網(wǎng)絡(luò)安全專項檢查

1、附件：網(wǎng)絡(luò)安全專項檢查內(nèi)容、核心網(wǎng)絡(luò)安全性）網(wǎng)絡(luò)結(jié)構(gòu)安全性類別檢查要求檢查結(jié)果a）應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；b）應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；c）應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進 行路由控制建立安全的訪問路徑；結(jié)構(gòu)安全d）應(yīng)繪制與當前運行情況相符的網(wǎng)絡(luò) 拓撲結(jié)構(gòu)圖；e）應(yīng)根據(jù)各部門的工作職能、重要性 和 所涉及信息的重要程度等因素，劃分 不同的子網(wǎng)或網(wǎng)段，并按照方便管理和 控 制的原則為各子網(wǎng)、網(wǎng)段分配地址f）應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處 且直接連接外部信息系統(tǒng)，重要網(wǎng)段與 其他網(wǎng)段之間釆取可靠的技術(shù)隔離手 段；7g）應(yīng)按照對業(yè)務(wù)服務(wù)的重

2、要次序來指定 帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生 擁 堵的時候優(yōu)先保護重要主機。8訪問控制a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備， 啟用訪問控制功能；910數(shù)據(jù)防泄露a）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部 網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷；b）應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為及內(nèi)容進行檢查，準確定出位置，并對其進行有效阻斷。12入侵防范a）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為： 端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；b）當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間， 在發(fā)生嚴重入侵事件時應(yīng)提供報警。131

3、4惡意代碼防范a）應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除；b）應(yīng)維護惡意代碼庫的升級和檢測系 統(tǒng)的更新。二）網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全設(shè)備安全性序號類別測評項結(jié)果記錄a）應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提1供明確的允許/拒絕訪問的能力，控制粒度為端口級；b）應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，2實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級c）應(yīng)在會話處于非活躍一定時間或會3訪問控制話結(jié)束后終止網(wǎng)絡(luò)連接；d）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接4數(shù)；e）重要網(wǎng)段應(yīng)釆取技術(shù)手段防止地址5欺騙；f）應(yīng)按川八和系統(tǒng)之間的允許訪問規(guī)6則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用

4、戶；7安全審計a）應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀 況、網(wǎng)絡(luò)流量、用戶行為等進行日志記 錄；17g）當對網(wǎng)絡(luò)設(shè)備進行遠程管理時，釆取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；應(yīng)18h）應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。19升級情況安全設(shè)備入侵檢測特征庫、病毒庫、用特征庫等是否定期升級應(yīng)、服務(wù)器安全性類別檢查要求檢查結(jié)果5a）應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的 川八進行身份標識和鑒別；b）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身 份標識應(yīng)具有不易被冒用的特點，口令應(yīng)有復雜度要求并定期更換；身份鑒別c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；d）當對服務(wù)器進行遠程管理時，應(yīng)采 取必

5、要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫的不同用戶6分配不同的用戶名，確保用戶名具有唯一性。f）應(yīng)釆用兩種或兩種以上組合的鑒別技 術(shù)對管理用戶進行身份鑒別。a）審計范圍應(yīng)覆蓋到服務(wù)器和重要客7戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用八b）審計內(nèi)容應(yīng)包括重要用戶行為、系 統(tǒng)8資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；c）審計記錄應(yīng)包括事件的日期、時間、9安全審計類型、主體標識、客體標識和結(jié)果等；10d）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并 生成審計報表；11e）應(yīng)保護審計進程，避免受到未預(yù)期 的中斷；f）應(yīng)保護審計記錄，避免受到未預(yù)期的12刪除、修改或覆蓋等。

6、a）應(yīng)能夠檢測到對重要服務(wù)器進行入侵的行為，能夠記錄入侵的源IP、攻擊13入侵防范的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警；14b）應(yīng)能夠?qū)χ匾绦蛲暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復的措施；c）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅 安裝需要的組件和應(yīng)用程序，并通過設(shè)15置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新。16a）應(yīng)安裝防惡意代碼軟件，并及時更 新防惡意代碼軟件版本和惡意代碼庫；17惡意代碼防b）主機防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)范防惡意代碼產(chǎn)品不同的惡意代碼庫；18c）應(yīng)支持防惡意代碼的統(tǒng)一管理。19a）應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地 址范圍等條件限制終端登錄；b）應(yīng)根據(jù)安全策略設(shè)置登錄終端的操20作超時鎖定；c）應(yīng)對重要服務(wù)器進行監(jiān)視，包括監(jiān)視21資源控制服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況;d）應(yīng)限制單個川八對系統(tǒng)資源的最大22或最小使用限度；23e）應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)