等保測評-安全通信網絡

控制點	安全要求	要求解讀	測評方法	預期結果或主要證據
網絡架構	a)應保證網絡設備的業務處理能力滿足業務高峰期需要	為了保證主要網絡設備具備足夠處理能力， 應定期檢查設備資源占用情況，確保設備的業務處理能力具備冗余空間。	1)應訪談網絡管理員業務高峰時期為何時，核查邊界設備和主要網絡設備的處理能力是否滿足業務高峰期需要，詢問采用何種手段對主要網絡設備的運行狀態進行監控。 以華為交換機為例，輸入命令 "display cpu -usage" , "display memory-usage"查看相關配置。一般來說，在業務高峰期主要網絡設備的CPU內存最大使用率不宜超過70%，也可以通過綜合網管系統查看主要網絡設備的CPU、 內存的使用情況 2)應訪談或核查是否因設備處理能力不足而出現過宕機情況，可核查綜合網管系統告警日志或設備運行時間等，或者訪談是否因設備處理能力不足而進行設備升級。 以華為設備為例，輸入命令"display version”，查看設備在線時長，如設備在線時間在近期有重啟可詢問原因 3)應核查設備在一段時間內的性能峰值，結合設備自身的承載性能，分析是否能夠滿足業務處理能力	1)設備CPU和內存使用率峰值不大於70%，通過命令核查相關使用情況： <Huawei>display cpu-usage CPU Usage Stat， Cycle: 60 (Second) CPU Usage :3%   Max: 45%. CPU Usage Stat.   Time: 2Õ18-05-26 16: 58:16 CPU utilization for five seconds: 15%: one minute:15%: five minutes:  15% <Huawei>display memory-usage CPU utilization for five seconds:  15%:  one  minute:  15%:  five minutes: 15% System Total Memory Is: 75312648 bytes Total Memory Used   Is: 45037704 bytes Memory Using Percentage Is:  59% 2)未出現宕機情況，網管平台未出現宕機告警日志，設備運行時間較長: <Huawei>display version Huawei Versatile Routing Platform Software VRP (R) software, Version 5. 130 (AR1200 V200ROO3C0O Copyright (C) 2011-2012 HUAWEI TECH Co., LTD Huawei AR1220 Router uptime is 0 week, 0 day, 0 hour, 1 minute MPU 0(Master) : uptime is 0 week,0 day, 0 hour, I minute 3)業務高峰流量不超過設備處理能力的70%
	b)應保證網絡各個部分的帶寬滿足業務高峰期需要	為了保證業務服務的連續性，應保證網絡各個部分的帶寬滿足業務高峰期需要。如果存在帶寬無法滿足業務高峰期需要的情況，則需要在主要網絡設備上進行帶寬配置，保證關鍵業務應用的帶寬需求	1)應訪談管理員高峰時段的流量使用情況，是否部署流量控制設備對關鍵業務系統的流量帶寬進行控制，或在相關設備上啟用QoS配置，對網絡各個部分進行帶寬分配，從而保證業務高峰期業務服務的連續性 2)應該查綜合網管系統在業務商峰時段的帶寬占用情況，分析是否滿足業務需求。如果無法滿足業務高蜂期需要，則需要在主要網絡設備上進行帶寬配置 3)測試驗證網絡各個部分的帶寬是否滿足業務高峰期需求	1)在各個關鍵節點部署流量監控系統，能夠監測網絡中的實時流量，部署流量控制設備，在關鍵節點設備品置QoS策略，對關健業務系統的流量帶寬進行控制 2)節點設備配置了流量監管和流量整形策略; 流量監管配置: class-map：class-1 bandwidth percent 50 bandwidth 5000 (kbps） max threshold 64 (packets) class-map：class-2 bandwidth percent 15 bandwidth 1500 (kbps) max threshold 64 (packets) 流量整形配置: traffic classifier c1 operator or if-match acl 3002 traffic behavior b1 remark local-precedence af3 traffic policy p1 classifier c1 behavior b1 interface gigabitethernet 3/0/0 traffic-policy p1 inbound 3) 各通信鏈路高峰流量均不大其帶寬的70%
