電子政務(wù)網(wǎng)絡(luò)安全檢查表

1、檢查項(xiàng)編號：N1檢查工程：網(wǎng)絡(luò)結(jié)構(gòu)平安檢查資產(chǎn):寫明被檢查資產(chǎn)的信息，機(jī)房應(yīng)寫明機(jī)房名稱，設(shè)備應(yīng)寫明設(shè)備編號，應(yīng)用 系統(tǒng)應(yīng)寫明系統(tǒng)名稱，對外效勞系統(tǒng)應(yīng)寫明域名及IP地址檢查指標(biāo)：1網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力應(yīng)具備冗余空間，要求滿足業(yè)務(wù)頂峰期需要；2 設(shè)計(jì)和繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 ；3在業(yè)務(wù)終端與業(yè)務(wù) 效勞器之間進(jìn)行路由控制建立平安的訪問路徑；4根據(jù)各部門的工作職能、 重要性、所涉及信 息的重要程度等因素，劃分不 同的子網(wǎng)或網(wǎng)段，并按照方 便管理和控制的原那么為 各子網(wǎng)、網(wǎng)段分配地址段；5重要網(wǎng)段應(yīng)采取網(wǎng)絡(luò)層地址與數(shù)據(jù)鏈路層地址綁定措施，防止地址欺騙。檢查方式：專家訪談、人工檢查檢查

2、對象：網(wǎng)絡(luò)管理員，邊界和重要網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)拓?fù)鋱D，網(wǎng)絡(luò)設(shè)計(jì)/驗(yàn)收文檔。檢查方法：1訪談網(wǎng)絡(luò)管理員，詢問信息系統(tǒng)中的邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備的性能以及目前業(yè)務(wù) 頂峰流量情況；2訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)段劃分情況以及劃分的原那么；詢問重要的網(wǎng)段有哪 些，對重要網(wǎng)段的保護(hù)措施有哪些；3訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)絡(luò)的帶寬情況；詢問網(wǎng)絡(luò)中帶寬控制情況以及帶寬 分配的原那么；4訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)絡(luò)設(shè)備上的路由控制策略措施有哪些 ，這些策略設(shè) 計(jì)的目的是什么；5檢查網(wǎng)絡(luò)拓?fù)鋱D，查看與當(dāng)前運(yùn)行情況是否一致；6檢查網(wǎng)絡(luò)設(shè)計(jì)/驗(yàn)收文檔，查看是否有邊界和重要網(wǎng)絡(luò)設(shè)備能滿足根本業(yè) 務(wù) 需求，網(wǎng)絡(luò)接入及核心網(wǎng)絡(luò)的帶寬能否滿足業(yè)

3、務(wù)頂峰期的需要等方面的設(shè)計(jì)或說7檢查網(wǎng)絡(luò)設(shè)計(jì)/驗(yàn)收文檔，查看是否有根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制 的原 那么為各子網(wǎng)和網(wǎng)段分配地址段的設(shè)計(jì)或描述；8 檢查邊界和重要網(wǎng)絡(luò)設(shè)備，查看是否配置路由控制策略如使用靜態(tài)路由 等建立平安的訪問路徑；9 檢查邊界和重要網(wǎng)絡(luò)設(shè)備，查看對重要網(wǎng)段是否采取了網(wǎng)絡(luò)地址與數(shù)據(jù)鏈 路地址綁定的措施如對重要效勞器采用IP地址和MAC地址綁定措施；10 測試網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，可通過網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)自動(dòng)發(fā)現(xiàn)、繪制工具 ，驗(yàn)證實(shí)際 的網(wǎng) 絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖是否一致 ；11測試業(yè)務(wù)終端與業(yè)務(wù)效勞 器之間的 訪問

