信息系统安全等级保护培训-网络安全

合集下载

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

信息安全等级保护培训

网络安全

2013.1

1.检查范围

2.检查内容

检查范围

☐确定检查范围：

⏹获取被测系统的网络结构拓扑、外连线路、网络

设备、安全设备等信息。

⏹明确边界设备、核心设备及其他重要设备，确定检

查范围。

☐测评对象的确定方法：

⏹针对三级信息系统的网络安全自测评，测评对象种类的

选择需要在基本覆盖和数量上进行抽样，重点抽查主要

的设备；

⏹信息系统中配置相同的安全设备、边界网络设备、网络

互联设备每类应至少抽查2台作为测评对象。

☐抽查的测评对象：

⏹安全设备包括防火墙、入侵检测设备和防病毒网关等；

⏹边界网络设备（可能会包含安全设备）包括路由器、防

火墙、认证网关和边界接入设备等；

⏹对整个信息系统或其局部的安全性起作用的网络互联设

备，如核心交换机、汇聚层交换机、接入层交换机、负

载均衡设备、路由器等。

检查范围

☐注意事项

⏹考虑设备的重要程度可以采用抽取的方式。

⏹不能出现遗漏，避免出现脆弱点。

设备选取举例

检查内容

☐检查内容以等级保护基本要求三级为例，按照基本要求7个控制点38个要求项进行检查。

⏹ 一、结构安全（7项）

⏹ 二、访问控制（8项）

⏹ 三、安全审计（4项）

检查内容

⏹四、边界完整性检查（2项）

⏹ 五、入侵防范（2项）

⏹ 六、恶意代码防范（2项）

⏹ 七、网络设备防护（13项）

网络安全自测评实施-测评实例

☐实例一【结构安全（a）-基本要求修改项】

测评项：“应保证主要网络设备的业务处理能力具备冗

余空间，满足业务高峰期需要的1倍以上；”

测评指标：

1）网络设备的业务处理能力如:CPU、内存等占用率

是否低于50%；

2）是否部署相关监控平台对网络设备运行情况进行监

控。

网络安全自测评实施-测评实例

☐实例二【结构安全（b）-基本要求】

测评项：“应保证网络各个部分的带宽满足业务高峰期

需要；”

测评指标：

1）是否能够保证网络各个部分的带宽满足业务高峰期

需要；

2）是否采取相关带宽监控措施。

网络安全自测评实施-测评实例

☐实例三【结构安全（c）-基本要求】

测评项：“应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；”

测评指标：

1）是否采用动态路由协议,具体采用了那种协议；

2）动态路由协议是否全部启用认证功能，如：MD5

验证。

网络安全自测评实施-测评实例

☐实例四【结构安全（d）-基本要求】

测评项：“应绘制与当前运行情况相符的网络拓扑结构

图；”

测评指标：

1）检查网络拓扑图，查看其与当前运行情况是否一致。

网络安全现场测评实施-测评实例

☐实例五【结构安全（e）-基本要求】

测评项：“应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；”

测评指标：

1）是否依据部门的工作职能、重要性和应用系统的级

别划分不同的VLAN或子网。

网络安全现场测评实施-测评实例

☐实例六【结构安全（f）-基本要求】

测评项：“应避免将重要网段部署在网络边界处且直接

连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；”

测评指标：

1）重要网段是否均部署在网络内部，不直接暴露在网

络边界；

2）重要网段和其它网段之间是否配置安全策略进行访

问控制。

网络安全现场测评实施-测评实例

☐实例七【结构安全（g）-基本要求】

测评项：“应按照对业务服务的重要次序来指定带宽分

配优先级别，保证在网络发生拥堵的时候优先保护重要主

机。”

测评指标：

1）是否按照对业务服务的重要次序来指定带宽分配优

先级别（QoS），保证在网络发生拥堵的时候优先保

护重要主机，QoS策略应用在哪些网络区域。

网络安全现场测评实施-测评实例

☐实例八【访问控制（a）-基本要求】

测评项：“应在网络边界部署访问控制设备，启用访

问控制功能；”

测评指标：

1）查看是否在所有网络边界处部署了访问控制设备，

如：防火墙等；

2）访问控制设备是否启用了访问控制功能。

网络安全现场测评实施-测评实例

☐实例九【访问控制（b）-基本要求】

测评项：“应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；”

测评指标：

1）是否对全部进出网络的流量进行过滤；

2）访问控制策略的控制粒度是否为端口级；

3）访问控制策略中是否存在全部允许的规则。

网络安全现场测评实施-测评实例

☐实例十【访问控制（c）-基本要求】

测评项：“应对进出网络的信息内容进行过滤，实现对

应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令

级的控制；”

测评指标：

1）是否对网络信息进行控制(如对IP、端口的限制等)；

2）是否对HTTP、FTP、TELNET、SMTP、POP3等

明文传输协议进行控制(如关闭这些协议或采用https、

ftps等加密协议，如果是在内网不作要求)。