等級保護測評指導書

1物理平安測評指導書1.1機房平安測評序號測評指標測評項檢查方法預期結果物理位置的選擇a)物理位置的選擇a)通過訪談物理平安負責人，檢查機房，測評機房物理場所在位置上是否具有防震、防風和防雨等多方面的平安防范能力。b)通過訪談物理平安負責人，檢查機房，測評機房物理場所在位置上是否具有防震、防風和防雨等多方面的平安防范能力。訪談：詢問物理平安負責人，現(xiàn)有機房和辦公場地的環(huán)境條件是否具有根本的防震、防風和防雨能力。檢查：檢查機房和辦公場地的設計/驗收文檔，查看機房和辦公場所的物理位置選擇是否符合要求。檢查：檢查機房場地是否防止設在建筑物的高層或地下室，以及用水設備的下層或隔壁；檢查機房場地是否防止設在強電場、強磁場、強震動源、強噪聲源、重度環(huán)境污染、易發(fā)生水災、火災、易遭受雷擊的地區(qū)。機房和辦公場地的設計/驗收文檔中有關于機房和辦公場所的物理位置選擇的內容,并符合防震、防風和防雨能力要求。1〕機房沒有在建筑物的高層或地下室，附近無用水設備；2〕機房附近無強電場、強磁場、強震動源、強噪聲源、重度環(huán)境污染，機房建筑地區(qū)不發(fā)生水災、火災，不易遭受雷擊。物理訪問控制a)檢查機房出入口等過程，測評信息系統(tǒng)在物理訪問控制方面的平安防范能力。訪談：1〕詢問物理平安負責人，了解具有哪些控制機房進出的能力，是否安排專人值守；2〕訪談機房值守人員，詢問是否認真執(zhí)行有關機房出入的管理制度，是否對進入機房的人員1〕有專人值守和電子門禁系統(tǒng)；2〕出入機房需要登記，有相關記錄。11〕來訪人員進入機房需經(jīng)過申請、審批流程并記錄；2〕進入機房有機房管理人員檢查機房 訪談：詢問物理平安出入口等過負責人，了解是否有程，測評信關于機房來訪人員的息系統(tǒng)在物申請和審批流程，是理訪問控制否限制和監(jiān)控其活動方面的平安范圍。檢查：檢查防范能力。是否有來訪人員進入機房的審批記錄。陪同并監(jiān)控和限制其活動范圍。c〕檢查機房出入口等過程，測評信息系統(tǒng)在物理訪問控制方面的平安防范能力。訪談：訪談物理平安負責人，是否對機房進行了劃分區(qū)域管理，是否對各個區(qū)域都有專門的管理要求；檢查：檢查機房區(qū)域劃分是否合理，是否在機房重要區(qū)域前設置交付或安裝等過渡區(qū)域，是否對不同區(qū)域設置不同機房或同一機房的不同區(qū)域之間設置有效的物理隔離裝置〔如隔離墻等〕。1〕對機房進行了劃分區(qū)域管理；2〕對各個區(qū)域都有專門的管理要求。檢查：重要區(qū)域電子門禁記錄。配置了電子門禁系統(tǒng)，控制、鑒別、記錄進入人員信息。主要設備都放置在機房內。設備和主要部件是否進行了固定和標記。檢查：重要區(qū)域電子門禁記錄。配置了電子門禁系統(tǒng)，控制、鑒別、記錄進入人員信息。主要設備都放置在機房內。設備和主要部件是否進行了固定和標記。d〕檢查機房出入口等過程，測評信息系統(tǒng)在物理訪問控制方面的平安防范能力。a〕 檢查機房內的主要設備、介質和防盜報警設施等過程，測評信息系統(tǒng)是否采取防盜竊和 必要的措施防破壞 預防設備、介質等喪失和被破壞。b〕 檢查機房內的主要設備、介質和防盜報警設施等過程，訪談：訪談物理平安負責人，采取了哪些防止設備、介質喪失的保護措施；檢查：檢查主要設備是否防止在機房內或其他不易被盜竊和破壞的可控范圍內。訪談：訪談機房維護人員，設備和主要部件是否進行了固定和標記；檢查：檢查主要設備或設備的主測評信息系統(tǒng)是否采取必要的措施預防設備、介質等喪失和被破壞。c〕檢查機房內的主要設備、介質和防盜報警設施等過程，測評信息系統(tǒng)是否采取必要的措施預防設備、介質等喪失和被破壞。要部件的固定情況，是否不易被移動或被搬走，是否設置了明顯的不易除去的標記。訪談：訪談機房維護人員，了解通信線纜是否鋪設在隱蔽處；是否設置了冗余或并行的通信線路；檢查：檢查通信線纜鋪設是否在隱蔽處〔如鋪設在地下或管道中等〕。通信線纜鋪設在隱蔽處。d〕檢查機房內的主要設備、介質和防盜報警設施等過程，測評信息系統(tǒng)是否采取必要的措施預防設備、介質等喪失和被破壞。訪談：訪談資產管理人員，在介質管理中，是否設置了分類標識，是否存放在介質庫或檔案室中；詢問對設備或存儲介質攜帶出工作環(huán)境是否規(guī)定了審批程序、內容加密、專人檢查等平安保護的措施；檢查：1〕檢查介質的管理情況，查看介質是否有正確的分類標識，是否存放在介質庫或資料室中并且進行分類存放〔滿足磁介質、紙介質等的存放要求〕；2〕檢查有關設備或存儲介質攜帶出工作環(huán)境的審批記錄，以及專人對內容加密進行檢查的記錄。介質分類標識，存儲在介質庫或檔案室中。ee〕檢查機房內的主要設備、介質和檢查機房防盜報警設施是否正常運行，并查看運行和報警記機房防盜報警設施運行正常，并且有運行防盜報警設錄。和報警記錄施等過程，測評信息系統(tǒng)是否采取必要的措施預防設備、介質等喪失和被破壞。機房安裝了監(jiān)控攝像頭，監(jiān)控報警系統(tǒng)運行正常。f〕檢查機房內的主要設備、介質和防盜報警設檢查機房的攝像、傳施等過程，感等監(jiān)控報警系統(tǒng)是測評信息系否正常運行，并查看統(tǒng)是否采取運行記錄、監(jiān)控記錄必要的措施和報警記錄。機房安裝了監(jiān)控攝像頭，監(jiān)控報警系統(tǒng)運行正常。預防設備、介質等喪失和被破壞。4防雷擊a〕檢查機房設計/驗收文檔，測評信息系統(tǒng)是否采取相應的措施預防訪談：訪談物理平安負責人，機房建筑是否設置了避雷裝置，是否通過驗收或國家有關部門的技術檢測；詢問機房維護人員機房建筑避雷裝置是否有人定期進行檢查和維護；檢查：檢查機房是否有建筑防雷設計/驗收文檔，是否符合GB50057-1994?建筑物防雷設計標準?〔GB157?建筑物防雷設計標準?〕要求，如果是在雷電頻繁區(qū)域，是否裝設有浪涌電壓吸收裝置等。機房建筑設置避雷裝置；設置防雷保安器，防設置防雷保安器，防止感應雷；b〕檢查機房 訪談并檢查： 訪談物設計/驗收 理平安負責人，同時文檔，測評檢查是否在電源和信信息系統(tǒng)是號線增加有資質的避否采取相應雷裝置以防止感應雷c)檢查機房設計c)檢查機房設計/驗收文檔，測評信息系統(tǒng)是否采取相應的措施預防機房設置交流電源地線。的措施預防擊雷擊訪談：詢問物理平安負責人，機房電腦系統(tǒng)接地是否設置了專用地線；檢查：檢查機房是否有機房接地設計/驗收文檔，查看是否有地線連接要求的描述，與實際情況是否一致。a)a)檢查機房防火方面的平安管理制度，檢查機房防火設備等過程，測評信息系統(tǒng)是否采取必要的措施防止火災的發(fā)生。檢查機房是否設置了自動測火情〔如使用溫感、煙感探測器〕、自動報警、自動滅火的自動消防系統(tǒng)，擺放位置是否合理，有效期是否合格；檢查自動消防系統(tǒng)是否正常工作，查看運行記錄、報警記錄、定期檢查和維修記錄；1〕機房設置自動測火情〔如使用溫感、煙感探測器〕、自動報警、自動滅火的自動消防系統(tǒng)，擺放位置合理，有效期合格；2〕自動消防系統(tǒng)有運行記錄、報警記錄、定期檢查和維修記錄。b)檢查機房防火方面的平安管理制5防火5防火度，檢查機房防火設備等過程，測評信息系統(tǒng)是否采取必要的措施防止火災的發(fā)生。檢查是否有機房以及相關房間的建筑材料的驗收文檔或消防檢查驗收文檔。機房及相關的工作房間和輔助房采用具有耐火等級的建筑材料。檢查機房防火方面的平安管理制 檢查是否有機房區(qū)域不同物理區(qū)域，中間有防火玻璃隔離。度，檢查機 隔離防火措施的驗收不同物理區(qū)域，中間有防火玻璃隔離。房防火設備文檔；檢查重要設備等過程，測 是否與其他設備隔離評信息系統(tǒng) 開。是否采取必要的措施防止火災的發(fā)生。aa〕檢查機房及其除潮設備等過程，測評信息系統(tǒng)是否采取必要措施來防止水災和機房潮濕。檢查機房是否避開水源，與機房無關的給排水管道是否防止穿過機房；如果有與機房相關的給排水管道穿過主機房墻壁和樓板處，應檢查是否有必要的保護措施，如設置套管等。機房避開了水源，空調給排水管道周圍有防水隔離帶。