安全子類--安全架構(gòu)

a）應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要；

一、測(cè)評(píng)對(duì)象

路由器、交換機(jī)、無(wú)線接入設(shè)備和防火墻等提供網(wǎng)絡(luò)通信功能的設(shè)備或相關(guān)組件

二、測(cè)評(píng)實(shí)施

1) 應(yīng)核查業(yè)務(wù)高峰時(shí)期一段時(shí)間內(nèi)主要網(wǎng)絡(luò)設(shè)備（一般包括核心交換機(jī)、匯聚交換機(jī)、邊界路由器、主要邊界的防火墻等串聯(lián)安全設(shè)備）的CPU使用率和內(nèi)存使用率是否滿足需要；

2) 應(yīng)核查網(wǎng)絡(luò)設(shè)備是否從未出現(xiàn)過(guò)因設(shè)備性能問(wèn)題導(dǎo)致的宕機(jī)情況；

3) 應(yīng)測(cè)試驗(yàn)證設(shè)備是否滿足業(yè)務(wù)高峰期需求。

三、單元判定

如果1）-3）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。

四、高風(fēng)險(xiǎn)判例

判例內(nèi)容：對(duì)可用性要求較高的系統(tǒng)，網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力不足，高峰時(shí)可能導(dǎo)致設(shè)備宕機(jī)或服務(wù)中斷，影響金融秩序或引發(fā)群體事件，若無(wú)任何技術(shù)應(yīng)對(duì)措施，可判定為高風(fēng)險(xiǎn)。

滿足條件（同時(shí)）：1、3級(jí)及以上系統(tǒng)；2、系統(tǒng)可用性要求較高；3、核心網(wǎng)絡(luò)設(shè)備性能無(wú)法滿足高峰期需求，存在業(yè)務(wù)中斷隱患，如業(yè)務(wù)高峰期，核心設(shè)備性能指標(biāo)平均達(dá)到80%以上。

b) 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；

一、測(cè)評(píng)對(duì)象

綜合網(wǎng)管系統(tǒng)等

二、測(cè)評(píng)實(shí)施

1) 應(yīng)核查綜合網(wǎng)管系統(tǒng)各通信鏈路帶寬是否滿足高峰時(shí)段的業(yè)務(wù)流量需要；

2) 應(yīng)測(cè)試驗(yàn)證網(wǎng)絡(luò)帶寬是否滿足業(yè)務(wù)高峰期需求。

三、單元判定

如果1）-2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。

c) 應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址；

一、測(cè)評(píng)對(duì)象

路由器、交換機(jī)、無(wú)線接入設(shè)備和防火墻等提供網(wǎng)絡(luò)通信功能的設(shè)備或相關(guān)組件

二、測(cè)評(píng)實(shí)施

1) 應(yīng)核查是否依據(jù)重要性、部門(mén)、物理位置、業(yè)務(wù)功能等因素劃分不同的網(wǎng)絡(luò)區(qū)域；

2) 應(yīng)核查相關(guān)網(wǎng)絡(luò)設(shè)備配置信息，驗(yàn)證劃分的網(wǎng)絡(luò)區(qū)域是否與劃分原則一致。

三、單元判定

如果1）-2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。

四、高風(fēng)險(xiǎn)判例

判例內(nèi)容：應(yīng)按照不同網(wǎng)絡(luò)的功能、重要程度進(jìn)行網(wǎng)絡(luò)區(qū)域劃分，如存在重要區(qū)域與非重要網(wǎng)絡(luò)在同一子網(wǎng)或網(wǎng)段的，可判定為高風(fēng)險(xiǎn)。

適用范圍：所有系統(tǒng)。

滿足條件（任意條件）：1、涉及資金類交易的支付類系統(tǒng)與辦公網(wǎng)同一網(wǎng)段；2、面向互聯(lián)網(wǎng)提供服務(wù)的系統(tǒng)與內(nèi)部系統(tǒng)同一網(wǎng)段；3、重要核心網(wǎng)絡(luò)區(qū)域與非重要網(wǎng)絡(luò)在同一網(wǎng)段。

d) 應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段；

一、測(cè)評(píng)對(duì)象：

網(wǎng)絡(luò)拓?fù)?/p>

二、測(cè)評(píng)實(shí)施

1) 應(yīng)核查網(wǎng)絡(luò)拓?fù)鋱D是否與實(shí)際網(wǎng)絡(luò)運(yùn)行環(huán)境一致；

2) 應(yīng)核查重要網(wǎng)絡(luò)區(qū)域是否未部署在網(wǎng)絡(luò)邊界處；

3) 應(yīng)核查重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間是否采取可靠的技術(shù)隔離手段，如網(wǎng)閘、防火墻和設(shè)備訪問(wèn)控制列表（ACL）等。

