網(wǎng)絡(luò)結(jié)構(gòu)安全(S3A2G3)-2015-v01

資產(chǎn)編號：,,,,設(shè)備型號/IOS：,N/A,

名稱：,網(wǎng)絡(luò)結(jié)構(gòu)安全,,,IP地址：,N/A,

所屬系統(tǒng)：,,,,配合人：,,

測評師：,,,,測評日期：,,

適用范圍：,網(wǎng)絡(luò)結(jié)構(gòu)安全,,,,,

網(wǎng)絡(luò)安全-網(wǎng)絡(luò)結(jié)構(gòu)安全（S3A2G3）測評表,,,,,,

測評指標,測評項,,測評方法,,結(jié)果記錄,備注

,e)應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；,,訪談網(wǎng)絡(luò)管理員，是否依據(jù)部門的工作職能、重要性和應(yīng)用系統(tǒng)的級別劃分了不同的VLAN，并檢查交換機的配置。,,"□N/A；

□未根據(jù)實際安全需求劃分網(wǎng)段和VLAN；

□已根據(jù)實際安全需求劃分網(wǎng)段和VLAN；

□網(wǎng)段劃分依據(jù)：□部門職能、□信息系統(tǒng)、□應(yīng)用系統(tǒng)、□其他；

網(wǎng)段劃分的實際情況為：",

,f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；,,訪談網(wǎng)絡(luò)管理員和監(jiān)察網(wǎng)絡(luò)拓撲結(jié)構(gòu)，查看是否將重要的網(wǎng)段部署在網(wǎng)絡(luò)邊界處，重要網(wǎng)段和其他網(wǎng)段之間是否采取可靠的技術(shù)隔離手段、配置安全策略進行訪問控制。,,"□N/A；

□重要網(wǎng)段與外部信息系統(tǒng)之間未采取有效的隔離手段；

□重要網(wǎng)段與其他網(wǎng)段之間未采取有效的隔離手段；

□該系統(tǒng)重要網(wǎng)段分為：；

□網(wǎng)段通過與外部信息系統(tǒng)進行隔離；

□網(wǎng)段通過與其他網(wǎng)段之間進行隔離；",

,g)應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機。,,訪談網(wǎng)絡(luò)管理員，依據(jù)實際應(yīng)用系統(tǒng)狀況是否進行了帶寬優(yōu)先級分配，并檢查防火墻和路由器的配置。如果在網(wǎng)絡(luò)邊界處部署防火墻，檢查防火墻是否存在策略帶寬配置。如果網(wǎng)絡(luò)邊界處未部署防火墻，檢查邊界網(wǎng)絡(luò)設(shè)備是否存在相關(guān)配置信息。,,"□N/A；

□未根據(jù)業(yè)務(wù)重要情況來分配帶寬優(yōu)先級；

□已根據(jù)業(yè)務(wù)重要情況來分配帶寬優(yōu)先級；

帶寬優(yōu)先級分配策略：",

"

訪問控制

(G3)",a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；,,訪談網(wǎng)絡(luò)管理員、安全管理員，檢查網(wǎng)絡(luò)拓撲結(jié)構(gòu)，查看是否在網(wǎng)絡(luò)邊界處部署訪問控制設(shè)備并配置啟用了訪問控制策略。,,"□N/A；

□該系統(tǒng)網(wǎng)絡(luò)有以下網(wǎng)絡(luò)邊界：；

□在邊界處未啟用訪問控制功能；

□在邊界處已啟用訪問控制功能；",

,b)應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；,,"1）在特權(quán)模式下輸入命令：showipaccess-list會輸出該交換機相關(guān)配置信息。

2)檢查配置信息中應(yīng)當存在類似如下配置信息：

ipaccess-listextended111

access-list111permittcphost6anyeq443

access-list111denyanyany

3)網(wǎng)絡(luò)設(shè)備中默認開啟了一些服務(wù)，有些服務(wù)在實際使用中試不需要的，而這些服務(wù)本身卻可能存在一些安全隱患，因此，需要主動關(guān)閉這些服務(wù)。",,"□N/A；