機房采用雙層玻璃，有窗簾，未發(fā)生過漏水和返潮事件機房采用雙層玻璃，有窗簾，未發(fā)生過漏水和返潮事件b〕檢查機房及其除潮設備等過程，測評信息系統(tǒng)是否采取必要措施來防止水災和機房潮濕。防水和防潮訪談：詢問機房維護人員，機房是否出現(xiàn)過漏水和返潮事件；檢查：檢查機房是否不存在屋頂和墻壁等出現(xiàn)過漏水、滲透和返潮現(xiàn)象，機房及其環(huán)境是否不存在明顯的漏水和返潮的威脅；檢查機房如果出現(xiàn)漏水、滲透和返潮現(xiàn)象是否能夠及時修復解決。c〕檢查機房及其除潮設備等過程，測評信息系統(tǒng)是否采取必要措施來防止水災和機房潮濕。訪談：訪談機房維護人員，如果出現(xiàn)機房水蒸氣結露和地下積水的轉移與滲透現(xiàn)象是否采取防范措施；檢查：檢查機房是否有濕度記錄，是否有除濕裝置并能夠正常運行，是否有防止出現(xiàn)機房地下積水的轉移與滲透的措施，是否有防水防潮處理記錄和除濕裝置運行記錄，與機房濕度記錄情況是否一致。機房有溫度、濕度記錄，運轉正常。d〕檢查機房檢查：檢查機房是否及其除潮設有濕度記錄，是否有備等過程，對水敏感得檢測儀表機房空調有溫濕度控制功能，可以防止機房水蒸氣結露。測評信息系或元件對機房進行防統(tǒng)是否采取水檢測和報警，并檢必要措施來查檢測儀表或元件是防止水災和否能夠正常運行。機房潮濕。aa〕檢查機房等過程，測評信息系統(tǒng)是否采取必要措施防止靜電的產生。檢查機房是否有平安接地，查看機房的相對濕度記錄是否符合GB2887中的規(guī)定，查看機房是否不存在明顯的靜電現(xiàn)象。機房機柜有效的接地，防止靜電現(xiàn)象發(fā)生。7防靜電7防靜電機房采用了防靜電地板。b〕檢查機房等過程，測檢查機房是否采用了評信息系統(tǒng)如防靜電地板、防靜是否采取必電工作臺、以及靜電要措施防止消除劑和靜電消除器靜電的產等措施。生。溫濕度控制機房檢查機房的溫濕度自動調節(jié)系統(tǒng)，測評信息系統(tǒng)是否采取必要措施對機房內的溫濕度進行控制。訪談：訪談物理平安負責人，詢問機房是否配備了恒溫恒濕系統(tǒng)，保證溫濕度能夠滿足電腦設備運行的要求，是否在機房管理制度中規(guī)定了溫濕度控制的要求，是否有人負責此項工作；訪談機房維護人員，詢問是否認期檢查和維護機房的溫濕度自動調節(jié)設施，詢問是否出現(xiàn)過溫濕度影響系統(tǒng)運行的事件；檢查：檢查機房是否有溫濕度控制設計/驗收文檔，是否能夠滿足系統(tǒng)運行需要，是否與當前情況相符合；檢查恒溫恒濕系統(tǒng)是否能夠正常運行，查看是否有溫濕度記錄、運行記錄和維護機房空調有溫濕度控制功能，可以自動調節(jié)，使機房溫濕度的變化處于允許范圍內。機房溫度26攝氏度，濕度為44%。9電力供應記錄，查看機房溫濕度是否滿足GB2887-89?計算站場地技術條件?的要求。a〕檢查機房供電線路、設備等過程，測評是否具備為信息系統(tǒng)提供一定電力供給的能力。訪談：訪談物理平安負責人,詢問電腦系統(tǒng)供電線路上是否設置了穩(wěn)壓器和過電壓防護設備；詢問機房維護人員是否對穩(wěn)壓器、過電壓防護設備等進行定期檢查和維護；檢查：1〕檢查機房是否有電力供應平安設計/驗收文檔，查看文檔中是否標明單獨為電腦系統(tǒng)供電，配備穩(wěn)壓器、過電壓防護設備等要求，查看與機房電力供應實際情況是否一致；檢查機房，查看電腦系統(tǒng)供電線路上的穩(wěn)壓器和過電壓防護設備是否正常運行，查看供電電壓是否正常；2〕檢查是否有穩(wěn)壓器、過電壓防護設備的檢查和維護記錄，是否符合系統(tǒng)正常運行的要求。機房供電線路上配置了穩(wěn)壓器和過電壓防護設備。b〕檢查機房供電線路、設備等過程，測評是否具備為信息系統(tǒng)提供一定電力供給的能力。訪談：訪談物理平安負責人,詢問電腦系統(tǒng)供電線路上是否設置了短期備用電源設備〔如UPS,供電時間是否滿足系統(tǒng)最低電力供應需求；詢問機房維護人員是否對短期備用電源設備進行定期檢查和維護；是否能夠控制電源穩(wěn)壓范圍滿足電腦系統(tǒng)運行正常。檢查：檢查機房是否有電力供給平安設計/驗收文檔，查看文檔中是否標明備用電源設備要求，查看與機房電力供應實際情況是否一致；檢查機房，查看電腦系統(tǒng)供電線路上的短期備用電源設備是否正常運行，查看供電電壓是否正常；檢查是否有短期備用電源設備的檢查和維護記錄，是否符合系統(tǒng)正常運行的要求。設置冗余或并行的電力電纜線路為電腦系統(tǒng)供電，輸入電源采用雙路自動切換供電方式訪談：訪談物理平安負責人,詢問電腦系統(tǒng)供電線路上是否安裝了冗余或并行的電力電纜線路〔如雙路供電方式〕；詢問機房維護人員，冗余或并行的電力電纜線路〔如雙路供電方式〕c)檢查機房在雙路供電切換時是供電線路、否能夠對電腦系統(tǒng)正設備等過常供電；檢查：檢程，測評是查機房是否有電力供否具備為信給平安設計/驗收文息系統(tǒng)提供檔，查看文檔中是否一定電力供有冗余或并行電力電給的能力。纜線路要求，查看與機房電力供應實際情況是否一致；檢查是否有冗余或并行電力電纜線路切換記錄，是否符合系統(tǒng)正常運行的要求；測試安裝的冗余或并行電力電纜線路是否能夠進行雙線路供電切換。設置冗余或并行的電力電纜線路為電腦系統(tǒng)供電，輸入電源采用雙路自動切換供電方式檢查機房訪談：訪談物理平安具備相應的備用供電10電磁防護供電線路、負責人,詢問電腦系統(tǒng)設備等過供電線路上是否建立程，測評是了備用供電系統(tǒng)〔如否具備為信備用發(fā)電機〕；詢問息系統(tǒng)提供機房維護人員是否認一定電力供期檢查備用供電系統(tǒng)給的能力?！踩鐐溆冒l(fā)電機〕，是否能夠在規(guī)定時間內正常啟動和正常供電；檢查：檢查機房是否有電力供應安全設計/驗收文檔，查看文檔中是否有備用供電系統(tǒng)要求，查看與機房電力供應實際情況是否一致；檢查是否有備用供電系統(tǒng)運行記錄，是否符合系統(tǒng)正常運行的要求；測試備用供電系統(tǒng)是否能夠在規(guī)定時間內正常啟動和正常供電。a)檢查主要設備等過程，測評信息系統(tǒng)是否具備一定的電磁防護能力。檢查機房布線是否采用接地方式。系統(tǒng)機房布線采用接地方式。b)檢查主要設備等過程，測評信息系統(tǒng)是否具備一定的電磁防護能力。檢查機房布線是否做到電源線和通信線纜隔離。電源線和通信線纜隔離鋪設。c)c)檢查主要設備等過程，測評信息系統(tǒng)是否具備一定的檢查機房是否對關鍵設備和磁介質實施電磁屏蔽。關鍵設備和磁介質實施電磁屏蔽。電磁防護能2網(wǎng)絡平安測評指導書2.1網(wǎng)絡全局平安測評序號測評指標測評項檢查方法預期結果a)檢查網(wǎng)絡拓撲情況、核查核心交換機、路由器，測評分析網(wǎng)絡架構與網(wǎng)段劃分、隔離等情況的合理性和有效性。訪談：詢問是否對主要網(wǎng)絡設備性能進行監(jiān)控〔CPU內存使用等〕。主要網(wǎng)絡設備的性能〔CPU內存〕具備冗余空間，能夠滿足業(yè)務頂峰期需求。b)檢查網(wǎng)絡拓撲情況、核查核心交換機、路由器，測評分析網(wǎng)絡架構結構平安與網(wǎng)段劃分、隔離等情況的合理性和有效性。訪談：詢問在業(yè)務高峰期內，帶寬是否滿足網(wǎng)絡各局部的需求，是否根據(jù)業(yè)務重要程度合理分配帶寬。檢查：檢查設備配置文件，查看是否對帶寬做了Qos參數(shù)配置。通過流量控制軟件或QOS已根據(jù)業(yè)務重要程度合理分配帶寬，在業(yè)務頂峰期時現(xiàn)有帶寬能夠滿足網(wǎng)絡各局部需求。11〕使用靜態(tài)路由協(xié)議，靜態(tài)路由采用最小匹配原那么進行規(guī)劃；2丨使用OSP路由協(xié)議，動態(tài)路由采用加密算法，保障網(wǎng)絡中路由平安認證。訪談：通過何種方式c)檢查網(wǎng)絡 在業(yè)務終端與業(yè)務服拓撲情況、 務器之間建立訪問路核查核心交 徑，訪問路徑是否安換機、路由 全可靠。檢查：是器，測評分 否配置路由控制策略析網(wǎng)絡架構 建立平安的訪問路與網(wǎng)段劃 徑。