权重赋值
1
房和办公场地应选择在具有防
L3-PES1-01
记录类文档和机
房
机房场地所在的建筑物要具有防震、防风和防雨等
的能力
访谈,检查。1 应核查所在建筑物是否具有建筑抗
震设防审批文档 2 应核查机房是否不存在雨水
渗漏 3 应核查机房门窗是否不存在因风导致的尘
土验证 4 核查屋顶、墙体、门窗和地面是否有破
1) 机房具有验收文档
2) 天花板、窗台下无水渗漏的现象
3) 机房无窗户,有窗户且做了防护措施
4) 现场观测屋顶、 墙体、门窗和地面等无开裂的情况
现场、设计文档、机房验收文档
0.2
2
地下室,否则应加强防水和防
L3-PES1-02 机房
机房场地要避免设置在建筑物的顶层或地下室。如
果因为某些原因无法避免时,设置在建筑物顶层或
地下室的机房需要加强防水和防潮措施
室,若位于顶层或地下室,应核查机房是否采取防
1) 非建筑物顶层或地下室
2) 在顶层或地下室的,做了严格的防水防潮措施
0.5
物理访问
控制
8.1.1.2
3
机房出入口应配置电子门禁系统,
控制、鉴别和记录进入的人员。
L3-PES1-03
机房电子门禁系
统
为防止非授权人员进入机房,需要安装电子门禁系
统对机房及机房内区域的出入人员实施访问控制,
避免由于非授权人员的擅自进入,造成系统运行中
断、设备丢失或损坏、数据被窃取或篡改,并可利
用系统实现对人员进入情况的记录
访谈,检查。1 核查是否安排专人值守或配置电子
门禁系统 2 核查相关记录是否能够控制、鉴别和
记录进入的人员
1) 机房出入口是配备电子门禁
2) 电子门禁系统工作正常,可对进出人员进行鉴别
《人员进出表》和门禁系统
1
4
将设备或主要部件进行固定,
L3-PES1-04
机房设备或主要
部件
对于安放在机房内用于保障系统正常运行的设备或
主要部件需要进行固定,并设置明显的不易除去的
标记用于识别
定 2 核查机房内设备或主要部件上是否设置了明
1) 机房内设备均放置在机柜或机架,并已固定
2) 设备或主要部件均设置了不易除去的标识、 标志,如使用粘贴方式则
不能有翘起
0.2
5
应将通信线缆铺设在隐蔽安全处。 L3-PES1-05 机房通信线缆
核查。核查机房内的通信线缆是否敷设在隐蔽安全
处,如桥架中
机房通信线缆铺设在线槽或桥架里
0.5
6
设置机房防盗报警系统或设置
L3-PES1-06
统或视频监控系
机房需要安装防盗报警系统,或在安装视频监控系
统的同时安排专人进行值守,防止盗窃和恶意破坏
行为的发生
人值守的视频监控系统 2 核查放到报警系统或
1) 机房内配置了防盗报警系统或专人值守的视频监控系统
2)现场观测时监控系统正常工作
1
7
L3-PES1-07 机房
在机房内对机柜、各类设施和设备采取接地措施,
防止雷击对电子设备产生损害
机房内所有机柜、 设施和设备等均已采取了接地的控制措
施
0.5
8
采取措施防止感应雷,例如设
L3-PES1-08 机房防雷设施
在机房内安装防雷保安器或过压保护等装置 , 防止
感应雷对电子设备产生损害
查防雷设施是否通过验收或国家有关部门的技术检
1) 机房内设置了防感应雷措施,如设置了防雷感应器、 防浪涌插座等
2) 防雷装置通过了国家有关部门的技术检测
0.7
9
自动检测火情、自动报警,并
L3-PES1-09 机房防火措施
机房内需要设置火灾自动消防系统,可在发生火灾
时进行自动检测、报警和灭火,如采用自动气体消
防系统、自动喷淋消防系统等
2 核查火灾自动消防系统是否可以自动检测火情、
1) 机房内设置火灾自动消防系统
2) 现场观测时火灾自动消防系统工作正常
1
10
房及相关的工作房间和辅助房
L3-PES1-10 机房验收类文档
机房内需要采用具有耐火等级的建筑材料,防止火
灾的发生和火势蔓延
核查。核查机房验收文档是否明确建筑材料的耐火
等级
机房所有材料为耐火材料, 如使用墙体、 防火玻璃等,但使用金属栅栏
的不能算符合
