等保测评-安全通信⽹络控
制点安全要求要求解读测评⽅法
预期结果或主要证
据
⽹
理能⼒满⾜业务⾼峰期需要
为了保证主要⽹络设备具备⾜够处理能⼒,应
定期检查设备资源占⽤情况,确保设备的业务
处理能⼒具备冗余空间。
1)应访谈⽹络管理员业务⾼峰
时期为何时,核查边界设备
和主要⽹络设备的处理能⼒
询问采⽤何种⼿段对主要⽹
络设备的运⾏状态进⾏监
控。
以华为交换机为例,输⼊命
令 "display cpu -usage" ,
"display memory-usage"查
看相关配置。⼀般来说,在
业务⾼峰期主要⽹络设备的
立体交叉桥
CPU内存最⼤使⽤率不宜超
过70%,也可以通过综合⽹
管系统查看主要⽹络设备的
CPU、内存的使⽤情况
2)应访谈或核查是否因设备处
理能⼒不⾜⽽出现过宕机情
况,可核查综合⽹管系统告
警⽇志或设备运⾏时间等,
或者访谈是否因设备处理能
⼒不⾜⽽进⾏设备升级。
以华为设备为例,输⼊命
令"display version”,查看设
备在线时长,如设备在线时
间在近期有重启可询问原因
3)应核查设备在⼀段时间内的
分子动力学仿真性能峰值,结合设备⾃⾝的
承载性能,分析是否能够满
⾜业务处理能⼒
1)设备CPU和内存
使⽤率峰值不⼤于
70%,通过命令核
查相关使⽤情况:
<Huawei>display
cpu-usage
CPU Usage Stat,
Cycle: 60
(Second)
CPU Usage :3%
Max: 45%.
CPU Usage Stat.
Time: 2Õ18-05-26
16: 58:16
CPU utilization for
five seconds:
15%: one
minute:15%: five
minutes: 15%
<Huawei>display
memory-usage
CPU utilization for
five seconds:
15%: one
minute: 15%: five
minutes: 15%
System Total
Memory Is:
75312648 bytes
Total Memory
Used Is:
45037704 bytes
Memory Using
Percentage Is:
59%
2)未出现宕机情
况,⽹管平台未出
现宕机告警⽇志,
设备运⾏时间较长:
<Huawei>display
version
Huawei Versatile
Routing Platform
Software
VRP (R) software,
Version 5. 130
(AR1200
V200ROO3C0O
Copyright (C)
2011-2012
HUAWEI TECH
Co., LTD
Huawei AR1220
Router uptime is 0
week, 0 day, 0
hour, 1 minute
MPU 0(Master) :
uptime is 0 week,0
day, 0 hour, I
minute
3)业务⾼峰流量不
超过设备处理能⼒
的70%
1)在各个关键节点
部署流量监控系
统,能够监测⽹络
中的实时流量,部
署流量控制设备,
在关键节点设备品
置QoS策略,对关
健业务系统的流量
带宽进⾏控制
2)节点设备配置了
流量监管和流量整
b)应保证⽹络各个部分的带宽满⾜业务⾼峰期需要为了保证业务服务的连续性,应保证⽹络各个
部分的带宽满⾜业务⾼峰期需要。如果存在带
宽⽆法满⾜业务⾼峰期需要的情况,则需要在
主要⽹络设备上进⾏带宽配置,保证关键业务
应⽤的带宽需求
1)应访谈管理员⾼峰时段的流
量使⽤情况,是否部署流量
控制设备对关键业务系统的
流量带宽进⾏控制,或在相
关设备上启⽤QoS配置,对
⽹络各个部分进⾏带宽分
配,从⽽保证业务⾼峰期业
务服务的连续性异位发酵床
2)应该查综合⽹管系统在业务
商峰时段的带宽占⽤情况,
分析是否满⾜业务需求。如
果⽆法满⾜业务⾼蜂期需
要,则需要在主要⽹络设备
上进⾏带宽配置
宽是否满⾜业务⾼峰期需求
碎片文件流量监管和流量整
形策略;
流量监管配置:
class-map:class-
1
bandwidth percent
50
bandwidth 5000
(kbps) max
threshold 64
(packets)
class-map:class-
2
bandwidth percent
15
bandwidth 1500
(kbps) max
threshold 64
(packets)
流量整形配置:
traffic classifier c1
operator or
if-match acl 3002
traffic behavior b1
remark local-
precedence af3
traffic policy p1
classifier c1
behavior b1出租车计价器传感器
interface
gigabitethernet
3/0/0
traffic-policy p1
inbound
3) 各通信链路⾼峰
流量均不⼤其带宽
的70%
c)应划分不同的⽹络区域,并按照⽅便管理和控制的原则为各⽹络区域分配地址根据实际情况和区域安全防护要求,应在主要
⽹络设备上进⾏VLAN划分。VLAN 是⼀种通
过将局域⽹内的设备逻辑地⽽不是物理地划分
成不同⼦⽹从⽽实现虚拟⼯作组的新技术。不
同VLAN内的报⽂在传输时是相互隔离的,即⼀