輸入命令：show分、隔離等 running-config如果情況的合理 使用靜態(tài)路由協(xié)議，性和有效 檢查配置文件中應當性。 存在類似如下配置項：iproutex.x.x.xx.x.x.xx.x.x.x如果使用OSPF路由協(xié)議，檢查配置文件中應當存在類似如下配置項：routerosp100ipospfauthenticationipospfmessagedigest-key1md57******檢查網(wǎng)絡拓撲情況、核查核心交換機、路由器，測評分析網(wǎng)絡架構與網(wǎng)段劃分、隔離等情況的合理性和有效性。檢查網(wǎng)絡拓撲情況、核查核心交換機、路由器，測評分析網(wǎng)絡架構與網(wǎng)段劃分、隔離等情況的合理性和有效性。檢查網(wǎng)絡拓撲情況、核查核心交換機、路由器，測評分析網(wǎng)絡架構與網(wǎng)段劃分、隔離等情況的合理性和有效檢查：查看網(wǎng)絡拓撲圖與當前運行情況是否一致。檢查：是否進行了子網(wǎng)劃分。輸入命令：showvlan檢查配置文件中是否出現(xiàn)類似如下配置項：vlan2nameinfo檢查：1〕查看網(wǎng)絡拓撲結構，重要網(wǎng)段是否不在網(wǎng)絡邊界處；2〕重要網(wǎng)段和其他網(wǎng)段之間是否隔離部署。網(wǎng)絡拓撲圖與當前運行情況一致。1〕已根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，配置文件中存在如下配置項：Vlan2nameinfo；2〕按照方便管理和控制的原那么為各子網(wǎng)、網(wǎng)段分配地址段；1〕重要網(wǎng)段未部署在網(wǎng)絡邊界處；2〕重要網(wǎng)段和其他網(wǎng)段之間采取可靠的技術手段隔離部署。性。g)檢查網(wǎng)絡拓撲情況、核查核心交換機、路由按照業(yè)務效勞的重要器，測評分檢查：是否按照業(yè)務次序制定了帶寬分配析網(wǎng)絡架構效勞的重要次序配置優(yōu)先級別，在網(wǎng)絡發(fā)與網(wǎng)段劃了帶寬控制策略。生擁堵的時候優(yōu)先保分、隔離等護重要主機。情況的合理性和有效性。檢查邊界完整性檢查設備,接入邊界完整性檢查設備進行測試等過程，測評分析信息系統(tǒng)私自聯(lián)到外部網(wǎng)絡的行邊界完整 為。性檢查 b)檢查邊界完整性檢查設備,接入邊界完整性檢查設備進行測試等過程，測評分析信息系統(tǒng)私自聯(lián)到外部網(wǎng)絡的行為。a)測評分析信息系統(tǒng)對入侵防范攻擊行為的識別和處理情況。訪談：詢問如何檢查和阻斷“非法內聯(lián)〞行為。檢查：是否有包括網(wǎng)絡接入控制、關閉網(wǎng)絡設備未使用端口、IP/MAC地址綁定等技術手段檢查和阻斷“非法內聯(lián)〞。訪談：詢問如何檢查和阻斷“非法外聯(lián)〞行為。檢查：在網(wǎng)絡管理員配合下驗證有效性。訪談：訪談是否部署了包含入侵防范功能的設備。檢查：檢查設備是否能夠對端口掃描木馬后門攻擊、拒絕效勞攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲1〕通過網(wǎng)絡接入控制對非授權設備私自聯(lián)到內部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；2〕已關閉未使用的網(wǎng)絡端口，并通過IP/MAC地址綁定等技術手段檢查和阻斷“非法內聯(lián)〞行為。通過桌面管理軟件能夠對內部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。部署了入侵防范功能設備，能夠對端口掃描、強力攻擊、木馬后門攻擊、拒絕效勞攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等攻擊行為進行檢測。攻擊等攻擊行為進行檢測。檢查設備規(guī)那么庫更新程度；驗證監(jiān)控策略有效性。bb〕測評分析信息系統(tǒng)對攻擊行為的識別和處理情況。檢查：檢查設備的日志記錄，查看是否記錄了攻擊源IP、攻擊類型、攻擊目的和攻擊時間等信息，查看設備采用何種方式進行報警。入侵防范系統(tǒng)能夠記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，并在發(fā)生嚴重入侵事件時提供報警。在網(wǎng)絡邊界處部署了惡意代碼防范系統(tǒng)，對惡意代碼能夠進行檢測和去除在網(wǎng)絡邊界處部署了惡意代碼防范系統(tǒng)，對惡意代碼能夠進行檢測和去除。惡意代碼防范系統(tǒng)定期升級惡意代碼庫。a〕檢查網(wǎng)絡防惡意代碼產品等過程，測評分析信息系統(tǒng)網(wǎng)絡邊界和核心網(wǎng)段對病毒等惡意代碼的防護惡意代碼 情況。防范 b〕檢查網(wǎng)絡防惡意代碼產品等過程，測評分析信息系統(tǒng)網(wǎng)絡邊界和核心網(wǎng)段對病毒等惡意代碼的防護情況。訪談：訪談是否部署了防惡意代碼產品。檢查：查看是否啟用了惡意代碼檢測及阻斷功能，并查看日志記錄中是否有相關阻斷信息。訪談：詢問是否進行特征庫升級及具體的升級方式。檢查：登錄并查看相關設備的特征庫是否為最新版本。2.2思科防火墻平安測評序號測評指標測評項 檢查方法預期結果防火墻啟用了訪問控制功能，根據(jù)需要配置了訪問控制列表。防火墻啟用了訪問控制功能，根據(jù)需要配置了訪問控制列表。a〕檢查防火墻等網(wǎng)絡訪訪問控制問控制設備，測試系統(tǒng)對外暴露平安漏洞情檢查：檢查網(wǎng)絡拓撲結構和相關交換機配置，查看是否在交換機上啟用了訪問控制功能。輸入命令showaccess-lists況等，測評檢查配置文件中是否分析信息系存在以下類似配置統(tǒng)對網(wǎng)絡區(qū)項：access-list域邊界相關100denyipanyany的網(wǎng)絡隔離access-group100in與訪問控制interfaceoutside能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。檢查：輸入命令shourunning，檢查訪問控制列表的控制粒度是否為端口級，如access-list110permittcpanyhostx.x.x.xeqftp根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供了明確的訪問控制策略，控制粒度為端口級。檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安檢查：輸入命令shourunning，檢查訪問控制列表的控制粒度是否為端口級，如access-list110permittcpanyhostx.x.x.xeqftp根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供了明確的訪問控制策略，控制粒度為端口級。c)檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安c)檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系檢查：檢查防火墻或IPS平安策略是否對重要數(shù)據(jù)流啟用應用層協(xié)議檢測、過濾功防火墻或IPS開啟了重要數(shù)據(jù)流應用層協(xié)議檢測、過濾功能，可以對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議進行控制。統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。d〕檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情訪談：訪談系統(tǒng)管理況等，測評員，是否在會話處于分析信息系非活潑一定時間或會 1〕會話處于非活潑定時間或會話結束后，路由器會終止網(wǎng)絡連接；2〕路由器配置中存在會話超時相關配置。