2018年度通信网络安全防护符合性评测表

序号适用范围检查类型支撑网-业务安全11-01-01-01-0111-01-01-02-0111-01-01-03-0111-01-01-04-01支撑网-网络安全11-02-01-01-0111-02-01-02-0111-02-01-03-0111-02-01-04-0111-02-01-05-0111-02-01-06-0111-02-01-06-0211-02-01-07-0111-02-02-01-0111-02-02-02-0111-02-02-03-0111-02-02-04-01支撑网--业务安全支撑网--网络结构安全支撑网--网络访问控制第3.1级及以上2018年度通信网络安全防护符合性评测表检查项目第2级及以上第2级及以上第3.1级及以上第2级及以上11-02-02-05-0111-02-02-06-0111-02-02-07-0111-02-03-01-0111-02-03-02-0111-02-03-03-0111-02-03-04-0111-02-04-01-01第2级及以上11-02-04-02-01第3.1级及以上11-02-05-01-01第2级及以上11-02-05-02-0111-02-05-02-0211-02-06-01-0111-02-06-02-0111-02-06-03-0111-02-06-04-0111-02-06-04-0211-02-06-05-0111-02-06-06-01支撑网--网络访问控制支撑网--网络安全审计支撑网--边界完整性检查支撑网--网络入侵防范支撑网--网络设备防护第3.1级及以上第2级及以上第3.1级及以上第3.1级及以上第2级及以上11-02-06-07-01第3.1级及以上11-02-07-01-0111-02-07-02-01支撑网-主机安全11-03-01-01-0111-03-01-01-0211-03-01-02-0111-03-01-02-0211-03-01-03-0111-03-01-04-0111-03-01-05-0111-03-01-05-0211-03-02-01-0111-03-02-02-0111-03-02-02-0211-03-02-03-0111-03-02-04-0111-03-02-05-0111-03-02-06-0111-03-02-07-01支撑网--恶意代码防范支撑网--主机身份鉴别支撑网--主机访问控制支撑网--网络设备防护第2级及以上第2级及以上第3.1级及以上第3.1级及以上11-03-03-01-0111-03-03-02-0111-03-03-03-0111-03-03-04-0111-03-03-05-0111-03-03-06-0111-03-04-01-0111-03-04-02-0111-03-04-03-0111-03-04-03-0211-03-04-04-0111-03-04-04-0211-03-04-04-0311-03-05-01-0111-03-05-01-0211-03-05-01-0311-03-05-02-0111-03-05-03-01第3.1级及以上11-03-06-01-0111-03-06-02-0111-03-06-03-01支撑网--主机资源控制支撑网--主机安全审计支撑网--主机入侵防范支撑网--主机恶意代码防范第3.1级及以上第2级及以上第2级及以上第2级及以上第3.1级及以上第2级及以上11-03-06-04-0111-03-06-05-01支撑网-应用安全11-04-01-01-0111-04-01-02-0111-04-01-03-0111-04-01-04-0111-04-02-01-0111-04-02-02-0111-04-02-03-0111-04-02-04-0111-04-02-05-0111-04-02-06-0111-04-02-07-0111-04-03-01-0111-04-03-01-0211-04-03-02-0111-04-03-03-0111-04-03-04-0111-04-03-05-0111-04-04-01-01第2级及以上11-04-04-02-01第3.1级及以上支撑网--主机资源控制支撑网--应用身份鉴别支撑网--应用访问控制支撑网--应用安全审计支撑网--通信完整性第3.1级及以上第2级及以上第3.1级及以上第3.1级及以上第2级及以上第2级及以上11-04-05-01-0111-04-05-02-0111-04-06-01-01第2级及以上11-04-06-02-01第3.1级及以上11-04-07-01-0111-04-07-02-0111-04-07-03-0111-04-07-04-0111-04-07-05-0111-04-07-06-0111-04-07-07-01支撑网-数据安全11-05-01-01-01第2级及以上11-05-01-02-0111-05-01-03-0111-05-01-03-0211-05-02-01-01第2级及以上11-05-02-02-0111-05-02-03-01支撑网--软件容错支撑网--应用资源控制支撑网--数据完整性支撑网--数据保密性支撑网--通信保密性质量第3.1级及以上第3.1级及以上第2级及以上第2级及以上第3.1级及以上11-05-03-01-0111-05-03-02-0111-05-03-03-0111-05-03-04-0111-05-03-05-01支撑网-备份恢复11-06-01-01-0111-06-01-01-0211-06-01-01-0311-06-01-02-0111-06-01-02-0211-06-02-01-0111-06-02-01-0211-06-02-01-0311-06-02-02-0111-06-02-02-0211-06-02-02-0311-06-03-01-0111-06-03-01-0211-06-03-02-0111-06-04-01-0111-06-04-01-02支撑网--备份数据支撑网--人员和技术支持能力支撑网--运行维护管理能力支撑网--数据备份和恢复支撑网--冗余系统、冗余设备及冗余链路第2级及以上第2级及以上第2级及以上第3.1级及以上第2级及以上第2级及以上11-06-04-01-0311-06-04-01-0411-06-04-02-0111-06-04-03-0111-06-05-01-0111-06-05-02-0111-06-05-02-0211-06-05-03-0111-06-05-03-02支撑网-第三方服务安全11-07-01-01-01第1级及以上支撑网-第三方服务提供安全支撑网--运行维护管理能力支撑网--灾难恢复预案要求第2级及以上第2级及以上检查内容适用网络属性检查点计费系统要求不间断运行，全年中断时间应符合电信运营企业的相关要求；业务运营支撑系统计费系统的全年中断时间是否符合企业相关要求？