4、路徑，可通過使用路由跟蹤工具如tracert等工具，驗(yàn)證業(yè)務(wù)終端與業(yè)務(wù)效勞器之間的訪問路徑的是否平安如訪問路徑是否固定等；12測試重要網(wǎng)段，驗(yàn)證其采取的網(wǎng)絡(luò)地址與數(shù)據(jù)鏈路地址綁定措施是否有效如 試圖使用非綁定地址，查看是否能正常訪問等。判定標(biāo)準(zhǔn)：如果上述6-7中缺少相應(yīng)的文檔，那么該項(xiàng)為否認(rèn)；上述5-12均為肯定，那么信息系統(tǒng)符合本單元檢查項(xiàng)要求。超過半數(shù)為肯 定，那么信息系統(tǒng)根本符合本單元檢查項(xiàng)要求 測試結(jié)果：根據(jù)檢查方法，應(yīng)寫明每種檢查方法的檢查結(jié)果，最后根據(jù)判 定標(biāo)準(zhǔn)寫明本 檢查項(xiàng)是否符合，如果有多個(gè)檢查指標(biāo)，每個(gè)指標(biāo)都應(yīng)當(dāng)說明 是否符合。如果 根據(jù)信息系統(tǒng)實(shí)際情況，相關(guān)檢查指標(biāo)不適用，

5、請注明“不 適用并說明原因。檢查項(xiàng)編號：P2檢查工程：網(wǎng)絡(luò)訪問控制檢查資產(chǎn):寫明被檢查資產(chǎn)的信息，機(jī)房應(yīng)寫明機(jī)房名稱，設(shè)備應(yīng)寫明設(shè)備編號，應(yīng)用系統(tǒng)應(yīng)寫明系統(tǒng)名稱，對外效勞系統(tǒng)應(yīng)寫明域名及IP地址檢查指標(biāo):能根據(jù)會(huì)話狀態(tài)信息 包括數(shù)據(jù)包的源地址、目的地址、源端口號、目的端口號、協(xié)議、出入的接口、會(huì)話序列號、發(fā)出信息的主機(jī)名等信息，并應(yīng)支持地址 通配符的使用，為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力檢查方式：專家訪談、人工檢查、漏洞掃描檢查對象：平安員，邊界網(wǎng)絡(luò)設(shè)備 包括網(wǎng)絡(luò)平安設(shè)備檢查方法:1可訪談平安員，詢問采取的網(wǎng)絡(luò)訪問控制措施有哪些；詢問訪問控制策略 的 設(shè)計(jì)原那么是什么；詢問網(wǎng)絡(luò)訪問控制設(shè)

6、備具備的訪問控制功能 如是基于狀 態(tài)的，還是基于包過濾等；2 檢查邊界網(wǎng)絡(luò)設(shè)備，查看其是否根據(jù)會(huì)話狀態(tài)信息如包括數(shù)據(jù)包的源地 址、目 的地址、源端口號、目的端口號、協(xié)議、出入的接口、會(huì)話序列號、發(fā)出信息的主機(jī)名等信息，并應(yīng)支持地址通配符的使用對數(shù)據(jù)流進(jìn)行控制；3使用掃描工具探測測試邊界網(wǎng)絡(luò)設(shè)備 ，可通過試圖訪問未授權(quán)的資源，驗(yàn)證 訪問控制措施是否能對未授權(quán)的訪問行為的控制，掃描工具接入點(diǎn)設(shè)置在網(wǎng) 絡(luò)入口處。判定標(biāo)準(zhǔn)：上述2-3均為肯定，那么信息系統(tǒng)符合本單元檢查項(xiàng)要求。2-3其中一項(xiàng)為肯定，那么信息系統(tǒng)根本符合本單元檢查項(xiàng)要求。測試結(jié)果:根據(jù)檢查方法，應(yīng)寫明每種檢查方法的檢查結(jié)果，最后根據(jù)判定

