5SGISLOPSA0510 网络架构等级保护测评作业指导书三级Word文件下载.docx
- 文档编号:22677872
- 上传时间:2023-02-05
- 格式:DOCX
- 页数:18
- 大小:22.09KB
5SGISLOPSA0510 网络架构等级保护测评作业指导书三级Word文件下载.docx
《5SGISLOPSA0510 网络架构等级保护测评作业指导书三级Word文件下载.docx》由会员分享,可在线阅读,更多相关《5SGISLOPSA0510 网络架构等级保护测评作业指导书三级Word文件下载.docx(18页珍藏版)》请在冰豆网上搜索。
批准日期
备注
1
SGISL/OP-SA05-10
毛澍
按公安部要求修订
詹雄
2010.3.8
一、结构安全
1.关键设备冗余能力
测评项编号
ADT-NET-OVERALL-01
对应要求
应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
测评项名称
关键设备冗余能力
测评分项1:
查看主要网络设备是否具有冗余。
操作步骤
查看拓扑并实地查看主要网络设备是否具备冗余。
适用版本
任何版本
实施风险
无
符合性判定
如果主要网络设备采用双机热备形式部署并且具备冗余链路,判定结果为符合;
如果主要网络设备未采用双机热备形式部署或不具备冗余链路,判定结果为不符合。
2.
保证带宽需求
ADT-NET-OVERALL-02
应保证网络各个部分的带宽满足业务高峰期需要;
检查各个部分网络带宽是否满足业务需求
询问网络中各个网络节点高峰时段带宽是否满足需求
网络中各个网络节点高峰时段带宽满足需求,判定结果为符合;
网络中各个网络节点高峰时段带宽不满足需求,判定结果为不符合。
3.
安全路径
ADT-NET-OVERALL-03
应在业务终端与业务服务器之间进行路由控制建立安全的访问路径
检查在业务终端与业务服务器之间是否进行路由控制,建立安全的访问路径
检查在业务终端与业务服务器之间是否进行有效路由控制,建立安全的访问路径。
在业务终端与业务服务器之间是否进行有效路由控制,建立安全的访问路径,判定结果为符合;
未在业务终端与业务服务器之间是否进行有效路由控制,建立安全的访问路径,判定结果为不符合。
4.
拓扑图符合情况
ADT-NET-OVERALL-04
应绘制与当前运行情况相符的网络拓扑结构图;
查看网络拓扑是否与实际网络情况相符
查看网络拓扑与实际网络情况对照是否相符
网络拓扑与实际网络情况对照相符,判定结果为符合;
网络拓扑与实际网络情况对照不相符,判定结果为不符合。
5.
网段划分情况
ADT-NET-OVERALL-05
应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
询问网段划分原则和查看交换机配置VLAN划分情况。
询问网段划分原则和VLAN划分情况,是否按照管理方便和控制的原则划分。
网段划分原则和VLAN划分情况,按照管理方便和控制的原则划分,判定结果为符合;
网段划分原则和VLAN划分情况,未按照管理方便和控制的原则划分,,判定结果为不符合。
6.
网络隔离
ADT-NET-OVERALL-06
应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
重要网段与其他网段之间进行网络隔离。
查看重要网段与其他网段之间进行网络隔离。
重要网段与其他网段之间进行网络隔离,判定结果为符合;
重要网段与其他网段之间未进行网络隔离,判定结果为不符合。
7.
