---

前言

上期对GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》中第三级测评要求的安全测评通用要求的第一部分（安全物理环境）进行了解读，本期就安全测评通用要求第二部分（安全通信网络）进行解读。

---

一、网络架构

8.1.2.1 网络架构

8.1.2.1.1 测评单元（L3-CNS1-01）

该测评单元包括以下要求:
a）测评指标:应保证网络设备的业务处理能力满足业务高峰期需要。
b）测评对象:路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件。
c）测评实施包括以下内容：
  1）应核查业务高峰时期一段时间内主要网络设备的CPU使用率和内存使用率是否满足需要;
  2）应核查网络设备是否从未出现过因设备性能问题导致的宕机情况;
  3）应测试验证设备是否满足业务高峰期需求。
d）单元判定:如果1)~3)均为肯定,则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

1）一般来说，在业务高峰期主要网络设备的CPU内存最大使用率不宜超过70%；
不同品牌的网络设备配置查看命令不一样，比如华为交换机使用“display cpu-usage”查看交换机CPU状态，思科交换机使用“show processes cpu”查看交换机CPU状态，其它网络设备也同样使用相应的命令来查看等相关配置信息。当然，如果有SOC或者综合网管系统，也可以通过他们来查看主要网络设备的CPU、 内存的使用情况。

2）通过查看设备系统宕机/重启告警日志来检查近期是否宕机/重启过，如果有，询问的原因。也可以查看设备在线时长来判定近期是否有宕机/重启；

3）业务高峰流量不超过设备处理能力的70%。
设备处理能力包括CPU处理能力、内存等。

8.1.2.1.2 测评单元（L3-CNS1-02）

该测评单元包括以下要求:
a）测评指标:应保证网络各个部分的带宽满足业务高峰期需要。
b）测评对象:综合网管 系统等。
c） 测评实施包括以下内容:
  1）应核查综合网管系统各通信链路带宽是否满足高峰时段的业务流量需要;
  2）应测试验证网络带宽是否满足业务高峰期需求。
d） 单元判定:如果1)和2)均为肯定，则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

1）应访谈管理员高峰时段的流量使用情况，是否部署流量控制设备对关键业务系统的流量带宽进行控制，或在相关设备上启用QoS配置，对网络各个部分进行带宽分配，从而保证业务高峰期业务服务的连续性；
在关键节点部署流量监控系统，能够检测实时流量，部署流量控制设备，
在关键节点配置QoS策略，对关键业务熊的流量带宽进行控制。

2）测试验证（可以使用网页测试或者软件测试）网络各个部分的带宽是否满足业务高峰期需求，应保证各通信链路高峰流量均不大于其带宽的70%。

8.1.2.1.3 测评单元（L3-CNS1-03）

该测评单元包括以下要求:
a）测评指标:应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。
b）测评对象:路由器、交换机、无线接人设备和防火墙等提供网络通信功能的设备或相关组件。
c）测评实施包括以下内容:
  1）应核查是否依据重要性、部门等因素划分不同的网络区域;
  2）应核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致。
d）单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

1）应访谈网络管理员，是否依据部门的工作职能、等级保护对象的重要程度和应用系统的级别等实际情况和区域安全防护要求划分了不同的VLAN；

2）并核查相关网络设备配置信息，验证划分的网络区域是否与划分原则一致。
以Cisco IOS 为例，输入命令“show vlan brief”, 查看相关配置信息。

8.1.2.1.4 测评单元（L3-CNS1-04）

该测评单元包括以下要求:
a）测评指标:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
b）测评对象:网络拓扑。
c）测评实施包括以下内容:
  1）应核查网络拓扑图是否与实际网络运行环境一致;
  2）应核查重要网络区域是否未部署在网络边界处;
  3）应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段,如网闸、防火墙和设备访问控制列表(ACL)等。
d）单元判定:如果1)~3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

1）检查网络实际运行环境是否与提供的拓扑图一致，如不一致，则需要及时更新拓扑图；

2）检查重要网络区域（一般包含单位核心业务、核心数据处理和存放的地方）是否部署在网络边界处；

3）应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段,如网闸、防火墙和设备访问控制列表(ACL)等。比如查看内网和外网之间有采取有效的隔离手段。

8.1.2.1.5 测评单元（L3-CNS1-05）

该测评单元包括以下要求:
a）测评指标:应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性。
b）测评对象:网络管理员和网络拓扑。
c）测评实施:应核查是否有关键网络设备、安全设备和关键计算设备的硬件冗余(主备或双活等) 和通信线路冗余。
d）单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求，否则不符合本测评单元指标要求。