0.2
11
对机房划分区域进行管理,区
L3-PES1-11
机房管理员和机
房
机房内需要进行区域划分并设置隔离防火措施,防
止水灾发生后火势蔓延
访谈和核查。1 访谈机房管理员是否进行了区域
划分 2 核查各区域间是否采取防火措施进行隔离
1) 机房进行了区域划分, 如过渡区、主机房
2) 区域间部署了防火隔离装置
0.7
12
采取措施防止雨水通过机房窗
L3-PES1-12 机房
机房内需要采取防渗漏措施,防止窗户、屋顶和墙
壁存在水渗透情况
核查。核查窗户、屋顶和墙壁是否采取防水渗漏的
机房采取了防雨水渗透的措施,如封锁了窗户并采取了防水、屋和墙壁均
采取了防雨水渗透的措施
0.5
13
采取措施防止机房内水蒸气结
L3-PES1-13 机房
机房内需要采取防结露和排水措施,防止水蒸气结
露和地面产生积水
施 2 核查机房是否采取排泄地下积水、防止地
1) 机房内配备了专用的精密空调来防止水蒸气结露的控制措施
2) 机房内部署了漏水检测装置,可以对漏水进行监控报警
0.5
14
安装对水敏 感的 检 测 仪表或
L3-PES1-14
机房漏水检测措
施
机房内需要布设对水敏感的检测装置,对渗水、漏
水情况进行检测和报警
核查。1 核查机房内是否安装了对水敏感的的检
测表或元件 2 核查防水检测和报警是否启用
1) 机房内部署了漏水检测装置,如漏水检测绳等
2) 检测和报警工作正常
0.5
15
L3-PES1-15 机房
机房内需要安装防静电地板或在地面采取必要的接
地措施 ,防止静电的产生
核查。1 核查防静电地板;2 核查接地防静电措施
1) 机房部署了防静电地板 2) 机房采用了接地的防静电措施 0.2
16
采取措施防止静电的产生,例
L3-PES1-16 机房
机房内需要配备静电消除器 E 佩戴防静电手环等消
除静电的设备。
核查。核查机房是否配备了防静电设备 机房配备了防静电设备
0.2
温湿度控
制
8.1.1.8
17
设置温、湿度自动调节设施,
房温、湿度的变化在设备运行
L3-PES1-17 机房温湿度设施
机房内需要安装温、湿度自动调节装置,如空调、
除湿机、通风机等,使机房内温、湿度的变化在适
宜设备运行所允许的范围之内。通常机房内适宜的
温度范围是 18~27℃,空气湿度范围是 35~75%
核查。1 核查配备专用空调;2 核查温湿度是否在
允许的范围之内。
1) 机房内配备了专用的精密空调
2) 机房内温湿度设置在 20-25, 湿度为 : 40%-60%
机房专用空调
1
18
在机房供电线路上配置稳压器
L3-PES1-18 机房供电设施
机房供电线路上需要安装电流稳压器和电压过载保
护装置 ,防止电力波动对电子设备造成损害
核查。核查机房配备稳压器和过电压防护设备
1) 机房的计算机系统供电线路上设置了稳压器和过电压防护设备
2) 现场观测时稳压器和过电压防护设备可正常工作
0.5
19
提供短期的备用电力供应,至
足主要设备在断电情况下的正
L3-PES1-19 机房供电设备
机房供电需要配备不间断电源 (UPS)或备用供电系
统,如备用发电机或使用第三方提供的备用供电服
务,防止电力中断对设备运转和系统运行造成损害
1 核查甲方是否配置ups等后备电源系统。2 核查
ups等后备电源系统是否满足设备在断电情况下的
正常运行要求。
1) 机房配备了UPS 后备电源系统
2) UPS能够满足短期断电时的供电要求
1
20
L3-PES1-20
机房供电需要使用冗余或并行的电力电缆线路,防
止电力中断对设备运转和系统运行造成损害
访谈和核查。核查机房内是否设置了冗余或并行
的电力电缆线路,从而为计算机系统供电
为机房配备了冗余的供电线路,如市电双路接入
1
21
源线和通信线缆应隔离铺设,
L3-PES1-21 机房线缆
机房内电源线和通信线缆需要隔离铺设在不同的管
道或桥架内, 防止电磁辐射和干扰对设备运转和系
统运行产生的影响
