2章 安全通信网络
主要对象:广域网、城域网、局域网的通信传输及网络架构体系
安全控制点:网络架构、通信传输、可信验证
一个中心:安全管理中心
三重防护:
安全通信网络
安全区域边界
安全计算环境
2.1 网络架构
业务处理能力(性能)、带宽、网络区域的划分、区域间的有效防护、通信线路及设备元素
2.1.1
要求:保证网络设备的业务处理能力满足业务高峰期需要(高风险)
CPU、内存、吞吐量≤70% 不出现宕机
测评方法:
(1)访谈网络管理员,业务高峰期?边界设备和主要网络设备的处理能力满足业务高峰期需求?什么手段监控主要网络设备运行?
华为交换机查配置
display cpu-usage
display memory-usage
(2)访谈核查之前因为设备能力不足出现宕机的情况,核查综合网管系统告警日志或设备运行时间
(3)核查设备在一段时间内的性能峰值,结合承载性能,分析设备能否满足业务需求
2.1.2
要求:保证网络各部分带宽满足业务高峰期需要
(若网络各个部分无法满足业务需求,对主要网络设备进行带宽配置、分配)
测评方法:
(1)核查是否部署流量控制设备对关键业务系统的流量带宽进行控制,或者在相关设备启用Qos配置对网络各部分进行带宽分配
(2)核查综合网管系统在业务高峰期的带宽占用情况,若无法满足业务高峰期需要,在主要网络设备上配置带宽
(3)测试网络各部分带宽是否满足业务高峰需要
结果:
高峰期流量均不高于其带宽的70%(各通信链路)
流量→流量监控系统、流量控制设备
→Qos策略
关键节点部署了流量监管系统和流量控制设备
流量查行策略
2.1.3 (2+ 高风险)
要求:划分不同的网络区域(VLAN),按照方便管理和控制原则为各网络分配地址
VLAN是将局域网内设备逻辑地划分不同子网的技术
不同VLAN通信用路由器或三层交换机实现
测评方法:
询问网络管理员是否正确划分VLAN(根据部门工作职能、等保对象重要程度、区域安全防护要求)
结果:
划分不同网络区域,按照规则为各网络区域 分配地址,不同网络区域之间采取了边界防护措施
2.1.4 (2+ 高风险)
要求:
避免重要网络区域部署在边界处(防止外部攻击)
重要网络区域和其他网络区域间采取可靠的技术隔离手段(网闸、防火墙、设备访问控制列表)
测评方法:
(1)检查网络拓扑图和实际网络运行环境是否一致
(2)核查重要网络区域是否部署在网络边界处,如果是,是否在边界处部署安全防护措施
(3)核查重要网络区域和其他网络区域(应用系统区、数据库系统区)之间是否采取了可靠的技术隔离手段、是否部署网闸、防火墙、设备访问控制列表
结果:
网络拓扑图和实际网络运行环境一致
重要网络区域未部署在网络边界处
重要网络区域和其他区域间部署了网闸,防火墙等安全设备,实现技术隔离
2.1.5
要求:提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性
对于通信线路,关键网络设备 实际要求整个网络架构设计要有冗余
关键网络设备(热冗余)
测评方法:
核查系统的出口路由器、核心交换机、安全设备是否有硬件冗余和通信线路冗余
结果:采用HSRP、VRRP等冗余技术设计网络架构,在通信线路发生故障时网络不会中断
2.2 通信传输
关注不同安全计算环境之间的通信安全
关注单一计算环境内部不同区域之间的通信安全
要求:采用校验技术或密码技术保证通信过程中数据完整性
测评方法:
核查是否在传输过程中使用校验技术或密码技术来保证数据的完整性
测试验证设备或组件是否能够保证通信过程中数据的完整性(File Checksum Integrity Verifier)
结果:
对重要信息采用校验技术或密码技术保证通信过程中数据的完整性
使用File Checksum Integrity Verifier 计算数据的散列值,验证数据完整性
要求:采用密码技术保证通信过程中数据的保密性(对敏感信息字段或整个报文加密)
测评方法:
核查是否在通信过程中采取了保密措施
测试验证在通信过程中是否对敏感信息进行了加密
结果:
对个人信息采取密码技术保证数据的保密性
通信协议分析工具可监视信息的传输过程(显示加密报文)
2.3 可信验证
传统通信设备采用缓存或其他形式保存固件,容易遭受恶意攻击
通信设备如果是基于硬件可信根的,可在加电后基于可信根实现预装软件的完整性验证或检测,确保无篡改再执行,有篡改就报警,保证设备启动和执行的安全
要求:在检测到可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
测评方法:
核查是否基于可信根对设备的系统引导程序等进行可信验证
核查是否在应用程序的关键执行环节进行了动态可信验证
测试在检测到设备可信性收到破坏后是否报警
测试验证结果是否以审计记录的形式送至安全管理中心
结果:
通信设备具有可信根芯片或硬件
启动过程基于可信根对系统引导程序进行可信验证度量(关键执行环节)
检测设备可用性收到破坏后报警,并将结果送至安全管理中心
安全管理中心可以接受设备验证结果