个VLAN内的⽤户不能和其它VLAN内的⽤户直
接通信,如果不同VLAN要进⾏通信,则需要
通过路由器或三层交换机等三层设备实现
应访谈⽹络管理员,是否依
据部门的⼯作职能、等级保
护对象的重要程度和应⽤系
统的级别等实际情况和区域
安全防护要求划分了不同的
VLAN,并核查相关⽹络设备配
置信息,验证划分的⽹络区
域是否与划分原则⼀致。
以Cisco IOS 为例,输⼊命
令“show vlan brief”, 查看相
关配置
划分不同的⽹络区
域,按照⽅便管理
和控制的原则为各
⽹络区域分配地
址,不同⽹络区域
之间应采取边界防
护措施:
10 server active
20 user active
30 test active
99 management
active
d)应避免将重要⽹络区域部署在边界处,重要⽹络区域与其他⽹络区域之间应采取可靠的技术隔离⼿段为了保证等级保护对象的安全,应避免将重要
⽹段部署在⽹络边界处且直接连接外部等级保
护对象,防⽌来⾃外部等级保护对象的攻击。
同时,应在重要⽹段和其它⽹段之间配置安全
策略进⾏访问控制
1)应核查⽹络拓扑图是否与实
际⽹络运⾏环境⼀致
2)应核查重要⽹络区域是否未
部署在⽹络边界处;⽹络区
域边界处是否部署了安全防
护措施
3)应核查重要⽹络区域与其他
⽹络区域之间,例如应⽤系
⽹络区域边界是否采取可靠
的技术隔离⼿段,是否部署
了⽹闸、防⽕墙和设备访问
控制列表(ACL)等
1)⽹络拓扑图与实
际⽹络运⾏环境⼀
致
2)重要⽹络区域
未部署在⽹络边界
处
3)在重要⽹络区域
与其他⽹络区域之
间部署了⽹闸、防
⽕墙等安全设备实
现了技术隔离
e)应提供通信线路、关键⽹络设备和关键计算设备的硬件冗余,保证系统的可⽤性本要求虽然放在“安全通信⽹络”分类中,实际
是要求整个⽹络架构设计需要冗余。为了避免
⽹络设备或通信线路出现故障时引起系统中
断,应采⽤冗余技术设计⽹络拓扑结构,以确
保在通信线路或设备故障时提供备⽤⽅案,有
效增强⽹络的可靠性
应核查系统的出⼝路由器、
核⼼交换机、安全设备等关
键设备是否有硬件冗余和通
信线路冗余,保证系统的⾼
可⽤性
采⽤HSRP、VRRP
等冗余技术设计⽹
络架构,确保在通
信线路或设备故障
时⽹络不中断,有
效增强⽹络的可靠
性
通信传输a)应采⽤校验技术或密码技
术保证通信过程中数据的完
整性
为了防⽌数据在通信过程中被修改或破坏,应
采⽤校验技术或密码技术保证通信过程中数据
的完整性,这些数据包括鉴别数据、重要业务
数据、重要审计数据、重要配置数据、重要视
频数据和重要个⼈信息等
1)应核查是否在数据传输过程
中使⽤校验技术或密码技术
来保证其完整性
2)应测试验证设备或组件是否
保证通信过程中数据的完整
性。例如使⽤File
ChecksumIntegrity Verifier、
SigCheck 等⼯具对数据进⾏
完整性校验
1)对鉴别数据、重
要业务数据、重要
审计数据、重要配
置数据、重要视频
数据和重要个⼈信
息数据等采⽤校验
技术或密码技术保
证通信过程中数据
的完整性;
2) File
ChecksumIntegrity
完整性校验ChecksumIntegrity Verifier 计算数据的散列值,验证数据的完整性
b)应采⽤密码技术保证通信过程中数据的保密性根据实际情况和安全防护要求,为了防⽌信息
被窃听,应采取技术⼿段对通信过程中的敏感
信息字段或整个报⽂加密,可采⽤对称加密、
⾮对称加密等⽅式实现数据的保密性
1)应核查是否在通信过程中采
取保密措施,具体采⽤哪些
山楂提取物技术措施
2)应测试验证在通信过程中是
否对敏感信息字段或整个报
⽂进⾏加密,可使⽤Sniffer、
Wireshark 等测试⼯具通过流
量镜像等⽅式抓取⽹络中的
数据,验证数据是否加密
1)对鉴别数据、重
要业务数据,重要
审计数据、重要配
置数据、重要视频
数据和重要个⼈信
息数据等采⽤密码
技术保证通信过程
中数据的保密性
2)Sniffer.
Wireshak可以监视
到信息的传送,但
是显⽰的是加密报
⽂
可信验证可基于可信根对通信设备的
系统引导程序、系统程序、
重要配置参数和通信应⽤程
序等进⾏可信验证,并在应
⽤程序的关键执⾏环节进⾏
动态可信验证,在检测到其
可信性受到破坏后进⾏报
警,并将验证结果形成审计
记录送⾄安全管理中⼼
通信设备可能包括交换机、路由器或其他通信
设备等,通过设备的启动过程和运⾏过程中对
预装软件(包括系统引导程序、系统程序、相
关应⽤程序和重要配置参数)的完整性验证或
检测,确保对系统引导程序、系统程序、重要
配置参数和关键应⽤程序的篡改⾏为能被发
现,并报警便于后续的处置动作
1)应核查是否基于可信根对设
备的系统引导程序、系统程
序、重要配置参数和关键应
⽤程序等进⾏可信验证
2)应核查是否在应⽤程序的关
键执⾏环节进⾏动态可信验
证
3)应测试验证当检测到设备的
可信性受到破坏后是否进⾏
报警
4)应测试验证结果是否以审计
记录的形式送⾄安全管理中
⼼
(2.3)
1)通信设备、交换
机、路由器或其他
通信设备具有可信
根芯⽚或硬件
2)启动过程基于可
信根对系统引导程
序、系统程序,重
要配置参数和关键
应⽤程序等进⾏可
信验证度量
3)在检测到其可信
性受到破坏后进⾏
报警,并将验证结
果形成审计记录送
⾄安全管理中⼼
4)安全管理中⼼可
以接收设备的验证
结果记录
(2.3)
