编号:测 评 指 导 书《信息系统安全等级保护基本要求》基础网络安全-通用网络设备-第三级V1
0天融信信息安全等保中心1、测评对象对象名称及IP地址备注(测评地点及环境等)2、入场确认序号确认内容1测评对象中的关键数据已备份
假如没有备份则不进行测评2测评对象工作正常
如工作异常则不进行测评
开始时间确认签字3、离场确认序号确认内容1测评工作未对测评对象造成不良影响,测评对象工作正常
结 束 时间确认签字序号类别测评项测评实施预期结果符合情况1访问控制a ) 应在网络边界部署访问控制设备,启用访问控制功能;检查:检查网络拓扑结构和相关交换机配置,查看是否在交换机上启用了访问控制功能
输入命令 show access—lists检查配置文件中是否存在以下类似配置项ip access-list 1 deny x
x交换机启用了访问控制功能,根据需要配置了访问控制列表
b )访问控制设备应能根据会话状态信息为数据流提供明确的允许/ 拒绝访问的能力,控制粒度为端口级;检查:输入命令shou running,检查访问控制列表的控制粒度是否为端口 级 , 如 access—list 101 permit udp any 192
255 eq 21根据会话状态信息为数据流提供了明确的访问控制策略,控制粒度为端口级
c ) 应对进出网络的信息内容进行过滤,实现对应用层HTTP 、FTP 、TELNET 、SMTP 、POP3等协议命令级的控制;检查:检查防火墙或IPS 安全策略是否对重要数据流启用应用层协议检测、过滤功能
防火墙或IPS 开启了重要数据流应用层协议检测、过滤功能, 可以对应用层HTTP 、FTP 、TELNET 、SMTP 、POP3等协议进行控制
d ) 应在会话处于非活跃一定时间或会话结束后终止网络连接;访谈:访谈系统管理
