網(wǎng)絡(luò)安全專項檢查

1、、核心網(wǎng)絡(luò)安全性（一）網(wǎng)絡(luò)結(jié)構(gòu)安全性序號類別檢杳要求檢查結(jié)果1結(jié)構(gòu)安全a）應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；2b）應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；3C）應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全的訪問路徑；4d）應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；5e）應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；6f）應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間米取可靠的技術(shù)隔離手段；7g）應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)

2、先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機。8訪問控制a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟9數(shù)據(jù)防泄露廠口匕J1J4rpjvh廿a）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢杳，準(zhǔn)確;由位置，并對其進行有效阻斷：10b）應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為及內(nèi)容進行檢杳，準(zhǔn)確定由位置，并對其進行七效阻斷。入侵防范a）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢由攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；12b）當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應(yīng)提供報警。13惡意代碼防范a）應(yīng)在網(wǎng)絡(luò)邊界處

3、對惡意代碼進行檢測和清除；14b）應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新。（二）網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全設(shè)備安全性類別測評項結(jié)果記錄訪問控制a）應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提 供明 確的允許/拒絕訪問的能力，控制 粒度為端口 級；b）應(yīng)對進由網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層 HTTRFTPTELNETSMTPPCT%8%徽脖粽堪撬制品時間或會話結(jié) 束后終小網(wǎng)絡(luò)連接；d）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；e）重要網(wǎng)段應(yīng)米取技術(shù)手段防止地址 欺騙;f）應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī) 貝V, 決定允許或拒絕用戶對受控系統(tǒng)進 行資源訪 間，控制粒度為單個用戶；10111213a）應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備

4、運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；b）審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審安全審計計相關(guān)的信息；c）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生 成審計報表；d）應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或梗蓋等。a）應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別：b）應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限、，、制網(wǎng)絡(luò)設(shè)備防護修C）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；14種或d）主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩兩種以上組合的鑒別技術(shù)來進行身份鑒別；15e）身份鑒別信息應(yīng)具后不易被冒用的特點，口令應(yīng)啟復(fù)雜度要求并定期更換；16f）應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次

5、數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退生等措施；17g）當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)米取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；18h）應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。19升級情況安全設(shè)備入侵檢測特征庫、病毒庫、應(yīng)用特征庫等是否定期升級、服務(wù)器安全性序號類別檢杳要求檢查結(jié)果1身份鑒別a）應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標(biāo)識和鑒別；2b）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具后不易被冒用的特點，口令應(yīng)后復(fù)雜度要求并定期更換；3C）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退生等措施；4d）當(dāng)對服務(wù)器進行遠程管理時，應(yīng)米取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；5e

6、）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫的不同用戶分配不同的用戶名，確保用戶名具有唯一性。6f）應(yīng)米用兩種或兩種以上組合的鑒別技術(shù)對管理-盧講行身價鑒別C7安全審計a）審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶：8b）審計內(nèi)谷應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；9c）審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；10d）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；11e）應(yīng)保護審計進程，避免爻到未預(yù)期的中斷；12f）應(yīng)保護審計記錄，避免爻到未預(yù)期的刪除、修改或覆蓋等。13a）應(yīng)能夠檢測到對重要服務(wù)器進行入侵的行為，能夠

7、記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警；14入侵防范b）應(yīng)能夠?qū)χ匾绦蛲暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施；15c）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新。16a）應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；17惡意代碼防范b）主機防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不已的惡意代碼庫；18c）應(yīng)支持防惡意代碼的統(tǒng)一管理。19a）應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；20b）應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；21資源控制c）應(yīng)對重要服務(wù)器進行監(jiān)視，包括監(jiān)視服務(wù)器的CPU硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；22d）應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度：23e）應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)正的最小咱耕行槍測