网络安全等级保护测评要求 第1部分：安全通用要求

第三级测评要求  二、网络和通信安全

2.1　网络架构

2.1.1　测评单元（L3-NCS1-01）

a)       测评指标

应保证网络设备的业务处理能力满足业务高峰期需要；

2.1.2　测评单元（L3-NCS1-02）

a)       测评指标

应保证网络各个部分的带宽满足业务高峰期需要；

2.1.3　测评单元（L3-NCS1-03）

a)       测评指标

应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；

2.1.4　测评单元（L3-NCS1-04）

a)       测评指标

应避免将重要网络区域部署在网络边界处且没有边界防护措施；

2.1.5　测评单元（L3-NCS1-05）

a)       测评指标

应提供通信线路、关键网络设备的硬件冗余，保证系统的可用性。

2.2　通信传输

2.2.1　测评单元（L3-NCS1-06）

a)       测评指标

应采用校验码技术或加解密技术保证通信过程中数据的完整性；

2.2.2　测评单元（L3-NCS1-07）

a)       测评指标

应采用加解密技术保证通信过程中敏感信息字段或整个报文的保密性。

2.3　边界防护

2.3.1　测评单元（L3-NCS1-08）

a)       测评指标

应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信；

2.3.2　测评单元（L3-NCS1-09）

a)       测评指标

应能够对非授权设备私自联到内部网络的行为进行限制或检查；

2.3.3　测评单元（L3-NCS1-10）

a)       测评指标

应能够对内部用户非授权联到外部网络的行为进行限制或检查；

2.3.4　测评单元（L3-NCS1-11）

a)       测评指标

应限制无线网络的使用，确保无线网络通过受控的边界防护设备接入内部网络。

2.4　访问控制

2.4.1　测评单元（L3-NCS1-12）

a)       测评指标

应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；

2.4.2　测评单元（L3-NCS1-13）

a)       测评指标

应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；

2.4.3　测评单元（L3-NCS1-14）

a)       测评指标

应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；

2.4.4　测评单元（L3-NCS1-15）

a)       测评指标

应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；

2.4.5　测评单元（L3-NCS1-16）

a)       测评指标

应在关键网络节点处对进出网络的信息内容进行过滤，实现对内容的访问控制。

2.5　入侵防范

2.5.1　测评单元（L3-NCS1-17）

a)       测评指标

应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；

2.5.2　测评单元（L3-NCS1-18）

a)       测评指标

应在关键网络节点处检测和限制从内部发起的网络攻击行为；

2.5.3　测评单元（L3-NCS1-19）

a)       测评指标

应采取技术措施对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析；

2.5.4　测评单元（L3-NCS1-20）

a)       测评指标

当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

2.6　恶意代码防范

2.6.1　测评单元（L3-NCS1-21）

a)       测评指标

应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新；

2.6.2　测评单元（L3-NCS1-22）

a)       测评指标

应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。

2.7　安全审计

2.7.1　测评单元（L3-NCS1-23）

a)       测评指标

应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

2.7.2　测评单元（L3-NCS1-24）

a)       测评指标

审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

2.7.3　测评单元（L3-NCS1-25）

a)       测评指标

应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

2.7.4　测评单元（L3-NCS1-26）

a)       测评指标

审计记录产生时的时间应由系统范围内唯一确定的时钟产生，以确保审计分析的正确性；

2.7.5　测评单元（L3-NCS1-27）

a)       测评指标

应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。

2.8　集中管控

2.8.1　测评单元（L3-NCS1-28）

a)       测评指标

应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；

2.8.2　测评单元（L3-NCS1-29）

a)       测评指标

应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理；

2.8.3　测评单元（L3-NCS1-30）

a)       测评指标

应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；

2.8.4　测评单元（L3-NCS1-31）

a)       测评指标

应对分散在各个设备上的审计数据进行收集汇总和集中分析；

2.8.5　测评单元（L3-NCS1-32）

a)       测评指标

应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；

2.8.6　测评单元（L3-NCS1-33）

a)       测评指标

应能对网络中发生的各类安全事件进行识别、报警和分析。

看了三级测评要求中网络和通信安全的相关技术要求，不得不等最大的感觉就是测评对象、测评指标更具体了，此次2.0中在多个测评对象中明确提出具体的测评对象，如入侵检测系统、综合安全审计系统、APT、UTM等等非常具体的设备。另外此次2.0中也有一些原先1.0没有的要求，比如说增加了针对新型网络攻击行为的分析，增加了对垃圾邮件的检测和防护要求，多个测评点强调了对安全策略、安全事件、相关设备状态等进行集中管理与监测，以前在等保1.0也要求建立统一的安全管理中心，但是是在管理层面的要求，2.0是要求落实在技术措施上，不得不等预计未来的安全整改建设这几个点都需要进行补强。APT、反垃圾邮件、SOC将成为未来安全建设的标配。