测评指标控制项网络架构通信传输a)应保证网络设备的业务处理能力满足业务高峰期需要;b)应保证网络各个部门的带宽满足业务高峰期需要;c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;e)应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性。a)应采用校验技术或密码技术保证通信过程中数据的完整性;b)应采用密码技术保证通信过程中敏感信息字段或整个报文的保密性。可信计算云安全扩展要求网络架构大数据扩展要求大数据平台可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验 证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将 验证结果形成审计记录送至安全管理中心。a) 应保证云计算平台不承载高于其安全保护等级的业务应用系统;b) 应实现不同云服务客户虚拟网络之间的隔离; c) 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力;d) 应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组 件、配置安全策略; e) 应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选 择第三方安全服务。a)应保证大数据平台不承载高于其安全保护等级的大数据应用。 b)应保证大数据平台的管理流量与系统业务流量分离。检查对象综合网管系统等网络拓扑网络管理员和网络拓扑路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件提供校验技术或密码技术功能的设备或组件提供密码技术功能的设备或组件云安全扩展要求大数据扩展要求网络结构和大数据平台网络结构和大数据平台提供可信验证的设备或组件、提供集中审计功能的系统云计算平台和业务应用系统定级备案材料网络资源隔离措施、综合网管系统和云管理平台防火墙、入侵检测系统、入侵保护系统和抗 APT 系统等安全设备云管理平台、网络管理平台、网络设备和安全访问路径相关开放性接口和安全服务及相关文档检查内容1)检查网络设计或验收文档,查看是否有满足主要设备业务处理能力需要的设计或描述。2)询问网络管理员是否发生过因主要设备处理能力不足而导致网络发生拥堵、阻断,并对业务系统正常运行产生影响的情况。3)在有监控环境的条件下,应通过监控平台查看主要设备主要主要设备在业务高峰期的资源(CPU、内存等一般不高于80%)使用情况;在无监控环境的情况下,在业务高峰期登录主要设备使用命令查看资源使用情况。【说明】控制项检查过程中明确为“主要设备”,个别对系统正常运行影响较小的设备(如终端接入交换机、带外管理设备等)性能不足,可弱化处理; 如果没有统计数据,以访谈为依据,如果未出现瓶颈情况,可以判定符合。1)检查网络各个部分的带宽是否满足业务高峰期需要。(如业务应用的高峰流量是多少,各个网络接入链路带宽是多少,是否有过网络带宽瓶颈的事件发生。)2)在有监控环境的条件下,应通过监控平台查看网络带宽在业务高峰期的使用情况;在无监控环境的情况下,在业务高峰期登录主要设备使用命令查看关键接口流量使用情况。(防火墙/IDS设备以系统监控界面的展示结果为主)1)检查划分了网段和VLAN,划分实际情况一致。2)根据网段功能,找到对应设备检查相应设置与规划vlan一致。1)重要网段不直接与外网或其他区域相连。2)重要网段设置有访问控制列表VLAN。1)提供主要网络设备、通信线路的硬件冗余或通过软件配置等技术手段提供系统的高可用性?1)对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息数据等采用校验技术或密码技术保证通信过程中数据的完整性。2) 计算数据的散列值,验证数据的完整性。1)对鉴别数据、重要业务数据,重要审计数据、重要配置数据、重要视频数据和重要个人信息数据等采用密码技术保证通信过程中数据的保密性。2)S...
