【网络安全】等保测评-安全通信网络

简介: 【网络安全】等保测评-安全通信网络

2章 安全通信网络

主要对象:广域网、城域网、局域网的通信传输及网络架构体系

安全控制点:网络架构、通信传输、可信验证

一个中心:安全管理中心
三重防护:
安全通信网络
安全区域边界
安全计算环境

2.1 网络架构

业务处理能力(性能)、带宽、网络区域的划分、区域间的有效防护、通信线路及设备元素

2.1.1

要求:保证网络设备的业务处理能力满足业务高峰期需要(高风险)
CPU、内存、吞吐量≤70% 不出现宕机
测评方法:
(1)访谈网络管理员,业务高峰期?边界设备和主要网络设备的处理能力满足业务高峰期需求?什么手段监控主要网络设备运行?
华为交换机查配置
display cpu-usage
display memory-usage

(2)访谈核查之前因为设备能力不足出现宕机的情况,核查综合网管系统告警日志或设备运行时间
(3)核查设备在一段时间内的性能峰值,结合承载性能,分析设备能否满足业务需求

2.1.2

要求:保证网络各部分带宽满足业务高峰期需要
(若网络各个部分无法满足业务需求,对主要网络设备进行带宽配置、分配)

测评方法:
(1)核查是否部署流量控制设备对关键业务系统的流量带宽进行控制,或者在相关设备启用Qos配置对网络各部分进行带宽分配
(2)核查综合网管系统在业务高峰期的带宽占用情况,若无法满足业务高峰期需要,在主要网络设备上配置带宽
(3)测试网络各部分带宽是否满足业务高峰需要

结果:

高峰期流量均不高于其带宽的70%(各通信链路)

流量→流量监控系统、流量控制设备
→Qos策略

关键节点部署了流量监管系统和流量控制设备
流量查行策略

2.1.3 (2+ 高风险)

要求:划分不同的网络区域(VLAN),按照方便管理和控制原则为各网络分配地址

VLAN是将局域网内设备逻辑地划分不同子网的技术
不同VLAN通信用路由器或三层交换机实现

测评方法:
询问网络管理员是否正确划分VLAN(根据部门工作职能、等保对象重要程度、区域安全防护要求)

结果:
划分不同网络区域,按照规则为各网络区域 分配地址,不同网络区域之间采取了边界防护措施

2.1.4 (2+ 高风险)

要求:
避免重要网络区域部署在边界处(防止外部攻击)
重要网络区域和其他网络区域间采取可靠的技术隔离手段(网闸、防火墙、设备访问控制列表)

测评方法:
(1)检查网络拓扑图和实际网络运行环境是否一致
(2)核查重要网络区域是否部署在网络边界处,如果是,是否在边界处部署安全防护措施
(3)核查重要网络区域和其他网络区域(应用系统区、数据库系统区)之间是否采取了可靠的技术隔离手段、是否部署网闸、防火墙、设备访问控制列表
结果:
网络拓扑图和实际网络运行环境一致
重要网络区域未部署在网络边界处
重要网络区域和其他区域间部署了网闸,防火墙等安全设备,实现技术隔离

2.1.5

要求:提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性

对于通信线路,关键网络设备 实际要求整个网络架构设计要有冗余
关键网络设备(热冗余)

测评方法:
核查系统的出口路由器、核心交换机、安全设备是否有硬件冗余和通信线路冗余

结果:采用HSRP、VRRP等冗余技术设计网络架构,在通信线路发生故障时网络不会中断

2.2 通信传输

关注不同安全计算环境之间的通信安全
关注单一计算环境内部不同区域之间的通信安全
要求:采用校验技术或密码技术保证通信过程中数据完整性

测评方法:
核查是否在传输过程中使用校验技术或密码技术来保证数据的完整性
测试验证设备或组件是否能够保证通信过程中数据的完整性(File Checksum Integrity Verifier)

结果:
对重要信息采用校验技术或密码技术保证通信过程中数据的完整性
使用File Checksum Integrity Verifier 计算数据的散列值,验证数据完整性

要求:采用密码技术保证通信过程中数据的保密性(对敏感信息字段或整个报文加密)

测评方法:
核查是否在通信过程中采取了保密措施
测试验证在通信过程中是否对敏感信息进行了加密

结果:
对个人信息采取密码技术保证数据的保密性
通信协议分析工具可监视信息的传输过程(显示加密报文)

2.3 可信验证

传统通信设备采用缓存或其他形式保存固件,容易遭受恶意攻击
通信设备如果是基于硬件可信根的,可在加电后基于可信根实现预装软件的完整性验证或检测,确保无篡改再执行,有篡改就报警,保证设备启动和执行的安全