統(tǒng)對網(wǎng)絡區(qū)話結束后終止網(wǎng)絡連域邊界相關接；檢查：輸入命的網(wǎng)絡隔離令showrunning，查與訪問控制看配置中是否存在命能力；檢查令設定管理會話的超撥號接入路時時間：ssh由器，測評timeout10分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和定時間或會話結束后，路由器會終止網(wǎng)絡連接；2〕路由器配置中存在會話超時相關配置。ee〕檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制檢查：1〕在網(wǎng)絡出口和核心網(wǎng)絡處的防火墻是否配置了網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)；2〕是否有專用的流量控制設備限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)。1〕網(wǎng)絡出口和核心網(wǎng)絡處的防火墻配置了合理QOS策略，優(yōu)化了網(wǎng)絡最大流量數(shù)；2〕通過專用的流量控制設備限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)。能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。1〕通過防火墻配置命令進行IP/MAC地址綁定防止地址欺騙；2〕通過專用軟件或設備進行IP/MAC地址綁定防止地址欺騙。f)1〕通過防火墻配置命令進行IP/MAC地址綁定防止地址欺騙；2〕通過專用軟件或設備進行IP/MAC地址綁定防止地址欺騙。域邊界相關 地址欺騙，輸入命令的網(wǎng)絡隔離 showrunning，檢查與訪問控制配置文件中是否存在能力；檢查arp綁定配置：撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。g)檢查防火墻等網(wǎng)絡訪問控制設1〕對單個遠程撥號用戶或1〕對單個遠程撥號用戶或VPN用戶訪問受控資源進行了有效控制；2〕通過撥號或VPN等方式接入網(wǎng)絡時，采用了強認證方式〔證書、KEY等〕。統(tǒng)對外暴露檢查：1〕是否針對平安漏洞情單個遠程撥號用戶或況等，測評 VPN用戶訪問受控資分析信息系源進行了有效控制；統(tǒng)對網(wǎng)絡區(qū) 2〕以撥號或VPN等方域邊界相關式接入網(wǎng)絡的，是否的網(wǎng)絡隔離采用強認證方式。與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。h)檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系檢查：是否限制具有遠程訪問權限的用戶數(shù)量。限制了具有遠程訪問權限的用戶數(shù)量。統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。檢查：是否限制具有遠程訪問權限的用戶數(shù)量。限制了具有遠程訪問權限的用戶數(shù)量。2平安2平安審計a)檢查核心交換機、路由器等網(wǎng)絡互聯(lián)設備的平安審計情況等，測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查：1〕網(wǎng)絡系統(tǒng)中的防火墻是否開啟日志記錄功能；輸入showlogging命令，檢查Sysloglogging進程是否為enable狀態(tài)；2〕是否對防火墻的運行狀況、網(wǎng)絡流量進行監(jiān)控和記錄。1〕防火墻開啟了日志記錄功能，命令showlogging的輸出配置中顯示：Sysloglogging:enabled；2〕對防火墻的運行狀況、網(wǎng)絡流量進行監(jiān)控和記錄〔巡檢記錄或第三方監(jiān)控軟件〕。b)b)檢查核心交換機、路由器等網(wǎng)絡互聯(lián)設備的平安審計情況等，測評分析信息系檢查：查看日志內容，是否包括事件的日期和時間、設備管理員操作行為、事件類型等信息。日志內容包括事件的日期和時間、設備管理員操作行為、事件類型等信息。統(tǒng)審計配置和審計記錄保護情況。檢查：查看如何實現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。定期對審計記錄數(shù)據(jù)進行分析并生成紙質或電子的審計報表。檢查核心交換機、路由器等網(wǎng)絡互聯(lián)設備的平安審計情況等，測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查：查看如何實現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。定期對審計記錄數(shù)據(jù)進行分析并生成紙質或電子的審計報表。網(wǎng)絡設備防護d)檢查核心交換機、路由器等網(wǎng)絡互聯(lián)設備的平安審計情況等，測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查：檢查對審計記錄監(jiān)控和保護的措施。例如：通過專用日志效勞器或存儲設備對審計記錄進行備份，并防止對審計記錄未預期的修改、刪除或覆蓋。檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項：1〕輸入命令showrunning檢查配置文件中存在配置，把設備日志發(fā)送到平安的日志效勞器或第三方審計設備；2〕由專人對審計記錄進行管理，防止審計記錄受到未預期的刪除、修改或覆蓋。a)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡平安設備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。訪談、檢查：1〕訪談設備管理員，詢問登錄設備的身份標識和鑒別機制采用何種措施實現(xiàn)；2〕登錄防火墻，查看是否提示輸入用戶口令，然后以正確口令登錄系統(tǒng)，再以錯誤口令或空口令重新登錄，觀察是否成功。1〕防火墻使用口令鑒別機制對登錄用戶進行身份標識和鑒別；2〕登錄時提示輸入用戶名和口令；以錯誤口令或空口令登錄時提示登錄失敗，驗證了登錄控制功能的有效性；3〕防火墻中不存在密碼為空的用戶。b)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡b)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡平安設備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。配置了合理的訪問控制列表限制對防火墻進行登錄的管理員地址。檢查：輸入命令showrunning，查看配置文件里是否存在類似如下配置項限制管理員登錄地址：Sshx.x.x.xx.x.x.xinsidec)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡平安設備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。檢查：1〕檢查防火墻標識是否唯一；2〕檢查同一防火墻的用戶標識是否唯一；3〕檢查是否不存在多個人員共用一個賬號的現(xiàn)象。1〕防火墻標識唯一；2〕同一防火墻的用戶標識唯一；3〕不存在多個人員共用一個賬號的現(xiàn)象。d)檢查交換機、路由器訪談：訪談采用了何等網(wǎng)絡互聯(lián)種鑒別技術實現(xiàn)雙因設備以及防子鑒別，并在網(wǎng)絡管火墻等網(wǎng)絡理員的配合下驗證雙平安設備，因子鑒別的有效性。查看它們的用戶的認證方式選擇兩種或兩種以上組合的鑒別技術，只用一種技術無法認證成功。平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。訪談、檢查：1〕訪談防火墻管理員,詢問用戶口令是否滿足復雜性要求；2〕檢查配置文件中口令是否加密存儲。1〕防火墻用戶口令長度不小于訪談、檢查：1〕訪談防火墻管理員,詢問用戶口令是否滿足復雜性要求；2〕檢查配置文件中口令是否加密存儲。