□未在區(qū)域邊界配置訪問控制列表對進出的數(shù)據(jù)進行過濾；

□已在區(qū)域邊界配置訪問控制列表對進出的數(shù)據(jù)進行過濾；

□區(qū)域邊界訪問控制粒度為網(wǎng)段級；

□區(qū)域邊界訪問控制粒度為端口級；

各個區(qū)域的配置情況：",

,c)應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；,,如果在網(wǎng)絡(luò)邊界處部署防火墻，該項要求一般在防火墻上實現(xiàn)。,,"□N/A；

□未在區(qū)域邊界啟用對應(yīng)用層協(xié)議的控制；

□在區(qū)域邊界配置了對應(yīng)用層□HTTP、□FTP、□TELNET、□SMTP、□POP3等協(xié)議命令級的控制；

各個區(qū)域的配置情況：",

,d)應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；,,此項可以在路由器和防火墻上實現(xiàn)，應(yīng)當在會話終止或長時間無響應(yīng)的情況下終止網(wǎng)絡(luò)連接，釋放被占用網(wǎng)絡(luò)資源，保證業(yè)務(wù)可以被正常訪問。,,"□N/A；

□未在區(qū)域配置會話非活躍或會話結(jié)束后終止網(wǎng)絡(luò)；

□已在區(qū)域配置會話非活躍分鐘自動終止網(wǎng)絡(luò)鏈接；",

,e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；,,"訪談系統(tǒng)管理員，依據(jù)實際網(wǎng)絡(luò)狀況是否需要限制網(wǎng)絡(luò)流量數(shù)及網(wǎng)絡(luò)連接數(shù)，并檢查交換機配置。如果網(wǎng)絡(luò)中部署防火墻，該項要求一般在防火墻上實現(xiàn)。

輸入命令：showrunning-config，查看QoS的配置。",,"□N/A；

□區(qū)域需限制網(wǎng)絡(luò)最大流量數(shù)及連接數(shù)；

網(wǎng)絡(luò)流量是否限制：□是□否；

最大連接數(shù)是否限制：□是□否；

具體的限制策略：",

,f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；,,"1）在特權(quán)模式下輸入命令：showiparp會輸出該交換機相關(guān)配置信息。

2）檢查配置信息中應(yīng)當存在類似如下配置信息：

arp0000.e268.9980arpa

3）通過IP-MAC綁定等，或者通過防火墻、安全網(wǎng)關(guān)等第三方系統(tǒng)實現(xiàn)。",,"□區(qū)域未采取技術(shù)手段防止地址欺騙；

□區(qū)域已采取技術(shù)手段防止地址欺騙；

主要通過來防止地址欺騙；

配置情況：",

,g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；,,"輸入命令：showcryptoisakmppolicy

輸入命令：showcryptoIpsectransform-set

輸入命令：showipaccess-list",,"□N/A未使用撥號訪問；

□配置資源訪問控制策略：□是□否；

在上配置此功能，控制措施：",

,h)應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。,,"輸入命令：showrunning-config

例如，檢查配置文件中應(yīng)當存在類似如下配置項：

encapsulationppp

pppauthenticationchap

dialermapipnameswitch1broadcast7782001

pppmultilink

dialeridle-timeout30

dialerload-threshold128",,"□N/A未使用撥號訪問；

□在上對撥號用戶數(shù)量限制；

使用撥號訪問，撥號方式：；

撥號用戶數(shù)控制：；",

"

邊界完整性檢查

(S3)",a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷；,,訪問網(wǎng)絡(luò)管理員，詢問采用何種技術(shù)手段或管理措施對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查、定位和阻斷。如果采用技術(shù)手段則詢問采用了和匯總技術(shù)手段，并在網(wǎng)絡(luò)管理員的配合下驗證其有效性。同時要詢問相關(guān)的管理措施。,,"是否對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查：

