( 单位) 系统 等级保护三级测评 现场检测表 测试对象范围：安全技术 测试对象名称：网络安全 -总体 配合人员签字： 测试人员签字： 核实人员签字： 测试日期： 结果统计: 测评项 测评结果 1结构安全与网段划分 □符合 □部分符合 □不符合 2网络访问控制 □符合 □部分符合 □不符合 3拨号访问控制 □符合 □部分符合 □不符合 4网络安全审计 □符合 □部分符合 □不符合 5边界完整性检查 □符合 □部分符合 □不符合 6网络入侵防范 □符合 □部分符合 □不符合 7恶意代码防范 □符合 □部分符合 □不符合等级保护现场检测表 8网络设备防护 □符合 □部分符合 □不符合 测试类别等级测评（三级） 测试对象安全技术 测 试 类网络安全-总体 测 试 项结构安全 测试要求： 1.应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； 2.应保证网络各个部分的带宽满足业务高峰期需要； 3.应在业务终端与业务服务器之间进行路由控制建立安全的访问路径； 4.应绘制与当前运行情况相符的网络拓扑结构图； 5.应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或 网段，并按照方便管理和控制的原则为各子网、网段分配地址段。 6.重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗 ； 7.应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优 先保护重要主机。 测试记录： 1、访谈网络管理员，询问信息系统中的边界和主要网络设备的性能是否能满足业务需求 否 □ 是 □ ○目前业务高峰流量情况一般出现在 2、访谈网络管理员，目前网段划分情况是： ○划分的原则是： ○重要的网段有： ○对重要网段的保护措施有： 3、访谈网络管理员，网络的带宽情况是： ○网络中带宽控制情况以及带宽分配的原则是： 4、访谈网络管理员，询问网络设备上的路由控制策略措施有： ○这些策略设计的目的是： 5、检查网络拓扑图，查看其与当前运行情况是否一致： 否 □ 是 □ 6、检查网络设计/验收文档，查看是否边界和主要网络设备能满足基本业务需求： 否 □ 是 □ ○网络接入及核心网络的带宽能满足业务高峰期的需要，是否不存在带宽瓶颈等方面的设计 或描述： 否 □ 是 □ 7、检查网络设计/验收文档，查看是否有根据各部门的工作职能、重要性和所涉及信息的重要程 度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网和网段分配地址 段的设计或描述： 否 □ 是 □ 第 2 页 共 10 页等级保护现场检测表 8、检查边界和主要网络设备，查看是否配置路由控制策略（如使用静态路由等）建立安全的访 问路径： 否 □ 是 □ 9、检查边界和主要网络设备，查看重要网段是否采取了网络地址与数据链路地址绑定的措施 （如对重要服务器采用 IP地址和MAC地址绑定措施）： 否 □ 是 □ 10、检查边界和主要网络设备，查看是否有对带宽进行控制的策略（如路由、 交换设备上的QOS 策略配置情况， 专用的带宽管理设备的配置策略等）： 否 □ 是 □ ○这些策略能否保证在网络发生拥堵的时候优先保护重要业务（如重要业务的主机的优先级 要高于非重要业务的主机）： 否 □ 是 □ 11、测试网络拓扑结构， 通过网络拓扑结构 自动发现、绘制工具，验证实 际的网络拓扑结构和 网络拓扑结构图是否一致： 否 □ 是 □ 12、测试业务终端与业务服务器之间的访问路径， 通过使用路由 跟踪工具（如tracert等工 具），验证业务终端与业务服务器之间的访问路径是否安全（如访问路径是否 固定等）： 否 □ 是 □ 13、测试重要网段，验证其采取的网络地址与数据链路地址绑定措施是否有 效（如试图使用 非 绑定地址，查看是否能 正常访问等）： 否 □ 是 □ 14、测试网络带宽分配策略， 通过使用带宽测试工具，测试网络带宽分配是否有 效： 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： 1、如果测试记录6-7中缺少相应的文档，则 该项为否定； 2、测试记录5-14项全部符合 即视为符合 测试类别等级测评（三级） 测试对象安全技术 测 试 类网络安全-总体 测 试 项网络访问控制 测试要求： 1.应依据安全策略 允许或者拒绝便携式和移动式设备的网络接入； 2.应能根据 会话状态信息（包括数据包的源地址、 目的地址、 源端口号、 目的端 口号、协议、 出入的接 口、会话序列号、发出信息的主机名等信息，并应 支持地址通配符的使用）为 数据流提供明确的允许/拒绝访问的能力，控制 粒度为端口级； 3.应对进出网络的信息 内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议 命令级的控制； 4.应在会话处于非活跃一定时间或 会话结束后终止网络 连接； 5.应限制网络最大流量数及网络 连接数； 第 3 页 共 10 页等级保护现场检测表 测试记录： 1、访谈安全员，询问采取的网络访问控制措施有 哪些： ○询问访问控制策略的设计原则是： ○询问访问控制策略是否 做过调整： 否 □ 是 □ ○调整后和调整前的情况如 何： 2、检查边界网络设备，查看其是否根据 会话状态信息（如 包括数据包的源地址、 目的地址、 源端 口号、 目的端 口号、协议、 出入的接 口、会话序列号、 发出信息的主机名等信息，并应 支持地址 通配符的使用）对数据流进行控制： 否 □ 是 □ 3、检查边界网络设备，查看其是否对进出网络的信息 内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制： 否 □ 是 □ 4、检查边界网络设备，查看是否能设置 会话处于非活跃的时间或 会话结束后自动终止网络 连 接： 否 □ 是 □ ○是否能设置网络 最大流量数及网络 连接数： 否 □ 是 □ 5、检查主要网络设备，查看是否有访问控制措施（如 VLAN，访问控制 列表，MAC地址绑定）控 制便携式和移动式设备接入网络： 否 □ 是 □ 6、测试边界网络设备， 通过试图访问 未授权的资源，验证访问控制措施对 未授权的访问行为的 控制是否有 效（如可以使用扫描工具来 探测等）： 否 □ 是 □ 7、测试主要网络设备， 通过试图用移动设备接入网络，验证网络设备的访问控制策略是否有 效： 否 □ 是 □ 8、对网络访问控制措施进行 渗透测试，通过采用多种渗透测试技术（如http隧道等），验证 网络访问控制措施是否不存在 明显的弱点： 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： 测试记录2-7项全部符合 即视为符合 测试类别等级测评（三级） 测试对象安全技术 测 试 类网络安全-总体 测 试 项拨号访问控制 第