7、標(biāo)準(zhǔn)寫明本 檢查項(xiàng)是否符合，如果有多個(gè)檢查指標(biāo)，每個(gè)指標(biāo)都應(yīng)當(dāng)說明是否符合。如果 根據(jù)信息系統(tǒng)實(shí)際情況，相關(guān)檢查指標(biāo)不適用，請注明"不適用"并說明原 因。檢查項(xiàng)編號：N3檢查工程：網(wǎng)絡(luò)平安審計(jì)檢查資產(chǎn)：寫明被檢查資產(chǎn)的信息，機(jī)房應(yīng)寫明機(jī)房名稱，設(shè)備應(yīng)寫明設(shè)備編號，應(yīng)用 系統(tǒng)應(yīng)寫明系統(tǒng)名稱，對外效勞系統(tǒng)應(yīng)寫明域名及IP地址檢查指標(biāo)：1對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等事件進(jìn)行日志記 錄；2對于每一個(gè)事件，其審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、 事 件是否成功，及其他與審計(jì)相關(guān)的信息。檢查方式：專家訪談、人工檢查。檢查對象：審計(jì)員，邊界和重要網(wǎng)絡(luò)

8、設(shè)備 包括平安設(shè)備審計(jì)記錄，審計(jì) 策略。檢查方法：1 訪談審計(jì)員，詢問是否對網(wǎng)絡(luò)系統(tǒng)中的邊界和重要網(wǎng)絡(luò)設(shè)備進(jìn)行審計(jì)，審計(jì) 包括 哪些項(xiàng)；詢問審計(jì)記錄的主要內(nèi)容有哪些 ；詢問對審計(jì)記錄的處理方式；2檢查邊界和重要網(wǎng)絡(luò)設(shè)備的審計(jì)記錄，查看是否有網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備 運(yùn)行 狀況、網(wǎng)絡(luò)流量、用戶行為等事件的記錄 ；3檢查邊界和重要網(wǎng)絡(luò)設(shè)備的事件審計(jì)策略，查看是否包括：事件的日期和時(shí) 間、用戶、事件類型、事件成功情況，及其他與審計(jì)相關(guān)的信息。4 測試邊界和重要網(wǎng)絡(luò)設(shè)備的事件審計(jì)記錄是否包括：事件的日期和時(shí)間、用 戶、事件類型、事件成功情況，及其他與審計(jì)相關(guān)的信息如產(chǎn)生相應(yīng)的事件， 觀察審計(jì)的記錄看是否對

9、這些事件的準(zhǔn)確記錄 。5檢查是否有日志分析記錄。判定標(biāo)準(zhǔn)：上述2-5均為肯定，那么信息系統(tǒng)符合本單元檢查項(xiàng)要求。超過 半數(shù)為肯定,那么信息系統(tǒng)根本符合本單元檢查項(xiàng)要求。測試結(jié)果：根據(jù)檢查方法，應(yīng)寫明每種檢查方法的檢查結(jié)果，最后根據(jù)判定標(biāo)準(zhǔn)寫明本 檢查項(xiàng)是否符合，如果有多個(gè)檢查指標(biāo)，每個(gè)指標(biāo)都應(yīng)當(dāng)說明是否符合。如果 根據(jù)信息系統(tǒng)實(shí)際情況，相關(guān)檢查指標(biāo)不適用，請注明“不適用"并說明原 因。檢查項(xiàng)編號：N4檢查工程：網(wǎng)絡(luò)入侵防范檢查資產(chǎn)：寫明被檢查資產(chǎn)的信息，機(jī)房應(yīng)寫明機(jī)房名稱，設(shè)備應(yīng)寫明設(shè)備編號，應(yīng)用 系統(tǒng)應(yīng)寫明系統(tǒng)名稱，對外效勞系統(tǒng)應(yīng)寫明域名及IP地址檢查指標(biāo)：應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻

