完整版4SGISLOPSA0410网络架构等级保护测评作业指导书二级.docx
- 文档编号:27501959
- 上传时间:2023-07-02
- 格式:DOCX
- 页数:10
- 大小:20.92KB
完整版4SGISLOPSA0410网络架构等级保护测评作业指导书二级.docx
《完整版4SGISLOPSA0410网络架构等级保护测评作业指导书二级.docx》由会员分享,可在线阅读,更多相关《完整版4SGISLOPSA0410网络架构等级保护测评作业指导书二级.docx(10页珍藏版)》请在冰豆网上搜索。
完整版4SGISLOPSA0410网络架构等级保护测评作业指导书二级
信息安全等级保护测评作业指导书
网络架构(二级)
版号:
第2版
修改次数:
第0次
生效日期:
2010年01月06日
中国电力科学研究院信息安全实验室
修改页
修订号
控制编号
版号/
章节号
修改人
修订原因
批准人
批准日期
备注
1
SGISL/OP-SA04-10
张鹏
按公安部要求修订
詹雄
2010.3.8
一、结构安全
1.关键设备冗余能力
测评项编号
ADT-NET-OVERALL-01
对应要求
应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。
测评项名称
关键设备冗余能力
测评分项1:
查看关键网络设备是否具有冗余。
操作步骤
查看拓扑并实地查看核心交换机和关键网络设备是否具备冗余。
适用版本
任何版本
实施风险
无
符合性判定
如果网络设备采用双机热备形式部署并且具备冗余链路,判定结果为符合;
如果网络设备未采用双机热备形式部署或不具备冗余链路,判定结果为不符合。
备注
2.保证带宽需求
测评项编号
ADT-NET-OVERALL-02
对应要求
应保证接入网络和核心网络的带宽满足业务高峰期需要;
测评项名称
保证带宽需求
测评分项1:
检查核心交换机吞吐量是否满足业务需求
操作步骤
询问核心交换机吞高峰时段带宽是否满足需求
适用版本
实施风险
无
符合性判定
核心交换机高峰时段带宽满足需求,判定结果为符合;
核心交换机高峰时段带宽不满足需求,判定结果为不符合。
测评分项2:
访谈检查接入交换机吞吐量是否满足业务需求
操作步骤
询问接入交换机吞高峰时段带宽是否满足需求
适用版本
实施风险
无
符合性判定
接入交换机吞高峰时段带宽满足需求,判定结果为符合
接入交换机吞高峰时段带宽不满足需求,判定结果为不符合。
备注
3.
拓扑图符合情况
测评项编号
ADT-NET-OVERALL-03
对应要求
应绘制与当前运行情况相符的网络拓扑结构图;
测评项名称
拓扑图符合情况
测评分项1:
查看网络拓扑是否与实际网络情况相符
操作步骤
查看网络拓扑与实际网络情况对照是否相符
适用版本
实施风险
无
符合性判定
网络拓扑与实际网络情况对照相符,判定结果为符合;
网络拓扑与实际网络情况对照不相符,判定结果为不符合。
符合性判定
备注
4.
网段划分情况
测评项编号
ADT-NET-OVERALL-04
对应要求
应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
测评项名称
网段划分情况
测评分项1:
询问网段划分原则和查看交换机配置VLAN划分情况。
操作步骤
询问网段划分原则和VLAN划分情况,是否按照管理方便和控制的原则划分。
适用版本
实施风险
无
符合性判定
网段划分原则和VLAN划分情况,按照管理方便和控制的原则划分,判定结果为符合;
网段划分原则和VLAN划分情况,未按照管理方便和控制的原则划分,,判定结果为不符合。
符合性判定
备注
二、访问控制
1.边界访问控制措施
测评项编号
ADT-NET-OVERALL-05
对应要求
应在网络边界部署访问控制设备,启用访问控制功能;
测评项名称
边界访问控制措施
测评分项1:
网络边界是否部署网络访问控制措施
操作步骤
查看网络边界是否部署网络访问控制措施
适用版本
实施风险
无
符合性判定
网络边界部署网络访问控制措施,判定结果为符合;
网络边界未部署网络访问控制措施,判定结果为不符合。
符合性判定
备注
2.
网络访问控制能力
测评项编号
ADT-NET-OVERALL-06
对应要求
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。
测评项名称
网络访问控制能力
测评分项1:
网络边界访问控制是否达到网络段级
操作步骤
查看网络访问控制措施访问控制是否达到网络段级
适用版本
实施风险
无
符合性判定
网络访问控制措施访问控制达到网络段级,判定结果为符合;
网络访问控制措施访问控制未达到网络段级,判定结果为不符合。
符合性判定
备注
3.
网络访问控制能力-2
测评项编号
ADT-NET-OVERALL-02
对应要求
应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
测评项名称
网络访问控制能力-2
测评分项1:
网络边界访问控制是否达到IP级
操作步骤
查看网络访问控制措施访问控制是否达到IP段级
适用版本
实施风险
无
符合性判定
网络访问控制措施访问控制达到IP段级,判定结果为符合;
网络访问控制措施访问控制未达到IP段级,判定结果为不符合。
符合性判定
备注
4.
拨号访问控制
测评项编号
ADT-NET-OVERALL-08
对应要求
应限制具有拨号访问权限的用户数量。
测评项名称
拨号访问控制
测评分项1:
是否限制拨号用户的数量
操作步骤
查看是否采用拨号访问,是否限制拨号用户的数量
适用版本
实施风险
无
符合性判定
限制拨号用户的数量,判定结果为符合;
未限制拨号用户的数量,判定结果为不符合。
符合性判定
备注
三、边界完整性检查
1.非法外联检测
测评项编号
ADT-NET-OVERALL-09
对应要求
应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查
测评项名称
非法外联检测
测评分项1:
是否采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查
操作步骤
查看是否采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查
适用版本
实施风险
无
符合性判定
采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查且措施有效,判定结果为符合;
未采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查或措施无效,判定结果为不符合。
符合性判定
备注
四、入侵防范
1.入侵检测
测评项编号
ADT-NET-OVERALL-02
对应要求
应在网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
测评项名称
入侵检测
测评分项1:
网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击
操作步骤
查看网络边界处是否有能力监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击
适用版本
实施风险
无
符合性判定
网络边界处有能力监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击,判定结果为符合;
网络边界处没有能力监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击,判定结果为不符合。
符合性判定
备注
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 完整版 SGISLOPSA0410 网络 架构 等级 保护 测评 作业 指导书 二级