等保測評之安全通訊網路

a)應保證網路裝置的業務處理能力滿足業務高峰期需要

1)應訪談網路管理員業務高峰時期為何時，核查邊界裝置和主要網路裝置的處理能力是否滿足業務高峰期需要，詢問採用何種手段對主要網路裝置的執行狀態進行監控。

以華為交換機為例，輸入命令「「display cpu -usage」」 , "「display memory-usage」"檢視相關配置。一般來說，在業務高峰期主要網路裝置的cpu記憶體最大使用率不宜超過70%，也可以通過綜合網管系統檢視主要網路裝置的cpu、記憶體的使用情況

3)應核查裝置在一段時間內的效能峰值，結合裝置自身的承載效能，分析是否能夠滿足業務處理能力

b)應保證網路各個部分的頻寬滿足業務高峰期需要

1)應訪談管理員高峰時段的流量使用情況，是否部署流量控制裝置對關鍵業務系統的流量頻寬進行控制，或在相關裝置上啟用qos配置，對網路各個部分進行頻寬分配，從而保證業務高峰期業務服務的連續性

2)應該查綜合網管系統在業務商峰時段的頻寬占用情況，分析是否滿足業務需求。如果無法滿足業務高蜂期需要，則需要在主要網路裝置上進行頻寬配置

3)測試驗證網路各個部分的頻寬是否滿足業務高峰期需求

c)應劃分不同的網路區域，並按照方便管理和控制的原則為各網路區域分配位址

1)應訪談網路管理員，是否依據部門的工作職能、等級保護物件的重要程度和應用系統的級別等實際情況和區域安全防護要求劃分了不同的vlan,並核查相關網路裝置配置資訊，驗證劃分的網路區域是否與劃分原則一致。

以cisco ios 為例，輸入命令「show vlan brief」, 檢視相關配置

d)應避免將重要網路區域部署在邊界處，重要網路區域與其他網路區域之間應採取可靠的技術隔離手段

1)應核查網路拓撲圖是否與實際網路執行環境一致

2)應核查重要網路區域是否未部署在網路邊界處；網路區域邊界處是否部署了安全防護措施

3)應核查重要網路區域與其他網路區域之間，例如應用系統區、資料庫系統區等重要網路區域邊界是否採取可靠的技術隔離手段，是否部署了網閘、防火牆和裝置訪問控制列表(acl)等

e)應提供通訊線路、關鍵網路裝置和關鍵計算裝置的硬體冗餘，保證系統的可用性

應核查系統的出口路由器、核心交換機、安全裝置等關鍵裝置是否有硬體冗餘和通訊線路冗餘，保證系統的高可用性

a)應採用校驗技術或密碼技術保證通訊過程中資料的完整性；

1)應核查是否在資料傳輸過程中使用校驗技術或密碼技術來保證其完整性

2)應測試驗證裝置或元件是否保證通訊過程中資料的完整性。例如使用file checksumintegrity verifier、sigcheck 等工具對資料進行完整性校驗

b)應採用密碼技術保證通訊過程中資料的保密性；

1)應核查是否在通訊過程中採取保密措施，具體採用哪些技術措施

2)應測試驗證在通訊過程中是否對敏感資訊欄位或整個報文進行加密，可使用sniffer、wireshark 等測試工具通過流量映象等方式抓取網路中的資料,驗證資料是否加密

a)可基於可信根對通訊裝置的系統引導程式、系統程式、重要配置引數和通訊應用程式等進行可信驗證，並在應用程式的關鍵執行環節進行動態可信驗證，在檢測到其可信性受到破壞後進行報警，並將驗證結果形成審計記錄送至安全管理中心；

1)應核查是否基於可信根對裝置的系統引導程式、系統程式、重要配置引數和關鍵應用程式等進行可信驗證（通訊裝置、交換機、路由器或其他通訊裝置具有可信根晶元或硬體）

2)應核查是否在應用程式的關鍵執行環節進行動態可信驗證（啟動過程基於可信根對系統引導程式、系統程式，重要配置引數和關鍵應用程式等進行可信驗證度量）

3)應測試驗證當檢測到裝置的可信性受到破壞後是否進行報警（在檢測到其可信性受到破壞後進行報警，並將驗證結果形成審計記錄送至安全管理中心）

4)應測試驗證結果是否以審計記錄的形式送至安全管理中心（安全管理中心可以接收裝置的驗證結果記錄）

雲服務商

a)應保證雲計算平台不承載高於其安全保護等級的業務應用系統；

b)應實現不同雲服務客戶虛擬網路之間的隔離；

c)應具有根據雲服務客戶業務需求提供通訊傳輸、邊界防護、入侵防範等安全機制的能力；

d)應具有根據雲服務客戶業務需求自主設定安全策略的能力，包括定義訪問路徑、選擇安全元件、配置安全策略；

e)應提供開放介面或開放性安全服務，允許雲服務客戶接入第三方安全產品或在雲計算平台選擇第三方安全服務；