序号类别 测评项 测评实施 预期结果 说明 1结 构 安全a) 应保证主要网络设备和通信 线路冗余，主要网络设备业务处 理能力能满足业务高峰期需要的 1倍以上，双线路设计时，宜由 不同的服务商提供；1）访谈网络管理员了解 信息系统的 业务高峰流量。 2）检查主要网络设备处理能力， 查 看业务高峰期设备的CPU和内存使用 率。 （ 以CISCO设 备 为 例 ， 输 入 sh processes cpu，sh processes memory）1) 业务高峰流量不超过设备处理能 力。 2）设备CPU和内存使用率峰值不大于 70% b)应保证网络各个部分的带宽满 足业务高峰期需要；1）访谈网络管理员了解各 通信链路 带宽、高峰流量。 1）各通信链路高峰流量均不大于其带 宽的70%。 c)应在业务终端与业务服务器之 间进行路由控制建立安全的访问 路径；可访谈网络管理员，询问网段划分情 况以及划分的原则；询问重要的网段 有哪些，对重要网段的保护措施有哪 些； 1)检查访问路径上的路由设备配置信 息，查看是否启用了路由协议认证及 其控制策略（以CISCO设备为例，输 入show run命令）有如下类似配置： 1） Router ospf 100 area 1 authentication message- digest interface FastEthernet0/0 ip ospf message-digest-key 1 md5 xxxx 2） router eigrp 100 redistribute ospf 100 metric 10000 100 1 255 1500 route-map c isco d)应绘制与当前运行情况相符的 网络拓扑结构图；1)查看网络拓扑图。 1）网络拓扑图与当前运行情况一致 。 第 1 页 共 11 页序号类别 测评项 测评实施 预期结果 说明 e)应根据各部门的工作职能、重 要性和所涉及信息的重要程度等 因素，划分不同的子网或网段， 并按照方便管理和控制的原则为 各子网、网段分配地址段 ，生产 网、互联网、办公网之间都应实 现有效隔离；可访谈网络管理员，询问网络设备上 的路由控制策略措施有哪些，这些策 略设计的目的是什么； 1）访谈网络管理员依据何种原则 划 分不同的子网或网段 。并检查相关网 络设备配置信息，验证划分的子网或 网段是否与访谈结果一致。1）根据各部门的工作职能、重要性和 所涉及信息的重要程度等因素，划分 不同的子网或网段。 f)应避免将重要网段部署在网络 边界处且直 接连接外部信息系 统，重要网段与其 他网段之间 采 取可靠的技术隔离手段；1）访谈网络管理员并查看网络拓扑 图重要网段是否部署在网络边界处且 直接连接外部信息系统； 2）访谈网络管理员并查看网络拓扑 图重要网段与其 他网段之间是否采取 可靠的技术隔离手段，如网闸、防火 墙、ACL等。1）重要网段 未部署在网络边界处。 2）在重要网段与其 他网段之间 采取了 网闸、防火墙或ACL等技术隔离手段。 g)应按照对业务服务的重要 次序 来指定带宽分配 优先级别，保证 在网络发生拥堵的时候优先保护 重要主机。1）访谈网络管理员了解配置 QoS的 具体设备（如防火墙、路由、 交换设 备或专用带宽管理设备），并检查 该 设备的QoS配置情况。（以CISCO设 备为例，输入show run命令）1）有如下类似配置： class-map match-a ll voice match access-group 100 policy-map voice-policy class voice bandwidth 60 interface Seria l1 service-policy output voice- policy 2访 问a）应在网络边界部署访问控制 1）访谈网络管理员并查看网络拓扑 1）在网络各个边界处部署了访问控制 第 2 页 共 11 页序号类别 测评项 测评实施 预期结果 说明 控制设备，启用访问控制 功能；图，是否所有网络边界都有访问控制 措施。技术措施，如部署网 闸、防火墙或ACL 等。 b)应能根据 会话状态信息为数据 流提供明 确的允许/拒绝访问的 能力，控制 粒度为端口级；1）检查访问控制策略 列表，查看是 否配置了明 确的允许/拒绝的访问能 力，控制 颗粒度为端口级。 输入“get config ”命令，应存在如 下类似配置： set policy id 1 form Trust to Untrust any any ftp permit 1）防火墙安全策略 具备源IP地址、目 标IP地址、允许/拒绝和应用服务端 口 号。 