安全通信网络-（一）网络架构

安全通信网络

随着现代信息化技术的不断发展，等级保护对象通常通过网络实现资源共享和数据交互，当大量的设备连成网络后，网络安全成了最为关注的问题。按照“一个中心，三重防御”的纵深防御思想，边界外部通过广域网或城域网的通信安全是首先需要考虑的问题，但是边界内部的局域网网络架构设计是否合理，内部通过网络传输的数据是否安全，也在考虑范围之内。

安全通信网络针对网络架构和通信传输提出了安全控制要求。主要对象为广域网、城域网、局域网的通信传输以及网络架构等；涉及的安全控制点包括网络架构、通信传输和可信验证。以下将以三级等级保护对象为例，描述安全通信网络各个控制要求项的检查对象、检查方法和期望结果等。

控制点

1.

网络架构

网络架构是满足业务运行的重要组成部分，如何根据业务系统的特点构建网络是非常关键的。首先应关注整个网络的资源分布、架构是否合理。只有架构安全了，才能在其上实现各种技术动能，达到通信网络保护的目的。本层面重点针对网络设备的性能要求；业务系统对网络带宽的需求；网络区域的合理划分；区域间的有效防护；网络通信线路以及设备的冗余等要求进行解读说明。

a)*

安全要求：应保证网络设备的业务处理能力满足业务高峰期需要。

要求解读：为了保证主要网络设备具备足够处理能力，应定期检查设备资源占用情况，确保设备的业务处理能力具备冗余空间。

检查方法

1.应访谈网络管理员业务高峰时期为何时，检查边界设备和主要网络设备的处理能力是否满足业务高峰期需要，询问采用何种手段对主要网络设备的运行状态进行监控。

以华为交换机为例，输入命令“display cpu-usage”，“display memory-usage”查看相关配置。一般来说，在业务高峰期主要网络设备的CPU、内存最大使用率不宜超过70%，也可以通过综合网管系统查看主要网络设备的CPU、内存的使用情况。

2.应访谈或检查是否因设备处理能力不足而出现过宕机情况，可核查综合网管系统告警日志或设备运行时间等，或者访谈是否因设备处理能力不足而进行设备升级。

以华为设备为例，输入命令“display version”，查看设备在线时长，如设备在线时间在近期有重启可询问原因。

3.应检查设备在一段时间内的性能峰值，结合设备自身的承载性能，分析是否能够满足业务处理能力。

测评对象

1.网络管理员
2.网络设备

期望结果

1.设备CPU和内存使用率峰值不大于于70%，通过命令核查相关使用情况：

<Huawei>display cpu-usage

CPU Usage Stat.Cycle：60（Second）

CPU Usage                ：3%  Max：45%

CPU Usage stat.Time ：2018-05-26 16：58：16|

CPU utilization for  five seconds：15%：one-minute：15%：five minutes：15%

<Huawei>display memory-usage

CPU utilization for five seconds：15%：one minute：15%：five minutes：15%

System Total Memory Is：75312648 bytes

Total Memory Used Is：45037704 bytes

Memory Using Percentage Is：59%

2.未出现宕机情况，网管平台未出现宕机告警日志，设备运行时间较长：

<Huawei>display version 

Huawei Versatile Routing Platform Software

VRP (R) software，Version 5.130（AR1200 V200R003C00）

Copyright (C) 2011-2012 HUAWEI TECH CO.，LTD

Huawei AR1220 Router uptime is 0 week，0 day，0 hour，1 minute

MPU 0（Master）：uptime is 0 week，0 day，0 hour，1 minute

3.业务高峰流量不超过设备处理能力的70%。

高风险判定

满足以下条件即可判定为高风险：

核心交换机、核心路由器、边界防火墙等网络链路上的关键设备性能无法满足高峰期需求，可能导致服务质量严重下降或中断，例如性能指标平均达到80％以上。

补偿因素：

对于采用多数据中心方式部署，且通过技术手段实现应用级灾备，能降低单一机房发生设备故障所带来的可用性方面影响的情况，可从影响程度、RTO等角度进行综合风险分析，根据分析结果，酌情判定风险等级。

（注：80％仅为参考值，可根据设备类型处理效果等情况综合判断，性能指标包括CPU、内存占用率、吞吐量等。）

b)*

安全要求：应保证网络各个部分的带宽满足业务高峰期需要。

要求解读：为了保证业务服务的连续性，应保证网络各个部分的带宽满足业务高峰期需要。如果存在带宽无法满足业务高峰期需要的情况，则需要在主要网络设备上进行带宽配置，保证关键业务应用的带宽需求。

检查方法

1.应访谈管理员高峰时段的流量使用情况，是否部署流量控制设备对关键业务系统的流量带宽进行控制，或在相关设备上启用QoS配置，对网络各个部分进行带宽分配，从而保证业务高峰期业务服务的连续性。

