【网络安全】等保测评-安全通信网络

简介: 【网络安全】等保测评-安全通信网络

2章 安全通信网络

主要对象:广域网、城域网、局域网的通信传输及网络架构体系

安全控制点:网络架构、通信传输、可信验证

一个中心:安全管理中心
三重防护:
安全通信网络
安全区域边界
安全计算环境

2.1 网络架构

业务处理能力(性能)、带宽、网络区域的划分、区域间的有效防护、通信线路及设备元素

2.1.1

要求:保证网络设备的业务处理能力满足业务高峰期需要(高风险)
CPU、内存、吞吐量≤70% 不出现宕机
测评方法:
(1)访谈网络管理员,业务高峰期?边界设备和主要网络设备的处理能力满足业务高峰期需求?什么手段监控主要网络设备运行?
华为交换机查配置
display cpu-usage
display memory-usage

(2)访谈核查之前因为设备能力不足出现宕机的情况,核查综合网管系统告警日志或设备运行时间
(3)核查设备在一段时间内的性能峰值,结合承载性能,分析设备能否满足业务需求

2.1.2

要求:保证网络各部分带宽满足业务高峰期需要
(若网络各个部分无法满足业务需求,对主要网络设备进行带宽配置、分配)

测评方法:
(1)核查是否部署流量控制设备对关键业务系统的流量带宽进行控制,或者在相关设备启用Qos配置对网络各部分进行带宽分配
(2)核查综合网管系统在业务高峰期的带宽占用情况,若无法满足业务高峰期需要,在主要网络设备上配置带宽
(3)测试网络各部分带宽是否满足业务高峰需要

结果:

高峰期流量均不高于其带宽的70%(各通信链路)

流量→流量监控系统、流量控制设备
→Qos策略

关键节点部署了流量监管系统和流量控制设备
流量查行策略

2.1.3 (2+ 高风险)

要求:划分不同的网络区域(VLAN),按照方便管理和控制原则为各网络分配地址

VLAN是将局域网内设备逻辑地划分不同子网的技术
不同VLAN通信用路由器或三层交换机实现

测评方法:
询问网络管理员是否正确划分VLAN(根据部门工作职能、等保对象重要程度、区域安全防护要求)

结果:
划分不同网络区域,按照规则为各网络区域 分配地址,不同网络区域之间采取了边界防护措施

2.1.4 (2+ 高风险)

要求:
避免重要网络区域部署在边界处(防止外部攻击)
重要网络区域和其他网络区域间采取可靠的技术隔离手段(网闸、防火墙、设备访问控制列表)

测评方法:
(1)检查网络拓扑图和实际网络运行环境是否一致
(2)核查重要网络区域是否部署在网络边界处,如果是,是否在边界处部署安全防护措施
(3)核查重要网络区域和其他网络区域(应用系统区、数据库系统区)之间是否采取了可靠的技术隔离手段、是否部署网闸、防火墙、设备访问控制列表
结果:
网络拓扑图和实际网络运行环境一致
重要网络区域未部署在网络边界处
重要网络区域和其他区域间部署了网闸,防火墙等安全设备,实现技术隔离

2.1.5

要求:提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性

对于通信线路,关键网络设备 实际要求整个网络架构设计要有冗余
关键网络设备(热冗余)

测评方法:
核查系统的出口路由器、核心交换机、安全设备是否有硬件冗余和通信线路冗余

结果:采用HSRP、VRRP等冗余技术设计网络架构,在通信线路发生故障时网络不会中断

2.2 通信传输

关注不同安全计算环境之间的通信安全
关注单一计算环境内部不同区域之间的通信安全
要求:采用校验技术或密码技术保证通信过程中数据完整性

测评方法:
核查是否在传输过程中使用校验技术或密码技术来保证数据的完整性
测试验证设备或组件是否能够保证通信过程中数据的完整性(File Checksum Integrity Verifier)

结果:
对重要信息采用校验技术或密码技术保证通信过程中数据的完整性
使用File Checksum Integrity Verifier 计算数据的散列值,验证数据完整性

要求:采用密码技术保证通信过程中数据的保密性(对敏感信息字段或整个报文加密)

测评方法:
核查是否在通信过程中采取了保密措施
测试验证在通信过程中是否对敏感信息进行了加密

结果:
对个人信息采取密码技术保证数据的保密性
通信协议分析工具可监视信息的传输过程(显示加密报文)

2.3 可信验证

传统通信设备采用缓存或其他形式保存固件,容易遭受恶意攻击
通信设备如果是基于硬件可信根的,可在加电后基于可信根实现预装软件的完整性验证或检测,确保无篡改再执行,有篡改就报警,保证设备启动和执行的安全