10、擊行為 ：端口掃描、強(qiáng)力攻擊、木馬 后門攻擊、拒絕 效勞攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等入侵事件的發(fā)生檢查方式：專家訪談、人工檢查、漏洞掃描、滲透測試檢查對象：平安員，網(wǎng)絡(luò)入侵防范設(shè)備檢查方法：1訪談平安員，詢問網(wǎng)絡(luò)入侵防范措施有哪些；詢問是否有專門的設(shè)備對網(wǎng)絡(luò) 入侵進(jìn)行防范；詢問采取什么方式進(jìn)行網(wǎng)絡(luò)入侵防范規(guī)那么庫升級；2檢查網(wǎng)絡(luò)入侵防范設(shè)備，查看是否能檢測以下攻擊行為：端口掃描、強(qiáng)力攻 擊、木馬后門攻擊、拒絕效勞攻擊、緩沖區(qū)溢出攻擊、 IP碎片攻擊、網(wǎng)絡(luò)蠕 蟲攻擊等；3檢查網(wǎng)絡(luò)入侵防范設(shè)備，查看其生產(chǎn)廠商是否為正規(guī)廠商，規(guī)那么庫是否為最 新；4 測試網(wǎng)絡(luò)入侵防范設(shè)備，驗(yàn)證

11、其監(jiān)控策略是否有效通過模擬產(chǎn)生攻擊動(dòng) 作, 查看網(wǎng)絡(luò)入侵防范設(shè)備的反響驗(yàn)證 。判定標(biāo)準(zhǔn)：測試結(jié)果:根據(jù)檢查方法，應(yīng)寫明每種檢查方法的檢查結(jié)果， 最后根據(jù)判定標(biāo)準(zhǔn)寫明本 檢查項(xiàng)是否符合，如果有多個(gè)檢查指標(biāo)，每個(gè)指標(biāo)都應(yīng)當(dāng)說明是否符合。如果 根據(jù)信息系統(tǒng)實(shí)際情況，相關(guān)檢查指標(biāo)不適用，請注明“不適用"并說明原 因。檢查項(xiàng)編號：N5檢查工程：惡意代碼防范檢查資產(chǎn)：寫明被檢查資產(chǎn)的信息，機(jī)房應(yīng)寫明機(jī)房名稱，設(shè)備應(yīng)寫明設(shè)備編號，應(yīng)用 系統(tǒng)應(yīng)寫明系統(tǒng)名稱，對外效勞系統(tǒng)應(yīng)寫明域名及IP地址檢查指標(biāo):1應(yīng)在網(wǎng)絡(luò)邊界及核心業(yè)務(wù)網(wǎng)段處對惡意代碼進(jìn)行檢測和去除；2應(yīng)維護(hù)惡意代 碼庫的升級和檢測系統(tǒng)的更新；3

12、應(yīng)支持惡意代碼防范的統(tǒng)一管理。檢查方式：專家訪談、人工檢查檢查對象：平安員，網(wǎng)絡(luò)惡意代碼防范設(shè)備檢查方法：1訪談網(wǎng)絡(luò)管理員，詢問系統(tǒng)中的網(wǎng)絡(luò)防惡意代碼防范措施是什么 ；詢問惡意 代碼庫的更新策略，詢問防惡意代碼產(chǎn)品的有哪些主要功能；詢問系統(tǒng)是否 發(fā)生過惡意代碼入侵的平安事件；2檢查惡意代碼產(chǎn)品運(yùn)行日志，查看是否持續(xù)運(yùn)行；3檢查防惡意代碼產(chǎn)品更 新日志,查看是否有實(shí)時(shí)更新；4檢查在網(wǎng)絡(luò)邊界及核心業(yè)務(wù)網(wǎng)段處是否有相 應(yīng)的防惡意代碼的措施；5檢查防惡意代碼產(chǎn)品，查看是否為正規(guī)廠商生產(chǎn), 運(yùn)行是否正常,惡意代碼庫是否為最新版本；6檢查防惡意代碼產(chǎn)品的配置策略，查看是否支持惡意 代碼防范的統(tǒng)一管理如查看

