23e）應(yīng)能