说明
该测评指导书结合我国等级保护现行法律法规及对应标准进行整理编制,可以用于测评机构开展等级测评、网络安全责任主体单位网络安全等级保护工作自查与对第三方建设运维单位监督检查、公安网安部门及网信等部门监督检查参考使用。
使用该系列指导书,需要需要具备网络安全理论基础和网络安全相关工作经验,熟悉TCP/IP网络协议,了解标识与鉴别、访问控制等安全技术及原理,熟悉主流服务器操作系统、路由器、交换机、防火墙等设备的操作与配置。
具体到本指导书,需要对路由器、交换机、防火墙、广域网、城域网、局域网、网络架构、通信传输、可信验证有所了解,涉及网络通信及密码学知识。
安全通用要求的安全通信网络部分针对通信网络提出安全控制要求,如表所示,3个控制点,8个要求项。主要对象为主要对象为广域网、城域网、局域网等,涉及的安全控制点包括网络架构、通信传输、可信验证。
|
序号 |
控制点 |
一级 |
二级 |
三级 |
四级 |
|
1 |
网络架构 |
0 |
2 |
5 |
6 |
|
2 |
通信传输 |
1 |
1 |
2 |
4 |
|
3 |
可信验证 |
1 |
1 |
1 |
1 |
编制参考依据
中华人民共和国网络安全法
网络安全等级保护基本要求(GB/T 22239-2019)
网络安全等级保护测评要求(GB/T 28448-2019)
网络安全等级保护基本要求-安全通信网络对应项
|
安全通信网络 |
|
网络架构 |
|
本项要求包括: |
|
a)应保证网络设备的业务处理能力满足业务高峰期需要; |
|
b)应保证网络各个部分的带宽满足业务高峰期需要; |
|
c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址; |
|
d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; |
|
e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。 |
|
通信传输 |
|
本项要求包括: |
|
a)应采用校验技术或密码技术保证通信过程中数据的完整性; |
|
b)应采用密码技术保证通信过程中数据的保密性。 |
|
可信验证 |
|
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
网络安全等级保护测评要求-安全通信网络对应项
| 测评控制点 | 测评单元 | 测评指标 | 测评对象 | 测评实施 | 单元判定 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
安全通信网络等级测评指导书(第三级)
|
序号 |
测评指标 |
测评项 |
操作步骤 |
判断标准 |
预期结果 |
|
1 |
网络架构 |
a)应保证网络设备的业务处理能力满足业务高峰期需要; |
1)应访谈网络管理员业务高峰时期为何时,核查边界设备和主要网络设备的处理能力是否满足业务高峰期需要,询问采用何种手段对主要网络设备的运行状态进行监控。 以华为交换机为例,输入命令 "display cpu -usage" , "display memory-usage"查看相关配置。一般来说,在业务高峰期主要网络设备的CPU内存最大使用率不宜超过70%,也可以通过综合网管系统查看主要网络设备的CPU、 内存的使用情况 2)应访谈或核查是否因设备处理能力不足而出现过宕机情况,可核查综合网管系统告警日志或设备运行时间等,或者访谈是否因设备处理能力不足而进行设备升级。 以华为设备为例,输入命令"display version”,查看设备在线时长,如设备在线时间在近期有重启可询问原因 3)应核查设备在一段时间内的性能峰值,结合设备自身的承载性能,分析是否能够满足业务处理能力 |
如果1)~3)均为肯定,则符合本测评单位指标要求,否则不符合或部分符合本测评单元指标要求。 |
1)设备CPU和内存使用率峰值不大于70%,通过命令核查相关使用情况: <Huawei>display cpu-usage CPU Usage Stat, Cycle: 60 (Second) CPU Usage :3%Max: 45%. CPU Usage Stat.Time: 2Õ18-05-26 16: 58:16 CPU utilization for five seconds: 15%: one minute:15%: five minutes:15% <Huawei>display memory-usage CPU utilization for five seconds:15%:oneminute:15%:five minutes: 15% System Total Memory Is: 75312648 bytes Total Memory UsedIs: 45037704 bytes Memory Using Percentage Is:59% 2)未出现宕机情况,网管平台未出现宕机告警日志,设备运行时间较长: <Huawei>display version Huawei Versatile Routing Platform Software VRP (R) software, Version 5. 130 (AR1200 V200ROO3C0O Copyright (C) 2011-2012 HUAWEI TECH Co., LTD Huawei AR1220 Router uptime is 0 week, 0 day, 0 hour, 1 minute MPU 0(Master) : uptime is 0 week,0 day, 0 hour, I minute 3)业务高峰流量不超过设备处理能力的70% |
|
b)应保证网络各个部分的带宽满足业务高峰期需要; |
1)应访谈管理员高峰时段的流量使用情况,是否部署流量控制设备对关键业务系统的流量带宽进行控制,或在相关设备上启用QoS配置,对网络各个部分进行带宽分配,从而保证业务高峰期业务服务的连续性 2)应该查综合网管系统在业务商峰时段的带宽占用情况,分析是否满足业务需求。如果无法满足业务高蜂期需要,则需要在主要网络设备上进行带宽配置 3)测试验证网络各个部分的带宽是否满足业务高峰期需求 |
如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。 |
