网络安全测评主要涉及对象为网络互联设备、网络安全设备和网络拓扑结果等三大类对象，具 体为： 1)核心交换机、接入交换机、接入路由器和拨号接入路由器等网络互联设备； 2)入侵检查系统、防火墙等网络安全设备； 3)信息系统的整体网络拓扑结果。 序号类别 测评项 测评实施 预期结果 说明 1结 构 安全 a)应保证主要网络设备的业务处理 能力具备冗余空间，满足业务高峰 期需要；可访谈网络管理员，询问信息系统中的 边界和关键网络设备的性能以及目前业 务高峰流量情况； 1）访谈网络管理员了解 信息系统的业务 高峰流量。 2）检查主要网络设备处理能力， 查看业 务高峰期设备的CPU和内存使用率。 （ 以CISCO设 备 为 例 ， 输 入 sh processes cpu ，sh processes memory）1) 业务高峰流量不超过设备处理能力。 2）设备CPU和内存使用率峰值不大于 70% b)应保证网络各个部分的带宽满足 业务高峰期需要；1）访谈网络管理员了解各 通信链路带宽、 高峰流量。 1）各通信链路高峰流量均不大于其带宽 的70%。 c)应绘制与当前运行情况相符的网 络拓扑结构图；1)查看网络拓扑图。 1）网络拓扑图与当前运行情况一致 。 d)应根据各部门的工作职能、重要性 和所涉及信息的重要程度等因素， 划分不同的子网或网段，并按照方 便管理和控制的原则为各子网、网段 分配地址段；生产网、互联网、办公1）访谈网络管理员依据何种原则 划分不 同的子网或网段。并检查相关网络设备配 置信息，验证划分的子网或网段是否 与 访谈结果一致。1）根据各部门的工作职能、 重要性和所涉 及信息的重要程度等因素，划分不同的子 网或网段。 第 1 页 共 7 页序号类别 测评项 测评实施 预期结果 说明 网之间都应实现有效隔离。 2访 问 控制a) 应在网络边界部署访问控制设 备，启用访问控制功能可访谈安全员，询问采取的网络访问控 制措施有哪些；询问访问控制策略的设 计原则是什么； 询问网络访问控制设备具备的访问控制 功能（如是基于状态的，还是基于包过 滤等）； 1）访谈网络管理员并查看网络拓扑图， 是否所有网络边界都有访问控制措施。1）在网络各个边界处部署了访问控制技 术措施，如部署网闸、防火墙或 ACL等。 b)应能根据会话状态信息为数据流 提供明确的允许/拒绝访问的能力， 控制粒度为网段 级；应检查边界网络设备，查看其是否根据 会话状态信息（如包 括数据包的 源地址、 目的地址、 源端口号、 目的端口号、协议、 出入的接口、会话序 列号、发出信息的主 机名等信息，并应 支持地址通配符的使 用）对数据流 进行控制； c) 应按用户和系统之间的允许访问 规则，决定允许或拒绝用 户对受控 系统进行资源访问，控制 粒度为单 个用户；应测评边界网络设备，可通过 试图访问 未授权的资源，验证访问控制措施是否 能对未授权的访 问行为的控制（如可以使用 扫描工具探 测等） d) 应限制具有拨号访问 权限的用户 数量。N/A该设备无 拨 号 功 能。 3安 全a)应对网络系统中的网络设备运行状 1)检查防火墙是否 开启日志功能。1）防火墙设置 日志服务器，并使用 第 2 页 共 7 页序号类别 测评项 测评实施 预期结果 说明 审计况、网络流量、用 户行为等进行日志 记录；WebGUI方式: 进入[reports]->[system log]->[event] 选 择 时间级别进行 查 询 ， [configuration]->[report settings]- >[syslog]是否设置 日志服务器。 命令方式： 输入“get config”命令，应存在如 下类 似配置： Set syslog config 1.1.1.1 port 1514 Set syslog config 1.1.1.1 log all Set syslog config 1.1.1.1 facilities local0 local0 Set syslog config 1.1.1.1 transport tcpSyslog方式或者SNMP方式将日志发送到 日志服务器。 b)审计记录应包括：事件的日期和时 间、 用户、事件类型、事件是否成功及 其他与审计相关的信息；保存时间不 少于一个月。1）查看防火墙系统 日志和策略日志情况。 通过输入如 下命令进行查看。 get event level notification 1）系统日志和策略日志的日志信息中包 含 事件的日期和时间、用户、事件类型、事件 是否成功及其他与审计相关的信息。开启实时 监测功能 会影响防 火墙的性 能 4边 界 完整 性 检 查a) 应能够对内部网络中 出现的内部 用户未通过准许私自联到外部网络 的行为进行检查。