网络安全测评
一、网络安全测评概述
1、测评依据
(1)法律法规
《中华人民共和国网络安全法》(2017年6月1日实施)
《网络安全等级保护条例》(征求意见稿)
《信息安全等级保护管理办法》(公通字[2007]43号)
(2)技术标准
《网络安全等级保护定级指南》(报批稿)
《网络安全等级保护基本要求》(GB/T22239-2019)
《网络安全等级保护测评要求》(GB/T28448-2019)
《网络安全等级保护测评过程指南》(GB/T28449-2018)
二、测评实施
1、网络全局性测评
(1)安全通信网络
1.网络架构
【标准条款】
a)应保证网络设备的业务处理能力满足业务高峰期需要;
b)应保证网络各个部分的带宽满足业务高峰期需要
c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址
d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
2.通信传输
【标准条款】
a)应釆用校验技术或密码技术保证通信过程中数据的完整性
b)应采用密码技术保证通信过程中数据的保密性。
3.可信验证
【标准条款】
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
(2)安全区域边界
1.边界防护
【标准条款】
a)应保证跨越边界的访问和数据流通过边界设备提供的受控接日进行通信;
b)应能够对非授权设备私自联到内部网络的行为进行检查或限制;
c)应能够对内部用户非授权