c应对进出网络的信息内 容进行 过滤， 实 现 对 应 用 层 HTTP、FTP、TELNET、SMTP、POP3等 协议命令 级的控制；1）检查防火墙安全策略是否对重要 数据流启用应用 层协议深层检测。1）防火墙安全策略配置并启用了 Deep Inspection。深度 检 测 包 括 http\smtp\pop3\ftp, 启用深度检测有可能 会影响防火墙的处理 性能。 d应在会话处于非活跃一定时间 或会话结束后终止网络连接；1）检查访问控制策略 列表，查看是 否配置了明 确的允许/拒绝的访问能 力，控制 颗粒度为端口级。 输入“get config ”命令，应存在如 下类似配置： set policy id 1 form Trust to Untrust any any ftp permit 1）防火墙安全策略 具备源IP地址、目 标IP地址、允许/拒绝和应用服务端 口 号。 e应限制网络最大流量数及网络 连接数；1）访谈系统管理员，是否在 会话处 于非活跃一定时间或会话结束后终止 网络连接；1）防火墙能够根据业务需要在 没有数 据传输一段时间 后终止网络会话连接。 第 3 页 共 11 页序号类别 测评项 测评实施 预期结果 说明 f重要网段应 采取技术手段防止 地址欺骗；1）访谈系统管理员并检查 防火墙配 置，是否 限制网络最大流量数及网络 连接数。 输入“get config ”命令，应存在如 下类似配置： set zone dm z screen limit- session source-ip-based 1 set zone dm z screen limit- session source-ip-based set zone trust screen limit- session source-ip-based 80 set zone trust screen limit- session source-ip-based set zone untrust screen limit- session destination-ip-based 4000(依据业务需 求设定此值) set zone untrust screen limit- session destination-ip-based set flow aging low-watermark 70 set flow aging high-watermark 80 set flow aging ear ly-ageout 41）防火墙配置并启用 基于源IP地址和 基于目标IP地址的抗攻击设置。 g应按用户和系统之间的 允许访 问规则，决定允许或拒绝用户对 受控系统进行 资源访问，控制 粒N/A 该功能一般由接入交 换机实现。 第 4 页 共 11 页序号类别 测评项 测评实施 预期结果 说明 度为单个用户； h应限制具有拨号访问权限的用 户数量。N/A 该设备无拨号功能。 3安 全 审计 a)应对网络系统 中的网络设备运 行状况、网络流量、 用 户行为等进 行日志记录；1)检查防火墙是否开启日志功能。 WebGUI方式: 进 入[reports]->[system log]- >[event]选择时间级别进行查询， [configuration]->[report settings ]->[syslog]是否设置 日志 服务器。 命令方式： 输入“get config ”命令，应存在如 下类似配置： Set syslog config 1 .1.1.1 port 1514 Set syslog config 1 .1.1.1 log all Set sys log config 1 .1.1.1 facilities local0 local0 Set sys log config 1 .1.1.1 transport tcp1）防火墙设置日志服务器，并使用 Syslog方式或者SNMP方式将日志发送 到日志服务器。 b)审计记录应包括：事件的日期 和时间、用 户、事件类型、事件是1）查看防火墙系统日志和策略日志 情况。通过输入如下命令进行查看。1）系统日志和策略日志的日志信息中 包含事件的日期和时间、用 户、事件类开启实时监测功能会 影响防火墙的性能 第 5 页 共 11 页序号类别 测评项 测评实施 预期结果 说明 否成功及其他与审计相关的信 息；get event level notification 型、事件是否成功及其他与审计相关的 信息。 c)应能够根据记录数据进行分 析，并生成审计报表；1）访谈网络管理员 采用了什么 手段 实现了审计记录数据的分析和报表生 成。 输入“get config ”命令，应存在如 下类似配置： Set webtrends h