安全通信网络

1.网络架构

 a)应保证网络设备的业务处理能力满足业务高峰期需求；

【要求解读】确保网络设备和安全设备处理能力与带宽匹配

【实施方法】

1）通过综合网管平台或在业务高峰时段核查关键、重要设备的资源利用率。

2) 定期核查综合网管平台告警日志或设备运行时间等，确保设备不会因处理能力不足而导致过网络传输性能下降。

3)通讨核查设备的CPU和内存使用情况。以华为交换机为例，登录设备后输入命令“display cpu-usage查看交换机CPU使用情况，输入命令“display memory-usage”查看交换机内存使用情况。

4)核查重要设备的承载性能能否满足业务处理能力，如吞吐量、并发连接数和新建连接数等。

 b)应保证网络各个部分的带宽满足业务高峰期需要

【要求解读】为了保证业务服务的连续性，需要保证网络各个部分的带宽满足业务需要，尤其是满足业务高峰期需要如果存在带宽无法满足业务高峰期需要的情况，则需要在相关设备上进行带宽配置，保证关键业务应用的带宽需求。

【实施方法】

1)核查流量控制设备的安全策略或在相关设备上是否启用QoS配置。

2）通过综合网管平台查看或在业务高峰时段登录登录链路接入设备查看带宽使用率

3)各通信链路高峰流量均不大于其带宽的70%。

c)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址

【要求解读】需要根据系统重要性、部门架构和区域边界等因素合理规划不同的网络区域。通过在主要网络设备上进行VLAN划分实现网络区域划分及IP地址分配，不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN间需要进行通信，则需要通过防火墙、路由器或三层路由交换机等设备实现。

【实施方法】

1）根据部门工作职能、等级保护对象的重要程度等实际情况和区域安全防护要求，划分不同的网络区域，按照方便管理和控制的原则为各网络区域分配地址，不同网络区域之间应采取边界防护措施。

2) 核查相关网络设备，根据业务及管理需要是否划分VLAN

d)应避免将重要区域部署在边界处，重要网络区域和其他网络区域之间应采取可靠的技术隔离手段

【要求解读】为防止来自外部的直接网络攻击且直接连接外部网络。同时重要区域与系统边界之间需要设置缓冲区(DMZ)在重要区域前端需要部署可靠的边界防护设备并配置启用安全策略进行访问控制。

【实施方法】

1)网络拓扑图与实际网络运行环境一致。

2)重要网络区域未部署在网络边界处。

3) 在重要网络区域与其他网络区域之间部署了网闸、防火墙等安全设备实现了技术隔离

e)应提供通信线路、关键网络设备和关键设备的硬件冗余，保证系统的可用性

【要求解读】在网络通信过程中，各种软件或硬件错误都可能导致网络连接异常中断，造成数据传输失败。为了避免以上情况发生，网络采用冗余技术设计网络架构，关键节点设备及通信链路均元余部署，确保在通信线路或设备故障时网络不中断，有效保障网络的可靠性。

【实施方法】

1. 双通信链路、双链路负载、双防火墙、双核心交换机、双接入交换机
2. 应用负载、数据库集群、数据异地实时备份和本地数据备份

3)云计算平台

2.通信传输

a)应采用校验技术或密码技术保证通信过程中数据的完整性

b)应采用密码技术保证通信过程中数据的保密性

【要求解读】外部通信网络的安全防护主要通过虚拟专用网 (如IPSeC VPN和SSLVPN安全网关等) 和通信线路加密(如链路加密机等)等安全机制实现。内部安全通信的安全防护主要通过部署相关安全产品或应用软基于密码技术实现HTTPS和SSH等的安全访问件改造，实现通信过程中数据的完整性和保密性

【实施方法】

1)完整性:使用校验技术或密码技术，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等数据。

2）保密性:采用密码技术，包括但不限于鉴别数据、重要业务数据和重要个人信息等数据。

3)网络层面上常用的加密设备包括但不限于链路加密机、SSLVPN和IPSec VPN等。

4)兼顾考虑加密设备、组件和算法满足GB/T39786-2021《信息安全技术 信息系统密码应用基本要求》中相关安全要求。

3.可信验证

 a)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信根收到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

【要求解读】可信计算从理论上避免了因系统内存在脆弱性导致的应用侧安全问题，如安全漏洞等。限于可信计算技术和相关产品发展，标准要求为“可”实现，属于加强措施，具体建设工作可视实际需求来选择是否采用可信计算技术。

【实施方法】

1) 对于已有系统的存量网络通信设备通常采用外置模式植入TPCM可信根，同时依据不同的操作系统环境(如Linux、嵌入式和实时等操作系统) 选择与其匹配的可信软件基软件。外置式可信根板载方式、采用标准PCI-E或M.2卡实现等2种方式

2)新建场景的网络通信设备多采用CPU内置TPCM可信根或外接TPCM插卡方式构建可信插卡方式与已有系统可信改造相同