序号测评指标控制项检查对象安全通用要求1网络架构2综合网管系统等34网络拓扑5网络管理员和网络拓扑6通信传输78可信计算云安全扩展要求a)应保证网络设备的业务处理能力满足业务高峰期需要;路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件b)应保证网络各个部门的带宽满足业务高峰期需要;c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;e)应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性。a)应采用校验技术或密码技术保证通信过程中数据的完整性;提供校验技术或密码技术功能的设备或组件b)应采用密码技术保证通信过程中敏感信息字段或整个报文的保密性。提供密码技术功能的设备或组件可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验 证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将 验证结果形成审计记录送至安全管理中心。提供可信验证的设备或组件、提供集中审计功能的系统1网络架构2345工业控制系统安全扩展要求1室外控制设备2室外控制设备大数据安全扩展要求1大数据平台网络结构和大数据平台2网络结构和大数据平台a) 应保证云计算平台不承载高于其安全保护等级的业务应用系统;云计算平台和业务应用系统定级备案材料b) 应实现不同云服务客户虚拟网络之间的隔离; 网络资源隔离措施、综合网管系统和云管理平台c) 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力;防火墙、入侵检测系统、入侵保护系统和抗 APT 系统等安全设备d) 应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组 件、配置安全策略; 云管理平台、网络管理平台、网络设备和安全访问路径e) 应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选 择第三方安全服务。相关开放性接口和安全服务及相关文档室外控制设备物理防护a)室外控制设备应放置千采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体 或装置具有透风、散热、防盗、防雨和防火能力等;b)室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应急 处置及检修,保证设备正常运行。a)应保证大数据平台不承载高于其安全保护等级的大数据应用。 b)应保证大数据平台的管理流量与系统业务流量分离。检查方法推荐值安全通用要求云安全扩展要求1.检查防火墙、核心路由器、核心交换机、汇聚交换机的CPU、内存使用率(若有监控平台则看峰值情况);2.访谈管理员是否出现过因设备性能问题导致的网络瘫痪事件。1、根据访谈结果,未发现由于设备存在性能瓶颈而导致网络发生拥堵、阻断等情况; 2 系统的主要网络设备(如核心交换机、汇聚交换机、防火墙等)的业务处理能力(正常业务情况下,CPU、内存不超过80%)可基本满足业务需要。1.检查出口、核心交换、桌面接入带宽(检查网络设备、网线是否支持相应带宽);2.访谈管理员带宽是否满足业务需求,如果有监控平台或QOS则查看流量峰值。1、根据访谈结果,未发现接入网络和核心网络存在瓶颈; 2 系统应采取相应措施(如足够的接入带宽或完善的流量控制措施等)保障在高峰期(正常业务情况下,带宽占用率不超过90%)的业务运行需要。1.访谈管理员是否划分了网段和VLAN;2.检查划分情况是否与访谈情况相符;3.根据网段功能,找到对应机器检查是否与设置一致。1、按工作职能合理划分网络,如数据中心、总公司、XX分公司、IT部门、业务部门等; 2、按重要性合理划分网络,如管理区域、生产区域、办公区域等; 3、按所涉及信息的重要程度进行合理划分,如服务器区域、前置区域、DMZ区域、NAS存储区域等; 4、以上划分方式合理混合,不违背网络地址的划分原则。1.检查重要网段是否直接与外网或其他区域相连;2.检查重要网段是否设置有访问控...
