等保测评高风险判定——第二章 通信网络篇

最新推荐文章于 2024-04-29 10:18:52 发布
最新推荐文章于 2024-04-29 10:18:52 发布
阅读量2.5k 收藏 4
点赞数 4
分类专栏: 等保测评 高风险判定 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44713337/article/details/112236689
版权

提示:文章如有错误,欢迎指出。

文章目录

前言

什么是等保测评:等保测评的全称是信息安全等级保护测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。

高可用性系统:
可用性大于或等于99.9% ,年度停机时间小于或等于8.8小时的系统,例如,银行、证券、非银行支付机构、互联网金融等交易类系统,提供公共服务的民生类系统、工业控制类系统、云计算平台等。

提示:以下是本篇文章正文内容。

等保测评高风险判定——第二章 通信网络篇

安全通信网络

二级及以上系统高风险判定

1.1网络区域划分不当

要求项:应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。

解读:重要网络区域与非重要网络在同一子网或网段。

举例:
1.承载业务系统的生产网络与员工日常办公网络在同一子网或网段等。
2.面向互联网提供服务的服务器区域与内部网络区域在同一子网或网段等。

补偿措施:同一子网之间有技术手段实现访问控制。

1.2网络边界访问控制设备不可控

要求项:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

解读:
1.网络边界访问控制设备无管理权限;
2.未采取其他任何有效的访问控制措施;
3.无法根据业务需要或所发生的安全事件及时调整访问控制策略。

全部条件都满足才可判定高风险。

补偿措施:
1.对网络边界访问控制措施统一管理,管理方可根据系统的业务及安全需要及时调整访问控制策略。

1.3重要网络区域边界访问控制措施缺失

要求项:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

解读:
1.在网络架构上,重要网络区域与其他网络区域之间无访问控制设备实施访问控制措施;

举例:
1.重要网络区域与其他网络区域:内部区域边界和外部区域边界、重要网络区域与互联网等外部非安全可控网络、生产网络与员工日常办公网络、生产网络与无线网络接人区等。

补偿措施:无。

边界访问控制设备包括但不限于防火墙、UTM等能实现相关访问控制功能的专用设备;对于内部边界访问控制,也可使用路由器、交换机或者带ACL功能的负载均衡器等设备实现。

1.4 云计算平台等级低于承载业务系统等级

要求项:应保证云计算平台不承载高于其安全保护等级的业务应用系统。

解读:
1.云平台承载高于其安全保护等级的业务应用系统;
2.业务应用系统部署在低于其安全保护等级的云平台上;
3.业务应用系统部署在未进行等级保护测评、测评报告超出有效期或者等级保护测评结论为差的云平台上。

任意一条满足即可判定高风险。

补偿措施:无。

三级及以上系统高风险判定

2.1网络设备业务处理能力不足

要求项:应保证网络设备的业务处理能力满足业务高峰期需要。

解读:
1.网络链路上的关键设备性能无法满足高峰期需求,可能导致服务质量严重下降或中断等风险。

除等级要求外,系统性质需是高可用性的

举例:
1.关键设备:核心交换机,核心路由器,边界防火墙等;
2.性能指标:性能指标平均达到80%以上。

80%仅为参考值,可根据设备类型,处理效果等情况综合判断;性能指标包括CPU,内存占用率,吞吐量等。

补偿措施:
1.采用多数据中心方式部署,且通过技术手段实现应用级灾备,可降低单一机房发生设备故障所带来的可用性方面影响。

2.2关键线路和设备冗余措施缺失

要求项:应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。

解读:
1.核心通信线路、关键网络设备和关键计算设备无冗余设计,一旦出现线路或设备故障,可能会导致系统服务中断。

除等级要求外,系统性质需是高可用性的

举例:
1.关键设备:核心交换机,核心路由器,边界防火墙等;
2.性能指标:性能指标平均达到80%以上。

80%仅为参考值,可根据设备类型,处理效果等情况综合判断;性能指标包括CPU,内存占用率,吞吐量等。

补偿措施:
1.采用多数据中心方式部署,且通过技术手段实现应用级灾备,可降低单一机房发生设备故障所带来的可用性方面影响。
2.若关键计算设备采用的是虚拟化技术,可从虚拟化环境的硬件冗余和虚拟化计算设备(如虚拟机、虚拟网络设备等)冗余情况考虑。