要求:在检测到可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心

测评方法:
核查是否基于可信根对设备的系统引导程序等进行可信验证
核查是否在应用程序的关键执行环节进行了动态可信验证
测试在检测到设备可信性收到破坏后是否报警
测试验证结果是否以审计记录的形式送至安全管理中心

结果:
通信设备具有可信根芯片或硬件
启动过程基于可信根对系统引导程序进行可信验证度量(关键执行环节)
检测设备可用性收到破坏后报警,并将结果送至安全管理中心
安全管理中心可以接受设备验证结果

目录
相关文章
|
2月前
|
机器学习/深度学习 存储 监控
内部文件审计:企业文件服务器审计对网络安全提升有哪些帮助?
企业文件服务器审计是保障信息安全、确保合规的关键措施。DataSecurity Plus 是由卓豪ManageEngine推出的审计工具,提供全面的文件访问监控、实时异常告警、用户行为分析及合规报告生成功能,助力企业防范数据泄露风险,满足GDPR、等保等多项合规要求,为企业的稳健发展保驾护航。
|
3月前
|
存储 运维 监控
云服务运行安全创新标杆:阿里云飞天洛神云网络子系统“齐天”再次斩获奖项
阿里云“超大规模云计算网络一体化运行管理平台——齐天系统”凭借卓越的技术创新与实践成果,荣获“云服务运行安全创新成果奖”,同时,齐天团队负责人吕彪获评“全栈型”专家认证。
|
6天前
|
人工智能 安全 网络安全
从不确定性到确定性,“动态安全+AI”成网络安全破题密码
2025年国家网络安全宣传周以“网络安全为人民,靠人民”为主题,聚焦AI安全、个人信息保护等热点。随着AI技术滥用加剧,智能化攻击频发,瑞数信息推出“动态安全+AI”防护体系,构建“三层防护+两大闭环”,实现风险前置识别与全链路防控,助力企业应对新型网络威胁,筑牢数字时代安全防线。(238字)
|
2月前
|
监控 安全 网络安全
网络安全工具及其使用方法:保护数字安全的第一道防线
在信息时代,网络攻击变得日益复杂且频繁,保护个人和企业数据安全的重要性日益凸显。幸运的是,各种网络安全工具为用户提供了有效的防护手段。从防火墙到密码管理器,这些工具覆盖了威胁检测、攻击防御和数据保护的方方面面。本文将介绍几款常用的网络安全工具,并提供其使用方法,以帮助您构建强大的网络安全防线。
124 1
|
1月前
|
运维 监控 安全
计算机网络及其安全组件纲要
本文主要介绍了 “计算机网络及常见组件” 的基本概念,涵盖网卡、IP、MAC、OSI模型、路由器、交换机、防火墙、WAF、IDS、IPS、域名、HTTP、HTTPS、网络拓扑等内容。
193 0
|
Ubuntu 网络协议 Unix
02理解网络IO:实现服务与客户端通信
网络IO指客户端与服务端通过网络进行数据收发的过程,常见于微信、QQ等应用。本文详解如何用C语言实现一个支持多客户端连接的TCP服务端,涉及socket编程、线程处理及通信流程,并分析“一消息一线程”模式的优缺点。
185 0
|
4月前
|
监控 数据可视化 安全
看得见的安全:如何用可视化大屏提升数据监测和网络预警效率
网络安全已成各组织核心议题,传统防护难以应对复杂攻击。AnaTraf网络流量分析仪通过实时分析流量,提取关键行为,提前发现潜在威胁。其可视化大屏将数据直观呈现,助力安全人员快速捕捉风险。系统基于趋势分析构建动态风险模型,实现预判而非仅报警,成为有判断力的“网络安全参谋”。在攻击无孔不入的时代,AnaTraf提供全新认知方式,以“看得见”提升对威胁的判断力。
看得见的安全:如何用可视化大屏提升数据监测和网络预警效率
|
9月前
|
SQL 安全 网络安全
网络安全与信息安全:知识分享####
【10月更文挑战第21天】 随着数字化时代的快速发展,网络安全和信息安全已成为个人和企业不可忽视的关键问题。本文将探讨网络安全漏洞、加密技术以及安全意识的重要性,并提供一些实用的建议,帮助读者提高自身的网络安全防护能力。 ####
224 17
|
9月前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将从网络安全漏洞、加密技术和安全意识三个方面进行探讨,旨在提高读者对网络安全的认识和防范能力。通过分析常见的网络安全漏洞,介绍加密技术的基本原理和应用,以及强调安全意识的重要性,帮助读者更好地保护自己的网络信息安全。
177 10
|
9月前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将介绍网络安全的重要性,分析常见的网络安全漏洞及其危害,探讨加密技术在保障网络安全中的作用,并强调提高安全意识的必要性。通过本文的学习,读者将了解网络安全的基本概念和应对策略,提升个人和组织的网络安全防护能力。

热门文章

最新文章