要求:在检测到可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心

测评方法:
核查是否基于可信根对设备的系统引导程序等进行可信验证
核查是否在应用程序的关键执行环节进行了动态可信验证
测试在检测到设备可信性收到破坏后是否报警
测试验证结果是否以审计记录的形式送至安全管理中心

结果:
通信设备具有可信根芯片或硬件
启动过程基于可信根对系统引导程序进行可信验证度量(关键执行环节)
检测设备可用性收到破坏后报警,并将结果送至安全管理中心
安全管理中心可以接受设备验证结果

目录
相关文章
|
7天前
|
canal 编解码 运维
飞天洛神云网络再度入选通信顶会 SIGCOMM'24
飞天洛神云网络再度入选通信顶会 SIGCOMM'24
33 12
|
14天前
|
人工智能 自然语言处理 决策智能
智能体竟能自行组建通信网络,还能自创协议提升通信效率
《一种适用于大型语言模型网络的可扩展通信协议》提出创新协议Agora,解决多智能体系统中的“通信三难困境”,即异构性、通用性和成本问题。Agora通过标准协议、结构化数据和自然语言三种通信格式,实现高效协作,支持复杂任务自动化。演示场景显示其在预订服务和天气预报等应用中的优越性能。论文地址:https://arxiv.org/pdf/2410.11905。
27 6
|
2月前
|
机器学习/深度学习 数据采集 人工智能
GeneralDyG:南洋理工推出通用动态图异常检测方法,支持社交网络、电商和网络安全
GeneralDyG 是南洋理工大学推出的通用动态图异常检测方法,通过时间 ego-graph 采样、图神经网络和时间感知 Transformer 模块,有效应对数据多样性、动态特征捕捉和计算成本高等挑战。
76 18
GeneralDyG:南洋理工推出通用动态图异常检测方法,支持社交网络、电商和网络安全
|
7天前
|
缓存 网络协议 安全
即时通讯初学者必知必会的20个网络编程和通信安全知识点
即时通讯IM应用开发的初学者很容易迷失在网络编程的复杂性以及通信安全的各种概念里,本文不涉及深度理论知识,尽量通过一句话或几句话让你快速了解20个相关的网络编程和通信安全知识点,希望能助你愉快地开始即时通讯应用开发。
22 0
|
3月前
|
负载均衡 网络协议 算法
不为人知的网络编程(十九):能Ping通,TCP就一定能连接和通信吗?
这网络层就像搭积木一样,上层协议都是基于下层协议搭出来的。不管是ping(用了ICMP协议)还是tcp本质上都是基于网络层IP协议的数据包,而到了物理层,都是二进制01串,都走网卡发出去了。 如果网络环境没发生变化,目的地又一样,那按道理说他们走的网络路径应该是一样的,什么情况下会不同呢? 我们就从路由这个话题聊起吧。
86 4
不为人知的网络编程(十九):能Ping通,TCP就一定能连接和通信吗?
|
3月前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将介绍网络安全的重要性,分析常见的网络安全漏洞及其危害,探讨加密技术在保障网络安全中的作用,并强调提高安全意识的必要性。通过本文的学习,读者将了解网络安全的基本概念和应对策略,提升个人和组织的网络安全防护能力。
|
3月前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将从网络安全漏洞、加密技术和安全意识三个方面进行探讨,旨在提高读者对网络安全的认识和防范能力。通过分析常见的网络安全漏洞,介绍加密技术的基本原理和应用,以及强调安全意识的重要性,帮助读者更好地保护自己的网络信息安全。
66 10
|
3月前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,并提供一些实用的代码示例。通过阅读本文,您将了解到如何保护自己的网络安全,以及如何提高自己的信息安全意识。
78 10
|
3月前
|
存储 监控 安全
云计算与网络安全:云服务、网络安全、信息安全等技术领域的融合与挑战
本文将探讨云计算与网络安全之间的关系,以及它们在云服务、网络安全和信息安全等技术领域中的融合与挑战。我们将分析云计算的优势和风险,以及如何通过网络安全措施来保护数据和应用程序。我们还将讨论如何确保云服务的可用性和可靠性,以及如何处理网络攻击和数据泄露等问题。最后,我们将提供一些关于如何在云计算环境中实现网络安全的建议和最佳实践。
|
3月前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们日常生活中不可或缺的一部分。本文将深入探讨网络安全漏洞、加密技术和安全意识等方面的问题,并提供一些实用的建议和解决方案。我们将通过分析网络攻击的常见形式,揭示网络安全的脆弱性,并介绍如何利用加密技术来保护数据。此外,我们还将强调提高个人和企业的安全意识的重要性,以应对日益复杂的网络威胁。无论你是普通用户还是IT专业人士,这篇文章都将为你提供有价值的见解和指导。

热门文章

最新文章