安全通信网络-(一)网络架构

安全通信网络-(一)网络架构安全通信网络随着现代信息化技术的不断发展,等级保护对象通常通过网络实现资源共享和数据交互,当大量的设备连成网络后,网络安全成了最为关注的问题。按照“一个中心,三重防御”的纵深防御思想,边界外部通过广

大家好,又见面了,我是你们的朋友全栈君。

安全通信网络

随着现代信息化技术的不断发展,等级保护对象通常通过网络实现资源共享和数据交互,当大量的设备连成网络后,网络安全成了最为关注的问题。按照“一个中心,三重防御”的纵深防御思想,边界外部通过广域网或城域网的通信安全是首先需要考虑的问题,但是边界内部的局域网网络架构设计是否合理,内部通过网络传输的数据是否安全,也在考虑范围之内。

 

安全通信网络针对网络架构和通信传输提出了安全控制要求。主要对象为广域网、城域网、局域网的通信传输以及网络架构等;涉及的安全控制点包括网络架构、通信传输和可信验证。以下将以三级等级保护对象为例,描述安全通信网络各个控制要求项的检查对象、检查方法和期望结果等。

控制点

1.

网络架构

网络架构是满足业务运行的重要组成部分,如何根据业务系统的特点构建网络是非常关键的。首先应关注整个网络的资源分布、架构是否合理。只有架构安全了,才能在其上实现各种技术动能,达到通信网络保护的目的。本层面重点针对网络设备的性能要求;业务系统对网络带宽的需求;网络区域的合理划分;区域间的有效防护;网络通信线路以及设备的冗余等要求进行解读说明。

a)*

安全要求:应保证网络设备的业务处理能力满足业务高峰期需要。

要求解读:为了保证主要网络设备具备足够处理能力,应定期检查设备资源占用情况,确保设备的业务处理能力具备冗余空间。

检查方法

1.应访谈网络管理员业务高峰时期为何时,检查边界设备和主要网络设备的处理能力是否满足业务高峰期需要,询问采用何种手段对主要网络设备的运行状态进行监控。

以华为交换机为例,输入命令“display cpu-usage”,“display memory-usage”查看相关配置。一般来说,在业务高峰期主要网络设备的CPU、内存最大使用率不宜超过70%,也可以通过综合网管系统查看主要网络设备的CPU、内存的使用情况。

2.应访谈或检查是否因设备处理能力不足而出现过宕机情况,可核查综合网管系统告警日志或设备运行时间等,或者访谈是否因设备处理能力不足而进行设备升级。

以华为设备为例,输入命令“display version”,查看设备在线时长,如设备在线时间在近期有重启可询问原因。

3.应检查设备在一段时间内的性能峰值,结合设备自身的承载性能,分析是否能够满足业务处理能力。

测评对象

1.网络管理员
2.网络设备

期望结果

1.设备CPU和内存使用率峰值不大于于70%,通过命令核查相关使用情况:

<Huawei>display cpu-usage

CPU Usage Stat.Cycle:60(Second)

CPU Usage                :3%  Max:45%

CPU Usage stat.Time :2018-05-26 16:58:16|

CPU utilization for  five seconds:15%:one-minute:15%:five minutes:15%

<Huawei>display memory-usage

CPU utilization for five seconds:15%:one minute:15%:five minutes:15%

System Total Memory Is:75312648 bytes

Total Memory Used Is:45037704 bytes

Memory Using Percentage Is:59%

2.未出现宕机情况,网管平台未出现宕机告警日志,设备运行时间较长:

<Huawei>display version 

Huawei Versatile Routing Platform Software

VRP (R) software,Version 5.130(AR1200 V200R003C00)

Copyright (C) 2011-2012 HUAWEI TECH CO.,LTD

Huawei AR1220 Router uptime is 0 week,0 day,0 hour,1 minute

MPU 0(Master):uptime is 0 week,0 day,0 hour,1 minute

3.业务高峰流量不超过设备处理能力的70%。

高风险判定

满足以下条件即可判定为高风险:

核心交换机、核心路由器、边界防火墙等网络链路上的关键设备性能无法满足高峰期需求,可能导致服务质量严重下降或中断,例如性能指标平均达到80%以上。

补偿因素:

对于采用多数据中心方式部署,且通过技术手段实现应用级灾备,能降低单一机房发生设备故障所带来的可用性方面影响的情况,可从影响程度、RTO等角度进行综合风险分析,根据分析结果,酌情判定风险等级。

(注:80%仅为参考值,可根据设备类型处理效果等情况综合判断,性能指标包括CPU、内存占用率、吞吐量等。)

b)*

安全要求:应保证网络各个部分的带宽满足业务高峰期需要。

要求解读:为了保证业务服务的连续性,应保证网络各个部分的带宽满足业务高峰期需要。如果存在带宽无法满足业务高峰期需要的情况,则需要在主要网络设备上进行带宽配置,保证关键业务应用的带宽需求。

