等保測評--通信網絡安全測評要求

信息安全等級保護，是對信息和信息載體按照重要性等級分級別進行保護的一種工作，在中國、美國等很多國家都存在的一種信息安全領域的工作。在中國，信息安全等級保護廣義上爲涉及到該工作的標準、產品、系統、信息等均依據等級保護思想的安全工作；狹義上一般指信息系統安全等級保護。

---

目錄

網絡安全等級測評師---安全通信網絡測試（CNS）

1.網絡架構

2.通信傳輸

3.可信驗證

---

網絡安全等級測評師---安全通信網絡測試（CNS）

1.網絡架構

• 應保證網絡設備的業務處理能力滿足業務高峯期需要。（高峯期業務處理能力）

1）業務高峯爲何時，處理能力是否滿足需要，何種手段監控設備運行情況

      設備CPU和內存使用率峯值不大於70%

2）是否出現宕機情況，覈查網管平臺告警日誌及設備運行時間，訪談是否因設備處理能力不足而進行設備升級

      未出現宕機情況，網管平臺未出現宕機告警日誌，設備運行時間較長

3）覈查性能峯值，結合承載性能，分析業務處理能力

      業務高峯流量不超過設備處理能力的70%

• 應保證網絡各部分的帶寬滿足業務高峯期需要。（高峯期網絡各部分帶寬）

1）高峯期流量使用情況，是否部署流量控制設備對關鍵業務系統的流量帶寬進行控制，或在相關設備上啓用QoS配置，對網絡各個部分進行帶寬分配，從而保證業務高峯期業務服務的連續性。

      關鍵節點部署流量監控系統，能夠檢測實時流量，部署流量控制設備

      在關鍵節點配置QoS策略，對關鍵業務熊的流量帶寬進行控制

2）覈查業務高峯時段的帶寬佔用情況，分析是否滿足業務需求，若不滿足，則需要在主要網絡設備上進行帶寬配置。

      節點設備配置流量監管和流量整形策略

3）測試驗證網絡各個部分的帶寬是否滿足業務高峯期需求。

      各通信鏈路高峯流量均不大於其帶寬的70%

• 應劃分不同的網絡區域，並按照方便管理和控制的原則爲各網絡區域分配地址。（地址分配原則：方便管控）

網絡管理員是否依據部門的工作職能、等級保護對象的重要程度和應用系統的級別等實際情況和區域安全防護要求劃分不同VLAN，覈查網絡設備配置信息，驗證劃分的網絡區域是否與劃分原則一致。

劃分不同區域，按方便管控的原則爲各網絡區域分配地址，不同網絡區域之間應採取邊界防護措施

• 應避免將重要網絡區域部署在邊界處，重要網絡區域與其他網絡區域之間應採取可靠的技術隔離手段。（部署重要網絡）

1）覈查網絡拓撲圖是否與運行環境一致

2）覈查重要網絡區域是否部署在網絡邊界處，邊界處是否部署了安全防護措施

3）覈查重要網絡區域與其他區域之間，是否採取可靠技術隔離手段，是否部署網閘、防火牆和設備訪問控制列表（ACL）等

• 應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗餘，保證系統的可用性。（提供硬件冗餘）

覈查系統出口路由器、核心交換機、安全設備等關鍵設備是否有硬件冗餘和通信線路冗餘，保證系統的高可用性。

採用HSRP、VRRP等冗餘技術設計網絡架構，確保在通信線路或設備故障時網絡不中斷，有效增強網絡的可靠性。

HSRP（Hot standby routing protocol 熱備份路由協議）：是Cisco平臺一種特有的技術，是Cisco的私有協議。當源主機不能動態知道第一跳路由器的IP地址時，HSRP協議能夠保護第一條路由器不出故障。

VRRP（Virtual Router Redundancy Protocol 虛擬路由冗餘協議）：VRRP是一種選擇協議，它可以把一個虛擬路由器的責任動態分配到局域網上的 VRRP 路由器中的一臺。控制虛擬路由器 IP 地址的 VRRP 路由器稱爲主路由器，它負責轉發數據包到這些虛擬 IP 地址。一旦主路由器不可用，這種選擇過程就提供了動態的故障轉移機制，這就允許虛擬路由器的 IP 地址可以作爲終端主機的默認第一跳路由器。

2.通信傳輸

• 應採用校驗技術或密碼技術保證通信過程中數據的完整性。（數據完整性）

1）覈查是否在數據傳輸過程中使用校驗技術或密碼技術來保證其完整性。（鑑別、業務、審計、配置、視頻、個人信息等）

2）應測試驗證設備或組件是否保證通信過程中數據的完整性。校驗工具：File Checksumlntegrity Verifier、SugCheck。計算數據的散列值，驗證數據的完整性。

• 應採用密碼技術保證通信過程中數據的保密性

1）覈查通信過程中是否採取保密措施，採用哪些技術措施

2）測試驗證通信過程中是否對敏感信息字段或整個報文進行加密，通過流量鏡像等方式抓取網絡中的數據，驗證數據是否加密，測試工具：Sniffer、Wireshark

3.可信驗證

• 可基於可信根對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序等進行可信驗證，並在應用程序的關鍵執行環節進行動態可信驗證，在檢測到其可信性受到破壞後進行報警，並將驗證結果形成審計記錄送至安全管理中心。

1）覈查是否基於可信根對設備的系統引導程序、系統程序、重要配置參數和關鍵應用程序等進行可信驗證。通信設備具有可信根芯片或硬件

2）覈查是否在應用程序的關鍵執行環節進行動態可信驗證。啓動過程基於可信根對系統引導程序、系統程序、重要配置參數和關鍵應用程序進行可信驗證度量

3）測試驗證當檢測到設備的可信性收到破壞後是否進行報警。檢測到破壞可以報警，並將結構形成記錄送至安全管理中心

4）測試驗證結構是否以審計記錄的形式發送至安全管理中心。安全管理中心可以接受設備的驗證結果記錄。