( 单位) 系统 等级保护二级测评 现场检测表 测试对象范围：安全技术 测试对象名称：网络安全 配合人员签字： 测试人员签字： 核实人员签字： 测试日期： 结果统计: 测评项 测评结果 1结构安全与网段划分 □符合 □部分符合 □不符合 2网络访问控制 □符合 □部分符合 □不符合 3拨号访问控制 □符合 □部分符合 □不符合 4网络安全审计 □符合 □部分符合 □不符合等级保护现场检测表 5边界完整性检查 □符合 □部分符合 □不符合 6网络入侵防范 □符合 □部分符合 □不符合 7恶意代码防范 □符合 □部分符合 □不符合 8网络设备防护 □符合 □部分符合 □不符合 测试类别等级测评（二级） 测试对象安全技术 测 试 类网络安全 测 试 项结构安全与网段划分 测试要求： 1.应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； 2.应保证网络各个部分的带宽满足业务高峰期需要； 3.应在业务终端与业务服务器之间进行路由控制建立安全的访问路径； 4.应绘制与当前运行情况相符的网络拓扑结构图； 5.应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或 网段，并按照方便管理和控制的原则为各子网、网段分配地址段。 6.重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗 ； 测试记录： 1.访谈网络管理员，询问信息系统中的边界和关键网络设备的性能以及目前业务高峰流量情 况: 2.访谈网络管理员，询问网段划分情况以及划分的原则 : 询问重要的网段有哪些 : 对重要网段的保护措施有哪些 : 3.访谈网络管理员，询问网络的带宽情况 : 询问网络中带宽控制情况以及带宽分配的原则 : 4.访谈网络管理员，询问网络设备上的路由控制策略措施有哪些 : 这些策略设计的目的是什么 : 5.检查网络拓扑图，查看与当前运行情况是否一致 : 否 □ 是 □ 6.检查网络设计/验收文档，查看是否有边界和重要网络设备能满足基本业务需求，网络接入 及核心网络的带宽能否满足业务高峰期的需要等方面的设计或说明 : 否 □ 是 □ 7.检查网络设计/验收文档，查看是否有根据各部门的工作职能、重要性和所涉及信息的重要程 度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网和网段分配地址 段的设计或描述: 否 □ 是 □ 第 2 页 共 9 页等级保护现场检测表 8.检查边界和重要网络设备，查看是否配置路由控制策略（如使用静态路由等）建立安全的访 问路径: 否 □ 是 □ 9.检查边界和重要网络设备，查看对重要网段是否采取了网络地址与数据链路地址绑定的措施 （如对重要服务器采用 IP地址和MAC地址绑定措施）: 否 □ 是 □ 10.测试网络拓扑结构，可通过网络拓扑结构自动发现、绘制工具，验证实际的网络拓扑结构和 网络拓扑结构图是否一致 : 否 □ 是 □ 11.测试业务终端与业务服务器之间的访问路径，可通过使用路由跟踪工具（如 tracert等工 具），验证业务终端与业务服务器之间的访问路径的是否安全（如访问路径是否固定等） : 否 □ 是 □ 12.测试重要网段，验证其采取的网络地址与数据链路地址绑定措施是否有效（如试图使用非绑 定地址，查看是否能正常访问等） : 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： a)如果6-7中缺少相应的文档，则该项为否定； b)5-12均为肯定，则信息系统符合本单元测评项要求。 测试类别等级测评（二级） 测试对象安全技术 测 试 类网络安全 测 试 项网络访问控制 测试要求： 1.应能根据 会话状态信息（ 包括数据包的源地址、 目的地址、 源端口号、 目的端 口号、协议、 出入的接口、会话序列号、发出信息的主机名等信息，并应 支持地址通配符的使用）， 为数据流 提供明确的允许/拒绝访问的能力； 测试记录： 1.访谈安全员，询问采取的网络访问控制措施有哪些 : 询问访问控制策略的设计原则是什么 : 询问网络访问控制设备具备的访问控制 功能（如是基 于状态的，还是基于包过滤等）: 2.检查边界网络设备，查看其是否根据 会话状态信息（如 包括数据包的源地址、目的地址、 源 端口号、 目的端 口号、协议、出入的接口、会话序列号、 发出信息的主机名等信息，并应 支持地 址通配符的使用）对数据流进行控制 : 否 □ 是 □ 3.测试边界网络设备，可通过试图访问 未授权的资源，验证访问控制措施是否能对 未授权的访 问行为的控制（如可以使用 扫描工具探测等）: 否 □ 是 □ 第 3 页 共 9 页等级保护现场检测表 测试结果： □符合 □部分符合 □不符合 备注： 2-3均为肯定，则信息系统符合本单元测评项要求 测试类别等级测评（二级） 测试对象安全技术 测 试 类网络安全 测 试 项拨号访问控制 测试要求： 1.应在基于安全属性的允许远程用户对系统访问的 规则的基础上，对系统所有 资源允许或 拒绝用户进行访问，控制 粒度为单个用 户； 2.应限制具有拨号访问 权限的用户数量； 测试记录： 1.访谈安全员，询问网络是否 允许拨号访问网络: 否 □ 是 □ 询问对拨号访问控制的策略是什么 : 采取何种技术手段实现（如使用防 火墙还是路由器实现）: 采取的拨号访问用 户的权限分配原则是什么: 2.检查边界网络设备（如路由器，防 火墙，认证网关），查看是否配置了正 确的拨号访问控制 列表（对系统 资源实现允许或拒绝用户访问）: 否 □ 是 □ ○控制粒度是否为单个用 户: 否 □ 是 □ ○查看其能否 限制拨号访问 权限的用户数量: 否 □ 是 □ 3.测试边界网络设备，可通过试图非 授权的访问，验证拨号访问措施能否有效对系统 资源实现 允许或拒绝用户访问的控制: 否 □ 是 □ 4.测试边界网络设备，可使用测试网络 连接数工具，验证其 限制具有拨号访问 权限的用户数量 的功能是否有效: 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： 2-4均为肯定，则信息系统符合本单元测评项要求 测试类别等级测评（二级） 测试对象安全技术 测 试 类网络安全 测 试 项安全审计 第 4 页 共 9 页等级保护现场检测表 测试要求： 1、应对网络系统中的网络设备运行 状况、网络流量、用 户行为等进行全面的 监测、记录； 2、对于每一个事件，其审计记录应 包括：事件的日期和 时间、用户、事件类型、事件是否成 功，及其他与审计相关的信息； 测试记录： 1.访谈审计员，询问是否对网络系统中的边界和重要网络设备进行审计 : 否 □ 是 □ ○审计包括哪些项: