GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》之安全通信网络测评解读

最新推荐文章于 2024-03-07 09:37:20 发布
最新推荐文章于 2024-03-07 09:37:20 发布
阅读量1w 收藏 29
点赞数 2
分类专栏: 网络安全 文章标签: 网络通信 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/n2o_666/article/details/115548920
版权

文章目录

前言

上期对GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》中第三级测评要求的安全测评通用要求的第一部分(安全物理环境)进行了解读,本期就安全测评通用要求第二部分(安全通信网络)进行解读。

一、网络架构

8.1.2.1 网络架构

8.1.2.1.1 测评单元(L3-CNS1-01

该测评单元包括以下要求:
a)测评指标:应保证网络设备的业务处理能力满足业务高峰期需要。
b)测评对象:路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件。
c)测评实施包括以下内容:
  1)应核查业务高峰时期一段时间内主要网络设备的CPU使用率和内存使用率是否满足需要;
  2)应核查网络设备是否从未出现过因设备性能问题导致的宕机情况;
  3)应测试验证设备是否满足业务高峰期需求。
d)单元判定:如果1)~3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

1)一般来说,在业务高峰期主要网络设备的CPU内存最大使用率不宜超过70%;
不同品牌的网络设备配置查看命令不一样,比如华为交换机使用“display cpu-usage”查看交换机CPU状态,思科交换机使用“show processes cpu”查看交换机CPU状态,其它网络设备也同样使用相应的命令来查看等相关配置信息。当然,如果有SOC或者综合网管系统,也可以通过他们来查看主要网络设备的CPU、 内存的使用情况。

2)通过查看设备系统宕机/重启告警日志来检查近期是否宕机/重启过,如果有,询问的原因。也可以查看设备在线时长来判定近期是否有宕机/重启;

3)业务高峰流量不超过设备处理能力的70%。
设备处理能力包括CPU处理能力、内存等。


8.1.2.1.2 测评单元(L3-CNS1-02)

该测评单元包括以下要求:
a)测评指标:应保证网络各个部分的带宽满足业务高峰期需要。
b)测评对象:综合网管 系统等。
c) 测评实施包括以下内容:
  1)应核查综合网管系统各通信链路带宽是否满足高峰时段的业务流量需要;
  2)应测试验证网络带宽是否满足业务高峰期需求。
d) 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

1)应访谈管理员高峰时段的流量使用情况,是否部署流量控制设备对关键业务系统的流量带宽进行控制,或在相关设备上启用QoS配置,对网络各个部分进行带宽分配,从而保证业务高峰期业务服务的连续性;
在关键节点部署流量监控系统,能够检测实时流量,部署流量控制设备,
在关键节点配置QoS策略,对关键业务熊的流量带宽进行控制。

2)测试验证(可以使用网页测试或者软件测试)网络各个部分的带宽是否满足业务高峰期需求,应保证各通信链路高峰流量均不大于其带宽的70%。


8.1.2.1.3 测评单元(L3-CNS1-03

该测评单元包括以下要求:
a)测评指标:应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。
b)测评对象:路由器、交换机、无线接人设备和防火墙等提供网络通信功能的设备或相关组件。
c)测评实施包括以下内容:
  1)应核查是否依据重要性、部门等因素划分不同的网络区域;
  2)应核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

1)应访谈网络管理员,是否依据部门的工作职能、等级保护对象的重要程度和应用系统的级别等实际情况和区域安全防护要求划分了不同的VLAN;

2)并核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致。
以Cisco IOS 为例,输入命令“show vlan brief”, 查看相关配置信息。


8.1.2.1.4 测评单元(L3-CNS1-04

该测评单元包括以下要求:
a)测评指标:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
b)测评对象:网络拓扑。
c)测评实施包括以下内容:
  1)应核查网络拓扑图是否与实际网络运行环境一致;
  2)应核查重要网络区域是否未部署在网络边界处;
  3)应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段,如网闸、防火墙和设备访问控制列表(ACL)等。
d)单元判定:如果1)~3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

1)检查网络实际运行环境是否与提供的拓扑图一致,如不一致,则需要及时更新拓扑图;

2)检查重要网络区域(一般包含单位核心业务、核心数据处理和存放的地方)是否部署在网络边界处;

3)应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段,如网闸、防火墙和设备访问控制列表(ACL)等。比如查看内网和外网之间有采取有效的隔离手段。


8.1.2.1.5 测评单元(L3-CNS1-05)

该测评单元包括以下要求:
a)测评指标:应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
b)测评对象:网络管理员和网络拓扑。
c)测评实施:应核查是否有关键网络设备、安全设备和关键计算设备的硬件冗余(主备或双活等) 和通信线路冗余。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。

核查系统出口路由器、核心交换机、安全设备等关键设备是否有硬件冗余和通信线路冗余,保证系统的高可用性。或者查看网络架构是否采用HSRP(热备份路由协议)、VRRP(虚拟路由冗余协议)等冗余技术设计,这样可以确保在通信线路或设备故障时网络不中断,有效增强网络的可靠性。

二、通信传输

8.1.2.2 通信传输

8.1.2.2.1 测评单元(L3-CNS1-06

该测评单元包括以下要求:
a)测评指标:应采用校验技术或密码技术保证通信过程中数据的完整性。
b)测评对象:提供校验技术或密码技术功能的设备或组件。
c)测评实施包括以下内容:
  1)应核查是否在数据传输过程中使用校验技术或密码技术来保证其完整性;
  2)应测试验证密码技术设备或组件能否保证通信过程中数据的完整性。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

1)检查是否在数据传输过程中使用校验技术或密码技术来保证其完整性;
传输过程中的完整性主要通过协议(比如TLS、SSH协议)来实现,通过MAC(消息校验码)来实现整个数据报文的完整性和加密性,因此,在测评中,如果采用TLS/SSL协议、SSH协议,默认其实应该是符合传输过程中的完整性要求的。

2)测试验证密码技术设备或组件能否保证通信过程中数据的完整性。
可以直接使用MD5校验器检查发送端文件和接收端文件的SHA1值是否一致,若一致,则说明符合完整性测试,否则,则不符合。一般测评时默认采用加密协议的就可以保证其完整性。这里的数据一般包括重要鉴别数据、重要业务数据、审计数据、重要配置数据、个人信息等等。

这里的测试思路分为两部:第一步,是否有相关设备或者技术保证数据传输过程的完整性;第二步,保障数据传输过程完整性措施是否有效。


8.1.2.2.2 测评单元(L3-CNS1-07)

该测评单元包括以下要求:
a)测评指标:应采用密码技术保证通信过程中数据的保密性。
b)测评对象:提供密码技术功能的设备或组件。
c)测评实施包括以下内容:
  1)应核查是否在通信过程中采取保密措施,具体采用哪些技术措施;
  2)应测试验证在通信过程中是否对数据进行加密。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

1)应核查是否在通信过程中采取保密措施,具体采用哪些技术措施;
检查数据传输过程中的保密性,主要核查是否采用TLS/SSL、SSH等加密协议,对于B/S架构的系统,一般查看网站域名是否是https打头即可,若是则符合.

2)应测试验证在通信过程中是否对数据进行加密。
测试通信过程是否对报文进行加密(如果不能保证整个报文的加密,至少密码等敏感信息字段需要加密),可以使用Sniffer、Wireshark 、Burpsuite等测试工具通过流量镜像等方式抓取网络中的数据,验证数据是否加密。
一般情况下如果采用https等加密协议,则默认符合数据传输过程保密性要求。

这里的测试思路分为两部:第一步,是否有相关设备或者技术保证数据保密性;第二步,验证数据保密性措施是否有效。

关于数据传输过程的完整性和保密性实现及验证,我在之前的文章里面有详细讲解,所以在这里只简单写了一些,想要了解更多的可以查看我之前写的《如何理解数据的保密性与完整性?如何保证数据的保密性与完整性?》。

三、可信验证

8.1.2.3 可信验证

8.1.2.3.1 测评单元(L3-CNS1-08)

该测评单元包括以下要求:
a)测评指标:可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
b)测评对象:提供可信验证的设备或组件、提供集中审计功能的系统。
c)测评实施包括以下内容:
  1)应核查是否基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证;
  2)应核查是否在应用程序的关键执行环节进行动态可信验证;
  3)应测试验证当检测到通信设备的可信性受到破坏后是否进行报警;
  4)应测试验证结果是否以审计记录的形式送至安全管理中心。
d)单元判定:如果1)~4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

1)检查路由器、交换机等其他通信设备是否具有可信根芯片或可信硬件,如果有,则符合;

2)检查应用程序启动过程是否基于可信根对系统引导程序、系统程序、重要配置参数和关键应用程序进行可信验证度量,如果有,则符合;

3)检查通信设备的可信性受到破坏后是否进行报警,如果有报警,则符合;

4)应测试验证结果是否以审计记录的形式送至安全管理中心。这里的测试验证结果指的是可信验证的结果(无论验证结果是成功还是失败)。

总结

本期就GB/T 28448-2019三级系统中的安全通信网络测评进行了简单的解读,有不对的地方,欢迎指正。下期将对安全区域边界进行解读。

——————————————-----------------——
放点花椒~
关注
  • 2
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
GB∕T 284482019 信息安全技术网络安全等级保护测评要求.rar
03-08
2019年12月1日实施的信息安全技术网络安全等级保护测评要求,用于替换GB∕T 28448一2012。
等级保护相关标准
weixin_46162146的博客
01-12 1508
GB 17859-1999 计算机信息系统 安全保护等级划分准则 GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南 本标准规定了等级保护对象实施网络安全等级保护工作的过程。 本标准适用于指导网络安全等级保护工作的实施 GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求 本标准规定了不同级别的等级保护对象的安全测评通用要求安全测评扩展要求。 本标准适用于...
【学习笔记】简单了解网络安全等级保护
最新发布
Xcong_Zhu的博客
03-07 1214
等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。
等保2.0资料
03-06
信息安全技术_网络安全等级保护基本要求-报批稿-20181120
GB-T 22239-2019 信息安全技术网络安全等级保护基本要求.pdf
05-16
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB_T 28448-2019_信息安全技术 网络安全等级保护基本要求 待审稿.pdf
09-18
GB_T 28448-2019_信息安全技术 网络安全等级保护基本要求
GB/T 28448-2019信息安全技术 网络安全等级保护测评要求》之安全物理环境测评解读
N2O_666的博客
04-06 4685
文章目录引言一、物理位置选择二、物理访问控制三、防盗窃和破坏四、防盗窃和破坏五、防火六、防水和防潮七、防静电八、温湿度控制九、电力供应九、电磁防护总结 引言 2019年12月1日,我国已经进入等保2.0时代,2017年6月1日《网络安全法》正式实施,助力我国网络安全等保建设,等保建设作为我国网络安全领域的基本国策、基本制度,也被越来越多的人知道。 等保2.0体系包含众多标准,主要标准如下: GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南 GB/T 25058-2019 信息安
GB/T 28448-2019信息安全技术 网络安全等级保护测评要求》之安全区域边界解读
N2O_666的博客
05-13 6280
文章目录前言一、边界防护总结 前言 本期继续对GB/T 28448-2019信息安全技术 网络安全等级保护测评要求》中第三级测评要求安全测评通用要求进行解读,本期主要对安全区域边界进行解读。 一、边界防护 8.1.3.1 边界防护 8.1.3.1.1 测评单元(L3-ABS1-01) 该测评单元包括以下要求: a)测评指标:应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 b)测评对象:网闸、防火墙、路由器、交换机和无线接人网关设备等提供访问控制功能的设备或相关组件
GB∕T 28448-2019 信息安全技术网络安全等级保护测评要求
12-06
5月13日,《信息安全技术 网络安全等级保护基本要求》正式发布,在标准名称、保护对象、章节结构、控制措施等部分进行了修改和更新,标志着我国网络安全等级保护工作正式进入“2.0时代”。
三、网络安全等级保护2.0主要标准概述
vickie2019的博客
06-18 2636
网络安全等级保护2.0国家通用层面的主要标准已基本形成,后续各行业需要根据本行业的业务场景制定等保的行业细化标准,行业标准比国家通用的标准更细化、更贴近本行业的业务、场景和安全合规。只要大家掌握这几个标准的精髓,个人从业者还是能混到一口不错的饭,但是仅掌握安全从业者仅掌握等保是不够的,安全太宽了,各位如果想在网络安全行业有所建树,还需不断向网络攻防、渗透攻击、数据安全等等学习及沉淀。今天我们一起看看国家等保2.0通用的标准简述内容, 一、《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-20
等保2.0.整体测评结果分析
老毛的博客
07-21 3404
这块内容是等保2.0里面新加的东西,大概意思就是说:虽然进行测评后得到的每个测评控制点的结果,但是这个结果是可以进行合理的调整;或者区域间/层面间的测评结果也是可以进行调整的。 这里要注意2点: 1、要合情合理,不是瞎调; 2、调整后,结果可能变好,也有可能变差。
GB_T 28448-2019_信息安全技术 网络安全等级保护测评要求_标准解读.pdf
09-18
GB_T 28448-2019_信息安全技术 网络安全等级保护测评要求_标准解读
GB∕T 22239-2019 信息安全技术网络安全等级保护基本要求 pdf
06-04
最新等保2.0规范,稀缺资源,GB∕T 22239-2019 信息安全技术网络安全等级保护基本要求
GB_T 28448-2019 信息安全技术 网络安全等级保护测评要求.pdf
04-08
GB_T 28448-2019 信息安全技术 网络安全等级保护测评要求.pdf
GB_T-28448-2012信息系统安全等级保护测评要求.pdf
06-12
等保测评要求GB_T-28448-2012,等保1.0版本,与2.0标准有出入,涉及一到四级等保评估要求
2019年信息安全等级评定机构名录
01-22
国家网络安全等级保护工作协调小组办公室推荐测评机构名单
等保2.0服务器测评-身份鉴别测评方法以及配置整改-01
szgyunyun的博客
11-25 5937
等保2.0服务器测评-身份鉴别 声明: 测评要求参考《信息安全技术 网络安全等级保护测评要求GB/T 284482019测评方法以及配置整改为个人工总结,仅供参考不适用全部操作系统,有不合理的地方大家多多指出,欢迎交流。 测评项 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过
安全通信网络指标
b10d9的博客
06-08 854
指标内容如图:指标理解:c)网络架构需要划分不同的安全域,并为安全域分配合理的IP地址段。安全域如DMZ区、内网服务器区、用户办公区等。合理的IP段划分也可以在事后快速定位。不应出现单个IP地址段在多个安全域中重复使用,不同安全等级安全域使用相同IP地址段或子网等情况。场景举例:1)重要系统与办公网不使用相同网段;2)互联网系统与内部系统不使用相同网段;d)高安全等级的安全域不应规划在边界处,常见边界有互联网边界、分支单位专网边界等。高安全等级的安全域与其他安全域之间应部署防火墙等设备进行边界隔离。如内网数
gm/t 0028-2014密码模块安全技术要求
06-22
### 回答1: GM/T 0028-2014是中国国家密码管理局颁布的一项密码模块安全技术要求标准。该标准规定了密码模块的物理安全、逻辑安全、密码算法以及密码模块管理等方面的要求。 首先,密码模块的物理安全要求必须高。密码模块必须能够抵御物理攻击,具备安全外壳、自毁保护等手段,防止模块被非法移动或者窃取。 其次,密码模块的逻辑安全同样重要。标准要求密码模块必须具备访问控制、防止恶意代码攻击、防止分析攻击、安全日志等措施,可以有效保护用户的隐私和数据安全。 此外,标准对密码算法的选择和使用也做出了明确要求。密码模块必须使用公开且已经被广泛认可的加密算法,保证安全性。同时,密码模块要支持密钥管理和密钥协商,可以实现不同安全级别和不同安全策略的应用。 最后,密码模块的管理也是标准的重要内容。标准要求密码模块必须具备远程管理、自我检查等功能,可以对密码模块进行有效的管理和监控。 总之,GM/T 0028-2014的出台,为我国的密码模块安全提供了明确的规范和要求,从物理安全、逻辑安全、密码算法和管理等方面保障了密码模块的安全性和可靠性。 ### 回答2: 《GM/T 0028-2014密码模块安全技术要求》指导了密码模块的设计、开发、测试、认证和使用,旨在保证密码算法的安全性和信息系统的安全性。该标准主要包括以下内容: 1.密码算法要求要求密码算法必须符合国家密码局规定的密码算法标准,且必须经过国家密码管理机构认证。 2.密码模块开发要求要求密码模块的设计、开发、测试必须遵循信息安全规范,必须采用最新的安全技术和措施来保障密码模块的安全可靠性。 3.密码模块性能要求要求密码模块的性能必须达到国家密码管理机构规定的要求,确保密码模块能够承载大规模的应用需求。 4.密码模块测试与认证要求要求密码模块必须经过国家密码管理机构认证,包括算法评测、功能测试、性能测试等,确保密码模块能够满足用户的安全需求。 5.密码模块使用要求要求用户在使用密码模块时必须按照国家密码管理机构规定的要求使用,确保密码模块能够发挥最大的安全保障作用。 总之,GM/T 0028-2014标准的制定和实施,为密码模块的发展提供了规范和指导,有利于提高我国信息安全水平,加强网络安全防范能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

放点花椒~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值