编号
检测项
检测技术要求细说明 化
的路由控制
措施。
4.1.1.3 网络安全/
结构安全/网络安全防火墙
必测项
1.应在网络边界处部署具有网络访问控制功能的设备,如:防火墙或路由器等; 2.相关访问控制策略应有效实现。
检测方法及步骤 关设备。
1.访谈网络管理员,询问网络安全区域间划分情况;
2.查看网络拓扑,不同等级网络间是否使用网络访问控制设备;
3.登录网络访问控制设备管理界面查看配置及状态。
1.根据网络承载业务重要程度,对网络进行了安全域划分;
2.网络拓扑显示在网络边界处应该部署了网络访问控制设备;
3.显示网络访问控制设备处于工作状态,已经配置了有效过滤规则。 机房内的设备与网络拓扑情况一致。
技术类
预期结果及判定
类别
4.1.1.4 网络安全/
结构安全/网络拓扑结构 4.1.1.5 网络安全/
结构安全/IP子网划分
必测项
网络拓扑记采用现场抽查的方录与实际情式,检查机房内的设况相一致。 备与网络拓扑图的一
致性。 1.应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段; 2.应按照方便管理和控制的原则为各子网、网段分配地址段。 宜按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主
1.访谈安全管理员,收集公司业务部门、工作职能、重要性等情况;
2.查看IP子网划分情况,与收集的公司业务情况进行比较。
技术类
必测项
1,公司应该建立起依据部技门职能、重要性来划分安术全等级的安全管理制度; 类 2,子网划分情况应该考虑单位各部门工作职能、重要性和所涉及信息的重要程度等因素,不同安全等级的机构不能划分在同一个子网内,应该进行必要隔离。
4.1.1.6 网络安全/
结构安全/QoS保证
必测项
1.访谈网络管理员,询问系统业务部署情况;
2.访谈不同业务系统主机优先级别; 3.查看具有QoS功能的网络管理设备的带宽分配情况。
1.根据业务系统功能进行技分布部署; 术2.在设计规划主机使用类 前,根据承载业务的优先级别进行等级划分; 3.根据业务需求判断是否需要进行QoS设置来保证在网络发生拥堵的时候优先保护重要主机。
12
编号 检测项 检测技术要求细说明 化 机。 4.1.2.1 网络安全/网络访问控制/网络域安全隔离和限制 必测项 1.应在网络边界部署安全访问控制设备; 2.应启用网络设备访问控制功能。 1.访谈网络管理员,是否在网络边界部署安全访问控制设备; 2.对安全访问控制设备进行检查。 1.应该在网络边界部署安全访问控制设备(如防火墙,安全网关, 负载均衡系统等); 2.上述安全设备应该已经启用,设备管理界面显示基本安全策略已经启用(如URL过滤、访问列表等)。 1.重要网络已实现预防地址欺骗设置; 2.配置策略已启用。 技术类 检测方法及步骤 预期结果及判定 类别 4.1.2.2 网络安全/网络访问控制/地址转换和绑定 必测项 应针对重要网段应至少采取一种防护方式防止地址欺骗(如ARP静态列表、ARP防火墙)。 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP等协议命令级的控制。 1.网络设备和系统应该根据用户权限列表,对用户进行访问控制,控制粒度为端口级; 2.用户和系统之间的访问控制规1.访谈网络管理员,询问针对重要网络实施何种地址欺骗预防措施或使用什么设备; 2.查看相关设备的配置策略。 1.检查内容过滤设备(如防火墙)的配置信息; 2.检查是否有对应用层协议的过滤控制(如禁止通过http协议访问某互联网网站),通过内网终端访问网站。 1.检查网络设备是否提供会话控制功能,控制粒度是否为端口级; 2.检查用户和系统之间的访问控制规则是否为单个用户。 技术类 4.1.2.3 网络安全/网络访问控制/内容过滤 必测项 1.该设备支持对应用层信息的过滤功能; 2.在设备设置过滤规则后,用户无法访问指定网络内容。 技术类 4.1.2.4 网络安全/网络访问控制/访问控制 必测项 1.网络设备提供会话控制技功能,控制粒度为端口级; 术2.用户和系统之间的访问类 控制规则为单个用户。 13
编号 检测项 检测技术要求细说明 化 则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度应为单个用户。 4.1.2.5 网络安全/网络访问控制/流量控制 必测项 1.应限制网络最大流量数; 2.应限制网络连接数。 1.对边界网络设备进行检查,如防火墙或路由器等,查看是否进行流量控制; 2.对边界网络设备进行检查,如防火墙或路由器等,查看是否进行网络连接数限制。 查询网络设备(交换机、防火墙等)的访问超时设置,使用预置用户访问网络设备登陆后闲置或执行签退操作。 1防火墙或路由器等网络设备,配置了流量控制策略; 2.防火墙或路由器等网络设备,对网络连接数进行了限制。 技术类 检测方法及步骤 预期结果及判定 类别 4.1.2.6 网络安全/网络访问控制/会话控制 必测项 1.当会话处于非活跃状态,应具备超时退出机制; 2.会话结束后,应终止网络连接,释放资源。 1.应限制管理用户通过远程拨号对服务器进行远程管理; 2.如必须使用情况,应进行相关详细记录。 