网站文章页的排名怎么做,2344网页游戏大全,义乌商城网站开发,永州冷水滩网站建设安全通信网络
随着现代技术的不断发展#xff0c;等级保护对象通常通过网络实现资源共享和数据交互#xff0c;当大量的设备连成网络后#xff0c;网络安全成了最为关注的问题。按照“一个中心#xff0c;三重防御”的纵深防御思想#xff0c;边界外部通过广域网或城域网…安全通信网络
随着现代技术的不断发展等级保护对象通常通过网络实现资源共享和数据交互当大量的设备连成网络后网络安全成了最为关注的问题。按照“一个中心三重防御”的纵深防御思想边界外部通过广域网或城域网的通信安全是首先需要考虑的问题但是边界内部的局域网网络是否合理内部通过网络传输的数据是否安全也在考虑范围之内。
安全通信网络针对网络架构和通信传输提出了安全控制要求。主要对象为广域网、城域网、局域网的通信传输以及网络架构等涉及的安全控制点包括网络架构、通信传输和可信验证。以下将以三级等级保护对象为例描述安全通信网络各个控制要求项的检查对象、检查方法和期望结果等。
控制点
1.
网络架构
网络架构是满足业务运行的重要组成部分如何根据业务系统的特点构建网络是非常关键的。首先应关注整个网络的资源分布、架构是否合理。只有架构安全了才能在其上实现各种技术动能达到通信网络保护的目的。本层面重点针对网络设备的性能要求业务系统对网络带宽的需求网络区域的合理划分区域间的有效防护网络通信线路以及设备的冗余等要求进行解读说明。
a)*
安全要求应保证网络设备的业务处理能力满足业务高峰期需要。
要求解读为了保证主要网络设备具备足够处理能力应定期检查设备资源占用情况确保设备的业务处理能力具备冗余空间。
检查方法
1.应访谈网络管理员业务高峰时期为何时检查边界设备和主要网络设备的处理能力是否满足业务高峰期需要询问采用何种手段对主要网络设备的运行状态进行监控。
以华为交换机为例输入命令“display cpu-usage”“display memory-usage”查看相关配置。一般来说在业务高峰期主要网络设备的CPU、内存最大使用率不宜超过70%也可以通过综合网管系统查看主要网络设备的CPU、内存的使用情况。
2.应访谈或检查是否因设备处理能力不足而出现过宕机情况可核查综合网管系统告警日志或设备运行时间等或者访谈是否因设备处理能力不足而进行设备升级。
以华为设备为例输入命令“display version”查看设备在线时长如设备在线时间在近期有重启可询问原因。
3.应检查设备在一段时间内的性能峰值结合设备自身的承载性能分析是否能够满足业务处理能力。
测评对象
1.网络管理员 2.网络设备
期望结果
1.设备CPU和内存使用率峰值不大于于70%通过命令核查相关使用情况
Huaweidisplay cpu-usage
CPU Usage Stat.Cycle60Second
CPU Usage 3% Max45%
CPU Usage stat.Time 2018-05-26 165816|
CPU utilization for five seconds15%one-minute15%five minutes15%
Huaweidisplay memory-usage
CPU utilization for five seconds15%one minute15%five minutes15%
System Total Memory Is75312648 bytes
Total Memory Used Is45037704 bytes
Memory Using Percentage Is59%
2.未出现宕机情况网管平台未出现宕机告警日志设备运行时间较长
Huaweidisplay version
Huawei Versatile Routing Platform Software
VRP (R) softwareVersion 5.130AR1200 V200R003C00
Copyright (C) 2011-2012 HUAWEI TECH CO.LTD
Huawei AR1220 Router uptime is 0 week0 day0 hour1 minute
MPU 0Masteruptime is 0 week0 day0 hour1 minute
3.业务高峰流量不超过设备处理能力的70%。
高风险判定
满足以下条件即可判定为高风险
核心交换机、核心路由器、边界防火墙等网络链路上的关键设备性能无法满足高峰期需求可能导致服务质量严重下降或中断例如性能指标平均达到80以上。
补偿因素
对于采用多数据中心方式部署且通过技术手段实现应用级灾备能降低单一机房发生设备故障所带来的可用性方面影响的情况可从影响程度、RTO等角度进行综合风险分析根据分析结果酌情判定风险等级。
注80仅为参考值可根据设备类型处理效果等情况综合判断性能指标包括CPU、内存占用率、吞吐量等。
b)*
安全要求应保证网络各个部分的带宽满足业务高峰期需要。
要求解读为了保证业务服务的连续性应保证网络各个部分的带宽满足业务高峰期需要。如果存在带宽无法满足业务高峰期需要的情况则需要在主要网络设备上进行带宽配置保证关键业务应用的带宽需求。
检查方法
1.应访谈管理员高峰时段的流量使用情况是否部署流量控制设备对关键业务系统的流量带宽进行控制或在相关设备上启用QoS配置对网络各个部分进行带宽分配从而保证业务高峰期业务服务的连续性。
2.应检查综合网管系统在业务高峰时段的带宽占用情况分析是否满足业务需求。如果无法满足业务高峰期需要则需要在主要网络设备上进行带宽配置。
3.测试验证网络各个部分的带宽是否满足业务高峰期需求。
测评对
1.网络管理员 2.各部分宽带
期望结果
1.在各个关键节点部署流量监控系统能够兼监测网络中的实时流量部署流量控制设备在关键节点设备配置QoS策略对关键业务系统的流量带宽进行控制
2.节点设备配置了流量监管和流量整形策略流量监管配置