核查。核查机房电源线缆和通信线缆是否隔离铺设
机房内电源线缆和通信线缆隔离铺设,如通过线槽或桥架进行了隔离
0.2
22
对关键设备或关键区域实施电
L3-PES1-22
机房关键设备或
区域
机房内关键设备需要安放在电磁屏蔽机柜内或电磁
屏蔽区域内, 防止电磁辐射和干扰对设备运转和系
统运行产生的影响
核查。核查关键区域实施电磁屏蔽;是否为关键设
备配备电磁屏蔽
为关键设备采取了电磁屏蔽措施,如配备了屏蔽机柜或屏蔽机,关键设备
如加密机
1
23
保证网络设备的业务处理能力
L3-CNS1-01
路由器、交换机
、防火墙、无线
AP
为了保证主要网络设备具备足够处理能力,应定期
检查设备资源占用情况,确保设备的业务处理能力
具备冗余空间。
核查和测试/1、核查高峰期cpu和内存使用率是否
满足要求/2、核查设备性能问题/3、测试是否满足
业务高峰期需求
1) 设备 CPU和内存使用率峰值不大于 70%,通过命令核查相关使用情
况:
<Huawei>display cpu-usage
CPU Usage Stat , Cycle: 60 (Second)
CPU Usage :3% Max: 45%.
CPU Usage Stat. Time: 2?18 -05-26 16: 58:16
CPU utilization for five seconds: 15%: one
minute:15%: five minutes: 15%
<Huawei>display memory-usage
CPU utilization for five seconds: 15%: one
minute: 15%: five minutes: 15%
System Total Memory Is: 75312648 bytes
Total Memory Used Is: 45037704 bytes
Memory Using Percentage Is: 59%
2) 未出现宕机情况,网管平台未出现宕机告警日志,设备运行时间较长
:
<Huawei>display version
Huawei Versatile Routing Platform Software VRP (R) software,
Version 5. 130 (AR1200 V200ROO3C0O Copyright (C) 2011-2012
HUAWEI TECH Co., LTD
Huawei AR1220 Router uptime is 0 week, 0 day, 0
hour, 1 minute
MPU 0(Master) : uptime is 0 week,0 day, 0 hour, I minute
3) 业务高峰流量不超过设备处理能力的 70%
能够满足业务高峰需求
1
24
保证网络各个部分的带宽满足
L3-CNS1-02 综合网管系统
为了保证业务服务的连续性,应保证网络各个部分
的带宽满足业务高峰期需要。如果存在带宽无法满
足业务高峰期需要的情况,则需要在主要网络设备
上进行带宽配置,保证关键业务应用的带宽需求
核查和测试/1、核查网管系统带宽是否满足高峰时
段业务流量需要/2、测试网络带宽是否满足业务高
峰需求;
1) 在各个关键节点部署流量监控系统, 能够监测网络中的实时流量,部
署流量控制设备,在关键节点设备品置 QoS策略,对关健业务系统的流量
带宽进行控制
2) 节点设备配置了流量监管和流量整形策略 ;
流量监管配置 :
class-map :class-1
bandwidth percent 50
bandwidth 5000 (kbps ) max threshold 64 (packets)
class-map :class-2
bandwidth percent 15
bandwidth 1500 (kbps) max threshold 64 (packets)
