《网络层安全评估报告案例》由会员分享,可在线阅读,更多相关《网络层安全评估报告案例(9页珍藏版)》请在金锄头文库上搜索。
1、XX公司XX网络平安评估报告书目XX公司XX网络平安评估报告1评估依据的标准1第一章物理与环境层评估(12%)2项目1:电源评估2项目2:线缆评估3项目3:物理环境评估3其次章网络层评估(46%)4项目1:网络架构5项目2:访问限制6项目3:边界整合与防护8项目4:网络设备牢靠性9项目5:网络设备的告警机制10项目6:平安产品部署与策略10第三章评估总结11估依据的标准XX公司信息平安帐号、口令及权限管理方法XX及网管DCN网络设备帐号与口令管理细则ISO/IEC17799:20* 信息技术-信息平安管理实施细则ISO/IEC 15408 信息技术平安技术信息技术平安评估准则ISO 7498-
2、2 平安体系结构第一章 物理与环境层评估(12%)项目1: 电源评估n 评估对象:供应电源及设备中的电源模块n 评估手段:现场查看,工程资料查看n 平安因素:电源供应是否双路,机架及设备接地是否良好,电源模块容量是否足够等n 评估结果:各项评估点全部满意。满分8分,评估得分8分。序号评估点评估标准评估方法评估结果得分1设备供电牢靠设备具备双路供电实力(满分2分)检查电源线是否从电源安排柜或头柜架引2路独立电源至机架内形成不同的供电回路;架内设备的不同电源模块应分别接入架内不同的电源安排模块中核心路由交换设备均有备份电源模块,同时机柜具备双路供电。2分实际耗电量与机架电源模块(单模块)容量之比7
3、5%(满分1分)现场检查机架每路电源安排模块的负载实力是否完全相同;从设备资料中查询机架电源模块容量;现场检测实际耗电量核心及接入设备实际耗电量与机架电源模块(单模块)容量之比75%,符合标准1分机架内电源线不存在串接、复接电源插线板或设备现象;无设备运用多功能电源插座现象;无设备跨集装架取电现象(满分2分)现场查看架内电源线连线状况机架内电源线通过主备两路空开对设备供电,;无设备运用多功能电源插座现象;无设备跨集装架取电现象;2分2设备及机架接地规范集装架应有接地点,并配置供设备接地用的接地汇流排(满分1分)现场查看集装架的接地配置状况集装架有接地点,并配置供设备接地用的接地汇流排,符合标准
4、1分机架内电源安排模块应供应爱护地线接线排(满分1分)现场查看电源安排模块的接地配置状况机架内集中电源安排模块供应了爱护地线接线排,符合标准1分设备与电源柜间有接地线,且接地坚固;机架爱护地线不允许架间复接(满分1分)现场查看设备接地线连接状况核心及接入设备机架与电源柜间都有单独的接地线坚固连接,不存在爱护地线复接,符合标准1分项目2: 线缆评估n 评估对象:机架内部走线及架间走线n 评估手段:现场查看n 平安因素:走线是否合理,线缆是否完好n 评估结果:各项评估点全部满意。满分2分,评估得分2分。序号评估点评估标准评估方法评估结果得分1线缆布放规范三线(信号线、电源线、接地线)分别(满分1分
5、)现场检查架内及架间走线信号线采纳上走线方式从机柜上方的出线口上走线架,电源线和接地线通过下走线方式分别连接到电源柜和地排,符合标准;1分线缆在机柜内布放时不绷紧、线缆完好、线缆标签正确(满分1分)现场检查架内走线线缆在机柜内布放都在连接处留有肯定的余量,不紧绷,线缆完好,标签正确,符合标准1分项目3: 温湿度评估n 评估对象:机架内部n 评估手段:现场查看、资料查询n 平安因素:温度、湿度是否会超标n 评估结果:各项评估点全部满意。满分2分,评估得分2分。序号评估点评估标准评估方法评估结果得分1设备散热平安单个集装架内安装设备功耗总和不大于5千瓦(满分1分)现场检查架内安装设备状况,查询相关
