5-SGISLOP-SA05-10 网络架构等级保护测评作业指导书(三级)

信息安全等级保护测评作业指导书网络架构（三级）版号：第2版修改次数：第0次生效日期：2010年01月06日中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA05-10中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA05-10第1页共23页网络架构等级保护测评作业指导书第2版第0次修订发布日期：2010年01月06日修改页修订号控制编号版号/章节号修改人修订原因批准人批准日期备注1SGISL/OP-SA05-10毛澍按公安部要求修订詹雄2010.3.8中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA05-10第2页共23页网络架构等级保护测评作业指导书第2版第0次修订发布日期：2010年01月06日一、结构安全1.关键设备冗余能力测评项编号ADT-NET-OVERALL-01对应要求应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；测评项名称关键设备冗余能力测评分项1：查看主要网络设备是否具有冗余。操作步骤查看拓扑并实地查看主要网络设备是否具备冗余。适用版本任何版本实施风险无符合性判定如果主要网络设备采用双机热备形式部署并且具备冗余链路，判定结果为符合；如果主要网络设备未采用双机热备形式部署或不具备冗余链路，判定结果为不符合。备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA05-10第3页共23页网络架构等级保护测评作业指导书第2版第0次修订发布日期：2010年01月06日2.保证带宽需求测评项编号ADT-NET-OVERALL-02对应要求应保证网络各个部分的带宽满足业务高峰期需要；测评项名称保证带宽需求测评分项1：检查各个部分网络带宽是否满足业务需求操作步骤询问网络中各个网络节点高峰时段带宽是否满足需求适用版本实施风险无符合性判定网络中各个网络节点高峰时段带宽满足需求，判定结果为符合；网络中各个网络节点高峰时段带宽不满足需求，判定结果为不符合。备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA05-10第4页共23页网络架构等级保护测评作业指导书第2版第0次修订发布日期：2010年01月06日3.安全路径测评项编号ADT-NET-OVERALL-03对应要求应在业务终端与业务服务器之间进行路由控制建立安全的访问路径测评项名称安全路径测评分项1：检查在业务终端与业务服务器之间是否进行路由控制，建立安全的访问路径操作步骤检查在业务终端与业务服务器之间是否进行有效路由控制，建立安全的访问路径。适用版本实施风险无符合性判定在业务终端与业务服务器之间是否进行有效路由控制，建立安全的访问路径，判定结果为符合；未在业务终端与业务服务器之间是否进行有效路由控制，建立安全的访问路径，判定结果为不符合。备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA05-10第5页共23页网络架构等级保护测评作业指导书第2版第0次修订发布日期：2010年01月06日4.拓扑图符合情况测评项编号ADT-NET-OVERALL-04对应要求应绘制与当前运行情况相符的网络拓扑结构图；测评项名称拓扑图符合情况测评分项1：查看网络拓扑是否与实际网络情况相符操作步骤查看网络拓扑与实际网络情况对照是否相符适用版本实施风险无符合性判定网络拓扑与实际网络情况对照相符，判定结果为符合；网络拓扑与实际网络情况对照不相符，判定结果为不符合。符合性判定备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA05-10第6页共23页网络架构等级保护测评作业指导书第2版第0次修订发布日期：2010年01月06日5.网段划分情况测评项编号ADT-NET-OVERALL-05对应要求应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。测评项名称网段划分情况测评分项1：询问网段划分原则和查看交换机配置VLAN划分情况。操作步骤询问网段划分原则和VLAN划分情况，是否按照管理方便和控制的原则划分。适用版本实施风险无符合性判定网段划分原则和VLAN划分情况，按照管理方便和控制的原则划分，判定结果为符合；网段划分原则和VLAN划分情况，未按照管理方便和控制的原则划分，，判定结果为不符合。符合性判定备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA05-10第7页共23页网络架构等级保护测评作业指导书第2版第0次修订发布日期：2010年01月06日6.网络隔离测评项编号ADT-NET-OVERALL-06对应要求应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；测评项名称网络隔离测评分项1：重要网段与其他网段之间进行网络隔离。操作步骤查看重要网段与其他网段之间进行网络隔离。适用版本实施风险无符合性判定重要网段与其他网段之间进行网络隔离，判定结果为符合；重要网段与其他网段之间未进行网络隔离，判定结果为不符合。符合性判定备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA05-10第8页共23页网络架构等级保护测评作业指导书第2版第0次修订发布日期：2010年01月06日7.网络优先测评项编号ADT-NET-OVERALL-07对应要求应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。测评项名称网络优先测评分项1：是否按关键业务服务的重要次序来指定带宽分配优先级别。操作步骤查看交换机及防火墙配置是否有按关键业务服务的重要次序来指定带宽分配优先级别。适用版本实施风险无符合性判定交换机及防火墙配置按关键业务服务的重要次序来指定带宽分配优先级别。判定结果为符合；交换机及防火墙配置未按关键业务服务的重要次序来指定带宽分配优先级别，判定结果为不符合。符合性判定备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA05-10第9页共23页网络架构等级保护测评作业指导书第2版第0次修订发布日期：2010年01月06日二、访问控制1.