安全通信网络
网络架构
a)应保证网络设备的业务处理能力满足业务高峰期需要;
(1)直接可以写该话述🙈未发现由于设备存在性能瓶颈而导致网络发生拥堵、阻断等情况;
(2)描述网络设备和安全设备的cpu如:
👉xxx cpu使用率为
b)应保证网络各个部分的带宽满足业务高峰期需要;
(1)描述所有接入网络和核心网络当前带宽如:
👉内网带宽、专网出口、互联网出口带宽为xxx(百兆、千兆)级,满足当前需求
(2)描述系统当前带宽占用率如:
👉业务高峰期的带宽占用率均未超过业务带宽的80%,未出现因带宽问题导致业务拥堵的情况;
c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
(1)描述划分对应VLAN功能如:
👉管理员在内网核心交换机划分了不同的网络区域,并根据不同的网络区域划分了不同的VLAN;
(2)描述摘抄内容如:
👉摘抄如下:interface VLAN4 ip address 10.0.11.1 255.255.255.252
d)应避免将重要网络区域部署在边界处,重要网络区域之间应采取可靠的技术隔离手动;
(1)描述当前系统所有边界的访问控制措施如:
👉服务器未直接部署到网络边界处,互联网边界处部署了互联网防火墙进行安全隔离防护
(2)描述内部是否采用访问控制策略或vlan如:
👉核心交换机采用VLAN进行不同功能区域的划分
e)应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性。
(1)描述主要网络设备冗余情况(核心交换机、核心路由器灯)如:
👉内网核心交换机和外网核心交换机采用热冗余方式部署,但其他主干网络重要设备未进行冗余方式部署。
通信传输
a)应采用校验技术或密码技术保证通信过程中数据的完整性;
(1)若系统中有通信加密设备,则描述加密设备(VPN,加密机),若无通信加密设备,则描述所有设备采取的通信加密措施如:
👉网络设备采用SSH协议进行远程管理,安全设备采用HTTPS协议进行远程管理,服务器采用RDP协议和SSH协议进行远程管理,可以保证鉴别数据、重要配置数据在传输过程中的完整性,数据库和应用系统未采用校验技术或密码技术进行访问管理,无法保证鉴别数据、重要业务数据、个人信息、重要审计数据、重要配置数据在传输过程中的完整性
b)应采用密码技术保证通信过程中数据的保密性。
(1)若系统中有通信加密设备,则描述加密设备(VPN,加密机),若无通信加密设备,则描述所有设备采取的通信加密措施如:
👉网络设备采用SSH协议进行远程管理,安全设备采用HTTPS协议进行远程管理,服务器采用RDP协议和SSH协议进行远程管理,可以保证鉴别数据在传输过程中的保密性,数据库未采用密码技术进行访问管理,无法保证鉴别数据、业务数据、个人信息在传输过程中的保密性,应用系统采用DES加密算法对鉴别数据进行处理,但DES为不安全的加密算法,无法保证鉴别数据在传输过程中的保密性,且未采用密码技术保证业务数据和个人信息在传输过程中的保密性
可信计算
a)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
(1)描述是系统中是否采用可信根芯片,当前很多系统均未采用可信根验证一般描述如:
👉未对通信设备采用基于可信根的可信验证