2.应检查综合网管系统在业务高峰时段的带宽占用情况，分析是否满足业务需求。如果无法满足业务高峰期需要，则需要在主要网络设备上进行带宽配置。

3.测试验证网络各个部分的带宽是否满足业务高峰期需求。

测评对

1.网络管理员
2.各部分宽带

期望结果

1.在各个关键节点部署流量监控系统，能够兼，监测网络中的实时流量，部署流量控制设备，在关键节点设备配置QoS策略，对关键业务系统的流量带宽进行控制；

2.节点设备配置了流量监管和流量整形策略；流量监管配置：

class-map:class-1

bandwidth percent 50

bandwidth 5000（kbps）max threshold 64（packets）

class-map:class-2

bandwidth percent 15

bandwidth 1500（kbps）max threshold 64（packets）

流量整形配置：

traffic classifier cl operator or

if-match ac1 3002

traffic behavior b1

remark 1ocal-precedence af3

traffic policy p1

classifier c1 behavior b1

interface gigabitethernet 3/0/0

traffic-policy p1 inbound

3.各通信链路高峰流量均不大于其带宽的70%。

c)*

安全要求：应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址。

要求解读：根据实际情况和区域安全防护要求，应在主要网络设备上进行VLAN划分。

VLAN是一种通过将局域网内的设备逻辑地而不是物理地划分成不同子网从而实现虚拟工作组的新技术。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同的VLAN要进行通信，则需要通过路由器或三层交换机等三层设备实现。

检查方法

应访谈网络管理员，是否依据部门的工作职能、等级保护对象的重要程度和应用系统的级别等实际情况和区域安全防护要求划分了不同的VLAN，并核查相关网络设备配置信息，验证划分的网络区域是否与划分原则一致。

以Cisco IOS为例，输入命令“show vlan brief”，查看相关配置。

测评对象

1.网络管理员
2.相关网络设备配置信息

期望结果

划分不同的网络区域，按照方便管理和控制的原则为各网络区域分配地址，不同网络区域之间应采取边界防护措施：

10 server active

20 user active

30 test active

99 management active

高风险判定

满足以下条件即可判定为高风险：

重要网络区域与非重要网络在同一子网或网段，例如承载业务系统的生产网络与员工日常办公网络，面向互联网提供服务的服务器区域与内部网络区域在同一子网或网段等。

补偿因素：

同一子网之间有技术手段实现访问控制，可根据实际措施效果，酌情判定风险等级。

d)*

安全要求：应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

要求解读：为了保证等级保护对象的安全，应避免将重要网段部署在网络边界处且直接连接外部等级保护对象，防止来自外部等级保护对象的攻击。同时，应在重要网段和其它网段之间配置安全策略进行访问控制。

检查方法

1.应检查网络拓扑图是否与实际网络运行环境一致，

2.应检查重要网络区域是否未部署在网络边界处；网络区域边界处是否部署了安全防护措施。

3.应检查重要网络区域与其他网络区域之间，例如应用系统区、数据库系统区等重要网络区域边界是否采取可靠的技术隔离手段，是否部署了网闸、防火墙和设备访问控制列表（ACL）等。

测评对象

重要网络区域、安全防护措施

期望结果

1.网络拓扑图与实际网络运行环境一致；

2.重要网络区域未部署在网络边界处；

3.在重要网络区域与其他网络区域之间部署了网闸、防火墙等安全设备实现了技术隔离。

高风险判定

网络边界访问控制设备不可控

同时满足以下条件即可判定为高风险：

1.网络边界访问控制设备无管理权限；

2.未采取其他任何有效的访问控制措施，例如服务器自带防火墙未配置访问控制策略等；

3.无法根据业务需要或所发生的的安全事件及时调整访问控制策略。

补偿因素：

网络边界访问控制措施由云服务提供或由集团公司统一管理，管理方能够根据系统的业务及安全需要及时调整访问控制策略，可从策略更改响应时间、策略有效性、执行效果等角度进行综合风险分析，根据分析结果，酌情判定风险等级。

重要网络区域边界访问控制措施缺失

满足以下条件即可判定为高风险且无补偿因素：

在网络架构上，重要网络区域与其他网络区域之间（包括内部区域边界和外部区域边界）无访问控制设备实施访问控制措施，例如重要网络区域与互联网等外部非安全可控网络边界处、生产网络与员工日常办公网络之间、生产网络接入区之间未部署访问控制设备实施访问控制措施等。

（注：互联网边界访问控制设备包括但不限于防火墙、UTM等能实现相关访问控制功能的专用设备，对于内部边界访问控制，也可使用路由器、交换机或者带ACL功能的负载均衡器等设备实现，测评过程中应根据设备部署位置设备性能压力等因素综合进行分析，判断采用设备的合理性。）

e)**

安全要求：应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性。

要求解读：本要求虽然放在“安全通信网络”分类中，实际是要求整个网络架构设计需要冗余。为了避免网络设备或通信线路出现故障时引起系统中断，应采用冗余技术设计网络拓扑结构，以确保在通信线路或设备故障时提供备用方案，有效增强网络的可靠性。

检查方法

应检查系统的出口路由器、核心交换机、安全设备等关键设备是否有硬件冗余和通信线路冗余，保证系统的高可用性。

测评对象

系统的出口路由器、核心交换机、安全设备等关键设备

期望结果

采用HSRP、VRRP等冗余技术设计网络架构，确保在通信线路或设备故障时网络不中断，有效增强网络的可靠性。

高风险判定

满足以下条件即可判定为高风险：

核心通信线路、关键网络设备和关键计算机设备无冗余设计，一旦出现线路或设备故障就可能导致服务中断。

补偿因素：

1.对于采取多数据中心方式部署，且通过技术手段实现应用级灾备，能降低生产环境设备故障所带来的可用性方面影响的情况，可从影响程度、RTO等角度进行综合风险分析，根据分析结果，可酌情判定风险等级。

2.对于关键计算设备采用虚拟化技术的情况，可从虚拟化环境的硬件冗余和虚拟化计算设备（如虚拟机、虚拟网络设备等）冗余等角度进行综合风险分析，根据分析结果，可酌情判定风险等级。