流量整形配置 :
traffic classifier c1 operator or
if-match acl 3002
traffic behavior b1
remark local-precedence af3
traffic policy p1
classifier c1 behavior b1
interface gigabitethernet 3/0/0
traffic-policy p1 inbound
3) 各通信链路高峰流量均不大其带宽的 70%
1
25
划分不同的网络区域,并按照
管理和控制的原则为各网络区
L3-CNS1-03
路由器、交换机
、防火墙、无线
AP
根据实际情况和区域安全防护要求,应在主要网络
设备上进行 VLAN划分。VLAN 是一种通过将局域网
内的设备逻辑地而不是物理地划分成不同子网从而
实现虚拟工作组的新技术。不同 VLAN内的报文在传
输时是相互隔离的 , 即一个 VLAN内的用户不能和
其它 VLAN 内的用户直接通信,如果不同VLAN要进
行通信,则需要通过路由器或三层交换机等三层设
备实现
核查。1、核查是否划分不同的网络区域;2、核
查网络设备的配置信息是否跟区域划分原则一
致;
划分不同的网络区域, 按照方便管理和控制的原则为各网络区域分配
地址,不同网络区域之间应采取边界防护措施:
10 server active
20 user active
30 test active
99 management active
有防火墙及三层路由设备
1
26
避免将重要网络区域部署在边
,重要网络区域与其他网络区
L3-CNS1-04
网络管理员和拓
扑
为了保证等级保护对象的安全,应避免将重要网段
部署在网络边界处且直接连接外部等级保护对象,
防止来自外部等级保护对象的攻击。同时,应在重
要网段和其它网段之间配置安全策略进行访问控制
查重要网络区域是否未部署在网络边界/3、核查
重要网络区域与其他网络技术隔离,如网闸、防
火墙和访问列表控制
1) 网络拓扑图与实际网络运行环境一致
2)重要网络区域未部署在网络边界处
3) 在重要网络区域与其他网络区域之间部署了网闸、 防火墙等安全设
备实现了技术隔离
准入准出设备
1
27
提供通信线路、关键网络设备
键计算设备的硬件冗余,保证
L3-CNS1-05
网络管理员和拓
扑
本要求虽然放在“安全通信网络”分类中,实际是
要求整个网络架构设计需要冗余。为了避免网络设
备或通信线路出现故障时引起系统中断,应采用冗
余技术设计网络拓扑结构,以确保在通信线路或设
备故障时提供备用方案,有效增强网络的可靠性
核查。核查关键网络设备、安全设备和关键舍的
硬件冗余
采用 HSRP、VRRP 等冗余技术设计网络架构,确保在通信线路或设备
故障时网络不中断,有效增强网络的可靠性
冗余线路
1
28
采用校验技术或密码技术保证
L3-CNS1-06
提供密码技术的
设备或组件
为了防止数据在通信过程中被修改或破坏,应采用
校验技术或密码技术保证通信过程中数据的完整
性,这些数据包括鉴别数据、重要业务数据、重要
审计数据、重要配置数据、重要视频数据和重要个
人信息等
核查和测试。1 核查数据传输过程中使用校验技术
或密码技术保证完整性;2 测试验证密码设备或组
件保证通信中的数据完整性
1) 对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视
频数据和重要个人信息数据等采用校验技术或密码技术保证通信过程中数
据的完整性 ;
2) File ChecksumIntegrity Verifier 计算数据的散列值,验证数据的
完整性
ipsecVPN或SSLVPN
1
29
采用密码技术保证通信过程中
L3-CNS1-07
提供密码技术的
设备或组件
根据实际情况和安全防护要求,为了防止信息被窃
听,应采取技术手段对通信过程中的敏感信息字段