2.3重要数据传输完整性保护措施缺失

要求项:应采用校验技术或密码技术保证通信过程中数据的完整性。

解读:
1.网络层或应用层无任何重要数据(如交易类数据﹑操作指令数据等)传输完整性保护措施,一旦数据遭到篡改,将对系统或个人造成重大影响。

补偿措施:
1.对于重要数据在可控网络中传输的情况,可从已采取的网络管控措施、遭受数据篡改的可能性等角度进行综合风险分析。

2.4重要数据明文传输

要求项:应采用密码技术保证通信过程中数据的保密性。

解读:
1.鉴别信息、个人敏感信息或重要业务敏感信息等以明文方式在不可控网络环境中传输。

补偿措施:
1.使用多种身份鉴别技术,限定管理地址等措施,获得的鉴别信息无法直接登录应用系统或设备;
2.从被测对象的作用、重要程度以及信息泄露后对整个系统或个人产生的影响等角度进行综合风险分析;

总结

以上就是今天要讲的内容,本文仅仅简单介绍了通信网络篇的高风险判定,如有不解和错误,欢迎大家一块讨论。

                                                    FROM:MZR
益达爱
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
等保2.0三级通用要求
weixin_45061645的博客
10-22 1万+
安全物理环境 物理位置选择 机房场地应选择在具有防震、防风和防雨等能力的建筑内。 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 物理访问控制 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 防盗窃和防破坏 应将设备或主要部件进行固定,并设置明显的不易除去的标识。 应将通信线缆铺设在隐蔽安全处。 应设置机房防盗报警系统或设置有专人值守的视频监控系统。 防...
等保测评--通信网络安全测评要求
江南落花雨
07-06 6902
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。 网络安全等级测评师---安全通信网络测试(CNS) 1.网络架构 应保证网络设备的业务处理能力满足业务高峰期需要。 应保证网络各部分的带宽满足业务高峰期需要。 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。 应
等保测评中的高风险
最新发布
weixin_64392888的博客
04-29 654
等保测评中的高风险项指的是在测评过程中发现的严重安全隐患,这些隐患如果不加以整改,可能导致信息系统面临重大安全威胁。以下是一些在等保测评中可能被判定高风险项的内容: 1. **物理环境安全**: - 无防盗报警系统或监控系统。 - 机房配备冗余或并行电力线路,或供电来源单一。 - 配备应急供电措施或应急措施无法使用。 - 核心数据系统采取电磁屏蔽措施。 2. **网络通信安全**: - 网络设备业务处理能力不足,尤其在高负载时可能导致服务中断。 - 重要网络
针对《等保2.0》要求的云上最佳实践——网络安全
阿里云开发者
04-21 2219
简介:伴随着国内企业上云步伐的加快,越来越多的企业需要对云上关键业务进行等级保护自查或完成相关认证。本文以《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》中所要求的三级标准为参考,重点关注其中所涉及的网络安全高危风险部分,为企业提供阿里云上有针对性的安全建设最佳实践,助力企业构建层次化的云上网络安全防御体系,保障核心业务的安全运行。名词解释区域(Region)阿里云上的网络区域通常是以层次化的方式由外部向内部进行划分的,概括来说,通常会有三个层级的网络区域结构:第一层级(物理区域)
网络安全等级保护测评高风险判定-安全计算环境-4
y995zq的博客
01-15 9934
目录 1.网络设备、安全设备、主机设备、数据库等 1.1身份鉴别 1.1.1设备存在弱口令或相同口令 1.1.2设备鉴别信息无防窃听措施 1.1.3设备实现双因素认证 1.2访问控制 1.2.1设备默认口令修改 1.3安全审计 1.3.1设备无安全审计措施 1.4入侵防范 1.4.1设备开启高危服务端口 1.4.2限制设备管理终端 1.4.3互联网设备修补已知重大漏洞 1.4.4内部设备存在可被利用的漏洞 1.5恶意代码防范 1.5.1无恶意代码防范措施 2应用
【等保知识】测评高风险项详解:安全物理环境
jojo705的博客
02-10 3972
等级保护2.0标准发布后,为了更好地提升全国等级保护测评体系的技术能力,统一测评机构对网络安全风险的评判尺度。由中关村信息安全测评联盟组织,上海市信息安全测评认证中心主笔,国内众多测评机构(参与单位:杭州安信检测技术有限公司、江苏金盾检测技术有限公司、深圳市网安计算机安全检测技术有限公司、合肥天帷信息安全技术有限公司、山东新潮信息技术有限公司、成都安美勤信息技术股份有限公司、甘肃安信信息安全技术有...
