通用要求

1.网络架构

1）应保证网络设备的业务处理能力满足业务高峰期需要。

设备CPU和内存使用率的峰值不大于设备处理能力的70%。

在有监控环境的条件下，应通过监控平台查看主要设备在业务高峰期的资源（CPU、内存等）使用 情况；在无监控环境的情况下，在业务高峰期登录主要设备使用命令查看资源使用情况。

设备操作：

1.Cisco:

r1# show process**[lc1] **es （查看cpu使用情况）

CPU utilization for five seconds: 0%/0%; one minute: 0%; five minutes: 0%

PID QTy PC Runtime (ms) Invoked uSecs Stacks TTY Process

1 Csp 602F3AF0 0 1627 0 2600/3000 0 Load Meter

Router#show processes memory**（ 查看内存使用情况）**

2. HUAWEI/H3C:

display memory （查看内存使用情况）

display cpu-usage （查看 CPU使用率）

TaskName CPU Runtime(CPU Tick High/Tick Low)[lc2] Task Explanation

BOX 0% 0/ 25a0ca0 BOX Output

_TIL 0% 0/ 0 Infinite loop event task

VCLK 0% 0/ 3a168b6

TICK 0% 0/ 6c3c644

co0 0% 0/ 51ba7e co0 Line user's task

U0 0% 0/ 0 U0 user command process

查看运行时间：display version

[RTD]display version

H3C Comware Software, Version 7.1.064, Release 0427P22[lc3]

Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.

H3C MSR36-20 uptime is 0 weeks, 0 days, 0 hours, 16 minutes[lc4]

Last reboot reason: User reboot

Boot image: flash:/msr36-cmw710-boot-r0424p22.bin[lc5]

Boot image version: 7.1.064, Release 0427P22

Compiled Mar 16 2021 15:00:00

Boot image: flash:/msr36-cmw710-system-r0424p22.bin

CPU ID: 0x2

512M bytes DDR3 SDRAM Memory[lc6]

1024M bytes Flash Memory[lc7]

PCB Version: 2.0[lc8]

CPLD Version: 1.0[lc9]

Basic BootWare Version: 1.42[lc10]

Extended BootWare Version: 1.42

**3.**锐捷:

show memory slot （查看内存使用情况）

show cpu （查看CPU使用率）

show memory summary

Memory statistics are measured in KB:

CPU Total Used Free Buffers Caches FreeRatio

0 511828 268692 243136 2232 75712 58.5%

CPU：表示不同的CPU或处理器编号。在这里，CPU编号为0，表示仅有一个CPU或处理器。

Total：表示总内存量，以千字节（KB）为单位。在这里，总内存量为511,828 KB。

Used：表示已使用的内存量，以千字节（KB）为单位。在这里，已使用的内存量为268,692 KB。

Free：表示可用的空闲内存量，以千字节（KB）为单位。在这里，可用的空闲内存量为243,136 KB。

Buffers：表示用于缓冲区的内存量，以千字节（KB）为单位。在这里，用于缓冲区的内存量为2,232 KB。

Caches：表示用于缓存的内存量，以千字节（KB）为单位。在这里，用于缓存的内存量为75,712 KB。

FreeRatio：表示可用内存的比率或百分比。在这里，可用内存的比率为58.5%。

**4.**中兴：

show process

show memory

2）应保证网络各个部分的带宽满足业务高峰期需要。

(1)询问互联网出口、核心交换机、接入交换机带宽和带宽利用率是多少。

(2)核查综合网管系统在业务高峰期的带宽占用情况，分析是否满足业务需求。如果无法满足业务高峰期需要，则要在主要网络设备上进行带宽配置。

各通信链路的高峰期流量均不高于其带宽的70%。

(3)测试验证网络各个部分的带宽是否满足业务高峰期需要。

show class-map

3）应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址。

show vlan brief

这里主要是查看网络拓扑图，看是否划分VLAN，例如划分了服务器区，客户区，管理区，互联网接入区等。

4）应避免将重要网络区域部署在边界处，重要网络区域与其他区域之间应采取可靠的技术隔离手段。

【测评方法】

（1 ）核查网络拓扑图是否与实际网络运行环境一致[lc11] 。

思科可通过tracert、traceroute、show cdp nei等命令测试实际网络连接是否与拓扑图一致。

（2）核查重要网络区域是否部署在网络边界处（应为未部署在网络边界处），以及在网络区域边界处是否部署了安全防护措施。

（3）核查重要网络区域与其他网络区域（例如应用系统区、数据库系统区等重要网络区域）之间是否采取了可靠的技术隔离手段，以及是否部署了网闸、防火墙和设备访问控制列表（ACL）[lc12] 等。