1)在各个关键节点部署流量监控系统,能够监测网络中的实时流量,部署流量控制设备,在关键节点设备品置QoS策略,对关健业务系统的流量带宽进行控制 2)节点设备配置了流量监管和流量整形策略; 流量监管配置: class-map:class-1 bandwidth percent 50 bandwidth 5000 (kbps) max threshold 64 (packets) class-map:class-2 bandwidth percent 15 bandwidth 1500 (kbps) max threshold 64 (packets) 流量整形配置: traffic classifier c1 operator or if-match acl 3002 traffic behavior b1 remark local-precedence af3 traffic policy p1 classifier c1 behavior b1 interface gigabitethernet 3/0/0 traffic-policy p1 inbound 3) 各通信链路高峰流量均不大其带宽的70% |
||
|
c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址; |
应访谈网络管理员,是否依据部门的工作职能、等级保护对象的重要程度和应用系统的级别等实际情况和区域安全防护要求划分了不同的VLAN,并核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致。 以Cisco IOS 为例,输入命令“show vlan brief”, 查看相关配置 |
如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。 |
划分不同的网络区域,按照方便管理和控制的原则为各网络区域分配地址,不同网络区域之间应采取边界防护措施: 10serveractive 20useractive 30testactive 99managementactive |
||
|
d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; |
1)应核查网络拓扑图是否与实际网络运行环境一致 2)应核查重要网络区域是否未部署在网络边界处;网络区域边界处是否部署了安全防护措施 3)应核查重要网络区域与其他网络区域之间,例如应用系统区、数据库系统区等重要网络区域边界是否采取可靠的技术隔离手段,是否部署了网闸、防火墙和设备访问控制列表(ACL)等 |
如果1)~3)均为肯定,则符合本测评单位指标要求,否则不符合或部分符合本测评单元指标要求。 |
1)网络拓扑图与实际网络运行环境一致 2)重要网络区域未部署在网络边界处 3)在重要网络区域与其他网络区域之间部署了网闸、防火墙等安全设备实现了技术隔离 |
||
|
e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。 |
应核查系统的出口路由器、 核心交换机、安全设备等关键设备是否有硬件冗余和通信线路冗余,保证系统的高可用性 |
如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。 |
采用HSRP、VRRP 等冗余技术设计网络架构,确保在通信线路或设备故障时网络不中断,有效增强网络的可靠性 |
||
|
2 |
通信传输 |
a)应采用校验技术或密码技术保证通信过程中数据的完整性; |
1)应核查是否在数据传输过程中使用校验技术或密码技术来保证其完整性 2)应测试验证设备或组件是否保证通信过程中数据的完整性。例如使用File ChecksumIntegrity Verifier、SigCheck 等工具对数据进行完整性校验 |
如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。 |
1)对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息数据等采用校验技术或密码技术(如md5、hash、CRC4、AES、DES、RSA、国密算法等)保证通信过程中数据的完整性; 2) 现场使用File ChecksumIntegrity Verifier 等工具或抓包测试数据的散列值,验证数据的完整性 |
|
b)应采用密码技术保证通信过程中数据的保密性。 |
1)应核查是否在通信过程中采取保密措施,具体采用哪些技术措施 2)应测试验证在通信过程中是否对敏感信息字段或整个报文进行加密,可使用Sniffer、Wireshark 等测试工具通过流量镜像等方式抓取网络中的数据,验证数据是否加密 |
如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。 |
1)对鉴别数据、重要业务数据,重要审计数据、重要配置数据、重要视频数据和重要个人信息数据等采用密码技术(如md5、hash、AES、DES、RSA、国密算法等)保证通信过程中数据的保密性 2)现场使用Sniffer. Wireshak抓包工具监视数据包传送,显示的是加密报文 |
||
|
3 |
可信验证 |
a)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
1)应核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和关键应用程序等进行可信验证 2)应核查是否在应用程序的关键执行环节进行动态可信验证 3)应测试验证当检测到设备的可信性受到破坏后是否进行报警 4)应测试验证结果是否以审计记录的形式送至安全管理中心 (2.3) |
如果1)~4)均为肯定,则符合本测评单元指标要求。否则不符合或部分符合本测评单元指标要求。 |
1)通信设备、交换机、路由器或其他通信设备具有可信根芯片或硬件 2)启动过程基于可信根对系统引导程序、系统程序,重要配置参数和关键应用程序等进行可信验证度量 3)在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心 4)安全管理中心可以接收设备的验证结果记录 |
网络安全等级保护基本要求(GB/T 22239-2019)
网络安全等级保护测评要求(GB/T 28448-2019)
原文始发于微信公众号(河南等级保护测评):安全通信网络测评指导书(通用安全-第三级)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论