等保三级安全技术网络安全.docx

1、等保三级安全技术网络安全 (单位) 系统等级保护三级测评现场检测表测试对象范围：安全技术 测试对象名称：网络安全-总体配合人员签字：测试人员签字：核实人员签字：测试日期：结果统计:测评项测评结果1结构安全与网段划分 符合 部分符合 不符合2网络访问控制符合 部分符合 不符合3拨号访问控制符合 部分符合 不符合4网络安全审计符合 部分符合 不符合5边界完整性检查符合 部分符合 不符合6网络入侵防范符合 部分符合 不符合7恶意代码防范符合 部分符合 不符合8网络设备防护符合 部分符合 不符合测试类别等级测评（三级）测试对象安全技术测 试 类网络安全-总体测 试 项结构安全测试要求：1.应保证关键网

2、络设备的业务处理能力具备冗余空间，满足业务高峰期需要；2.应保证网络各个部分的带宽满足业务高峰期需要；3.应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；4.应绘制与当前运行情况相符的网络拓扑结构图；5.应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。6.重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗；7.应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。测试记录：1、访谈网络管理员，询问信息系统中的边界和主要网络设备的性能是否能满足业务需

3、求 否 是 目前业务高峰流量情况一般出现在 2、访谈网络管理员，目前网段划分情况是： 划分的原则是： 重要的网段有： 对重要网段的保护措施有： 3、访谈网络管理员，网络的带宽情况是： 网络中带宽控制情况以及带宽分配的原则是： 4、访谈网络管理员，询问网络设备上的路由控制策略措施有： 这些策略设计的目的是： 5、检查网络拓扑图，查看其与当前运行情况是否一致： 否 是 6、检查网络设计/验收文档，查看是否边界和主要网络设备能满足基本业务需求： 否 是 网络接入及核心网络的带宽能满足业务高峰期的需要，是否不存在带宽瓶颈等方面的设计或描述：否 是 7、检查网络设计/验收文档，查看是否有根据各部门的工作

4、职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网和网段分配地址段的设计或描述：否 是 8、检查边界和主要网络设备，查看是否配置路由控制策略（如使用静态路由等）建立安全的访问路径：否 是 9、检查边界和主要网络设备，查看重要网段是否采取了网络地址与数据链路地址绑定的措施（如对重要服务器采用IP地址和MAC地址绑定措施）：否 是 10、检查边界和主要网络设备，查看是否有对带宽进行控制的策略（如路由、交换设备上的QOS 策略配置情况，专用的带宽管理设备的配置策略等）： 否 是 这些策略能否保证在网络发生拥堵的时候优先保护重要业务（如重要业务的主机的优

5、先级要高于非重要业务的主机）： 否 是 11、测试网络拓扑结构，通过网络拓扑结构自动发现、绘制工具，验证实际的网络拓扑结构和网络拓扑结构图是否一致： 否 是 12、测试业务终端与业务服务器之间的访问路径，通过使用路由跟踪工具（如tracert等工具），验证业务终端与业务服务器之间的访问路径是否安全（如访问路径是否固定等）： 否 是 13、测试重要网段，验证其采取的网络地址与数据链路地址绑定措施是否有效（如试图使用非绑定地址，查看是否能正常访问等）： 否 是 14、测试网络带宽分配策略，通过使用带宽测试工具，测试网络带宽分配是否有效： 否 是 测试结果： 符合 部分符合 不符合备注：1、如果测试

6、记录6-7中缺少相应的文档，则该项为否定； 2、测试记录5-14项全部符合即视为符合测试类别等级测评（三级）测试对象安全技术测 试 类网络安全-总体测 试 项网络访问控制测试要求：1.应依据安全策略允许或者拒绝便携式和移动式设备的网络接入；2.应能根据会话状态信息（包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用）为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；3.应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；4.应在会话处于非活跃一定

7、时间或会话结束后终止网络连接；5.应限制网络最大流量数及网络连接数；测试记录：1、访谈安全员，询问采取的网络访问控制措施有哪些： 询问访问控制策略的设计原则是： 询问访问控制策略是否做过调整：否 是 调整后和调整前的情况如何： 2、检查边界网络设备，查看其是否根据会话状态信息（如包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用）对数据流进行控制： 否 是 3、检查边界网络设备，查看其是否对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制： 否 是 4、检

8、查边界网络设备，查看是否能设置会话处于非活跃的时间或会话结束后自动终止网络连接： 否 是 是否能设置网络最大流量数及网络连接数：否 是 5、检查主要网络设备，查看是否有访问控制措施（如VLAN，访问控制列表，MAC地址绑定）控制便携式和移动式设备接入网络： 否 是 6、测试边界网络设备，通过试图访问未授权的资源，验证访问控制措施对未授权的访问行为的控制是否有效（如可以使用扫描工具来探测等）： 否 是 7、测试主要网络设备，通过试图用移动设备接入网络，验证网络设备的访问控制策略是否有效： 否 是 8、对网络访问控制措施进行渗透测试，通过采用多种渗透测试技术（如http隧道等），验证网络访问控制措