1）访谈网络管理员是否部署 终端管理软 件或采取其 它技术手段防止非法外联行 为，并进行验证。1）部署了 终端管理软件或其它技术手 段，限制终端设备相关 端口的使用，如 禁 止双网卡、USB接口、Modem、无线网络等。 5入 侵应在网络边界处 监视以下攻击行1）检查在网络边界处是否有对网络 攻击1）在网络边界处部署了 IDS（IPS）系 第 3 页 共 7 页序号类别 测评项 测评实施 预期结果 说明 防范为：端口扫描、强力攻击、木马后门 攻击、拒绝服务攻击、缓冲区溢出攻 击、IP碎片攻击和网络蠕虫攻击等。进行检测的相关措施。统，或UTM启用了入侵检测（保 护）功 能。 6网 络 设 备 防护a)应对登陆网络设备的用 户进行身份 鉴别1）检查登录认证方式。a) 可访谈网络管 理员，是否对网络设备 进行AAA认证或其 他认证方式，若有登录AAA服务器，查看 用户与管理员 身份、权限是否匹配； 1）管理员 登录防火墙时进行身份鉴别。默认配置 即符合要 求。关注 是否修改 了默认配 置。 b)应对网络设备的管理员 登录地址进 行限制应测评边界和重要网络设备的安全设置， 验证鉴别失败处理措施采用 错误密码登录 网络设备数 次，观察是否结束会话、限制 非法登录次数），对网络设备的管理员 登 录地址进行限制（如使用 任意地址登录， 观察网络设备的 动作等）等功能是否有效 1）检查是否配置 特定IP地址并且只能从 该IP地址进行管理。 WebUI管理方式： 进入WebUI管理界面，[configuration] -> [admin] -> [permitted IPs]，查看 管理IP地址配置情况。 或命令行方式： 通过命令行输入“get config”命令，存 在如下类似配置。1）配置了管理员 登录IP地址。 第 4 页 共 7 页序号类别 测评项 测评实施 预期结果 说明 MGT口设置管理地址和管理方 式： Set interface mgt ip 10.0.0.2/24 数据口设置管理地址和管理方 式： Set interface ethernet1 manage-ip 1.1.1.2 限制管理主机地址： Set admin manager-ip 172.16.40.0 255.255.255.0 c)网络设备用 户的标识必须唯一1）通过命令行输入“get config”命 令，存在如 下类似配置。 set admin user Roger pass word 2bd21wG7 privilege read-only set admin user Sm ith pass word 3MAb99j2 privilege all 根据上述类似配置访谈网络管理员了解防 火墙设备各 账户的使用情况。1）不同的管理员均分配了不同的 登录账 户，无共用账户。 d)身份鉴别信息应具有不 易被冒用的 特点，口令应有复杂度要求并定期更 换；应访谈网络管理员，询问网络设备的 口令 策略是什么； 1）访谈网络管理员 登录账户的口令长度、 口令更改周期和口令复杂度。通过 命令行 输入“get config”命令，存在如 下类似 配置: Set admin password res trict length xx如网络设备的 口令策略为口令长度6位以 上，口令复杂（如规定字符应混有大、小 写字母、数字和特殊字符），口令生命周 期，新旧口令的替换要求（规定替换的字 符数量）或为了便于 记忆使用了令牌则 b）满足测评要 求； 口令长度6以上，规定了更改周期，口令 组成包括数字、字母和特殊字符等，非默 第 5 页 共 7 页序号类别 测评项 测评实施 预期结果 说明 认用户名和密码。 e)应具有登录失败处理功能，可采取 结束会话、限制非法登录次数和当网 络登录连接超时自动退出等措施。应检查边界和重要网络设备 上的安全设 置，查看其是否有对 鉴别失败采取相应的 措施的设置；查看其是否有 限制非法登录 次数的功能 1）通过命令行输入“get config”命 令，查看是否存在如 下类似配置，包 括登 录尝试次数、登录失败锁定时间及登录超 时时间等。(默认登录尝试次数为3次；登 录失败锁定时间为1分钟) set admin access a ttempts 3 set admin access lock-on-failure 1 set admin auth timeout 31）有登录失败次数限制，最好不超过5 次；有登录失败锁定时间设置； 登录超时 时间不为0。 f)当对网络设备 进行远程管理时，应 采取必要措施防 止鉴别信息在网络 传 输过程中 被窃听应检查边界和重要网络设备 上的安全设 置，查看是否对主要网络设备的管理员 登 录地址进行