4-SGISLOP-SA04-10网络架构等级保护测评作业指导书(二级)(最新整理)

1、控制编号：sgisl/op-sa04-10信息安全等级保护测评作业指导书网络架构（二级）版修号：改 次 数 ：第 2 版第 0 次生效 日 期 ：2010 年 01 月 06 日中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室控制编号：sgisl/op-sa04-10第 1 页共 12 页网络架构等级保护测评作业指导书第2版第0次修订发布日期：2010 年 01 月 06 日修订号控制编号版号/ 章节号修改人修订原因批准人批准日期备注1sgisl/op-sa04-10张鹏按公安部要求修订詹雄2010.3.8修改页一、结构安全1. 关键设备冗余能力测评项编号adt-net- ov

2、erall-01对应要求应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。测评项名称关键设备冗余能力测评分项 1：查看关键网络设备是否具有冗余。操作步骤查看拓扑并实地查看核心交换机和关键网络设备是否具备冗余。适用版本任何版本实施风险无符合性判定如果网络设备采用双机热备形式部署并且具备冗余链路，判定结果为符合；如果网络设备未采用双机热备形式部署或不具备冗余链路，判定结果为不符合。备注2. 保证带宽需求测评项编号adt-net- overall-02对应要求应保证接入网络和核心网络的带宽满足业务高峰期需要；测评项名称保证带宽需求测评分项 1： 检查核心交换机吞吐量是否满足业务需求操

3、作步骤询问核心交换机吞高峰时段带宽是否满足需求适用版本实施风险无符合性判定核心交换机高峰时段带宽满足需求，判定结果为符合；核心交换机高峰时段带宽不满足需求，判定结果为不符合。测评分项 2：访谈检查接入交换机吞吐量是否满足业务需求操作步骤询问接入交换机吞高峰时段带宽是否满足需求适用版本实施风险无符合性判定接入交换机吞高峰时段带宽满足需求，判定结果为符合接入交换机吞高峰时段带宽不满足需求，判定结果为不符合。备注3. 拓扑图符合情况测评项编号adt-net- overall-03对应要求应绘制与当前运行情况相符的网络拓扑结构图；测评项名称拓扑图符合情况测评分项 1： 查看网络拓扑是否与实际网络情况相

4、符操作步骤查看网络拓扑与实际网络情况对照是否相符适用版本实施风险无符合性判定网络拓扑与实际网络情况对照相符，判定结果为符合；网络拓扑与实际网络情况对照不相符，判定结果为不符合。符合性判定备注4. 网段划分情况测评项编号adt-net- overall-04对应要求应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。测评项名称网段划分情况测评分项 1： 询问网段划分原则和查看交换机配置 vlan 划分情况。操作步骤询问网段划分原则和 vlan 划分情况，是否按照管理方便和控制的原则划分。适用版本实施风险无符合性判定

5、网段划分原则和 vlan 划分情况，按照管理方便和控制的原则划分，判定结果为符合；网段划分原则和 vlan 划分情况，未按照管理方便和控制的原则划分，判定结果为不符合。符合性判定备注二、访问控制1. 边界访问控制措施测评项编号adt-net- overall-05对应要求应在网络边界部署访问控制设备，启用访问控制功能；测评项名称边界访问控制措施测评分项 1： 网络边界是否部署网络访问控制措施操作步骤查看网络边界是否部署网络访问控制措施适用版本实施风险无符合性判定网络边界部署网络访问控制措施，判定结果为符合；网络边界未部署网络访问控制措施，判定结果为不符合。符合性判定备注2. 网络访问控制能力测

6、评项编号adt-net- overall-06对应要求应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。测评项名称网络访问控制能力测评分项 1： 网络边界访问控制是否达到网络段级操作步骤查看网络访问控制措施访问控制是否达到网络段级适用版本实施风险无符合性判定网络访问控制措施访问控制达到网络段级，判定结果为符合；网络访问控制措施访问控制未达到网络段级，判定结果为不符合。符合性判定备注3. 网络访问控制能力-2测评项编号adt-net- overall-02对应要求应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；测评项名称

7、网络访问控制能力-2测评分项 1：网络边界访问控制是否达到 ip 级操作步骤查看网络访问控制措施访问控制是否达到 ip 段级适用版本实施风险无符合性判定网络访问控制措施访问控制达到 ip 段级，判定结果为符合；网络访问控制措施访问控制未达到 ip 段级，判定结果为不符合。符合性判定备注4. 拨号访问控制测评项编号adt-net- overall-08对应要求应限制具有拨号访问权限的用户数量。测评项名称拨号访问控制测评分项 1：是否限制拨号用户的数量操作步骤查看是否采用拨号访问，是否限制拨号用户的数量适用版本实施风险无符合性判定限制拨号用户的数量，判定结果为符合；未限制拨号用户的数量，判定结果为

8、不符合。符合性判定备注三、边界完整性检查1. 非法外联检测测评项编号adt-net- overall-09对应要求应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查测评项名称非法外联检测测评分项 1：是否采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查操作步骤查看是否采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查适用版本实施风险无符合性判定采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查且措施有效，判定结果为符合；未采用技术手段对内部网络中出现的内部用户未通过准许私自联到外部网络的

9、行为进行检查或措施无效，判定结果为不符合。符合性判定备注四、入侵防范1. 入侵检测测评项编号adt-net- overall-02对应要求应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、ip碎片攻击和网络蠕虫攻击等。测评项名称入侵检测测评分项 1：网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、ip 碎片攻击和网络蠕虫攻击操作步骤查看网络边界处是否有能力监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、ip 碎片攻击和网络蠕虫攻击适用版本实施风险无符合性判定网络边界处有能

10、力监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、ip 碎片攻击和网络蠕虫攻击，判定结果为符合；网络边界处没有能力监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、ip 碎片攻击和网络蠕虫攻击，判定结果为不符合。符合性判定备注“”“”at the end, xiao bian gives you a passage. minand once said, people who learn to learn are very happy people. in every wonderful life, learning is an

11、eternal theme. as a professional clerical and teaching position, i understand the importance of continuous learning, life is diligent, nothing can be gained, only continuous learning can achieve better self. only by constantly learning and mastering the latest relevant knowledge, can employees from all walks of life keep up with the pace of enterprise development and innova