等保测评2.0关于安全通信网络三级等保测评项
1.安全通信网络测评项(二级4项、三级8项)
1.1.网络架构(二级c/d项、三级5项)
a)应保证网络设备的业务处理能力满足业务高峰期需要;(通过进入设备检查路由器、交换机、设备的cpu和内存使用率不超过70%,是否存在因设备性能问题导致的宕机情况)。cpu检查命令:(华为:display cpu-usage 思科:show processes cpu sorted),内存检查命令(华为:display memory 思科:show processes memory),安全设备通过ip进入Web界面查看。
b)应保证网络各个部分的带宽满足业务高峰期需要;(通过现场检查综合网管系统,或者带宽是否满足当前系统正常运行,是否出现因带宽导致业务中断情况)
c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;(通过检查路由器、交换机、防火墙、无线接入设备等是否根据部门的工作职能、重要性和涉及的信息的重要程度等划分不同的网络区域和网段)查看vlan划分命令(华为display vlan 思科 show vlan)注释:vlan是一种通过将局域网内的设备逻辑而不是物理划分成不同子网从而实现虚拟工作组的新技术。不同vlan内的报文在传输时是相互隔离的。如果不同vlan要进行通信,则需要通过路由器或三层交换机等三层设备实现。
d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;(检查是否将重要网络区域部署在网络边界处,同时边界需部署:防火墙、网闸、或边界网络设备配置并启用acl(访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。))
acl列表检查命令(华为display acl all 思科:———)
e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。(根据网络管理员和网络拓扑图及现场情况检查关键网络设备、安全设备、计算机硬件设备等是否采取硬件冗余(主备)和通信线路冗余情况)。
1.2.通信传输(二级a项、三级2项)
a)应采用校验技术或密码技术保证通信过程中数据的完整性;(通过检查在通信过程中网络设备和安全设备采用SSH/HTTPS/TELENT/HTTP/SSL哪种方式进行访问。)
b)应采用密码技术保证通信过程中数据的保密性。(通过检查在通信过程中采用的保密措施,具体采用的技术,测试在通信过程中是否对数据进行加密。)
1.3.可信验证
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。(通过检查是否应用程序的关键执行环节进行动态可信验证等,此项为等保引导项,就目前来说,全部不符合。)