计费系统中断后应当对中断期间未采集的数据进行补采；业务运营支撑系统计费系统是否具备中断后进行数据补采的功能？计费系统定时对计费信息等数据进行备份，保证计费信息不丢失，计费数据在系统中保存的时间应符合相关要求（至少三个月）；业务运营支撑系统是否定时对计费信息数据进行备份？账务系统应当确保账单的准确性，保证账单不重复、不丢失、不被修改。业务运营支撑系统是否有措保证对账单的准确性？应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；业务运营支撑系统、网管系统关键网络设备是否具备冗余的业务处理能力，满足业务高峰期需要？应保证接入网络和核心网络的带宽满足业务高峰期需要；业务运营支撑系统、网管系统接入网和核心网的带宽是否满足业务高峰期需要？应绘制与当前运行情况相符的网络拓扑结构图；业务运营支撑系统、网管系统是否能够提供与当前网络运行状况相符的网络拓扑结构图？应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。业务运营支撑系统、网管系统是否根据安全和管理需要划分了子网?应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；业务运营支撑系统、网管系统业务终端与业务服务器之间是否进行路由控制建立安全的访问路径？业务运营支撑系统、网管系统是否避免将重要网段部署在网络边界处且直接连接外部信息系统？业务运营支撑系统、网管系统重要网段与其他网段之间是否采取可靠的技术隔离手段？应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机业务运营支撑系统、网管系统是否采取了资源分配机制保证重要的主机拥有更高的带宽占用优先级？应在网络边界部署访问控制设备，启用访问控制功能；业务运营支撑系统、网管系统是否在网络边界部署访问控制设备，并启用边界访问控制功能？应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级；业务运营支撑系统、网管系统边界访问控制措施是否可以按照网段实施访问控制？应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。业务运营支撑系统、网管系统边界访问控制措施是否可以按照用户实施访问控制？应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；业务运营支撑系统、网管系统是否对进出网络的信息内容进行过滤，实现对应用层协议级的控制?应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；2018年度通信网络安全防护符合性评测表检查项目应在会话处于非活跃一定时间或会话结束后终止网络连接；业务运营支撑系统、网管系统是否能够在会话处于非活跃一定时间或会话结束后终止网络连接应能够限制网络最大流量数及网络连接数；业务运营支撑系统、网管系统是否能够限制网络最大流量数及网络连接数?重要网段应采取技术手段防止地址欺骗。业务运营支撑系统、网管系统重要网段是否有防止地址欺骗的技术手段？应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；业务运营支撑系统、网管系统是否对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录？审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。业务运营支撑系统、网管系统是否有审计记录（包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息)？应能够根据记录数据进行分析，并生成审计报表；业务运营支撑系统、网管系统是否能够生成审计报表？应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。业务运营支撑系统、网管系统是否对审计记录进行保护，避免受到未预期的删除、修改或覆盖等？应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。业务运营支撑系统、网管系统能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查？应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断。业务运营支撑系统、网管系统是否能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断？应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。业务运营支撑系统、网管系统是否在网络边界监视类攻击行为？业务运营支撑系统、网管系统是否能检测出网络入侵攻击，并记录攻击源IP、攻击类型、攻击目的、攻击时间？业务运营支撑系统、网管系统是否能在发生严重入侵事件时是否能及时报警？应对登录网络设备的用户进行身份鉴别；业务运营支撑系统、网管系统是否对登录网络设备的用户进行身份认证？应对网络设备的管理员登录地址进行限制；业务运营支撑系统、网管系统是否对网络设备的登录地址进行限制？网络设备用户的标识应唯一；