class-map:class-1
bandwidth percent 50
bandwidth 5000kbpsmax threshold 64packets
class-map:class-2
bandwidth percent 15
bandwidth 1500kbpsmax threshold 64packets
流量整形配置
traffic classifier cl operator or
if-match ac1 3002
traffic behavior b1
remark 1ocal-precedence af3
traffic policy p1
classifier c1 behavior b1
interface gigabitethernet 3/0/0
traffic-policy p1 inbound
3.各通信链路高峰流量均不大于其带宽的70%。
c)*
安全要求应划分不同的网络区域并按照方便管理和控制的原则为各网络区域分配地址。
要求解读根据实际情况和区域安全防护要求应在主要网络设备上进行VLAN划分。
VLAN是一种通过将局域网内的设备逻辑地而不是物理地划分成不同子网从而实现虚拟工作组的新技术。不同VLAN内的报文在传输时是相互隔离的即一个VLAN内的用户不能和其它VLAN内的用户直接通信如果不同的VLAN要进行通信则需要通过路由器或三层交换机等三层设备实现。
检查方法
应访谈网络管理员是否依据部门的工作职能、等级保护对象的重要程度和应用系统的级别等实际情况和区域安全防护要求划分了不同的VLAN并核查相关网络设备配置信息验证划分的网络区域是否与划分原则一致。
以Cisco IOS为例输入命令“show vlan brief”查看相关配置。
测评对象
1.网络管理员 2.相关网络设备配置信息
期望结果
划分不同的网络区域按照方便管理和控制的原则为各网络区域分配地址不同网络区域之间应采取边界防护措施
10 server active
20 user active
30 test active
99 management active
高风险判定
满足以下条件即可判定为高风险
重要网络区域与非重要网络在同一子网或网段例如承载业务系统的生产网络与员工日常办公网络面向互联网提供服务的服务器区域与内部网络区域在同一子网或网段等。
补偿因素
同一子网之间有技术手段实现访问控制可根据实际措施效果酌情判定风险等级。
d)*
安全要求应避免将重要网络区域部署在边界处重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
要求解读为了保证等级保护对象的安全应避免将重要网段部署在网络边界处且直接连接外部等级保护对象防止来自外部等级保护对象的攻击。同时应在重要网段和其它网段之间配置安全策略进行访问控制。
检查方法
1.应检查网络拓扑图是否与实际网络运行环境一致
2.应检查重要网络区域是否未部署在网络边界处网络区域边界处是否部署了安全防护措施。
3.应检查重要网络区域与其他网络区域之间例如应用系统区、数据库系统区等重要网络区域边界是否采取可靠的技术隔离手段是否部署了网闸、防火墙和设备访问控制列表ACL等。
测评对象
重要网络区域、安全防护措施
期望结果
1.网络拓扑图与实际网络运行环境一致
2.重要网络区域未部署在网络边界处
3.在重要网络区域与其他网络区域之间部署了网闸、防火墙等安全设备实现了技术隔离。
高风险判定
网络边界访问控制设备不可控
同时满足以下条件即可判定为高风险
1.网络边界访问控制设备无管理权限
2.未采取其他任何有效的访问控制措施例如服务器自带防火墙未配置访问控制策略等
3.无法根据业务需要或所发生的的安全事件及时调整访问控制策略。
补偿因素
网络边界访问控制措施由云服务提供或由集团公司统一管理管理方能够根据系统的业务及安全需要及时调整访问控制策略可从策略更改响应时间、策略有效性、执行效果等角度进行综合风险分析根据分析结果酌情判定风险等级。
重要网络区域边界访问控制措施缺失
满足以下条件即可判定为高风险且无补偿因素
在网络架构上重要网络区域与其他网络区域之间包括内部区域边界和外部区域边界无访问控制设备实施访问控制措施例如重要网络区域与互联网等外部非安全可控网络边界处、生产网络与员工日常办公网络之间、生产网络接入区之间未部署访问控制设备实施访问控制措施等。
注互联网边界访问控制设备包括但不限于防火墙、UTM等能实现相关访问控制功能的专用设备对于内部边界访问控制也可使用路由器、交换机或者带ACL功能的负载均衡器等设备实现测评过程中应根据设备部署位置设备性能压力等因素综合进行分析判断采用设备的合理性。
e)**
安全要求应提供通信线路、关键网络设备和关键计算设备的硬件冗余保证系统的可用性。
要求解读本要求虽然放在“安全通信网络”分类中实际是要求整个网络架构设计需要冗余。为了避免网络设备或通信线路出现故障时引起系统中断应采用冗余技术设计网络拓扑结构以确保在通信线路或设备故障时提供备用方案有效增强网络的可靠性。
检查方法
应检查系统的出口路由器、核心交换机、安全设备等关键设备是否有硬件冗余和通信线路冗余保证系统的高可用性。
测评对象
系统的出口路由器、核心交换机、安全设备等关键设备
期望结果
采用HSRP、VRRP等冗余技术设计网络架构确保在通信线路或设备故障时网络不中断有效增强网络的可靠性。
高风险判定
满足以下条件即可判定为高风险
核心通信线路、关键网络设备和关键计算机设备无冗余设计一旦出现线路或设备故障就可能导致服务中断。
补偿因素
1.对于采取多数据中心方式部署且通过技术手段实现应用级灾备能降低生产环境设备故障所带来的可用性方面影响的情况可从影响程度、RTO等角度进行综合风险分析根据分析结果可酌情判定风险等级。
2.对于关键计算设备采用虚拟化技术的情况可从虚拟化环境的硬件冗余和虚拟化计算设备如虚拟机、虚拟网络设备等冗余等角度进行综合风险分析根据分析结果可酌情判定风险等级。