	c)應划分不同的網絡區域，並按照方便管理和控制的原則為各網絡區域分配地址	根據實際情況和區域安全防護要求，應在主要網絡設備上進行VLAN划分。VLAN 是一種通過將局域網內的設備邏輯地而不是物理 地划分成不同子網從而實現虛擬工作組的新技術。不同VLAN內的報文在傳輸時是相互隔離的,即一個VLAN內的用戶不能和其它VLAN內的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備實現	應訪談網絡管理員，是否依據部門的工作職能、等級保護對象的重要程度和應用系統的級別等實際情況和區域安全防護要求划分了不同的VLAN,並核查相關網絡設備配置信息，驗證划分的網絡區域是否與划分原則一致。 以Cisco IOS 為例，輸入命令“show vlan brief”, 查看相關配置	划分不同的網絡區域，按照方便管理和控制的原則為各網絡區域分配地址，不同網絡區域之間應采取邊界防護措施: 10  server  active 20  user    active 30  test    active 99  management  active
	d)應避免將重要網絡區域部署在邊界處，重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段	為了保證等級保護對象的安全，應避免將重要網段部署在網絡邊界處且直接連接外部等級保護對象，防止來自外部等級保護對象的攻擊。同時，應在重要網段和其它網段之間配置安全策略進行訪問控制	1)應核查網絡拓撲圖是否與實際網絡運行環境一致 2)應核查重要網絡區域是否未部署在網絡邊界處；網絡區域邊界處是否部署了安全防護措施 3)應核查重要網絡區域與其他網絡區域之間，例如應用系統區、數據庫系統區等重要網絡區域邊界是否采取可靠的技術隔離手段，是否部署了網閘、防火牆和設備訪問控制列表(ACL)等	1)網絡拓撲圖與實際網絡運行環境一致 2）重要網絡區域未部署在網絡邊界處 3)在重要網絡區域與其他網絡區域之間部署了網閘、防火牆等安全設備實現了技術隔離
	e)應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗余，保證系統的可用性	本要求雖然放在“安全通信網絡”分類中，實際是要求整個網絡架構設計需要冗余。為了避免網絡設備或通信線路出現故障時引起系統中斷，應采用冗余技術設計網絡拓撲結構，以確保在通信線路或設備故障時提供備用方案，有效增強網絡的可靠性	應核查系統的出口路由器、 核心交換機、安全設備等關鍵設備是否有硬件冗余和通信線路冗余，保證系統的高可用性	采用HSRP、VRRP 等冗余技術設計網絡架構，確保在通信線路或設備故障時網絡不中斷，有效增強網絡的可靠性
通信傳輸	a)應采用校驗技術或密碼技術保證通信過程中數據的完整性	為了防止數據在通信過程中被修改或破壞，應采用校驗技術或密碼技術保證通信過程中數據的完整性，這些數據包括鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等	1)應核查是否在數據傳輸過程中使用校驗技術或密碼技術來保證其完整性 2)應測試驗證設備或組件是否保證通信過程中數據的完整性。例如使用File ChecksumIntegrity Verifier、SigCheck 等工具對數據進行完整性校驗	1)對鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息數據等采用校驗技術或密碼技術保證通信過程中數據的完整性; 2) File ChecksumIntegrity Verifier 計算數據的散列值，驗證數據的完整性
	b)應采用密碼技術保證通信過程中數據的保密性	根據實際情況和安全防護要求，為了防止信息被竊聽，應采取技術手段對通信過程中的敏感信息字段或整個報文加密，可采用對稱加密、非對稱加密等方式實現數據的保密性	1)應核查是否在通信過程中采取保密措施，具體采用哪些技術措施 2)應測試驗證在通信過程中是否對敏感信息字段或整個報文進行加密，可使用Sniffer、Wireshark 等測試工具通過流量鏡像等方式抓取網絡中的數據,驗證數據是否加密	1)對鑒別數據、重要業務數據，重要審計數據、重要配置數據、重要視頻數據和重要個人信息數據等采用密碼技術保證通信過程中數據的保密性 2)Sniffer. Wireshak可以監視到信息的傳送，但是顯示的是加密報文
可信驗證	可基於可信根對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序等進行可信驗證，並在應用程序的關鍵執行環節進行動態可信驗證，在檢測到其可信性受到破壞后進行報警，並將驗證結果形成審計記錄送至安全管理中心	通信設備可能包括交換機、路由器或其他通信設備等，通過設備的啟動過程和運行過程中對預裝軟件(包括系統引導程序、系統程序、相關應用程序和重要配置參數)的完整性驗證或檢測，確保對系統引導程序、系統程序、重要配置參數和關鍵應用程序的篡改行為能被發現，並報警便於后續的處置動作	1)應核查是否基於可信根對設備的系統引導程序、系統程序、重要配置參數和關鍵應用程序等進行可信驗證 2)應核查是否在應用程序的關鍵執行環節進行動態可信驗證 3)應測試驗證當檢測到設備的可信性受到破壞后是否進行報警 4)應測試驗證結果是否以審計記錄的形式送至安全管理中心 (2.3)	1)通信設備、交換機、路由器或其他通信設備具有可信根芯片或硬件 2)啟動過程基於可信根對系統引導程序、系統程序，重要配置參數和關鍵應用程序等進行可信驗證度量 3)在檢測到其可信性受到破壞后進行報警，並將驗證結果形成審計記錄送至安全管理中心 4)安全管理中心可以接收設備的驗證結果記錄 (2.3)