安全通信网络1 .网络体系结构a)应保证网络设备的业务处理能力满足业务高峰期需要
1 )在采访网络管理员工作高峰期是什么时,检查边界设备和主要网络设备的处理能力是否满足工作高峰期的需要,并询问用什么手段监测主要网络设备的运行状态。
以华为交换机为例,输入命令“display cpu -usage”、“display memory-usage”确认相关结构。 一般来说,在业务高峰时期,主要网络设备的CPU内存最大利用率不得超过70%。 此外,还可以通过综合网络管理系统确认主要网络设备的CPU、内存的使用状况
2 )应采访或检查设备处理能力不足是否停机,可以检查综合网管系统的报警日志和设备运行时间等,也可以采访设备处理能力不足是否进行了设备升级。
以华为设备为例,可以输入命令“显示版本”来检查设备的在线时间,例如,如果设备在线时间近期有重新启动,则可以询问原因
3 )检查设备在一段时间内的性能高峰,结合设备自身的承载性能,分析能否满足业务处理能力
b)应保证网络各个部分的带宽满足业务高峰期需要
1 )访谈管理员高峰时段的流量使用情况,引入流量控制器控制关键业务系统的流量带宽,或在相关设备上启用QoS配置,为网络各部分分配带宽,达到高峰时段的业务带宽
2 )应了解综合网管系统业务商峰时段带宽占用情况,分析是否满足业务需求。 如果不能满足业务的高级蜂期需求,则必须在主要网络设备上配置带宽
3 )测试验证网络各部分带宽是否满足业务高峰需求
c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址
1 )对网络管理员进行访谈,根据部门业务功能、等级保护对象的重要程度、应用系统等级等实际情况和区域安全防护要求划分不同的VLAN,检查相关网络设备的配置信息,验证划分的网络区域与划分原则是否一致
以思科IOs为例,键入命令" show vlan brief "并检查相关配置
d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
1 )检查网络拓扑图是否与实际网络运行环境一致
2 )是否在网络区域边界引入了安全措施,以检查关键网络区域是否位于网络边界
3 )重要网络区域与其他网络区域之间,如应用系统区域、数据库系统区域等重要网络区域边界是否采取可靠的技术隔离手段,网络门、防火墙、设备access
e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性
必须检查系统出口路由器、核心交换机、安全设备等关键设备是否存在硬件冗馀和通信线路冗馀,保证系统的高可用性
2 .通信传输a)应采用校验技术或密码技术保证通信过程中数据的完整性
1 )在数据传输过程中检查是否使用验证技术或加密技术保证完整性
2 )测试和验证设备或组件是否保证了正在通信的数据的完整性。 例如,使用文件校验集成验证器、SigCheck等工具进行数据完整性检查
b)应采用密码技术保证通信过程中数据的保密性;
1 )检查通信中是否采取保密措施,具体采用哪些技术措施
2 )通信期间必须测试验证机密信息字段或整个消息是否加密。 可以使用Sniffer、Wireshark等测试工具通过通信镜像等方式捕获网络上的数据,并验证数据是否加密
3 .可信验证a)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证, 在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心;
1 )根据可信路由,检查是否对设备的系统引导程序、系统程序、关键配置参数、关键APP应用程序等进行可信验证(通信设备、交换机、路由器或其他
2 )检查在APP应用程序的关键执行过程中是否动态进行可信验证(启动过程根据可信路由对系统引导程序、系统程序、关键配置参数和关键APP应用程序等进行可信验证测量) )
3 )检测设备可靠性破坏后,测试验证是否进行报警(检测到可靠性破坏后进行报警,并将验证结果作为核查记录发送给安全管理中心)。
4 )测试验证结果是否以核查记录的形式发送到安全管理中心(安全管理中心可接收设备验证结果记录) )。
4 .安全扩展要求部分3358 www.Sina.com/http://www.Sina.com /
云服务商
a)应保证云计算平台不承载高于其安全保护等级的业务应用系统;
b)应实现不同云服务客户虚拟网络之间的隔离;
c)应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力;