或整个报文加密,可采用对称加密、非对称
加密等方式实现数据的保密性
核查和测试。1 核查通信过程中采取的保密措施,
具体哪些技术措施;2 测试通信过程中的数据加密
1) 对鉴别数据、重要业务数据,重要审计数据、重要配置数据、重要视
频数据和重要个人信息数据等采用密码技术保证通信过程中数据的保密性
2)Sniffer. Wireshak 可以监视到信息的传送,但是显示的是加密报文
SSLVPN或IPSEC VPN
1
可信验证
8.1.2.3
30
基于可信根对计算设备的系统
导程序、系统程序、重要配置
和应用程序等进行可信验证,
应用程序的关键执行环节进行
可信验证,在检测到期可信性
破坏时进行报警,并将验证结
L3-CNS1-08
提供可信验证的
设备、提供集中
审计功能的系统
通信设备可能包括交换机、路由器或其他通信设备
等,通过设备的启动过程和运行过程中对预装软件
(包括系统引导程序、系统程序、相关应用程序和重
要配置参数)的完整性验证或检测,确保对系统引导
程序、系统程序、重要配置参数和关键应用程序的
篡改行为能被发现,并报警便于后续的处置动作
1核查是否基于可信根对通信设备的系统引导程序
、系统程序、重要配置参数和通信应用程序等进行
可信验证;2 核查是否在应用程序的关键执行环节
进行动态可信验证;3 应测试验证当检测到通讯设
备的可信性受到破坏时是否进行报警; 4 应测试
验证结果是否以审计记录的形式发送至安全管理中
心。
1) 通信设备、 交换机、路由器或其他通信设备具有可信根芯片或硬件
2) 启动过程基于可信根对系统引导程序、系统程序,重要配置参数和关
键应用程序等进行可信验证度量
3) 在检测到其可信性受到破坏后进行报警, 并将验证结果形成审计记录
送至安全管理中心
4) 安全管理中心可以接收设备的验证结果记录 (2.3)
0
31
保证跨越边界的访问和数据流
L3-ABS1-01
网闸、防火墙、
路由器、交换机
、无线接入网关
为了保障数据通过受控边界,应明确网络边界设
备,并明确边界设备物理端口,网络外连链路仅能
通过指定的设备端口进行数据通信
核查。1、核查网络边界部署访问控制设备;2、核
查设备配置信息是否指定端口进行跨越边界的网络
通信;3、应采用其他技术手段核查是否不存在不
存在其他未受控端口进行跨越边界的网络通信
1) 查看网络拓扑图,并比对实际的网络链路,确认网络边界设备及链路
接入端口无误
2) 通过相关命令显示设备端口、 Vlan 信息
interface IP-Address 0K?
Method Status Protocol
FastEehernet0/0 192.168.11.1 YES manual up up
FastEehernet0/1 192.168.12.1 YES manual up up
Vlan1 unassigned YES manual down down
(administratively )
显 示 路 由 信 息 IP route 0.0.0.0 0.0.0.0.192.168.12
3) 通过网络管理系统的自动拓扑发现功能,监控是否存在非授权的网络
出口链路 ; 通过无线嗅探器排查无线网络的使用情况, 确认无非授权
WiFi
防火墙和网闸
1
32
能够对非授权设备私自联到内
L3-ABS1-02 终端管理系统
设备的“非授权接入”可能会破坏原有的边界设计
策略,可以采用技术手段和管理措施对 “非授权接
入”行为进行检查。技术手段包括部署内网安全管
理系统,关闭网络设备未使用的端口,绑定 IP/MAC
地址等
核查。1、核查采用技术措施防止非授权设备接入
网络内部网络/2、核查路由器和交换机等闲置端口
关闭;
1) 非使用的端口均已关闭, 查看设备配置中是否存在如下类似配置:
Interface FastEthernet0/1 shutdown
2) 网络中部署的终端管理系统已启用, 且各终端设备均已有效部署,无