1〕防火墻用戶口令長度不小于8位，由字母、數(shù)字和特殊字符構成，并定期更換；2〕在配置文件中，口令為加密存儲。f)f)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡平安設備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時訪談：訪談設備管理員，防火墻是否設置了登錄失敗處理功能。檢查：在允許的情況下，根據(jù)使用的登錄失敗處理方式，采用如下測試方法進行測試：a)以錯誤的口令登錄防火墻，觀察反響；b)當網(wǎng)絡登錄連接超時時，觀察連接終端反應。1〕以錯誤的口令登錄防火墻，嘗試次數(shù)超過閥值，防火墻自動斷開連接或鎖定一段時間；2〕正常登錄防火墻后不做任何操作，超過設定的超時時間后，登錄連接自動退出。等，考察網(wǎng)絡設備自身的平安防范情況。g)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡平安設備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。h)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡平安設備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。訪談：詢問設備管理員，是否采用了平安的遠程管理方法。檢查：輸入命令showrunning查看配置文件中是否存在類似如下配置項:sshx.x.x.xx.x.x.xinside1〕使用SSH協(xié)議對防火墻進行遠程管理；2〕沒有采用明文的傳輸協(xié)議對防火墻進行遠程管理；3〕采用第三方管理工具保證遠程管理的鑒別信息保密。訪談、檢查：1〕訪談設備管理員，是否實現(xiàn)了特權用戶的權限別離；2〕輸入命令showrunning，檢查配置文件中是否存在類似如下配置項：usernamecisco1privilege0password0ciscousernamecisco1privilege15password0cisco3〕檢查是否部署了日志效勞器對管理員的操作進行審計記錄；4〕審計記錄是否有專人管理，非授權用戶是否無法進行操作。1〕實現(xiàn)了防火墻特權用戶的權限別離，不同類型的賬號擁有不同權限；2〕部署了專用日志效勞器對管理員的操作進行審計并記錄；4〕審計記錄有專人管理，非授權用戶無法進行操作。2.3通用平安設備平安測評序號測評指標測評項檢查方法預期結果1訪問控制a〕 檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露檢查：檢查網(wǎng)絡拓撲平安漏洞情結構和相關交換機配況等，測評置，查看是否在交換分析信息系機上啟用了訪問控制統(tǒng)對網(wǎng)絡區(qū) 功能。輸入命令域邊界相關 showaccess-lists的網(wǎng)絡隔離檢查配置文件中是否與訪問控制存在以下類似配置能力；檢查項：access-list撥號接入路 100denyipanyany由器，測評 access-group100in分析信息系interfaceoutside統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。b〕 檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評檢查：輸入命令分析信息系shourunning，檢查統(tǒng)對網(wǎng)絡區(qū)訪問控制列表的控制域邊界相關粒度是否為端口級，的網(wǎng)絡隔離如access-list110與訪問控制 permittcpanyhost能力；檢查 x.x.x.xeqftp撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性防火墻啟用了訪問控制功能，根據(jù)需要配置了訪問控制列表。根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供了明確的訪問控制策略，控制粒度為端口級。和平安性。c〕檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。檢查：檢查防火墻或IPS平安策略是否對重要數(shù)據(jù)流啟用應用層協(xié)議檢測、過濾功防火墻或IPS開啟了重要數(shù)據(jù)流應用層協(xié)議檢測、過濾功能，可以對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議進行控制。d〕檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露1〕會話處于非活潑一定時間或會話結束后，路由器會終止網(wǎng)絡連接；2〕路由器配置中存在會話超時相關配置。平安漏洞情訪談：訪談系統(tǒng)管理況等，測評員，是否在會話處于分析信息系非活潑一定時間或會統(tǒng)對網(wǎng)絡區(qū)話結束后終止網(wǎng)絡連域邊界相關接；檢查：輸入命的網(wǎng)絡隔離令showrunning，查與訪問控制看配置中是否存在命能力；檢查令設定管理會話的超撥號接入路時時間：1〕會話處于非活潑一定時間或會話結束后，路由器會終止網(wǎng)絡連接；2〕路由器配置中存在會話超時相關配置。統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。1〕網(wǎng)絡出口和核心網(wǎng)絡處的防火墻配置了e〕檢查防火檢查：11〕網(wǎng)絡出口和核心網(wǎng)絡處的防火墻配置了墻等網(wǎng)絡訪口和核心網(wǎng)絡處的防

問控制設火墻是否配置了網(wǎng)絡備，測試系最大流量數(shù)及網(wǎng)絡連統(tǒng)對外暴露接數(shù)；2〕是否有專平安問控制設火墻是否配置了網(wǎng)絡備，測試系最大流量數(shù)及網(wǎng)絡連統(tǒng)對外暴露接數(shù)；2〕是否有專平安漏洞情用的流量控制設備限況等，測評制網(wǎng)絡最大流量數(shù)及分析信息系網(wǎng)絡連接數(shù)。統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。合理QOS策略，優(yōu)化了網(wǎng)絡最大流量數(shù)；2〕通過專用的流量控制設備限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)。域邊界相關 地址欺騙，輸入命令的網(wǎng)絡隔離 showrunning，檢查與訪問控制配置文件中是否存在能力；檢查arp綁定配置：撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。1〕通過防火墻配置命令進行IP/MAC地址綁定防止地址欺騙；2〕通過專用軟件或設備進行1〕通過防火墻配置命令進行IP/MAC地址綁定防止地址欺騙；2〕通過專用軟件或設備進行IP/MAC地址綁定防止地址欺騙。1〕對單個遠程撥號用戶或VPN用戶訪問受控資源進行了有效控制；2〕通過撥號或平安漏洞情式接入網(wǎng)絡的，是否況等，測評采用強認證方式。分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。時，采用了強認證方式〔證書、KEY等〕。h)檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。檢查：是否限制具有遠程訪問權限的用戶數(shù)量。限制了具有遠程訪問權限的用戶數(shù)量。2平安2平安審計a)檢查核心交換機、路由器等網(wǎng)絡互聯(lián)設備的平安審計情況等，測評分析信息系統(tǒng)審計配置檢查：1〕網(wǎng)絡系統(tǒng)中的防火墻是否開啟日志記錄功能；輸入showlogging命令，檢查Sysloglogging進程是否為enable狀態(tài)；2〕是否對防火墻的運行狀況、網(wǎng)絡1〕防火墻開啟了日志記錄功能，命令showlogging的輸出配置中顯示：Sysloglogging:enabled；2〕對防火墻的運行狀況、網(wǎng)絡流量進行監(jiān)控和記錄〔巡檢記錄保護情況。