三、單元判定

如果1）-3）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。

四、高風(fēng)險(xiǎn)判例

【互聯(lián)網(wǎng)邊界訪問(wèn)控制設(shè)備不可控】判例內(nèi)容：互聯(lián)網(wǎng)邊界訪問(wèn)控制設(shè)備無(wú)管理權(quán)限，且無(wú)其他邊界防護(hù)措施的，難以保證邊界防護(hù)的有效性，也無(wú)法根據(jù)業(yè)務(wù)需要或所發(fā)生的安全事件及時(shí)調(diào)整訪問(wèn)控制策略，可判定為高風(fēng)險(xiǎn)。

適用范圍：所有系統(tǒng)。

滿足條件（同時(shí)）：1、互聯(lián)網(wǎng)邊界訪問(wèn)控制設(shè)備無(wú)管理權(quán)限；2、無(wú)其他任何有效訪問(wèn)控制措施；3、無(wú)法根據(jù)業(yè)務(wù)需要或所發(fā)生的安全事件及時(shí)調(diào)整訪問(wèn)控制策略。

【互聯(lián)網(wǎng)邊界訪問(wèn)控制不當(dāng)】判例內(nèi)容：互聯(lián)網(wǎng)出口無(wú)任何訪問(wèn)控制措施，或訪問(wèn)控制措施配置失效，存在較大安全隱患，可判定為高風(fēng)險(xiǎn)。

適用范圍：所有系統(tǒng)。

滿足條件（任意條件）：

1、互聯(lián)網(wǎng)出口無(wú)任何訪問(wèn)控制措施。2、互聯(lián)網(wǎng)出口訪問(wèn)控制措施配置不當(dāng)，存在較大安全隱患。3、互聯(lián)網(wǎng)出口訪問(wèn)控制措施配置失效，無(wú)法起到相關(guān)控制功能。

【內(nèi)部網(wǎng)絡(luò)區(qū)域邊界訪問(wèn)控制不當(dāng)】判例內(nèi)容：辦公網(wǎng)與生產(chǎn)網(wǎng)之間無(wú)訪問(wèn)控制措施，辦公環(huán)境任意網(wǎng)絡(luò)接入均可對(duì)核心生產(chǎn)服務(wù)器和網(wǎng)絡(luò)設(shè)備進(jìn)行管理，可判定為高風(fēng)險(xiǎn)。

適用范圍：所有系統(tǒng)。

滿足條件（同時(shí)）：

1、辦公網(wǎng)與生產(chǎn)網(wǎng)之間無(wú)訪問(wèn)控制措施；2、辦公環(huán)境任意網(wǎng)絡(luò)接入均可對(duì)核心生產(chǎn)服務(wù)器和網(wǎng)絡(luò)設(shè)備進(jìn)行管理。

e) 應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備的硬件冗余，保證系統(tǒng)的可用性。

一、測(cè)評(píng)對(duì)象

網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)拓?fù)?/p>

二、測(cè)評(píng)實(shí)施

應(yīng)核查是否有關(guān)鍵網(wǎng)絡(luò)設(shè)備、安全設(shè)備和關(guān)鍵計(jì)算設(shè)備的硬件冗余（主備或雙活等）和通信線路冗余。

三、單元判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。

四、高風(fēng)險(xiǎn)判例

判例內(nèi)容：對(duì)可用性要求較高的系統(tǒng)，若網(wǎng)絡(luò)鏈路為單鏈路，核心網(wǎng)絡(luò)節(jié)點(diǎn)、核心網(wǎng)絡(luò)設(shè)備或關(guān)鍵計(jì)算設(shè)備無(wú)冗余設(shè)計(jì)，一旦出現(xiàn)故障，可能導(dǎo)致業(yè)務(wù)中斷，可判定為高風(fēng)險(xiǎn)。

