1、附件：網絡安全專項檢查內容一、核心網絡安全性（一）網絡結構安全性序號類別檢查要求檢查結果1結構安全a)應保證主要網絡設備的業務處理能力具備冗余空間，滿足業務高峰期需要；2b)應保證網絡各個部分的帶寬滿足業務高峰期需要；3c)應在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑；4d)應繪制與當前運行情況相符的網絡拓撲結構圖；5e)應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段；6f)應避免將重要網段部署在網絡邊界處且直接連接外部信息系統，重要網段與其他網段之間采取可靠的技術隔離手段；7g)應按照對業務服

2、務的重要次序來指定帶寬分配優先級別，保證在網絡發生擁堵的時候優先保護重要主機。8訪問控制a)應在網絡邊界部署訪問控制設備，啟用訪問控制功能；9數據防泄露a)應能夠對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；10b)應能夠對內部網絡用戶私自聯到外部網絡的行為及內容進行檢查，準確定出位置，并對其進行有效阻斷。入侵防范a)應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等；1 / 512b)當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。13惡

3、意代碼防范a)應在網絡邊界處對惡意代碼進行檢測和清除；14b)應維護惡意代碼庫的升級和檢測系統的更新。（二）網絡設備及網絡安全設備安全性序號類別測評項結果記錄1訪問控制a)應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；2b)應對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制；3c)應在會話處于非活躍一定時間或會話結束后終止網絡連接；4d)應限制網絡最大流量數及網絡連接數；5e)重要網段應采取技術手段防止地址欺騙；6f)應按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度

4、為單個用戶；7安全審計a)應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；8b)審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；9c)應能夠根據記錄數據進行分析，并生成審計報表；10d)應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。11網絡設備防護a)應對登錄網絡設備的用戶進行身份鑒別；12b)應對網絡設備的管理員登錄地址進行限制；13c)網絡設備用戶的標識應唯一；14d)主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；15e)身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；16f)

5、應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施；17g)當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽；18h)應實現設備特權用戶的權限分離。19升級情況安全設備入侵檢測特征庫、病毒庫、應用特征庫等是否定期升級二、服務器安全性序號類別檢查要求檢查結果1身份鑒別a)應對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別；2b)操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換；3c)應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；4d)當對服務器進行遠程管理時，

6、應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽；5e)應為操作系統和數據庫的不同用戶分配不同的用戶名，確保用戶名具有唯一性。6f)應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。7安全審計a)審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶；8b)審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件；9c)審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等；10d)應能夠根據記錄數據進行分析，并生成審計報表；11e)應保護審計進程，避免受到未預期的中斷；12f)應保護審計記錄，避免受到未預期的刪除、修改或覆蓋

7、等。13入侵防范a)應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發生嚴重入侵事件時提供報警；14b)應能夠對重要程序完整性進行檢測，并在檢測到完整性受到破壞后具有恢復的措施；15c)操作系統應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統補丁及時得到更新。16惡意代碼防范a)應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；17b)主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫；18c)應支持防惡意代碼的統一管理。19資源控制a)應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄；20b)應根據安全策略設置登錄終端的操作超時鎖定；21c)應對重要服務器進行監視，包括監視服務器的CPU、硬盤、內存、網絡等資源的使用情況；22d)應限制單個用戶對系統資源的最大或最小使用限度；23e)應能夠