錄。b)b)檢查核心交換機、路由器等網(wǎng)絡互聯(lián)設備的平安審計情況等，測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查：查看日志內容，是否包括事件的日期和時間、設備管理員操作行為、事件類型等信息。日志內容包括事件的日期和時間、設備管理員操作行為、事件類型等信息。檢查：查看如何實現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。定期對審計記錄數(shù)據(jù)進行分析并生成紙質或電子的審計報表。c)檢查核心交換機、路由器等網(wǎng)絡互聯(lián)設備的平安審計情況等，測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查：查看如何實現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。定期對審計記錄數(shù)據(jù)進行分析并生成紙質或電子的審計報表。d)檢查核心交換機、路由器等網(wǎng)絡互聯(lián)設備的平安審計情況等，測評分析信息系統(tǒng)審計配置和審計記錄保護情況。a)檢查交換機、路由器等網(wǎng)絡互聯(lián)網(wǎng)絡設備 設備以及防防護 火墻等網(wǎng)絡平安設備，查看它們的平安配置情檢查：檢查對審計記錄監(jiān)控和保護的措施。例如：通過專用日志效勞器或存儲設備對審計記錄進行備份，并防止對審計記錄未預期的修改、刪除或覆蓋。檢查：輸入命令showrunning檢查配置文件中是否存在類似如下配置項：訪談、檢查：1〕訪談設備管理員，詢問登錄設備的身份標識和鑒別機制采用何種措施實現(xiàn)；2〕登錄防火墻，查看是否提示輸入用戶口令，然后以正確口令登錄系1〕輸入命令showrunning檢查配置文件中存在配置，把設備日志發(fā)送到平安的日志效勞器或第三方審計設備；2〕由專人對審計記錄進行管理，防止審計記錄受到未預期的刪除、修改或覆蓋。1〕防火墻使用口令鑒別機制對登錄用戶進行身份標識和鑒別；2〕登錄時提示輸入用戶名和口令；以錯誤口令或空口令登錄時提示登錄失敗，驗證了登錄控制功能的有況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。統(tǒng)，再以錯誤口令或空口令重新登錄，觀察是否成功。效性；3〕防火墻中不存在密碼為空的用戶。b)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡平安設備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。檢查：輸入命令showrunning，查看配置文件里是否存在類似如下配置項限制管理員登錄地址：.x.xinside配置了合理的訪問控制列表限制對防火墻進行登錄的管理員地址。c)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡平安設備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)檢查：1〕檢查防火墻標識是否唯一；2〕檢查同一防火墻的用戶標識是否唯一；3〕檢查是否不存在多個人員共用一個賬號的現(xiàn)象。1〕防火墻標識唯一；2〕同一防火墻的用戶標識唯一；3〕不存在多個人員共用一個賬號的現(xiàn)象。絡設備自身的平安防范情況。d)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡平安設備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。訪談：訪談采用了何種鑒別技術實現(xiàn)雙因子鑒別，并在網(wǎng)絡管理員的配合下驗證雙因子鑒別的有效性。用戶的認證方式選擇兩種或兩種以上組合的鑒別技術，只用一種技術無法認證成功。e)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡平安設備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。訪談、檢查：1〕訪談防火墻管理員,詢問用戶口令是否滿足復雜性要求；2〕檢查配置文件中口令是否加密存儲。1〕防火墻用戶口令長度不小于8位，由字母、數(shù)字和特殊字符構成，并定期更換；2〕在配置文件中，口令為加密存儲。f)檢查交換訪談：訪談設備管理機、路由器員，防火墻是否設置等網(wǎng)絡互聯(lián)了登錄失敗處理功1〕以錯誤的口令登錄防火墻，嘗試次數(shù)超過閥值，防火墻自動設備以及防能。檢查：在允許斷開連接或鎖定一段火墻等網(wǎng)絡火墻等網(wǎng)絡平安設備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。的情況下，根據(jù)使用的登錄失敗處理方式，采用如下測試方法進行測試：a)以錯誤的口令登錄防火墻，觀察反響；b)當網(wǎng)絡登錄連接超時時，觀察連接終端反應。時間；2〕正常登錄防火墻后不做任何操作，超過設定的超時時間后，登錄連接自動退出。g)g)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡平安設備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。訪談：詢問設備管理員，是否采用了平安的遠程管理方法。檢查：輸入命令showrunning查看配置文件中是否存在類似如下配置項:sshx.x.x.xx.x.x.xinside1〕使用SSH協(xié)議對防火墻進行遠程管理；2〕沒有采用明文的傳輸協(xié)議對防火墻進行遠程管理；3〕采用第三方管理工具保證遠程管理的鑒別信息保密。11〕實現(xiàn)了防火墻特權用戶的權限別離，不同類型的賬號擁有不同權限；2〕部署了專用日志效勞器對管理員的操作進行審計并記錄；4〕審計記錄有專人管理，非授權用戶無法進行操作。h)檢查交換訪談、檢查：1〕訪機、路由器談設備管理員，是否等網(wǎng)絡互聯(lián)實現(xiàn)了特權用戶的權設備以及防限別離；2〕輸入命火墻等網(wǎng)絡令showrunning，平安設備，檢查配置文件中是否查看它們的存在類似如下配置平安配置情項：username況，包括身cisco1privilege0份鑒別、登password0cisco錄失敗處usernamecisco1

理、限制非privilege15法登錄和登password0cisco錄連接超時3〕檢查是否部署了日等，考察網(wǎng)志效勞器對管理員的絡設備自身操作進行審計記錄；的平安防范4〕審計記錄是否有專情況。人管理，非授權用戶是否無法進行操作。2.4思科路由器平安測評預期結果序號測評指標測評項檢查方法預期結果a〕檢查防火a〕檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評訪問控制分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。檢查：檢查網(wǎng)絡拓撲結構和相關路由器配置，查看是否在路由器上啟用了訪問控制功能。輸入命令showaccess-lists檢查配置文件中是否存在以下類似配置項：路由器啟用了訪問控制功能，根據(jù)需要配置了訪問控制列表。根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供了明確的訪問控制策略，控制粒度為端口級。根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供了明確的訪問控制策略，控制粒度為端口級。b〕檢查防火墻等網(wǎng)絡訪 檢查：輸入命令問控制設 shourunning，檢查備，測試系 訪問控制列表的控制統(tǒng)對外暴露 粒度是否為端口級，平安漏洞情 例如：access-list況等，測評 101permitudpany分析信息系 統(tǒng)對網(wǎng)絡區(qū) 55eq21域邊界相關

