编号:测 评 指 导 书《信息系统安全等级保护基本要求》基础网络安全-通用网络设备-第三级V1.0天融信信息安全等保中心1、测评对象对象名称及IP地址备注(测评地点及环境等)2、入场确认序号确认内容1测评对象中的关键数据已备份。假如没有备份则不进行测评2测评对象工作正常。如工作异常则不进行测评。开始时间确认签字3、离场确认序号确认内容1测评工作未对测评对象造成不良影响,测评对象工作正常.结 束 时间确认签字序号类别测评项测评实施预期结果符合情况1访问控制a ) 应在网络边界部署访问控制设备,启用访问控制功能;检查:检查网络拓扑结构和相关交换机配置,查看是否在交换机上启用了访问控制功能。输入命令 show access—lists检查配置文件中是否存在以下类似配置项ip access-list 1 deny x.x。x 。x交换机启用了访问控制功能,根据需要配置了访问控制列表。b )访问控制设备应能根据会话状态信息为数据流提供明确的允许/ 拒绝访问的能力,控制粒度为端口级;检查:输入命令shou running,检查访问控制列表的控制粒度是否为端口 级 , 如 access—list 101 permit udp any 192 。168.10 。0 0.0.0 。255 eq 21根据会话状态信息为数据流提供了明确的访问控制策略,控制粒度为端口级.c ) 应对进出网络的信息内容进行过滤,实现对应用层HTTP 、FTP 、TELNET 、SMTP 、POP3等协议命令级的控制;检查:检查防火墙或IPS 安全策略是否对重要数据流启用应用层协议检测、过滤功能。防火墙或IPS 开启了重要数据流应用层协议检测、过滤功能, 可以对应用层HTTP 、FTP 、TELNET 、SMTP 、POP3等协议进行控制。d ) 应在会话处于非活跃一定时间或会话结束后终止网络连接;访谈:访谈系统管理员,是否在会话处于非活跃一定时间或会话结束后终止网络连接;检查:输入命令show running,查看配置中是否存在命令设定管理会话的超时时间:1 )会话处于非活跃一定时间或会话结束后,交换机会终止网络连接;2 )交换机配置中存在会话超时相关配置。序号类别测评项测评实施预期结果符合情况line vty 0 4exec-timeout x xe ) 应限制网络最大流量数及网络连接数;检查:1 )在网络出口和核心网络处的交换机是否配置了网络最大流量数及网络连接数;2) 是否有专用的流量控制设备限制网络最大流量数及网络连接数。1 )网络出口和核心网络处的交换机配置了合理QOS策略, 优化了网络最大流量数;2 )...
