我是靠谱客的博主 迷你仙人掌,最近开发中收集的这篇文章主要介绍等保测评之安全通信网络安全通信网络,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

安全通信网络

1. 网络架构

a)应保证网络设备的业务处理能力满足业务高峰期需要

1)应访谈网络管理员业务高峰时期为何时,核查边界设备和主要网络设备的处理能力是否满足业务高峰期需要,询问采用何种手段对主要网络设备的运行状态进行监控。
以华为交换机为例,输入命令 ““display cpu -usage”” , "“display memory-usage”"查看相关配置。一般来说,在业务高峰期主要网络设备的CPU内存最大使用率不宜超过70%,也可以通过综合网管系统查看主要网络设备的CPU、 内存的使用情况

2)应访谈或核查是否因设备处理能力不足而出现过宕机情况,可核查综合网管系统告警日志或设备运行时间等,或者访谈是否因设备处理能力不足而进行设备升级。
以华为设备为例,输入命令""display version”,查看设备在线时长,如设备在线时间在近期有重启可询问原因

3)应核查设备在一段时间内的性能峰值,结合设备自身的承载性能,分析是否能够满足业务处理能力

b)应保证网络各个部分的带宽满足业务高峰期需要

1)应访谈管理员高峰时段的流量使用情况,是否部署流量控制设备对关键业务系统的流量带宽进行控制,或在相关设备上启用QoS配置,对网络各个部分进行带宽分配,从而保证业务高峰期业务服务的连续性

2)应该查综合网管系统在业务商峰时段的带宽占用情况,分析是否满足业务需求。如果无法满足业务高蜂期需要,则需要在主要网络设备上进行带宽配置

3)测试验证网络各个部分的带宽是否满足业务高峰期需求

c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址

1)应访谈网络管理员,是否依据部门的工作职能、等级保护对象的重要程度和应用系统的级别等实际情况和区域安全防护要求划分了不同的VLAN,并核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致。
以Cisco IOS 为例,输入命令“show vlan brief”, 查看相关配置

d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段

1)应核查网络拓扑图是否与实际网络运行环境一致

2)应核查重要网络区域是否未部署在网络边界处;网络区域边界处是否部署了安全防护措施

3)应核查重要网络区域与其他网络区域之间,例如应用系统区、数据库系统区等重要网络区域边界是否采取可靠的技术隔离手段,是否部署了网闸、防火墙和设备访问控制列表(ACL)等

e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性

应核查系统的出口路由器、 核心交换机、安全设备等关键设备是否有硬件冗余和通信线路冗余,保证系统的高可用性

2. 通信传输

a)应采用校验技术或密码技术保证通信过程中数据的完整性

1)应核查是否在数据传输过程中使用校验技术或密码技术来保证其完整性

2)应测试验证设备或组件是否保证通信过程中数据的完整性。例如使用File ChecksumIntegrity Verifier、SigCheck 等工具对数据进行完整性校验

b)应采用密码技术保证通信过程中数据的保密性;

1)应核查是否在通信过程中采取保密措施,具体采用哪些技术措施

2)应测试验证在通信过程中是否对敏感信息字段或整个报文进行加密,可使用Sniffer、Wireshark 等测试工具通过流量镜像等方式抓取网络中的数据,验证数据是否加密

3. 可信验证

a)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证, 在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心;

1)应核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和关键应用程序等进行可信验证(通信设备、交换机、路由器或其他通信设备具有可信根芯片或硬件)

2)应核查是否在应用程序的关键执行环节进行动态可信验证(启动过程基于可信根对系统引导程序、系统程序,重要配置参数和关键应用程序等进行可信验证度量)

3)应测试验证当检测到设备的可信性受到破坏后是否进行报警(在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心)

4)应测试验证结果是否以审计记录的形式送至安全管理中心(安全管理中心可以接收设备的验证结果记录)

4. 安全扩展要求部分

云服务商
a)应保证云计算平台不承载高于其安全保护等级的业务应用系统;

b)应实现不同云服务客户虚拟网络之间的隔离;

c)应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力;

d)应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略;

e)应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务;

最后

以上就是迷你仙人掌为你收集整理的等保测评之安全通信网络安全通信网络的全部内容,希望文章能够帮你解决等保测评之安全通信网络安全通信网络所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(62)

评论列表共有 0 条评论

立即
投稿
返回
顶部