等保2.0通用部分 | 安全通信网络(三级)测评指导书
前言
2019年5月12日公安部发布了网络安全等级保护2.0,2019年12月1日执行,目前北京已执行等保2.0测评,北京自2019年10月1日起网安已不在收取等保1.0测评报告;
等保2.0发布至今已有半年之久,全国各大安全机构关于等保2.0介绍及解读可以说是普通盖地,今天天億换个角度给大家介绍一下等保2.0,等保2.0通用部分 安全通信网络(三级)测评方法及步骤。
8.1.2.1 网络架构
a)应保证网络设备的业务处理能力满足业务高峰期需要;
测评对象:
路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件。
测评方法及步骤:
1、应核查业务高峰时期一段时间内主要网络设备的CPU使用率和内存使用率是否满足需求;
2、应核查网络设备是否从未出现过因设备性能问题导致的宕机情况;
3、应测试验证设备是否满足业务高峰期需求。
b)应保证网络各个部分的带宽满足业务高峰期需要;
测评对象:
综合网管系统等;
测评方法及步骤:
1、应核查综合网管系统各通信链路宽带是否满足高峰时段的业务流量需要;
2、应测试验证网络带宽是否满足业务高峰期需求。
c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
测评对象:
路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件。
测评方法及步骤:
1、应核查是否依据重要性、部门等因素划分不同的网络区域;
2、应核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致。
d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离收到;
测评对象:
网络拓扑;
测评方法及步骤:
1、应核查网络拓扑图是否与实际网络运行环境一致;
2、应核查重要网络区域是否未部署在网络边界处;
3、应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段,如网闸、防火墙和设备访问控制列表(ACL)等。
e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
测评对象:
网络管理员和网络拓扑;
测评方法及步骤:
应核查是否有关键网络设备、安全设备和关键计算设备的硬件冗余(主备或双活)和通信线路冗余。
8.1.2.2 通信传输
a)应采用校验技术或密码技术保证通信过程中数据的完整性;
测评对象:
提供校验技术和密码技术功能的设备或组件;
测评方法及步骤:
1、应核查是否在数据传输过程中使用校验技术或密码技术保证其完整性;
2、应测试验证密码技术设备或组件能否保证通信过程中数据的完整性。
b)应采用密码技术保证通信过程中数据的保密性。
测评对象:
提供密码技术功能的设备或组件;
测评方法及步骤:
1、应核查是否在通信过程中采取保密措施,具体采用哪些技术措施;
2、应测试验证在通信过程中是否对数据进行加密。
8.1.2.3 可信验证
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
测评对象:
提供可信验证的设备或组件、提供集中审计功能的系统。
测评方法及步骤:
1、应核查是否基于可信对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证;
2、应核查是否在应用程序的关键执行环节进行动态可信验证;
3、应测试验证当检测到通信设备的可信性受到破坏后是否进行报警;
4、应测试验证结果是否以审计记录的形式送至安全管理中心。
