内容发布更新时间 : 2024/4/19 10:10:34星期一 下面是文章的全部内容请认真阅读。
公安部信息安全等级保护评估中心
序号 类别 测评项 高峰流量。 测评实施 1)访谈网络管理员了解信息系统的业务预期结果 说明 a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要; 2)检查主要网络设备处理能力,查看业务高峰期设备的CPU和内存使用率。 (以CISCO设备为例,输入sh processes cpu,sh processes memory) 1) 业务高峰流量不超过设备处理能力。 2)设备CPU和内存使用率峰值不大于70% b)应保证网络各个部分的带宽满足业务高峰期需要; 结构安全 1)访谈网络管理员了解各通信链路带宽、高峰流量。 1)各通信链路高峰流量均不大于其带宽的70%。 有如下类似配置: 1 1) Router ospf 100 1)检查访问路径上的路由设备配置信息,c)应在业务终端与业务服务器之间查看是否启用了路由协议认证及其控制策令) 进行路由控制建立安全的访问路径; 略(以CISCO设备为例,输入show run命area 1 authentication message-digest interface FastEthernet0/0 ip ospf message-digest-key 1 md5 xxxx 2) router eigrp 100 redistribute ospf 100 metric 10000 100 1 255 1500 route-map cisco d)应绘制与当前运行情况相符的网络拓扑结构图; 1)查看网络拓扑图。 1)网络拓扑图与当前运行情况一致。 第 1 页 共 4 页
公安部信息安全等级保护评估中心
序号 类别 测评项 e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段; f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段; 测评实施 1)访谈网络管理员依据何种原则划分不同的子网或网段。并检查相关网络设备配置信息,验证划分的子网或网段是否与访谈结果一致。 1)访谈网络管理员并查看网络拓扑图重要网段是否部署在网络边界处且直接连接外部信息系统; 2)访谈网络管理员并查看网络拓扑图重要网段与其他网段之间是否采取可靠的技术隔离手段,如网闸、防火墙、ACL等。 预期结果 1)根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段。 说明 1)重要网段未部署在网络边界处。 2)在重要网段与其他网段之间采取了网闸、防火墙或ACL等技术隔离手段。 1)有如下类似配置: 1)访谈网络管理员了解配置QoS的具体g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络设备(如防火墙、路由、交换设备或专用带宽管理设备),并检查该设备的QoS配run命令) class-map match-all voice match access-group 100 policy-map voice-policy class voice bandwidth 60 interface Serial1 service-policy output voice-policy 2 访问控制 a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要; 1)访谈网络管理员并查看网络拓扑图,是否所有网络边界都有访问控制措施。 1)在网络各个边界处部署了访问控制技术措施,如部署网闸、防火墙或ACL等。 发生拥堵的时候优先保护重要主机。 置情况。(以CISCO设备为例,输入show 第 2 页 共 4 页
公安部信息安全等级保护评估中心
序号 类别 测评项 测评实施 1)访谈网络管理员是否部署终端管理软件或采用网络准入控制技术手段防止非授权设备接入内部网络,并进行验证。 2)检查交换机配置信息,所有闲置端口run命令) 预期结果 1)终端均部署了终端管理软件或交换机上启用了网络准入控制。 2)交换机闲置端口均已关闭。应存在如下类似配置: shutdown 1)部署了终端管理软件或其它技术手段,限制终端设备相关端口的使用,如禁止双网卡、USB接口、Modem、无线网络等。 1)网络边界处部署了恶意代码防范设备并有相关检测记录。 1)恶意代码库版本为最新。 说明 a)应能够对非授权设备私自联到内边界3 完整性检查 b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。 恶意4 代码防范 a)应在网络边界处对恶意代码进行检测和清除; b)应维护恶意代码库的升级和检测系统的更新。 a)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻5 入侵防范 击、IP碎片攻击和网络蠕虫攻击等; b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。 部网络的行为进行检查,准确定出位置,并对其进行有效阻断; 是否关闭。(以CISCO设备为例,输入show Interface FastEthernet0/1 1)访谈网络管理员是否部署终端管理软件或采取其它技术手段防止非法外联行为,并进行验证。 1)检查是否在网络边界处部署恶意代码防范技术措施,是否启用了检测和阻断功能。 1)查看防恶意代码产品特征库的更新情况。 1)检查在网络边界处是否有对网络攻击进行检测的相关措施。 1)在网络边界处部署了IDS(IPS)系统,或UTM启用了入侵检测(保护)功能。 1)有网络攻击相关日志记录。 1)检查网络攻击检测日志。 2)检查采用何种报警方式。 2)在发生严重事件时应能够提供监控屏幕实时报警,最好有主动的声、光、电、短信、邮件等形式的一种或多种报警方式。 第 3 页 共 4 页