□是，通過實現(xiàn)；

□否；

是否能準確定出位置：

□是，通過實現(xiàn)；

□否；

能否對其進行有效阻斷：

□是，通過實現(xiàn)；

□否；",

,b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷；,,訪問網(wǎng)絡(luò)管理員，詢問采用何種技術(shù)手段或管理措施對“非法外聯(lián)”行為進行檢查。如果采用技術(shù)手段，則詢問采用了何種技術(shù)手段，并在網(wǎng)絡(luò)管理員的配合下驗證其有效性。,,"是否對內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查：

□是，通過實現(xiàn)；

□否；

是否能準確定出位置：

□是，通過實現(xiàn)；

□否；

能否對其進行有效阻斷：

□是，通過實現(xiàn)；

□否；",

"

入侵防范

(G3)",a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；,,訪談網(wǎng)絡(luò)管理員和查看網(wǎng)絡(luò)拓撲結(jié)構(gòu)，查看在網(wǎng)絡(luò)邊界處是否部署了包含入侵防范功能安全設(shè)備。如果部署了相應(yīng)安全設(shè)備，則檢查該設(shè)備產(chǎn)生的系統(tǒng)數(shù)據(jù)是否能夠?qū)Χ丝趻呙琛娏?、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等攻擊行為進行檢測。,,"□N/A；

□在網(wǎng)絡(luò)邊界處無法對攻擊行為進行監(jiān)視；

□在網(wǎng)絡(luò)區(qū)域處部署了；

能有效監(jiān)視下攻擊行為：

□端口掃描、□強力攻擊、□木馬后門攻擊、□拒絕服務(wù)攻擊、□緩沖區(qū)溢出攻擊、□IP碎片攻擊、□網(wǎng)絡(luò)蠕蟲攻擊；",

,b)當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應(yīng)提供報警。,,訪談網(wǎng)絡(luò)管理員和查看網(wǎng)絡(luò)拓撲結(jié)構(gòu)，查看在網(wǎng)絡(luò)邊界處是夠部署了包含入侵防范功能的設(shè)備。如果部署了相應(yīng)設(shè)備，則檢查設(shè)備的日志記錄，查看是否記錄了攻擊源IP、攻擊類型、攻擊目的和攻擊時間等信息，查看設(shè)備采用何種方式進行報警。,,"□N/A；

□在網(wǎng)絡(luò)邊界處無法對攻擊行為進行監(jiān)視；

□在網(wǎng)絡(luò)區(qū)域處部署了；

能記錄：

□攻擊源IP、□攻擊類型、□攻擊目的、□攻擊時間、□不能記錄；

當檢測到攻擊行為時，□是□否提供報警，報警方式：；",

"

惡意代碼防范

(G3)",a)應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除；,,訪談網(wǎng)絡(luò)管理員和檢查網(wǎng)絡(luò)過拓撲結(jié)構(gòu)，查看在網(wǎng)絡(luò)中是夠部署了防惡意代碼產(chǎn)品。如果部署了相關(guān)產(chǎn)品，則查看是否啟用了惡意代碼檢測及阻斷功能，并查看日志記錄中是否有相關(guān)阻斷信息。,,"□未在網(wǎng)絡(luò)邊界部署能對惡意代碼進行檢測和清除的設(shè)備；

□在網(wǎng)絡(luò)邊界部署了：；

對惡意代碼進行：□檢測、□清除；",

,b)應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新。,,訪談網(wǎng)絡(luò)管理員，詢問是否對防惡意代碼產(chǎn)品的特征庫進行升級及具體升級方式。登陸相應(yīng)的防惡意代碼產(chǎn)品，查看其特征庫升級情況以及當前是否為最新版本的