5）应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性。

这点主要看是否对核心区域配置双机冗余。

核查系统的出口路由器、核心交换机、安全设备等关键设备是否有硬件冗余和通信线路冗余来保证系统的高可用性。

6）)应按照业务服务的重要程度分配带宽，优先保障重要业务。

2.通信传输

1）应采用校验技术或密码技术保证通信过程中数据的完整性。

这里的完整性主要看系统是否采用了SSH、HTTPS、FTPS等协议，有任意一个即可；保密性主要看 系统是否采用了类似VPN[lc13] 的协议

［测评方法】

（1）核查是否在传输过程中使用校验技术或密码技术来保证数据的完整性。

（2）测试验证设备或组件是否能够保证通信过程中数据的完整性。例如，使用File

Checksum Integrity Verifier （适用于 MD5、SHA1 算法）、SigCheck （适用于数字签名）等

工具对数据进行完整性校验。

2）应采用密码技术保证通信过程中数据的保密性。

同上。

3. 可信验证

3）可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

(1)核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和关键应

用程序等进行了可信验证[lc14] 。

通信网络中的可信验证一般都是 通过部署堡垒机完成的，例如第一点中，用户修改重要配置参数的时候可以通过堡垒机进行不同级 别的控制（拒绝、记录等）

(2)核查是否在应用程序的关键执行环节进行了动态可信验证。

关键执行环节类似format c: \q[lc15] 之类的操作也可以 进行控制；

(3 )测试验证在检测到设备的可信性受到破坏后是否能进行报警。

在用户做出异常操作后，堡垒机应该可以进行报警（email、短信）

(4 )核查测试验证结果是否以审计记录的形式被送至安全管理中心。

审计记录要统一保存

扩展要求

[lc1]r1#show processes

CPU utilization for five seconds: 0%/0%; one minute: 0%; five minutes: 0%

PID QTy PC Runtime (ms) Invoked uSecs Stacks TTY Process

1 Csp 602F3AF0 0 1627 0 2600/3000 0 Load Meter

CPU utilization for five seconds: 0%/0%：表示在过去的五秒钟内，CPU的利用率为0%。0%/0%的格式表示活动/总共的CPU利用率，这里的活动利用率为0%。

One minute: 0%：表示在过去一分钟内，CPU的平均利用率为0%。

Five minutes: 0%：表示在过去五分钟内，CPU的平均利用率为0%。

PID：进程标识符（Process ID），用于唯一标识每个进程。

QTy：进程的类型。常见的类型包括 Csp（控制平面进程），Lwe（低优先级后台进程），Lst（低优先级任务进程），Cwe（控制平面后台进程），Mst（管理进程）等。

PC：进程的程序计数器（Program Counter），指向下一条将要执行的指令的地址。

Runtime (ms)：进程在最近的一次运行中消耗的时间，以毫秒为单位。

Invoked：进程被调用或执行的次数。

uSecs：每次调用或执行进程所消耗的平均时间，以微秒为单位。

Stacks：进程使用的堆栈大小，以当前/最大堆栈大小的格式显示。

TTY：进程所关联的终端（终端设备）。

Process：进程的名称或标识。

[lc2]运行时间为0/25a0ca0表示任务在CPU上运行的时间，其中25a0ca0是一个十六进制数。在这种表示方式中，任务的运行时间通常分为两部分：高位和低位。

高位（25a0）表示任务已经运行的时间的较高部分，低位（ca0）表示任务已经运行的时间的较低部分。这种表示方式通常用于跟踪较长时间运行的任务或需要精确记录任务运行时间的场景。

具体到这个任务，它的运行时间为0/25a0ca0，意味着任务在CPU上尚未运行，即任务还没有消耗任何CPU周期。一旦任务开始运行，它的运行时间将会逐渐增加，直到达到25a0ca0这个数值。

