52.网络安全等级保护测评2.0作业指导书（安全通信网络）V1.0.xlsxVIP

序号 测评指标 控制项 检查对象 检查方法 推荐值 判断标准

安全通用要求

1 网络架构 a)应保证网络设备的业务处理能力满足业务高峰期需要； 路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件 1.检查防火墙、核心路由器、核心交换机、汇聚交换机的CPU、内存使用率（若有监控平台则看峰值情况）；

2.访谈管理员是否出现过因设备性能问题导致的网络瘫痪事件。

1、根据访谈结果，未发现由于设备存在性能瓶颈而导致网络发生拥堵、阻断等情况；

2系统的主要网络设备(如核心交换机、汇聚交换机、防火墙等)的业务处理能力（正常业务情况下，CPU、内存不超过80%）可基本满足业务需要。 符合：1、2都符合时结果为符合；部分符合：1或2符合时结果为部分符合；不符合：其他情况为不符合。

2 b)应保证网络各个部门的带宽满足业务高峰期需要； 综合网管系统等 1.检查出口、核心交换、桌面接入带宽（检查网络设备、网线是否支持相应带宽）；

2.访谈管理员带宽是否满足业务需求，如果有监控平台或QOS则查看流量峰值。 1、根据访谈结果，未发现接入网络和核心网络存在瓶颈；2系统应采取相应措施（如足够的接入带宽或完善的流量控制措施等）保障在高峰期（正常业务情况下，带宽占用率不超过90%）的业务运行需要。 符合：1、2都符合时结果为符合；部分符合：1或2符合时结果为部分符合；不符合：其他情况为不符合。

3 c)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址； 路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件 1.访谈管理员是否划分了网段和VLAN；

2.检查划分情况是否与访谈情况相符；

3.根据网段功能，找到对应机器检查是否与设置一致。 1、按工作职能合理划分网络，如数据中心、总公司、XX分公司、IT部门、业务部门等；2、按重要性合理划分网络，如管理区域、生产区域、办公区域等；3、按所涉及信息的重要程度进行合理划分，如服务器区域、前置区域、DMZ区域、NAS存储区域等；4、以上划分方式合理混合，不违背网络地址的划分原则。 符合：网络地址划分合理（不违背网络地址的划分原则：如数据中心网段用于数据中心相关设备；生产区域用于生产相关设备；服务器区域用于相关服务器），且便于管理和控制，则判定为符合；部分符合：网络地址划分不合理（如不同部门交叉使用各自网络地址、生产区域网络部署非生产设备、同一网段内分布不同安全级别设备等）或不便于管理和控制的则判定为部分符合；不符合：网络地址划分不合理（如所有不同安全级别的设备均位于同一网段等），且不便于管理和控制，则判定为不符合。

4 d)应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段； 网络拓扑 1.检查重要网段是否直接与外网或其他区域相连；

2.检查重要网段是否设置有访问控制列表或VLAN。 1、重要网段应不位于网络边界；2、对其采取了可靠的访问控制策略，可有效避免非授权访问。 符合：1、2都符合时结果为符合；部分符合：1或2符合时结果为部分符合；不符合：其他情况为不符合。

5 e)应提供通信线路、关键网络设备的硬件冗余，保证系统的可用性。 网络管理员和网络拓扑 a)应访谈网络管理员，询问是否提供主要网络设备、通信线路的硬件冗余；b)应检查主要网络设备、主要通信线路是否采用硬件冗余、软件配置等技术手段提供系统的高可用性。 a)主要网络设备、通信线路硬件冗余；b）主要网络设备、主要通信线路硬件冗余措施有效。 符合：a）b）均符合或b）符合，则结果为符合；部分符合：b）部分符合，则结果为部分符合；不符合：其他情况为不符合。

6 通信传输 a)应采用校验技术或密码技术保证通信过程中数据的完整性； 提供校验技术或密码技术功能的设备或组件 1)应核查是否在数据传输过程中使用校验技术或密码技术来保证其完整性；2）应测试验证密码技术设备或组建是否保证通信过程中数据的完整性。 1)网络采用了校验码或密码技术保证通信过程中数据的完整性；2）保护措施有效。 符合：1）2）均符合，则结果为符合；部分符合：1）或2）符合，则结果为部分符合；不符合：其他情况为不符合。

7 b)应采用密码技术保证通信过程中敏感信息字段或整个报文的保密性。 提供密码技术功能的设备或组件 1)应核查是否在通信过程中采取保密措施，具体采用哪些技术措施；2)应测试验证在通信过程中是否对数据进行加密。 1)网络采用了技术手段对通信过程中的敏感信息字段或整个报文进行加密；2）保护措施有效。 符合：1）2）均符合，则结果为符合；部分符合：1）或2）符合，则结果为部分符合；不符合：其他情况为不符合