网络优先
ADT-NET-OVERALL-07
应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
是否按关键业务服务的重要次序来指定带宽分配优先级别。
查看交换机及防火墙配置是否有按关键业务服务的重要次序来指定带宽分配优先级别。
交换机及防火墙配置按关键业务服务的重要次序来指定带宽分配优先级别。
判定结果为符合;
交换机及防火墙配置未按关键业务服务的重要次序来指定带宽分配优先级别,判定结果为不符合。
二、访问控制
1.边界访问控制措施
ADT-NET-OVERALL-08
应在网络边界部署访问控制设备,启用访问控制功能;
边界访问控制措施
网络边界是否部署网络访问控制措施
查看网络边界是否部署网络访问控制措施
网络边界部署网络访问控制措施,判定结果为符合;
网络边界未部署网络访问控制措施,判定结果为不符合。
网络访问控制能力
ADT-NET-OVERALL-09
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。
网络边界访问控制是否达到网络段级
查看网络访问控制措施访问控制是否达到网络段级
网络访问控制措施访问控制达到网络段级,判定结果为符合;
网络访问控制措施访问控制未达到网络段级,判定结果为不符合。
内容过滤
应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
是否实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制
查看网络边界是否具备对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令进行控制的能力。
网络边界具备对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令进行控制的能力,判定结果为符合;
网络边界不具备对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令进行控制的能力,判定结果为不符合。
断开超时连接
应在会话处于非活跃一定时间或会话结束后终止网络连接;
查看网络是否具有断开超时连接的能力
查看网络设备或安全设备是否有断开超市连接的相关配置。
网络设备或安全设备有断开超市连接的相关配置,判定结果为符合;
网络设备或安全设备没有断开超市连接的相关配置,判定结果为不符合。
限制流量及连接数
应限制网络最大流量数及网络连接数;
查看网络是否有限制网络最大流量数及网络连接数的能力
查看网络设备或安全设备配置是否有限制网络最大流量数及网络连接数的相关配置
网络设备或安全设备配置有限制网络最大流量数及网络连接数的相关配置,判定结果为符合;
网络设备或安全设备配置没有限制网络最大流量数及网络连接数的相关配置,判定结果为不符合。
防地址欺骗
重要网段应采取技术手段防止地址欺骗;
重要网段是否采取技术手段防止地址欺骗
查看网络设备配置重要网段是否采用了IP-MAC绑定措施
网络设备配置重要网段采用了IP-MAC绑定措施,判定结果为符合;
网络设备配置重要网段未采用了IP-MAC绑定措施,判定结果为不符合。
网络访问控制能力-2
ADT-NET-OVERALL-10
应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
网络边界访问控制是否达到IP级
查看网络访问控制措施访问控制是否达到IP段级
网络访问控制措施访问控制达到IP段级,判定结果为符合;
网络访问控制措施访问控制未达到IP段级,判定结果为不符合。
8.
拨号访问控制
应限制具有拨号访问权限的用户数量。
是否限制拨号用户的数量
查看是否采用拨号访问,是否限制拨号用户的数量
限制拨号用户的数量,判定结果为符合;
未限制拨号用户的数量,判定结果为不符合。
三、边界完整性检查
1.非法接入检测
应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
非法接入检测
是否采用技术手段对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断
查看是否采用技术手段对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断
采用技术手段对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断,判定结果为符合;
未采用技术手段对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断,判定结果为不符合。
非法外联检测
应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
是否采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
查看是否采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查且措施有效,准确定出位置,并对其进行有效阻断。
,判定结果为符合;
未采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查或措施无效,准确定出位置,并对其进行有效阻断。
,判定结果为不符合。
四、入侵防范
1.入侵检测
应在网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
入侵检测
网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击
查看网络边界处是否有能力监视以下攻击行为:
网络边界处有能力监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击,判定结果为符合;
网络边界处没有能力监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击,判定结果为不符合。
入侵审计和告警
当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警
查看安全设备当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警
当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警,判定结果为符合;
当检测到攻击行为时,不能记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警,判定结果为不符合。
五、恶意代码防范
1.边界恶意代码检测
应在网络边界处对恶意代码进行检测和清除;
边界恶意代码检测
网络边界处对恶意代码进行检测和清除
查看网络边界处是否有能力对恶意代码进行检测和清除
网络边界处有能力对恶意代码进行检测和清除,判定结果为符合;
网络边界处没有能力对恶意代码进行检测和清除,判定结果为不符合。
恶意代码库更新
应维护恶意代码库的升级和检测系统的更新。
是否维护恶意代码库的升级和检测系统的更新
查看是否维护恶意代码库的升级和检测系统的更新
维护恶意代码库的升级和检测系统的更新,判定结果为符合;
未维护恶意代码库的升级和检测系统的更新,判定结果为不符合。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 5SGISLOPSA0510 网络架构等级保护测评作业指导书三级 SGISLOPSA0510 网络 架构 等级 保护 测评 作业 指导书 三级