6、设备工程资料现场检查确认单个集装架内设备功耗总和不大于5千瓦1分架内通风状况良好,架内部温度在18-24(满分1分)现场检查架内通风状况架内通风状况良好,内部温度在18-24,符合标准1分第二章 网络层评估(46%)XX公司XX网络的核心设备主要在交通巷机房,接入设备分布在枢纽楼机房和海东、格尔木两个地市机房,相关设备均在本次评估范围之内,评估对象为现网运行的网络架构、组网状况、网络设备的冗余度、网络平安状况。XX公司XX网络拓扑图如上图所示,从网络整体拓扑图看,XX公司XX采纳双星形结构,网络架构层次分明,核心路由交换设备有设备冗余。地市XX以2M链路汇接至省公司M20、省网业务以FE、15
7、5M POS链路分别汇接至省公司的Cisco4003和M20。出口流量经M20、M40以155M POS链路接入北京和西安,其中西安链路为主,北京链路为辅。项目1: 网络架构n 评估对象:业务系统内部网络(交通巷、枢纽楼机房和地市XX网络设备,包括汇接层及核心层交换机)n 评估手段:现场查看物理连接、检查数据配置、工程资料检查n 评估目的:达到内部网络结构清楚、层次分明,并且在架构上满意冗余备份要求;n 评估结果:在3个地方出现单链路隐患。满分14分,评估分11分。序号评估点评估标准评估方法检查结果得分1网络层次结构分明网络层次清楚化:通过二三层网络分别,构建物理和逻辑层次清楚的三层路由网络和
8、二层接入网络(满分1分)参考工程资料检查XX设备物理及逻辑连接、路由器和交换机数据配置用户层接入采纳二层交换;地市汇接则由7507路由汇聚到M20,省网业务通过4003交换机和NE80路由器接入;二层交换与三层路由层次清楚。1分网络结构扁平化:核心网大容量、少节点,接入网广覆盖,并削减物理和逻辑级联级数(满分1分)参考工程资料检查XX网设备物理及逻辑连接、路由器和交换机数据配置交通巷机房的M20和M40为省网核心设备;省中心4003、NE80为汇聚层设备;省中心的7206和地市7507、2948GL3为接入设备。整体而言网络结构扁平。1分采纳多平面架构:网络在分层的基础上采纳多平面架构,在一个
9、平面出现问题是能通过另一个平面进行数据传输,保障网络平安(满分2分)参考工程资料检查XX网设备物理及逻辑连接、路由器和交换机数据配置地市7507以22M链路汇接至M20;省网业务4003以2*100M汇接至M20。在两个平面实现了链路备份。但省网业务NE80是以单链路155M POS连接M20。1分应用网络汇聚设备实现集中接入(满分2分)参考工程资料检查XX网设备物理及逻辑连接、路由器和交换机数据配置省网业务通过交通巷4003和枢纽楼NE80接入;地市业务通过各地市的思科7507实现接入。均实现汇聚设备集中接入。2分2系统出口链路冗余系统出口链路冗余,链路状态可用,在网络架构上能确保在一条链路
10、故障时另一条正常工作(满分2分)参考工程资料,现场检查枢纽、上塘、朝晖、萧山机房网络出口链路的物理连接 通过交通巷核心路由器M20、M40分别上联北京与西安。 路由协议限制链路的主备关系,发生故障时,在业务可承受时间内实现链路更换。2分冗余结构能够正常切换,保证业务的可用性(满分1分)检查路由器的数据配置由于XX两台核心M20与出口路由器M40之间为三层路由,冗余结构切换不影响业务。1分3核心设备冗余核心设备冗余包括核心交换机和核心防火墙的冗余 (满分1分)参考工程资料检查各机房核心交换机和防火墙是否冗余 骨干网核心路由器M20和M40均为冗余。在认证计费业务网段有相应防火墙,但不属于核心设备