適用范圍：對(duì)可用性要求較高的3級(jí)及以上系統(tǒng)。

滿足條件（同時(shí)）：1、3級(jí)及以上系統(tǒng)；2、系統(tǒng)可用性要求較高；3、關(guān)鍵鏈路、核心網(wǎng)絡(luò)設(shè)備或關(guān)鍵計(jì)算設(shè)備無(wú)任何無(wú)冗余措施，存在單點(diǎn)故障。

安全子類--通信傳輸

a) 應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性；

一、測(cè)評(píng)對(duì)象：

提供校驗(yàn)技術(shù)或密碼技術(shù)功能的設(shè)備或組件

二、測(cè)評(píng)實(shí)施

1) 應(yīng)核查是否在數(shù)據(jù)傳輸過(guò)程中使用校驗(yàn)技術(shù)或密碼技術(shù)來(lái)保證其完整性；

2) 應(yīng)測(cè)試驗(yàn)證密碼技術(shù)設(shè)備或組件能否保證通信過(guò)程中數(shù)據(jù)的完整性。

三、單元判定

如果1）-2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。

四、高風(fēng)險(xiǎn)判例

判例內(nèi)容：對(duì)數(shù)據(jù)傳輸完整性要求較高的系統(tǒng)，數(shù)據(jù)在網(wǎng)絡(luò)層傳輸無(wú)完整性保護(hù)措施，一旦數(shù)據(jù)遭到篡改，可能造成財(cái)產(chǎn)損失的，可判定為高風(fēng)險(xiǎn)。

適用范圍：對(duì)數(shù)據(jù)傳輸完整性要求較高的3級(jí)及以上系統(tǒng)。

滿足條件（同時(shí)）：1、3級(jí)及以上系統(tǒng)；2、系統(tǒng)數(shù)據(jù)傳輸完整性要求較高；3、數(shù)據(jù)在網(wǎng)絡(luò)層傳輸無(wú)任何完整性保護(hù)措施。

b) 應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的保密性。

一、測(cè)評(píng)對(duì)象

提供密碼技術(shù)功能的設(shè)備或組件

二、測(cè)評(píng)實(shí)施

1) 應(yīng)核查是否在通信過(guò)程中采取保密措施，具體采用哪些技術(shù)措施；

2) 應(yīng)測(cè)試驗(yàn)證在通信過(guò)程中是否對(duì)數(shù)據(jù)進(jìn)行加密。

三、單元判定

如果1）-2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。

四、高風(fēng)險(xiǎn)判例

判例內(nèi)容：口令、密鑰等重要敏感信息在網(wǎng)絡(luò)中明文傳輸，可判定為高風(fēng)險(xiǎn)。

適用范圍：3級(jí)及以上系統(tǒng)。

滿足條件（同時(shí)）：1、3級(jí)及以上系統(tǒng)；2、設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用等口令、密鑰等重要敏感信息在網(wǎng)絡(luò)中明文傳輸；3、該網(wǎng)絡(luò)管控措施不到位，存在口令被竊取并遠(yuǎn)程登錄的風(fēng)險(xiǎn)。

安全子類--可信認(rèn)證

可基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。

一、測(cè)評(píng)對(duì)象

提供可信驗(yàn)證的設(shè)備或組件、提供集中審計(jì)功能的系統(tǒng)

二、測(cè)評(píng)實(shí)施

1) 應(yīng)核查是否基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證；

2) 應(yīng)核查是否在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證；

3) 應(yīng)測(cè)試驗(yàn)證當(dāng)檢測(cè)到通信設(shè)備的可信性受到破壞后是否進(jìn)行報(bào)警；

4) 應(yīng)測(cè)試驗(yàn)證結(jié)果是否以審計(jì)記錄的形式送至安全管理中心。

三、單元判定

如果1）-4）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。

安全子類--網(wǎng)絡(luò)架構(gòu)（云計(jì)算安全擴(kuò)展要求）

a) 應(yīng)保證云計(jì)算平臺(tái)不承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng)；