13、是否為分布式部署，集中管理等。判定標(biāo)準(zhǔn)：測試結(jié)果:根據(jù)檢查方法，應(yīng)寫明每種檢查方法的檢查結(jié)果，最后根據(jù)判定標(biāo)準(zhǔn)寫明本 檢查項(xiàng)是否符合，如果有多個(gè)檢查指標(biāo)，每個(gè)指標(biāo)都應(yīng)當(dāng)說明是否符合。如果 根據(jù)信息系統(tǒng)實(shí)際情況，相關(guān)檢查指標(biāo)不適用，請注明"不適用"并說明原 因。檢查項(xiàng)編號：N6檢查工程：網(wǎng)絡(luò)設(shè)備防護(hù)檢查資產(chǎn)：寫明被檢查資產(chǎn)的信息，機(jī)房應(yīng)寫明機(jī)房名稱，設(shè)備應(yīng)寫明設(shè)備編號，應(yīng)用 系統(tǒng)應(yīng)寫明系統(tǒng)名稱，對外效勞系統(tǒng)應(yīng)寫明域名及IP地址檢查指標(biāo)：1對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；2對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn) 行限制；3網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一 ；4身份鑒別信息應(yīng)具有不易被冒用 的特

14、點(diǎn)，例 如口令長度、復(fù)雜性和定期的更新等；5 具有登錄失敗處理功能，如結(jié)束會(huì)話、限制非法登錄次數(shù) ，當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)，自動(dòng)退出檢查方式：專家訪談、人工檢查、漏洞掃描、滲透測試檢查對象：網(wǎng)絡(luò)管理員，邊界和重要網(wǎng)絡(luò)設(shè)備 包括平安設(shè)備。檢查方法：1訪談網(wǎng)絡(luò)管理員，詢問對關(guān)鍵網(wǎng)絡(luò)設(shè)備的防護(hù)措施有哪些 ；詢問對關(guān)鍵網(wǎng) 絡(luò) 設(shè)備的登錄和驗(yàn)證方式做過何種特定配置 ；2訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)絡(luò)設(shè)備的口令策略是什么；3檢查邊界和重要網(wǎng)絡(luò)設(shè)備上的平安設(shè)置，查看其是否有對鑒別失敗采取相 應(yīng)的措施的設(shè)置；查看其是否有限制非法登錄次數(shù)的功能 ；4檢查邊界和重要網(wǎng)絡(luò)設(shè)備上的平安設(shè)置，查看是否對主要網(wǎng)絡(luò)設(shè)備的管理 員登

15、錄地址進(jìn)行限制；查看是否設(shè)置網(wǎng)絡(luò)登錄連接超時(shí)，并自動(dòng)退出；查看是 否實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限別離；查看是否對網(wǎng)絡(luò)上的對等實(shí)體進(jìn)行身份鑒 別；查看是否對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；5測試邊界和重要網(wǎng)絡(luò)設(shè)備的平安設(shè)置，驗(yàn)證鑒別失敗處理措施如模擬失敗 登錄，觀察網(wǎng)絡(luò)設(shè)備的動(dòng)作等，限制非法登錄次數(shù) 如模擬非法登錄，觀察 網(wǎng)絡(luò)設(shè)備的 動(dòng)作等，對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制 如使用任意 地址登錄，觀察網(wǎng)絡(luò)設(shè)備的動(dòng)作等等功能是否有效；6測試邊界和重要網(wǎng)絡(luò)設(shè)備的平安設(shè)置 ，驗(yàn)證其網(wǎng)絡(luò)登錄連接超自動(dòng)退出的 設(shè)置是否有效如長時(shí)間連接無任何操作，觀察觀察網(wǎng)絡(luò)設(shè)備的動(dòng)作等；7對邊界和重要網(wǎng)絡(luò)設(shè)備進(jìn)行掃描測試，通過使用掃描工具，掃描機(jī)數(shù)如口 令猜 解等對網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測試，驗(yàn)證網(wǎng)絡(luò)設(shè)備防護(hù)能力是否符合要求。判定標(biāo)準(zhǔn)：如網(wǎng)絡(luò)設(shè)備的口令策略為口令長度 6位以上，口令