T-ISEAA 001-2020 网络安全等级保护测评高风险判定指引.pdf
08-31
网络安全等级保护测评高风险判定指引》(T-ISEAA 001-2020)是中国在网络安全领域发布的一项重要文件,旨在规范网络安全等级保护测评活动,提高测评工作的质量和标准化水平。该指引由中关村信息安全测评联盟组织...
网络安全等级保护测评高风险判定指引(2019年定稿)PDF版本
04-28
网络安全等级保护测评高风险判定指引》是针对我国网络安全领域的一项重要指导文件,旨在规范网络安全等级保护的测评工作,特别是对高风险因素的识别和处理。该指引由信息安全测评联盟于2019年制定,旨在确保各类...
T-ISEAA 001-2020网络安全等级保护测评高风险判定指引.pdf
11-23
《T-ISEAA 001-2020网络安全等级保护测评高风险判定指引》是针对网络安全等级保护的一项重要标准,旨在规范和指导在网络安全评估过程中如何准确判断和处理高风险问题。该标准由中关村信息安全测评联盟发布,于2020年...
41-ISEAA 001-2020网络安全等级保护测评高风险判定指引.pdf
08-12
41-ISEAA 001-2020网络安全等级保护测评高风险判定指引.pdf
等保2.0高风险项全解析:判定标准与应对方法
网络安全
02-27 1902
所谓高风险项,就是等保测评时可以一票否决的整改项,如果不改,无论你多少分都会被定为不合格。全文共58页,写得比较细了,但是想到大家基本不会有耐心去仔细看的(凭直觉)。这几天挑里边相对重点的内容列了出来,就是企业要重点关注的,把这些做好,上70分应该不成问题,个人认为这就是所谓的抓重点了。
网络安全等级保护测评高风险判定-安全区域边界-3
y995zq的博客
01-13 4378
目录 1.边界防护 1.1网络边界访问控制设备不可控 1.2无违规内联检查措施 1.3无违规外联检查措施 1.4无线网络无管控措施 2访问控制 2.1重要网络区域边界访问控制配置不当 2.2通信协议无转换或隔离措施 3入侵防范 3.1无外部网络攻击防御措施 3.2无内部网络攻击防御措施 4恶意代码和垃圾邮件防范 4.1无恶意代码防范措施 5安全审计 5.1无网络安全审计措施 1.边界防护 1.1网络边界访问控制设备不可控 对应要求:应保证跨越边界的访问和数据流通过边界设备
【等保】等保工作中常见导致等保测评结论为差的高风险项汇总
行云管家
12-02 3731
目前我国等保测评结论分为优、良、中、差几个级别,70分以上才算及格,90分以上算优秀。所以在办理等保业务过程中一定要注意一些常见风险项,避免导致出现等保测评结论为差的风险。今天我们小编对等保工作中常见导致等保测评结论为差的高风险进行了一个简单总结,仅供参考。 1、云计算平台不在国内的不能选 二级及以上云计算平台其云计算基础设施需位于中国境内。如果你选择了一个境外的云平台,那么等保肯定过不了。 2、内部只有一个网段的不符合 二级及以上系统,应将重要网络区域和非重要网络区域划分在不同网段或子网。生产网络和办公
等保知识|测评高风险项详解:安全管理部分
jojo705的博客
03-19 4743
等级保护2.0标准中,以三级要求为例,技术部分要求共计84项,管理部分要求共计127项(占比达60%),所以安全管理一定要重视
安全区域边界(举例设备为互联网防火墙)
m0_52527037的博客
04-01 1218
安全区域边界(举例设备为互联网防火墙)
网络架构 ​安全通信网络针对网络架构和通信传输提出了安全控制要求。​
半抹灯芯的博客
12-15 947
安全通信网络 随着现代信息化技术的不断发展,等级保护对象通常通过网络实现资源共享和数据交互,当大量的设备连成网络后,网络安全成了最为关注的问题。按照“一个中心,三重防御”的纵深防御思想,边界外部通过广域网或城域网的通信安全是首先需要考虑的问题,但是边界内部的局域网网络架构设计是否合理,内部通过网络传输的数据是否安全,也在考虑范围之内。 安全通信网络针对网络架构和通信传输提出了安全控制要求。主要对象为广域网、城域网、局域网的通信传输以及网络架构等;涉及的安全控制点包括网络架构、通信传输和可信验证。以下
GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》之安全通信网络测评解读
热门推荐
N2O_666的博客
04-22 1万+
系列文章目录 文章目录系列文章目录前言一、网络架构二、通信传输三、可信验证总结 前言 上期对GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》中第三级测评要求的安全测评通用要求的第一部分(安全物理环境)进行了解读,本期就安全测评通用要求第二部分(安全通信网络进行解读。 一、网络架构 8.1.2.1 网络架构 8.1.2.1.1 测评单元(L3-CNS1-01) 该测评单元包括以下要求: a)测评指标:应保证网络设备的业务处理能力满足业务高峰期需要。 b)测评对象
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值