特权设备
3)IP/MAC 地址绑定结果, 查看设备配置中是否存在如下类似配置:
arp 10.10.10.1 0000.e268.9890 arpa
防火墙设置 通过桌面管理软件
够对内部网络用户私自连到外网
行为进行检查,准确定位位置,
对其进行有效阻断
0.5
33
能够对内部用户非授权联到外
L3-ABS1-03 终端管理系统
内网用户设备上的外部连接端口的“非授权外联“
行为也可能破坏原有的过界设计策略,可以通成内
网安全管理系统的非授权外联管控功能或者防非法
外联系统实现“非授权外联”行为的控制,由于内
网安全管理系统可实现包括非授权外连管控在内的
众多的管理功能,建议采用该项措施。通过对用户
非授权建立网络连接访问非可信网络的行为进行管
控,从而减少安全风险的引入
核查。核查采用技术措施防止内部用户存在非法外
联行为。
1) 网络中部署有终端安全管理系统, 或非授权外联管控系统
2) 网络中各类型终端设备均已正确部署了终端安全管理系统或外联管控
系统, 并启用了相关策略,如禁止更改网络配置,禁用双网卡、 USB接
口 . 、Mode、无线网络等
0.5
34
限制无线网络的使用,保证无
络通过受控的边界设备接入内
L3-ABS1-04
网络拓扑和无线
网络
为了防止未经授权的无线网络接入行为,无线网络应
单独组网并通过无线接入网关等受控的边界防护设
备接入到内部有线网络。同时,应部署无线网络管
控措施,对分非授权无线网络进行检测、屏蔽
核查;1、核查无线网络部署,是否单独组网后在
连接有线网络/2、核查无线网络通过受控的边界防
护设备接入到内部有线网络
1) 授权的无限网络通过无线接入网管, 并通过防火墙等访问控制设备接
入到有限网络。
无线网络使用了 1 信道, 防止设备间互相干扰; 使用 WPA2进行加
密 ; 且用户密码具备复杂度要求,如 : 口令长度 8 位以上,由数字、
字母、大小写及特殊字符组成
2) 通过无线嗅探器未发现非授权无线设备
无线管理
1
35
在网络边界或区域之间根据访
制策略设置访问控制规则,默
况下除允许通信外受控接口拒
L3-ABS1-05
网闸、防火墙、
路由器、交换机
、无线接入网关
应在网络边界或区域之间部署网闸, 防火墙、 路
由器、 交换机和无线接入网关等提供访问控制功能
的设备或相关组件,想据访问控制策略设置有效的
访问控制规则,访问控制规测采用白名单机制
核查/1、核查网络边界或区域部署访问控制设备并
启用访问控制策略/2、核查设备的最好一条访问控
制策略是否为禁用所有网络通信。
设备访问控制策略具体如下:
access-list 100 permit tcp 192.168.1.0 0.0.0.255 host
192.168.3.10 eq 3389
access-list 100 permit tcp 192.168.1.0 0.0.0. 255 host
192.168.3.11 eq 3389
access-list 100 deny ip any any
interface Gigabi tEthernet1/1
ip access-group 100 in
5防火墙
1
安全通信
网络
8.1.2
网络架构
8.1.2.1
边界防护
8.1.3.1
通信传输
8.1.2.2
安全物理
环境
8.1
防盗窃和
防破坏
8.1.1.3
防雷击
8.1.1.4
防火
8.1.1.5
防水和防
潮
8.1.1.6
防静电
8.1.1.7
电力供应
8.1.1.9
电磁防护
8.1.1.10
消防火灾报警系统 消防系统运行
记录、报警记录、定期检查和维修
记录
不间断电源系统
机房防盗报警系统、监控报警系统
《机房设计文档》
环控系统
机房设计方案
物理位置
的选择
8.1.1.1
5星 · 超过95%的资源 需积分: 49 180 浏览量
更新于2024-07-15
1
收藏 2.07MB PDF 举报 