[lc3]H3C Comware Software, Version 7.1.064, Release 0427P22: 这是设备正在运行的操作系统的版本信息。操作系统是 H3C Comware Software，版本号为 7.1.064，发布版本为 0427P22。

[lc4]H3C MSR36-20 uptime is 0 weeks, 0 days, 0 hours, 16 minutes: 这表示设备 MSR36-20 已经运行了 0 周，0 天，0 小时，16 分钟，即设备的正常运行时间。

[lc5]Boot image: flash:/msr36-cmw710-boot-r0424p22.bin: 这是设备启动时使用的引导镜像文件的路径和文件名。

[lc6]512M bytes DDR3 SDRAM Memory: 这是设备的内存容量，512MB DDR3 SDRAM。

DDR3 SDRAM（Double Data Rate 3 Synchronous Dynamic Random-Access Memory）是一种计算机内存类型，属于同步动态随机存取存储器（SDRAM）的一种。它是DDR（Double Data Rate）技术的第三代版本。

DDR3 SDRAM在计算机系统中用于存储数据和程序，供处理器和其他组件读取和写入数据。它的主要特点包括：

高频率：DDR3 SDRAM采用了高频率时钟和数据传输技术，能够提供更高的数据传输速率和带宽。

高密度：DDR3 SDRAM支持较大的存储容量。

低功耗：DDR3 SDRAM相对于之前的DDR2和DDR SDRAM采用了更低的工作电压。

数据预取和双倍数据传输：DDR3 SDRAM利用了数据预取和双倍数据传输技术，能够在每个时钟周期传输更多的数据，提高数据吞吐量。

[lc7]1024M bytes Flash Memory: 这是设备的闪存容量，1024MB。

[lc8]PCB Version: 2.0: 这是设备的 PCB 版本，指示设备电路板的版本号。

[lc9]CPLD Version: 1.0: 这是设备的 CPLD 版本，指示设备的复杂可编程逻辑器件的版本号。

[lc10]Basic BootWare Version: 1.42: 这是设备的基本 BootWare 版本号。

[lc11]

[lc12]# 配置ACL 2000，并设置路由过滤规则。

system-view

[Sysname] acl basic 2000

[Sysname-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Sysname-acl-ipv4-basic-2000] rule deny source any

[H3C]display acl all

Basic IPv4 ACL 2000, 1 rule,

ACL's step is 5

rule 0 permit source 192.168.1.0 0.0.0.255

显示通过ACL 2000过滤的激活路由的概要信息。

[Sysname-acl-basic-2000] display ip routing-table acl 2000

显示通过ACL 2000过滤的所有路由的详细信息。

display ip routing-table acl 2000 verbose

[lc13]以下是常见的VPN协议：

1. PPTP（点对点隧道协议）：一种最早被广泛使用的VPN协议，可在Internet上建立虚拟专用网络。这种协议以简单易用为特点，但安全性相对较低。

2. L2TP（Layer 2 Tunnel Protocol）：一种VPN协议，通过加密和认证技术，可在Internet上创建虚拟私人网络。L2TP通常与IPSec（Internet Protocol Security）一起使用，以提高安全性。

3. IPSec（Internet Protocol Security）：一种VPN协议，提供机密性、完整性和身份验证等安全功能。IPSec可用于加密和保护IP数据报，从而实现安全的数据传输。

4. SSL/TLS（Secure Sockets Layer / Transport Layer Security）：一种VPN协议，可在Internet上建立安全连接，并提供数据加密和身份验证等安全功能。SSL/TLS通常用于Web浏览器访问公司网络或云服务。

5. OpenVPN：一种基于开放源代码的VPN协议，可在多个操作系统平台上运行。OpenVPN采用SSL/TLS协议进行加密，支持多种身份验证方法，具有良好的安全性和可扩展性。

[lc14]说简单点就是你的通信设备要具有可信性的芯片或者硬件，这个一般测评公司都看可信性报告，来评判是否符合

[lc15]format c: \q” 是一条命令，通常用于格式化计算机硬盘驱动器。它会将选择的硬盘驱动器格式化并清除所有存储在该驱动器上的数据。

"C:"通常指的是计算机上的系统驱动器，格式化它将会完全清除操作系统和所有数据，从而导致系统无法启动。