1.应对网络系统中的网络设备运行状况、网络流量、用户行为等进行网络设备设置了用户的访问超时参数,用户闲置时间超过规定后,会被自动签退,或主动注销后被成功签退。 技术类 4.1.2.7 网络安全/网络访问控制/远程拨号访问控制和记录 必测项 进入操作系统的管理平台,查看主机的远程访问控制规则配置情况,是否允许使用Modem拨号设备。 系统应该禁止通过远程拨技号方式访问主机(如Modem术拨号方式)。 类 4.1.3.1 网络安全/网络安全审计/日志信息 必测项 1.检查网络及主机设备是否具备日志记录功能; 2.检查日志记录是否包含事件的日期和时间、用户、事件类型、设备应该针对各自运行状况、网络流量、用户行为等产生记录,记录信息应该至少包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审技术类 14
编号 检测项 检测技术要求细说明 化 检测方法及步骤 预期结果及判定 类别 日志记录; 事件是否成功及其他计相关的信息。 2.审计记录与审计相关的信息。 应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 4.1.3.2 网络安全/必测网络安全审项 计/网络系统故障分析 应对网络故障进行记录,根据记录结果查找原因形成分析结果。 1.访谈网络管理员,询问近期网络系统产生的故障及处理情况的记录; 2.现场对故障、处理记录(系统)进行检查。 1.检查审计系统保存的审计记录; 2.操作审计系统根据指定要求生成审计记录。 1.对于近期发生的网络故障事件,应该留有故障记录及详细的处理情况; 2.当前系统网络运维至少应提供针对故障及处理情况的汇总记录查询功能,或形成故障处理知识库系统软件。 1.审计系统提供的审计范围应该至少包括网络设备信息、网络协议、受攻击情况等; 2.审计功能应该提供报表生成功能,对审计记录按照指定要求筛选分类生成统计记录。 1.审计系统应该提供必要的访问控制功能,并且提供ACL权限列表控制。或为审计功能提供独立的管控环境; 2.审计记录应该与系统运行维护情况基本一致,不能出现记录中断或明显跳跃情况; 3.低权限用户无法删除或初始化审计数据。 1.网络应该具备安全审计工具; 2.审计服务应该处于开启技术类 4.1.3.3 网络安全/必测网络安全审项 计/网络对象操作审计 1.应能够根据记录数据进行分析,并生成审计报表; 2.审计记录应生成审计报表。 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。 技术类 4.1.3.4 网络安全/网络安全审计/日志权限和保护 必测项 1.现场检查审计系统,检查系统的访问控制功能; 2.检查现有审计记录与系统维护记录进行对比; 3.使用低权限的用户登录审计系统,执行删除记录或初始化审计系统操作。 1.访谈网络管理员,询问是否配有网络审计工具; 技术类 4.1.3.5 网络安全/网络安全审计/审计工必测项 1.网络应该提供安全审计工具; 技术类 15
编号
检测项 具
检测技术要求细说明 化
2.审计工具
应该提供日志规划功能、可以进行分析形成审计报告; 3.网络审计工具提供自我数据保护功能。 1.应能够对非授权设备私自连接到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断; 2.应能够对内部网络用户私自连接到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。 应对重要网段采取网络地址与数据链路地址双向绑定的措施,或采用其他有效防范机制。
检测方法及步骤 2.检查网络安全审计工具状态和配置; 3.操作审计工具进行定制导出操作。
预期结果及判定 状态,且能够按要求定制导出审计报告报表; 3.应定义审计跟踪极限的阈值,当存储空间接近极限时,能采取必要的措施,当存储空间被耗尽时,终止可审计事件的发生。
类别
4.1.4.1 网络安全/必测
边界完整性项 检查/内外网非法连接阻断和定位
1.访谈网络管理员,询问是否针对办公网设置了防私自接入的实时管控系统; 2.使用非授权电脑接入到内网的网络端口上,在网络管控系统端查看结果;
3.访谈网络管理员,询问是否针对内网用户接入外网设置了实时的管控系统; 4.使用内网电脑插入移动上网卡或通过拨号设备连接到外部互联网,在网络管控系统端查看结果。 1.检查边界和重要网络设备,查看是否有防范网络ARP欺骗攻击的措施(如对重要网段采取网络地址与数据链路地址绑定等);
2.查看网络设备配置,是否进行地址绑定,或采用其他有效防范机制。
1.应该具有防外部设备私技自接入内网的实时管控系术统; 类 2.接入的电脑被立即阻断,无法获得有效IP,无法访问内网中其他主机,管控系统端显示非法接入端口的位置信息;
3.应该具有防内部设备私自连入外网的实时管控系统;
4.接入的电脑在插入移动上网卡后被管控系统发现后阻断(实行内网接入认证,禁止多网卡接入)。
4.1.5.1 网络安全/
网络入侵防范/网络ARP欺骗攻击
必测项
1.边界和重要网络设备配置信息中有对重要服务器采用IP地址和MAC地址绑定的措施;
2.查看网络设备配置,进行地址绑定,或采用其他有效防范机制。
技术类
16