边界访问控制措施测评项编号ADT-NET-OVERALL-08对应要求应在网络边界部署访问控制设备，启用访问控制功能；测评项名称边界访问控制措施测评分项1：网络边界是否部署网络访问控制措施操作步骤查看网络边界是否部署网络访问控制措施适用版本实施风险无符合性判定网络边界部署网络访问控制措施，判定结果为符合；网络边界未部署网络访问控制措施，判定结果为不符合。符合性判定备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA05-10第10页共23页网络架构等级保护测评作业指导书第2版第0次修订发布日期：2010年01月06日2.网络访问控制能力测评项编号ADT-NET-OVERALL-09对应要求应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。测评项名称网络访问控制能力测评分项1：网络边界访问控制是否达到网络段级操作步骤查看网络访问控制措施访问控制是否达到网络段级适用版本实施风险无符合性判定网络访问控制措施访问控制达到网络段级，判定结果为符合；网络访问控制措施访问控制未达到网络段级，判定结果为不符合。符合性判定备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA05-10第11页共23页网络架构等级保护测评作业指导书第2版第0次修订发布日期：2010年01月06日3.内容过滤测评项编号ADT-NET-OVERALL-09对应要求应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；测评项名称内容过滤测评分项1：是否实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制操作步骤查看网络边界是否具备对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令进行控制的能力。适用版本实施风险无符合性判定网络边界具备对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令进行控制的能力，判定结果为符合；网络边界不具备对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令进行控制的能力，判定结果为不符合。符合性判定备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA05-10第12页共23页网络架构等级保护测评作业指导书第2版第0次修订发布日期：2010年01月06日4.断开超时连接测评项编号ADT-NET-OVERALL-09对应要求应在会话处于非活跃一定时间或会话结束后终止网络连接；测评项名称断开超时连接测评分项1：查看网络是否具有断开超时连接的能力操作步骤查看网络设备或安全设备是否有断开超市连接的相关配置。适用版本实施风险无符合性判定网络设备或安全设备有断开超市连接的相关配置，判定结果为符合；网络设备或安全设备没有断开超市连接的相关配置，判定结果为不符合。符合性判定备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA05-10第13页共23页网络架构等级保护测评作业指导书第2版第0次修订发布日期：2010年01月06日5.限制流量及连接数测评项编号ADT-NET-OVERALL-09对应要求应限制网络最大流量数及网络连接数；测评项名称限制流量及连接数测评分项1：查看网络是否有限制网络最大流量数及网络连接数的能力操作步骤查看网络设备或安全设备配置是否有限制网络最大流量数及网络连接数的相关配置适用版本实施风险无符合性判定网络设备或安全设备配置有限制网络最大流量数及网络连接数的相关配置，判定结果为符合；网络设备或安全设备配置没有限制网络最大流量数及网络连接数的相关配置，判定结果为不符合。符合性判定备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA05-10第14页共23页网络架构等级保护测评作业指导书第2版第0次修订发布日期：2010年01月06日6.防地址欺骗测评项编号ADT-NET-OVERALL-09对应要求重要网段应采取技术手段防止地址欺骗；测评项名称防地址欺骗测评分项1：重要网段是否采取技术手段防止地址欺骗操作步骤查看网络设备配置重要网段是否采用了IP-MAC绑定措施适用版本实施风险无符合性判定网络设备配置重要网段采用了IP-MAC绑定措施，判定结果为符合；网络设备配置重要网段未采用了IP-MAC绑定措施，判定结果为不符合。符合性判定备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA05-10第15页共23页网络架构等级保护测评作业指导书第2版第0次修订发布日期：2010年01月06日7.网络访问控制能力-2测评项编号ADT-NET-OVERALL-10对应要求应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；测评项名称网络访问控制能力-2测评分项1：网络边界访问控制是否达到IP级操作步骤查看网络访问控制措施访问控制是否达到IP段级适用版本实施风险无符合性判定网络访问控制措施访问控制达到IP段级，判定结果为符合；网络访问控制措施访问控制未达到IP段级，判定结果为不符合。符合性判定备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA05-10第16页共23页网络架构等级保护测评作业指导书第2版第0次修订发布日期：2010年01月06日8.拨号访问控制测评项编号ADT-NET-OVERALL-08对应要求应限制具有拨号访问权限的用户数量。测评项名称拨号访问控制测评分项1：是否限制拨号用户的数量操作步骤查看是否采用拨号访问，是否限制拨号用户的数量适用版本实施风险无符合性判定限制拨号用户的数量，判定结果为符合；未限制拨号用户的数量，判定结果为不符合。符合性判定备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA05-10第17页共23页网络架构等级保护测评作业指导书第2版第0次修订发布日期：2010年01月06日三、边界