核查系统出口路由器、核心交换机、安全设备等关键设备是否有硬件冗余和通信线路冗余，保证系统的高可用性。或者查看网络架构是否采用HSRP（热备份路由协议）、VRRP（虚拟路由冗余协议）等冗余技术设计，这样可以确保在通信线路或设备故障时网络不中断，有效增强网络的可靠性。

二、通信传输

8.1.2.2 通信传输

8.1.2.2.1 测评单元（L3-CNS1-06）

该测评单元包括以下要求:
a）测评指标:应采用校验技术或密码技术保证通信过程中数据的完整性。
b）测评对象:提供校验技术或密码技术功能的设备或组件。
c）测评实施包括以下内容:
  1）应核查是否在数据传输过程中使用校验技术或密码技术来保证其完整性;
  2）应测试验证密码技术设备或组件能否保证通信过程中数据的完整性。
d）单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

1）检查是否在数据传输过程中使用校验技术或密码技术来保证其完整性；
传输过程中的完整性主要通过协议（比如TLS、SSH协议）来实现，通过MAC(消息校验码)来实现整个数据报文的完整性和加密性，因此，在测评中，如果采用TLS/SSL协议、SSH协议，默认其实应该是符合传输过程中的完整性要求的。

2）测试验证密码技术设备或组件能否保证通信过程中数据的完整性。
可以直接使用MD5校验器检查发送端文件和接收端文件的SHA1值是否一致，若一致，则说明符合完整性测试，否则，则不符合。一般测评时默认采用加密协议的就可以保证其完整性。这里的数据一般包括重要鉴别数据、重要业务数据、审计数据、重要配置数据、个人信息等等。

这里的测试思路分为两部：第一步，是否有相关设备或者技术保证数据传输过程的完整性；第二步，保障数据传输过程完整性措施是否有效。

8.1.2.2.2 测评单元（L3-CNS1-07）

该测评单元包括以下要求:
a）测评指标:应采用密码技术保证通信过程中数据的保密性。
b）测评对象:提供密码技术功能的设备或组件。
c）测评实施包括以下内容:
  1）应核查是否在通信过程中采取保密措施,具体采用哪些技术措施;
  2）应测试验证在通信过程中是否对数据进行加密。
d）单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

1）应核查是否在通信过程中采取保密措施,具体采用哪些技术措施；
检查数据传输过程中的保密性，主要核查是否采用TLS/SSL、SSH等加密协议,对于B/S架构的系统，一般查看网站域名是否是https打头即可，若是则符合.

2）应测试验证在通信过程中是否对数据进行加密。
测试通信过程是否对报文进行加密（如果不能保证整个报文的加密，至少密码等敏感信息字段需要加密），可以使用Sniffer、Wireshark 、Burpsuite等测试工具通过流量镜像等方式抓取网络中的数据,验证数据是否加密。
一般情况下如果采用https等加密协议，则默认符合数据传输过程保密性要求。

这里的测试思路分为两部：第一步，是否有相关设备或者技术保证数据保密性；第二步，验证数据保密性措施是否有效。

关于数据传输过程的完整性和保密性实现及验证，我在之前的文章里面有详细讲解，所以在这里只简单写了一些，想要了解更多的可以查看我之前写的《如何理解数据的保密性与完整性？如何保证数据的保密性与完整性？》。

三、可信验证

8.1.2.3 可信验证

8.1.2.3.1 测评单元（L3-CNS1-08）

该测评单元包括以下要求:
a）测评指标:可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
b）测评对象:提供可信验证的设备或组件、提供集中审计功能的系统。
c）测评实施包括以下内容:
  1）应核查是否基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证;
  2）应核查是否在应用程序的关键执行环节进行动态可信验证;
  3）应测试验证当检测到通信设备的可信性受到破坏后是否进行报警;
  4）应测试验证结果是否以审计记录的形式送至安全管理中心。
d）单元判定:如果1)~4)均为肯定，则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

1）检查路由器、交换机等其他通信设备是否具有可信根芯片或可信硬件，如果有，则符合;

2）检查应用程序启动过程是否基于可信根对系统引导程序、系统程序、重要配置参数和关键应用程序进行可信验证度量，如果有，则符合;

3）检查通信设备的可信性受到破坏后是否进行报警，如果有报警，则符合;

4）应测试验证结果是否以审计记录的形式送至安全管理中心。这里的测试验证结果指的是可信验证的结果（无论验证结果是成功还是失败）。

总结

---

本期就GB/T 28448-2019三级系统中的安全通信网络测评进行了简单的解读，有不对的地方，欢迎指正。下期将对安全区域边界进行解读。

——————————————-----------------——