一、測(cè)評(píng)對(duì)象

云計(jì)算平臺(tái)和業(yè)務(wù)應(yīng)用系統(tǒng)定級(jí)備案材料。

二、測(cè)評(píng)實(shí)施

應(yīng)核查云計(jì)算平臺(tái)和云計(jì)算平臺(tái)承載的業(yè)務(wù)應(yīng)用系統(tǒng)相關(guān)定級(jí)備案材料，云計(jì)算平臺(tái)安全保護(hù)等級(jí)是否不低于其承載的業(yè)務(wù)應(yīng)用系統(tǒng)安全保護(hù)等級(jí)。

三、單元判定

1) 應(yīng)核查是否關(guān)閉了非必要的系統(tǒng)服務(wù)和默認(rèn)共享；

2) 應(yīng)核查是否不存在非必要的高危端口。

如果 1)~2) 均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-673691.html

b) 應(yīng)實(shí)現(xiàn)不同云服務(wù)客戶虛擬網(wǎng)絡(luò)之間的隔離；

一、測(cè)評(píng)對(duì)象

網(wǎng)絡(luò)資源隔離措施、綜合網(wǎng)管系統(tǒng)和云管理平臺(tái)。

二、測(cè)評(píng)實(shí)施

1) 應(yīng)核查云服務(wù)客戶之間是否采取網(wǎng)絡(luò)隔離措施；

2) 應(yīng)核查云服務(wù)客戶之間是否設(shè)置并啟用網(wǎng)絡(luò)資源隔離策略；

3) 應(yīng)測(cè)試驗(yàn)證不同云服務(wù)客戶之間的網(wǎng)絡(luò)隔離措施是否有效。

三、單元判定

如果 1)~3) 均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。

c) 應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求提供通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制的能力；

一、測(cè)評(píng)對(duì)象

防火墻、入侵檢測(cè)系統(tǒng)、入侵保護(hù)系統(tǒng)和抗APT系統(tǒng)等安全設(shè)備。

二、測(cè)評(píng)實(shí)施

1) 應(yīng)核查云計(jì)算平臺(tái)是否具備為云服務(wù)客戶提供通信傳輸、邊界防護(hù)、入侵防范等安全防護(hù)機(jī)制的能力；

2) 應(yīng)核查上述安全防護(hù)機(jī)制是否滿足云服務(wù)客戶的業(yè)務(wù)需求。

三、單元判定

如果 1)~2) 均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。

d) 應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求自主設(shè)置安全策略的能力，包括定義訪問(wèn)路徑、選擇安全組件、配置安全策略；

一、測(cè)評(píng)對(duì)象

云管理平臺(tái)、網(wǎng)絡(luò)管理平臺(tái)、網(wǎng)絡(luò)設(shè)備和安全訪問(wèn)路徑。

二、測(cè)評(píng)實(shí)施：

1) 應(yīng)核查云計(jì)算平臺(tái)是否支待云服務(wù)客戶自主定義安全策略，包括定義訪問(wèn)路徑、選擇安全組件、配置安全策略；

2) 應(yīng)核查云服務(wù)客戶是否能夠自主設(shè)置安全策略，包括定義訪問(wèn)路徑、選擇安全組件、配置安全策略。

三、單元判定

如果 1)~2) 均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。

e) 應(yīng)提供開(kāi)放接口或開(kāi)放性安全服務(wù)，允許云服務(wù)客戶接入第三方安全產(chǎn)品或在云計(jì)算平臺(tái)選擇第三方安全服務(wù)。

一、測(cè)評(píng)對(duì)象

相關(guān)開(kāi)放性接口和安全服務(wù)及相關(guān)文檔。

二、測(cè)評(píng)實(shí)施

1) 應(yīng)核查接口設(shè)計(jì)文檔或開(kāi)放性服務(wù)技術(shù)文檔是否符合開(kāi)放性及安全性要求。查看云平臺(tái)的接口設(shè)計(jì)文檔或開(kāi)放性服務(wù)技術(shù)文檔是否符合開(kāi)放性及安全性要求；

2) 應(yīng)核查云服務(wù)客戶是否可以接入第三方安全產(chǎn)品或在云計(jì)算平臺(tái)選擇第三方安全服務(wù)。檢查云服務(wù)客戶可以接入第三方安全產(chǎn)品或第三方安全服務(wù)包含哪些。

三、單元判定

如果 1)~2) 均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。

到了這里，關(guān)于等保測(cè)評(píng)--安全通信網(wǎng)絡(luò)--測(cè)評(píng)方法的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！