11、。1分4核心设备间链路冗余核心路由器之间的链路冗余(满分1分)参考工程资料,现场检查各机房核心交换机之间的物理链路是否冗余,检查交换机配置数据交通巷核心路由器M20间通过GE直连;1分核心交换机与防火墙之间的链路冗余(满分1分)参考工程资料,现场检查各机房核心交换机于对应防火墙之间的物理链路是否冗余,检查交换机和防火墙的端口配置,确认之间的端口是否冗余认证计费系统部署了1台防火墙设备,与核心交换机4003之间通过条FE链路连接,没有冗余链路。0分5接入层交换机和核心设备间链路冗余接入层交换机和核心设备间连接冗余(满分1分)检查接入层交换机到核心交换机之间的物理连接是否冗余省网业务接入4003与
12、M20之间采纳2*100M冗余链路;地市公司的2948GL3与7507之间单链路。0分冗余结构能够正常切换,保证业务的可用性(满分1分)通过CONSOLE口登陆检查交换机的数据配置接入设备与核心设备间走三层路由,可以正常切换。1分n 现状描述XX公司XX是互联网的一部分,在网络架构上分网络接入、汇聚、核心三层,结构分明,层次清楚。骨干网采纳两套核心设备备份、骨干网汇接链路冗余,但省网业务汇聚设备NE80与核心M20之间、认证计费应用防火墙与核心交换4003之间、地市公司2948GL3与7507之间存在单链路隐患。XX目前承载多种业务,GPRS,专线接入,综合接入及部分省网业务等。防火墙存在于认
13、证计费业务系统与XX接口处,应业务系统而存在。所以就XX而言,无核心防火墙概念。项目2: 访问限制n 评估对象:业务系统内部网络(交通巷、枢纽楼机房及地市机房XX数据网络)n 评估手段:现场查看物理连接、检查数据配置、工程资料检查n 评估结果:各项评估点全部满意。满分8分,评估得分8分。n 评估目的:通过划分有效的VLAN,减小广播风暴,提高网络性能n 评估结果序号评估点评估标准评估方法检查结果得分1系统外部对内访问限制通过防火墙进行外部系统的访问限制(满分2分)参考工程资料,检查防火墙数据配置XX防火墙应应用系统而存在,认证计费应用系统自带防火墙,限制XX外部网络对应用系统的访问。2分2系统
14、内部各系统间访问限制通过防火墙进行不同机房之间各系统的访问限制(满分1分)参考工程资料,检查防火墙、核心交换机数据配置认证计费应用系统出口防火墙采纳的是基于IP的策略制定,依据实际需求做了严格的访问限制;由于XX各个接入系统相对的独立性,不同业务系统之间访问量少。应用设备通过三层路由,设定路由域实现相互访问。1分通过核心交换机进行同一机房内部各系统间的访问限制(满分1分)参考工程资料,检查交换机数据配置在接入交换机运用CIDR,VLNM,不同VLAN配置不同网段,限制广播。在汇聚交换机上联端口上起三层路由。1分3维护人员访问限制维护人员对系统的访问路径限制(满分2分)检查交换机、防火墙数据配置,维护人员须要先登录专用堡垒主机后才能登陆XX设备进行配置维护。2分维护人员访问权限受控(满分1分)检查系统用户帐号设置系统依据维护人员维护功能进行权限划分,维护人员只能执行授权的操作。1分记录全部维护人员对系统的访问日志(满分1分)检查系统日志和操作日志全部维护人员通过业务终端执行的操作在业务系统中进行了记录,通过远程登录的访问操作网络设备中进行记录1分n 现状描述在XX应用系统接入交换机上划分VLAN,使各个不同的应用系统之间相对独立,同时减小了内部网络的广播域,从而减小了网络风暴及一些基于广播传送的病毒的传播的可能性,内部网络架构从最里层提高了网络的平安性
