网络安全信息系统在完成定级确定后,需要依据等级测评要求,开发现场测评的测评指导书,用于指导测评人员开展现场测评工作。对于信息系统物理安全、安全管理、应用安全和各类设备的安全检查都可以制作成检查表格,在表格中列出现场所要等级测评的项目、具体操作步骤和方法等,在本书的附录中列出了部分网络设备、主机、管理等方面的检査表格范例供测评人员参考。另外,对现场测评过程中可能用到的测试工具,本书也做了简要介绍。
本文主要以三级系统S3A3G3测评为例,以举例的形式介绍等级测评指导书中所涉及的一些检査步骤和方法,为测评人员开发各类安全检查表格提供一种思路。(详见信创致远官网http://www.dengbao110.com/)
网络设备的种类很多,本文主要介绍最常用到的路由器和交换机两类设备的配置和检查方法,并以思科和华为网络设备为例进行说明。
(一)网络布局
1)结构安全
a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。
【描述】
为了保证主要网络设备具备足够的数据处理能力,应定期检査网络设备系统资源占用情况,确保网络设备的业务处理能力具备冗余空间。
【检查方法】
访谈网络管理员,询问信息系统中边界设备和主要网络设备的处理性能能否满足目前业务高峰流量的需求,询问采用何种技术手段对主要网络设备运行状态进行监控。
b)应保证网络各个部分的带宽满足业务高峰期需要。
【描述】
为了保证业务服务的连续性,应保证网络各个部分的带宽满足业务高峰期需要。如果存在带宽无法满足业务高峰期需要的情况,则需要在主要网络设备上进行带宽配置,保证关键业务应用的带宽需求。
【检查方法】
访谈网络管理员,询问网络各个部分的带宽是否满足业务高峰期需要。例如,询问业务应用的高峰流量是多少?各个网络接入链路带宽是多少?是否有过网络带宽瓶颈事件发生?
如果各个网络接入链路带宽无法满足业务高峰期需要,则需要在主要网络设备上进行带宽配置,保证关键业务应用的带宽需求。据此需要核查关键网络设备的配置信息是否存在相关的带宽配置。