的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。c)檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。檢查：檢查防火墻或IPS平安策略是否對重要數(shù)據(jù)流啟用應用層協(xié)議檢測、過濾功防火墻或IPS開啟了重要數(shù)據(jù)流應用層協(xié)議檢測、過濾功能，可以對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議進行控制。d)d)檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查訪談：訪談系統(tǒng)管理員，是否在會話處于非活潑一定時間或會話結束后終止網(wǎng)絡連接；檢查：輸入命令showrunning，查看配置中是否存在命令設定管理會話的超時時間：linevty04exec-timeoutxx1〕會話處于非活潑一定時間或會話結束后，路由器會終止網(wǎng)絡連接；2〕路由器配置中存在會話超時相關配置。撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。檢查：1檢查：1〕在網(wǎng)絡出口和核心網(wǎng)絡處的網(wǎng)絡設備是否配置了網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)；2〕是否有專用的流量控制設備限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)。1〕網(wǎng)絡出口和核心網(wǎng)絡處的網(wǎng)絡設備配置了合理QOSfi略，優(yōu)化了網(wǎng)絡最大流量數(shù)；2〕通過專用的流量控制設備限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)。e)檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。f)f)檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離檢查：是否通過IP/MAC綁定手段防止地址欺騙，輸入命令showrunning，檢查配置文件中是否存在arp綁定配置：.x1〕通過網(wǎng)絡設備配置命令進行IP/MAC地址綁定防止地址欺騙；2〕通過專用軟件或設備進行IP/MAC地址綁定防止地址欺騙。與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。g〕檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。檢查：1〕是否針對單個遠程撥號用戶或VPN用戶訪問受控資源進行了有效控制；2〕以撥號或VPN等方式接入網(wǎng)絡的，是否采用強認證方式。1〕對單個遠程撥號用戶或VPN用戶訪問受控資源進行了有效控制；2〕通過撥號或VPN等方式接入網(wǎng)絡時，采用了強認證方式〔證書、KEY等〕。h〕檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性檢查：是否限制具有遠程訪問權限的用戶數(shù)量。限制了具有遠程訪問權限的用戶數(shù)量。和平安性。a)a)檢查核心交換機、路由器等網(wǎng)絡互聯(lián)設備的平安審計情況等，測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查：1〕網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備是否開啟日志記錄功能；輸入showlogging命令，檢查Sysloglogging進程是否為enable狀態(tài)；2〕是否對網(wǎng)絡設備的運行狀況、網(wǎng)絡流量進行監(jiān)控和記錄。1〕網(wǎng)絡設備開啟了日志記錄功能，命令showlogging的輸出配置中顯示：Sysloglogging:enabled2 〕對網(wǎng)絡設備的運行狀況、網(wǎng)絡流量進行監(jiān)控和記錄〔巡檢記錄或第三方監(jiān)控軟件〕。b)b)檢查核心交換機、路由器等網(wǎng)絡互聯(lián)設備的平安審計情況等，測評分析信息系統(tǒng)審計配置檢查：查看日志內容，是否包括事件的日期和時間、設備管理員操作行為、事件類型等信息。日志內容包括事件的日期和時間、設備管理員操作行為、事件類型等信息。2平安審計和審計記錄保護情況。c)檢查核心交換機、路由器等網(wǎng)絡互聯(lián)設備的平安審計情況等，測評分析信息系檢查：查看如何實現(xiàn)審計記錄數(shù)據(jù)的分析和報表生成。定期對審計記錄數(shù)據(jù)進行分析并生成紙質或電子的審計報表。統(tǒng)審計配置和審計記錄保護情況。d)d)檢查核心交換機、路由器等網(wǎng)絡互聯(lián)設備的平安審計情況等，測評分析信息系統(tǒng)審計配置和審計記錄保護情況。檢查：檢查對審計記錄監(jiān)控和保護的措施。例如：通過專用日志效勞器或存儲設備對審計記錄進行備份，并防止對審計記錄未預期的修改、刪除或覆蓋。檢查：輸入命令showrunning檢查配置文件中是否存在類似如1〕輸入命令showrunning檢查配置文件中是否存在類似如下配置項：，把設備日志發(fā)送到平安的日志效勞器或第三方審計設備；2〕由專人對審計記錄進行管理，防止審計記錄受到未預期的刪除、修改或配置項：a)a)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡平安設備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。訪談、檢查：1〕訪談設備管理員，詢問登錄設備的身份標識和鑒別機制采用何種措施實現(xiàn)；2〕登錄網(wǎng)絡設備，查看是否提示輸入用戶口令，然后以正確口令登錄系統(tǒng)，再以錯誤口令或空口令重新登錄，觀察是否成功。1〕網(wǎng)絡設備使用口令鑒別機制對登錄用戶進行身份標識和鑒別；2〕登錄時提示輸入用戶名和口令；以錯誤口令或空口令登錄時提示登錄失敗，驗證了登錄控制功能的有效性；3〕網(wǎng)絡設備中不存在密碼為空的用戶。網(wǎng)絡設備防護b)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡平安設備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。檢查：輸入命令showrunning，查看配置文件里是否存在類似如下配置項限制管理員登錄地址：access-list1permitx.x.x.xlinevty04accessclass1in配置了合理的訪問控制列表限制對網(wǎng)絡設備進行登錄的管理員地址。c)c)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡平安設備，檢查：1〕檢查網(wǎng)絡設備標識是否唯一；2〕檢查同一網(wǎng)絡設備的用戶標識是否唯一；3〕檢查是否不存在多個人員共用一1〕網(wǎng)絡設備標識唯一；2〕同一網(wǎng)絡設備的用戶標識唯一；3〕不存在多個人員共用一個賬號的現(xiàn)象。查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。個賬號的現(xiàn)象d)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡平安設備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。訪談：訪談采用了何種鑒別技術實現(xiàn)雙因子鑒別，并在網(wǎng)絡管理員的配合下驗證雙因子鑒別的有效性。用戶的認證方式選擇兩種或兩種以上組合的鑒別技術，只用一種技術無法認證成功。