检查方法

1.应访谈管理员高峰时段的流量使用情况,是否部署流量控制设备对关键业务系统的流量带宽进行控制,或在相关设备上启用QoS配置,对网络各个部分进行带宽分配,从而保证业务高峰期业务服务的连续性。

2.应检查综合网管系统在业务高峰时段的带宽占用情况,分析是否满足业务需求。如果无法满足业务高峰期需要,则需要在主要网络设备上进行带宽配置。

3.测试验证网络各个部分的带宽是否满足业务高峰期需求。

测评对

1.网络管理员
2.各部分宽带

期望结果

1.在各个关键节点部署流量监控系统,能够兼,监测网络中的实时流量,部署流量控制设备,在关键节点设备配置QoS策略,对关键业务系统的流量带宽进行控制;

2.节点设备配置了流量监管和流量整形策略;流量监管配置:

class-map:class-1

bandwidth percent 50

bandwidth 5000(kbps)max threshold 64(packets)

class-map:class-2

bandwidth percent 15

bandwidth 1500(kbps)max threshold 64(packets)

流量整形配置:

traffic classifier cl operator or

if-match ac1 3002

traffic behavior b1

remark 1ocal-precedence af3

traffic policy p1

classifier c1 behavior b1

interface gigabitethernet 3/0/0

traffic-policy p1 inbound

3.各通信链路高峰流量均不大于其带宽的70%。

c)*

安全要求:应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。

要求解读:根据实际情况和区域安全防护要求,应在主要网络设备上进行VLAN划分。

VLAN是一种通过将局域网内的设备逻辑地而不是物理地划分成不同子网从而实现虚拟工作组的新技术。不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同的VLAN要进行通信,则需要通过路由器或三层交换机等三层设备实现。

检查方法

应访谈网络管理员,是否依据部门的工作职能、等级保护对象的重要程度和应用系统的级别等实际情况和区域安全防护要求划分了不同的VLAN,并核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致。

以Cisco IOS为例,输入命令“show vlan brief”,查看相关配置。

测评对象

1.网络管理员
2.相关网络设备配置信息

期望结果

划分不同的网络区域,按照方便管理和控制的原则为各网络区域分配地址,不同网络区域之间应采取边界防护措施:

10 server active

20 user active

30 test active

99 management active

高风险判定

满足以下条件即可判定为高风险:

重要网络区域与非重要网络在同一子网或网段,例如承载业务系统的生产网络与员工日常办公网络,面向互联网提供服务的服务器区域与内部网络区域在同一子网或网段等。

补偿因素:

同一子网之间有技术手段实现访问控制,可根据实际措施效果,酌情判定风险等级。

d)*

安全要求:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

要求解读:为了保证等级保护对象的安全,应避免将重要网段部署在网络边界处且直接连接外部等级保护对象,防止来自外部等级保护对象的攻击。同时,应在重要网段和其它网段之间配置安全策略进行访问控制。

检查方法

1.应检查网络拓扑图是否与实际网络运行环境一致,

2.应检查重要网络区域是否未部署在网络边界处;网络区域边界处是否部署了安全防护措施。

3.应检查重要网络区域与其他网络区域之间,例如应用系统区、数据库系统区等重要网络区域边界是否采取可靠的技术隔离手段,是否部署了网闸、防火墙和设备访问控制列表(ACL)等。

测评对象

重要网络区域、安全防护措施

期望结果

1.网络拓扑图与实际网络运行环境一致;

2.重要网络区域未部署在网络边界处;

3.在重要网络区域与其他网络区域之间部署了网闸、防火墙等安全设备实现了技术隔离。

高风险判定

网络边界访问控制设备不可控

同时满足以下条件即可判定为高风险:

1.网络边界访问控制设备无管理权限;

2.未采取其他任何有效的访问控制措施,例如服务器自带防火墙未配置访问控制策略等;

3.无法根据业务需要或所发生的的安全事件及时调整访问控制策略。

补偿因素:

网络边界访问控制措施由云服务提供或由集团公司统一管理,管理方能够根据系统的业务及安全需要及时调整访问控制策略,可从策略更改响应时间、策略有效性、执行效果等角度进行综合风险分析,根据分析结果,酌情判定风险等级。

重要网络区域边界访问控制措施缺失

满足以下条件即可判定为高风险且无补偿因素:

在网络架构上,重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)无访问控制设备实施访问控制措施,例如重要网络区域与互联网等外部非安全可控网络边界处、生产网络与员工日常办公网络之间、生产网络接入区之间未部署访问控制设备实施访问控制措施等。