9、施是否不存在明显的弱点： 否 是 测试结果： 符合 部分符合 不符合备注：测试记录2-7项全部符合即视为符合测试类别等级测评（三级）测试对象安全技术测 试 类网络安全-总体测 试 项拨号访问控制测试要求：1.应在基于安全属性的允许远程用户对系统访问的规则的基础上，对系统所有资源允许或拒绝用户进行访问，控制粒度为单个用户；2.应限制具有拨号访问权限的用户数量；3.应按用户和系统之间的允许访问规则，决定允许用户对受控系统进行资源访问。测试记录：1、访谈安全员，询问是否允许拨号访问网络: 否 是 对拨号访问控制的策略是: 采取什么技术手段实现拨号访问控制（如使用防火墙还是使用路由器实现）: 采取的拨

10、号访问用户的权限分配原则是: 对保护访问的认证方式有哪些: 2、检查边界网络设备（如路由器，防火墙，认证网关），查看是否正确的配置了拨号访问控制列表（对系统资源实现允许或拒绝访问）: 否 是 控制粒度是否为单个用户:否 是 能否限制拨号访问权限的用户数量:否 是 3、测试边界网络设备，通过试图非授权的访问，验证拨号访问措施能否有效对系统资源实现允许或拒绝用户访问的控制: 否 是 4、测试边界网络设备，使用测试拨号连接数工具，验证其限制具有拨号访问权限的用户数量的功能是否有效:否 是 测试结果： 符合 部分符合 不符合备注：测试记录2-4项全部符合即视为符合测试类别等级测评（三级）测试对象安全技

11、术测 试 类网络安全-总体测 试 项安全审计测试要求：1、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行全面的监测、记录；2、对于每一个事件，其测试记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息；3、安全审计应可以根据记录数据进行分析，并生成审计报表；4、安全审计应可以对特定事件，提供指定方式的实时报警；5、测试记录应受到保护避免受到未预期的删除、修改或覆盖等测试记录：1、访谈审计员，询问网络系统中的边界和关键网络设备是否设置安全审计否 是 包括哪些项: 审计记录的主要内容有: 对审计记录的处理方式有: 删除 导出 覆盖 其他： 2、检查边界和主

12、要网络设备，查看测试记录是否包含网络系统中的网络设备运行状况、网络流量、用户行为等 否 是 3、检查边界和主要网络设备，查看事件测试记录是否包括：事件的日期和时间、用户、事件类型、事件成功情况，及其他与审计相关的信息否 是 4、检查边界和主要网络设备，查看是否可以对特定事件，按照指定方式进行实时报警（如声音、EMAIL、短信等） 否 是 采用何种方式： 声音 EMAIL 短信 其他： 5、检查边界和主要网络设备，查看是否为授权用户浏览和分析审计数据提供专门的审计工具（如对测试记录进行分类、排序、查询、统计、分析和组合查询等） 否 是 是否能根据需要生成审计报表否 是 6、测试边界和主要网络设备

13、，通过以某个用户试图产生一些重要的安全相关事件（如鉴别失败等），验证安全审计的覆盖情况和记录情况与要求是否一致 否 是 7、测试边界和主要网络设备，通过以某个系统用户试图删除、修改或覆盖测试记录，验证安全审计的保护情况与要求是否一致否 是 测试结果： 符合 部分符合 不符合备注：测试记录2-7项全部符合即视为符合测试类别等级测评（三级）测试对象安全技术测 试 类网络安全-总体测 试 项边界完整性检查测试要求：1.应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为（即“非法外联”行为）；2.应能够对非授权设备私自联到网络的行为进行检查，并准确定出位置，对其进行有效阻断；3.应能够

14、对内部网络用户私自联到外部网络的行为进行检测后准确定出位置，并对其进行有效阻断。测试记录：1、访谈安全员，询问是否有对内部用户未通过准许私自联到外部网络的行为、对非授权设备私自联到网络的行为进行监控的措施 否 是 具体采取什么措施： 网络内有无“非法外联”的情况: 2、检查边界完整性检查设备运行日志，查看运行是否正常（查看是否持续对网络进行监控）否 是 3、检查边界完整性检查设备，查看是否设置了同时对非法联接到内网和非法联接到外网的行为进行监控 否 是 是否对发现的非法联接行为进行有效的阻断否 是 4、测试边界完整性检查设备，测试是否能有效的发现“非法外联”的行为（如产生非法外联的动作，查看边

15、界完整性检查设备是否能够发现该行为） 否 是 5、测试边界完整性检查设备，测试是否确定出“非法外联”设备的位置，并对其进行有效阻断（如产生非法外联的动作，查看边界完整性检查设备是否能够准确定位并阻断） 否 是 6、测试边界完整性检查设备，测试是否能够对非授权设备私自联到网络的行为进行检查 否 是 能否准确定出位置否 是 能否对其进行有效阻断（如产生非法接入的动作，查看测试边界完整性检查设备是否能准确的发现，准确的定位并产生阻断）否 是 测试结果： 符合 部分符合 不符合备注：测试记录2-6项全部符合即视为符合测试类别等级测评（三级）测试对象安全技术测 试 类网络安全-总体测 试 项入侵防范测试