e)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡e)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡平安設備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登訪談、檢查：1〕訪談網(wǎng)絡設備管理員,詢問用戶口令是否滿足復雜性要求；2〕檢查配置文件中口令是否加密存儲。1〕網(wǎng)絡設備用戶口令長度不小于8位，由字母、數(shù)字和特殊字符構成，并定期更換；2〕在配置文件中，口令為加密存儲。錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。f)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡f)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡平安設備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。g)檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡平安設備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。訪談：訪談設備管理員，網(wǎng)絡設備是否設置了登錄失敗處理功能。檢查：在允許的情況下，根據(jù)使用的登錄失敗處理方式，采用如下測試方法進行測試：a)以錯誤的口令登錄網(wǎng)絡設備，觀察反響；b)當網(wǎng)絡登錄連接超時時，觀察連接終端反應。訪談：詢問設備管理員，是否采用了平安的遠程管理方法。檢查：輸入命令showrunning查看配置文件中是否存在類似如下配置項:linevty04transportinputssh1〕以錯誤的口令登錄網(wǎng)絡設備，嘗試次數(shù)超過閥值，網(wǎng)絡設備自動斷開連接或鎖定一段時間；2〕正常登錄網(wǎng)絡設備后不做任何操作，超過設定的超時時間后，登錄連接自動退出。1〕使用SSH協(xié)議對網(wǎng)絡設備進行遠程管理；2〕沒有采用明文的傳輸協(xié)議對網(wǎng)絡設備進行遠程管理；3〕采用第三方管理工具保證遠程管理的鑒別信息保密。h)檢查交換機、路由器訪談、檢查：1〕訪談設備管理員，是否1〕實現(xiàn)了網(wǎng)絡設備特權用戶的權限別離，等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡平安設備，查看它們的平安配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的平安防范情況。實現(xiàn)了特權用戶的權限別離；2〕輸入命令showrunning，檢查配置文件中是否存在類似如下配置項：usernamecisco1privilege0password0ciscousernamecisco1privilege15password0cisco3〕檢查是否部署了日志效勞器對管理員的操作進行審計記錄；4〕審計記錄是否有專人管理，非授權用戶是否無法進行操作。不同類型的賬號擁有不同權限；2〕部署了專用日志效勞器對管理員的操作進行審計并記錄；3〕審計記錄有專人管理，非授權用戶無法進行操作。2.5思科交換機平安測評預期結果序號測評指標測評項檢查方法預期結果交換機啟用了訪問控制功能，根據(jù)需要配置了訪問控制列表。交換機啟用了訪問控制功能，根據(jù)需要配置了訪問控制列表。a〕檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關訪問控制的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。檢查：檢查網(wǎng)絡拓撲結構和相關交換機配置，查看是否在交換機上啟用了訪問控制功能。輸入命令showaccess-lists檢查配置文件中是否存在以下類似配置項shourunning，檢查訪問控制列表的控制粒度是否為端口級，如shourunning，檢查訪問控制列表的控制粒度是否為端口級，如access-list101permitudpany55eq21數(shù)據(jù)流提供了明確的訪問控制策略，控制粒度為端口級。墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。c)檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安c)檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路檢查：檢查防火墻或IPS平安策略是否對重要數(shù)據(jù)流啟用應用層協(xié)議檢測、過濾功1〕會話處于非活潑一定時間或會話結束后，交換時機終止網(wǎng)防火墻或IPS開啟了重要數(shù)據(jù)流應用層協(xié)議檢測、過濾功能，可以對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議進行控制。由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。d)檢查防火訪談：訪談系統(tǒng)管理墻等網(wǎng)絡訪員，是否在會話處于問控制設非活潑一定時間或會備，測試系話結束后終止網(wǎng)絡連絡連接；2〕交換機統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。接；檢查：輸入命令showrunning，查看配置中是否存在命令設定管理會話的超時時間：linevty04exec-timeoutxx配置中存在會話超時相關配置。e)檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。檢查：1〕在網(wǎng)絡出口和核心網(wǎng)絡處的交換機是否配置了網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)；2〕是否有專用的流量控制設備限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)。1〕網(wǎng)絡出口和核心網(wǎng)絡處的交換機配置了合理QOS策略，優(yōu)化了網(wǎng)絡最大流量數(shù)；2〕通過專用的流量控制設備限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)。f)f)檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評檢查：是否通過IP/MAC綁定手段防止地址欺騙，輸入命令showrunning，檢查配置文件中是否存在arp綁定配置：1〕通過配置命令進行IP/MAC地址綁定防止地址欺騙；2〕通過專用軟件或設備進行IP/MAC地址綁定防止地址欺騙。分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。g〕檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。檢查：1〕是否針對單個遠程撥號用戶或VPN用戶訪問受控資源進行了有效控制；2〕以撥號或VPN等方式接入網(wǎng)絡的，是否采用強認證方式。1〕對單個遠程撥號用戶或VPN用戶訪問受控資源進行了有效控制；2〕通過撥號或VPN等方式接入網(wǎng)絡時，采用了強認證方式〔證書、KEY等〕。h〕檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露平安漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關檢查：是否限制具有遠程訪問權限的用戶數(shù)量。限制了具有遠程訪問權限的用戶數(shù)量。的網(wǎng)絡隔離與訪問控制能力；檢查撥號接入路由器，測評分析信息系統(tǒng)遠程撥號訪問控制規(guī)那么的合理性和平安性。a)a)檢查核心交換機、路由