(注:互联网边界访问控制设备包括但不限于防火墙、UTM等能实现相关访问控制功能的专用设备,对于内部边界访问控制,也可使用路由器、交换机或者带ACL功能的负载均衡器等设备实现,测评过程中应根据设备部署位置设备性能压力等因素综合进行分析,判断采用设备的合理性。)

e)**

安全要求:应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。

要求解读:本要求虽然放在“安全通信网络”分类中,实际是要求整个网络架构设计需要冗余。为了避免网络设备或通信线路出现故障时引起系统中断,应采用冗余技术设计网络拓扑结构,以确保在通信线路或设备故障时提供备用方案,有效增强网络的可靠性。

检查方法

应检查系统的出口路由器、核心交换机、安全设备等关键设备是否有硬件冗余和通信线路冗余,保证系统的高可用性。

测评对象

系统的出口路由器、核心交换机、安全设备等关键设备

期望结果

采用HSRP、VRRP等冗余技术设计网络架构,确保在通信线路或设备故障时网络不中断,有效增强网络的可靠性。

高风险判定

满足以下条件即可判定为高风险:

核心通信线路、关键网络设备和关键计算机设备无冗余设计,一旦出现线路或设备故障就可能导致服务中断。

补偿因素:

1.对于采取多数据中心方式部署,且通过技术手段实现应用级灾备,能降低生产环境设备故障所带来的可用性方面影响的情况,可从影响程度、RTO等角度进行综合风险分析,根据分析结果,可酌情判定风险等级。

2.对于关键计算设备采用虚拟化技术的情况,可从虚拟化环境的硬件冗余和虚拟化计算设备(如虚拟机、虚拟网络设备等)冗余等角度进行综合风险分析,根据分析结果,可酌情判定风险等级。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/155554.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • android之VOLD:staging目录作用与ASEC文件 -总结[通俗易懂]

    android之VOLD:staging目录作用与ASEC文件 -总结[通俗易懂]/mnt/secure/staging来看一下mountVol代码 int Volume::mountVol() {    int rc = 0;    char errmsg[255];    const char *mountPath;         char devicePath[255];                sprintf(device

  • describing people听力原文_你美国也配谈道德

    describing people听力原文_你美国也配谈道德  美国著名公司PeopleSoft,名字也代表旗下的一系列ERP产品,一系列的解决方案,有一整套的开发工具,04年被oracle以103亿美元收购。 在某银行的CRM,EPM项目中有幸认识Michaelzhou,非常感谢他的帮助,使我认识到底什么才是PeopleSoft,暂且不说PeopleSoft的产品有多好,本文仅讨论PeopleSoft的开发模式。 

  • Ubuntu18.04下VIM安装及配置

    Ubuntu18.04下VIM安装及配置作者:陈浩 更新日期:2018-09-211.安装VIM $sudoapt-getinstallvim我的vim已经是最新版(2:8.0.1453-1ubuntu1)。2.安装vim-plug一种方便简洁的插件管理插件终端输入如下命令: $curl-fLo~/.vim/autoload/plug.vim–create-dirshttps://raw.gi…

  • ssl证书怎么用_为什么会ssl证书无效

    ssl证书怎么用_为什么会ssl证书无效1.打开网站:https://freessl.cn/按提示操作,验证类型:离线验证;2.会给出一个域名的访问路径和一个文件内容,按照域名解析的主机配置nginx或其它的web服务,返回文件给出的内容;3.确认文件url和内容无误后点验证;4.通过后可以在KeyManager里的证书管理里看到颁发的证书;5.点更多然后选择导出Nginx证书,crt为证书,key为密钥;6.将文件分发到nginx等其它需要证书的服务上去使用;注意:这里最关键的一步就是,你的域…

    2022年10月23日
  • 请画出下面流程图对应的N-S图以及PAD图_N E S W分别代表什么方向

    请画出下面流程图对应的N-S图以及PAD图_N E S W分别代表什么方向E-R图:E-R图也称实体-联系图(EntityRelationshipDiagram),提供了表示实体类型、属性和联系的方法,用来描述现实世界的概念模型。矩形框:表示实体,在框中记入实体名。菱形框:表示联系,在框中记入联系名。椭圆形框:表示实体或联系的属性,将属性名记入框中。对于主属性名,则在其名称下划一下划线。连线:实体与属性之间;实体与联系之间;联系与属性之间用直线相连,并在直…

  • 伴随矩阵求逆矩阵(已知A的伴随矩阵求A的逆矩阵)

    在之前的文章《线性代数之矩阵》中已经介绍了一些关于矩阵的基本概念,本篇文章主要就求解逆矩阵进行进一步总结。余子式(Minor)我们先看例子来直观的理解什么是余子式(Minor,后边将都用英文Minor,中文的翻译较乱)。minorexample这个例子(我们假设矩阵为A)中我们看到A[1,1]的minor就是将A[1,1]所在的行和列删除后剩下的矩阵的行列式,假设我们把A[…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号