16、要求：1.应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。2.当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。测试记录：1、访谈安全员，询问网络入侵防范措施有： 是否有专门的设备对网络入侵进行防范否 是 网络入侵防范规则库的升级方式： 2、检查网络入侵防范设备，查看是否能检测以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等 否 是 3、检查网络入侵防范设备，查看入侵事件记录中是否包括入侵的源IP、攻击的类型、攻

17、击的目的、攻击的时间等 否 是 4、检查网络入侵防范设备，查看其生产厂商是否为正规厂商，规则库是否为最新 否 是 5、测试网络入侵防范设备，验证其监控策略是否有效（如模拟产生攻击动作，查看网络入侵防范设备的反应） 否 是 6、测试网络入侵防范设备，验证其报警策略是否有效（如模拟产生攻击动作，查看网络入侵防范设备是否能实时报警） 否 是 测试结果： 符合 部分符合 不符合备注：测试记录2-6项全部符合即视为符合测试类别等级测评（三级）测试对象安全技术测 试 类网络安全-总体测 试 项恶意代码防范测试要求：1.应在网络边界处对恶意代码进行检测和清除；2.应维护恶意代码库的升级和检测系统的更新。3.

18、应支持恶意代码防范的统一管理。测试记录：1、访谈安全员，询问系统中的网络防恶意代码防范措施是： 恶意代码库的更新策略是： 防恶意代码产品的有哪些主要功能： 系统是否发生过针对恶意代码入侵的安全事件否 是 发生过哪些： 2、检查设计/验收文档，查看其是否有在网络边界及核心业务网段处有对恶意代码采取相关措施（如是否有防病毒网关） 否 是 防恶意代码产品是否有实时更新的功能的描述否 是 3、检查恶意代码产品运行日志，查看是否持续运行 否 是 4、检查在网络边界及核心业务网段处是否有相应的防恶意代码的措施 否 是 5、检查防恶意代码产品，查看是否为正规厂商生产否 是 哪个厂家： 运行是否正常否 是 恶

19、意代码库是否为最新版本否 是 6、检查防恶意代码产品的配置策略，查看是否支持恶意代码防范的统一管理（如查看是否为分布式部署，集中管理等）否 是 测试结果： 符合 部分符合 不符合备注：1、如果测试记录2中缺少相应的文档，则该项为否定;2、测试记录2-6项全部符合即视为符合测试类别等级测评（三级）测试对象安全技术测 试 类网络安全-总体测 试 项网络设备防护测试要求：1、应对登录网络设备的用户进行身份鉴别；2、应对网络上的对等实体进行身份鉴别；3、应对网络设备的管理员登录地址进行限制；4、网络设备用户的标识应唯一；5、身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期的更新等；6、应

20、对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；7、应具有登录失败处理功能，如结束会话、限制非法登录次数，当网络登录连接超时，自动退出；8、应实现设备特权用户的权限分离，例如将管理与审计的权限分配给不同的网络设备用户。测试记录：1、访谈网络管理员，询问对关键网络设备的防护措施有: 对关键网络设备的登录和验证方式做过何种特定配置: 2、访谈网络管理员，询问网络设备的口令策略有(如口令长度8位以上，口令复杂，定期更换等): 3、检查边界和主要网络设备上的安全设置，查看其是否有对鉴别失败采取相应的措施的设置否 是 是否有限制非法登录次数的功能否 是 4、检查边界和主要网络设备上的安全设置，

21、查看是否对边界和主要网络设备的管理员登录地址进行限制: 否 是 是否设置网络登录连接超时，并自动退出:否 是 是否实现设备特权用户的权限分离:否 是 是否对网络上的对等实体进行身份鉴别:否 是 是否对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别（如同时使用口令和地址绑定等）:否 是 5、测试边界和主要网络设备的安全设置，验证鉴别失败处理措施（如模拟失败登录，观察网络设备的动作等）是否有效: 否 是 限制非法登录次数（如模拟非法登录，观察网络设备的动作等）是否有效:否 是 网络设备的管理员登录地址限制（如使用任意地址登录，观察网络设备的动作等）是否有效:否 是 6、测试边界和主要网络设备的安全设置，验证其网络登录连接超自动退出的设置是否有效（如长时间连接无任何操作，观察观察网络设备的动作等）: 否 是 7、对边界和主要网络设备进行渗透测试，通过使用各种渗透测试技术（如口令猜解等）对网络设备进行渗透测试，验证网络设备防护能力是否符合要求:否 是 测试结果： 符合 部分符合 不符合备注：1、如网络设备的口令策略为口令长度8位以上，口令复杂（如规定字符应混有大、小写字母、数字和特殊字符），口令生命周期，新旧口令的替换要求（规定替换的字符数量）或为了便于记忆使用了令牌；则测试记录2满足测评要求;2、测试记录2-7项全部符合即视为符合;