现场测评指导书（三级）-安全通信网络.xlsxVIP

安全控制点 控制项 检查内容 检查方法 推荐值 判断标准 结果记录 符合情况 备注 权重

安全通用要求

网络架构 a）应保证网络设备的业务处理能力满足业务高峰期需要； 1）应核查业务高峰时期一段时间内主要网络设备的CPU使用率和内存使用率是否满足需要； 1）询问网络管理员是否发生过因网络设备处理能力不足而导致网络发生拥堵、阻断、设备宕机等，并对业务系统正常运行产生影响的情况； 1）根据访谈结果，未发现由于设备存在性能瓶颈而导致网络发生拥堵、阻断等情况； 如果1）~2）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。 个别对系统正常运行影响较小的设备（如终端接入交换机、带外管理设备等）出现性能不足的情况，可弱化处理。 0.7

2）应核查网络设备是否从未出现过因设备性能问题导致的宥机情况； 2）在有监控环境的条件下，应通过监控平台查看主要网络设备（如核心交换机、汇聚交换机、防火墙等）在业务高峰期的资源（CPU、内存等）使用情况；在无监控环境的情况下，在业务高峰期登陆网络设备使用查看资源使用情况。Cisco网络设备可使用showprocessmemory、showprocesscpu命令进行查看。 2）系统的主要网络设备（如核心交换机、汇聚交换机、防火墙等）的业务处理能力（zhengchangqing狂下，CPU、内存不超过90%）可基本满足业务需要。 如果没有统计数据，以访谈为依据，如果客户未出现瓶颈情况，可以判定符合。

3）应测试验证设备是否满足业务高峰期需求。

b）应保证网络各个部分的带宽满足业务高峰期需要； 1）应核查综合网管系统各通信链路宽带是否满足高峰期时段的业务流掀需要； 1）访谈网络管理员，询问网络各个部分的宽带是否满足业务应用的高峰流量是多少，各个网络接入链路宽带是多少，是否有过网络宽带瓶颈事件发生； 1）根据访谈结果，未发现接入网络和核心网络存在瓶颈； 如果1）和2）均肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。 因远程接入链路价格高昂，部分机构为减小开支和有效利用现有资源，可能会对进出口链路采用最大使用率原则，该情况下需分析采取的流量控制措施是否可满足被测系统在业务高峰期内的使用需求，如核查被测机构的《网络流量使用分析报告》等。 0.7

2）应测试验证网络宽带是否满足业务高峰期需要。 2）在监控环境的条件下，应通过监控平台查看网络宽带在业务高峰期的使用情况。 2）系统应采取相应措施（如足够的接入宽带或完善的流量控制措施等）保障在高峰期（正常业务情况下，带宽占用率不超过90%）的业务运行需要。

c）应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址； 1）应核查是否依据重要性、部门等因素划分不同的网络区域； 查看系统设计方案确定是否根据各部门的工作职能、重要性和所设计信息的重要程度等因素划分了不同网段（VLAN或安全域）。 1）按工作职能合理划分网络，如数据中心、总公司、xx分公司、IT部门、业务部门等； 符合：网络地址划分合理（不违背网络地址的划分原则：如数据中心网段用于数据中心相关设备；生产区域用于生产相关设备；服务区域用于相关服务器），且便于管理和控制，则判定为符合。 1

2）应核查相关网络设备配置信息，验证划分的网络区域是否与划分原则一致。 询问重要网段内是否部署其他系统主机，并综合分析其它系统带来的风险。 2）按重要性合理划分网络，如管理区域、生产区域、办公区域等； 部分符合：网络地址划分不合理（如不同部门交叉使用各自网络地址、生产区域网络部署非生产设备、同一网段内分布不同安全级别设备等）或不便于管理和控制的则判定为部分符合。

通过查看设备确认划分的VLAN信息及网段信息及情况（如核心交换机、防火墙等设备）。 3）按所涉及信息的重要程度进行合理划分，如服务器区域、前置区域、DMZ区域、NAS存储区域等； 不符合：网络地址划分不合理（如所有不同安全级别的设备均位于同一网段等），且不便于管理和控制，则判定为不符合。

4）以上划分方式合理混合，不违背网络地址的划分原则。

d）应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段； 1）应核查网络拓扑图是否与实际网络运行环境一致； 1）检查网络拓扑图，确认实际运行情况与拓扑图保持一致； 1）拓扑图与实际运行环境一致； 如果1）~3）均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。 1

2）应核查重要网络区域是否未部署在网络边界处； 2）查看重要网段是否直接部署在网络边界； 2）重要网段