等保测评之安全通信网络

最新推荐文章于 2024-06-01 00:23:36 发布
最新推荐文章于 2024-06-01 00:23:36 发布
阅读量4k 收藏 21
点赞数 3
分类专栏: 等保测评 文章标签: 网络 安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45380284/article/details/113887287
版权

安全通信网络

1. 网络架构

a)应保证网络设备的业务处理能力满足业务高峰期需要

1)应访谈网络管理员业务高峰时期为何时,核查边界设备和主要网络设备的处理能力是否满足业务高峰期需要,询问采用何种手段对主要网络设备的运行状态进行监控。
以华为交换机为例,输入命令 ““display cpu -usage”” , "“display memory-usage”"查看相关配置。一般来说,在业务高峰期主要网络设备的CPU内存最大使用率不宜超过70%,也可以通过综合网管系统查看主要网络设备的CPU、 内存的使用情况

2)应访谈或核查是否因设备处理能力不足而出现过宕机情况,可核查综合网管系统告警日志或设备运行时间等,或者访谈是否因设备处理能力不足而进行设备升级。
以华为设备为例,输入命令""display version”,查看设备在线时长,如设备在线时间在近期有重启可询问原因

3)应核查设备在一段时间内的性能峰值,结合设备自身的承载性能,分析是否能够满足业务处理能力

b)应保证网络各个部分的带宽满足业务高峰期需要

1)应访谈管理员高峰时段的流量使用情况,是否部署流量控制设备对关键业务系统的流量带宽进行控制,或在相关设备上启用QoS配置,对网络各个部分进行带宽分配,从而保证业务高峰期业务服务的连续性

2)应该查综合网管系统在业务商峰时段的带宽占用情况,分析是否满足业务需求。如果无法满足业务高蜂期需要,则需要在主要网络设备上进行带宽配置

3)测试验证网络各个部分的带宽是否满足业务高峰期需求

c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址

1)应访谈网络管理员,是否依据部门的工作职能、等级保护对象的重要程度和应用系统的级别等实际情况和区域安全防护要求划分了不同的VLAN,并核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致。
以Cisco IOS 为例,输入命令“show vlan brief”, 查看相关配置

d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段

1)应核查网络拓扑图是否与实际网络运行环境一致

2)应核查重要网络区域是否未部署在网络边界处;网络区域边界处是否部署了安全防护措施

3)应核查重要网络区域与其他网络区域之间,例如应用系统区、数据库系统区等重要网络区域边界是否采取可靠的技术隔离手段,是否部署了网闸、防火墙和设备访问控制列表(ACL)等

e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性

应核查系统的出口路由器、 核心交换机、安全设备等关键设备是否有硬件冗余和通信线路冗余,保证系统的高可用性

2. 通信传输

a)应采用校验技术或密码技术保证通信过程中数据的完整性

1)应核查是否在数据传输过程中使用校验技术或密码技术来保证其完整性

2)应测试验证设备或组件是否保证通信过程中数据的完整性。例如使用File ChecksumIntegrity Verifier、SigCheck 等工具对数据进行完整性校验

b)应采用密码技术保证通信过程中数据的保密性;

1)应核查是否在通信过程中采取保密措施,具体采用哪些技术措施

2)应测试验证在通信过程中是否对敏感信息字段或整个报文进行加密,可使用Sniffer、Wireshark 等测试工具通过流量镜像等方式抓取网络中的数据,验证数据是否加密

3. 可信验证

a)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证, 在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心;

1)应核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和关键应用程序等进行可信验证(通信设备、交换机、路由器或其他通信设备具有可信根芯片或硬件)

2)应核查是否在应用程序的关键执行环节进行动态可信验证(启动过程基于可信根对系统引导程序、系统程序,重要配置参数和关键应用程序等进行可信验证度量)

3)应测试验证当检测到设备的可信性受到破坏后是否进行报警(在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心)

4)应测试验证结果是否以审计记录的形式送至安全管理中心(安全管理中心可以接收设备的验证结果记录)

4. 安全扩展要求部分

云服务商
a)应保证云计算平台不承载高于其安全保护等级的业务应用系统;

b)应实现不同云服务客户虚拟网络之间的隔离;

c)应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力;

d)应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略;

e)应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务;

黑白自渡
关注
  • 3
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
等保测评--安全通信网络--测评方法
daibaohui的博客
08-22 990
【互联网边界访问控制设备不可控】判例内容:互联网边界访问控制设备无管理权限,且无其他边界防护措施的,难以保证边界防护的有效性,也无法根据业务需要或所发生的安全事件及时调整访问控制策略,可判定为高风险。判例内容:对可用性要求较高的系统,若网络链路为单链路,核心网络节点、核心网络设备或关键计算设备无冗余设计,一旦出现故障,可能导致业务中断,可判定为高风险。1、互联网出口无任何访问控制措施。判例内容:应按照不同网络的功能、重要程度进行网络区域划分,如存在重要区域与非重要网络在同一子网或网段的,可判定为高风险。
等保测评-华为、华三、锐捷路由、交换设备配置
08-04
等保测评相关路由、交换机设备配置
网络安全等级测评师(初级)——安全通信网络
weixin_43378183的博客
07-21 3585
网络安全等级测评师(初级)——安全通信网络
等级保护测评基本要求安全通信网络笔记
最新发布
weixin_54799594的博客
06-01 1163
等保测评师基本要求学习笔记随手一记
网络安全之等保 2.0 测评
yy1715713348的博客
07-19 979
对数据库配置文件进行一个完整性检测,需要配置文件初始可信状态时的哈希值,然后再根据目前的文件生成一个哈希值,对比前后的一致性,确认数据是否被篡改过,根据了解一般数据库自身不带这种机制,询问管理人员是否使用了第三方软件对数据库重要数据进行了完整性校验。1、访谈管理员如何对审计记录进行保护,对审计记录是否定期备份,备份策略是什么,时间大于 6 个月 2、如果采用第三方设审计产品,满足日志存储的时间要求 3、严格限制审计的访问权限,非授权用户禁止对日志进行操作。1.如果是云上数据库,是否为高可用版本。
等保系列之——网络安全等级保护测评:工作流程及工作内容
Karka_的博客
06-19 1735
**一、**网络安全等级保护测评过程概述网络安全等级保护测评工作过程包括四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。而测评相关方之间的沟通与洽谈应贯穿整个测评过程。每一项活动有一定的工作任务。如下表。01 基本工作流程① 测评准备活动本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。② 方案编制活动本活动是开展等级测评工作的关键
等保基线核查——交换机
weixin_43965325的博客
10-25 2827
交换机基线核查常用命令行
等级测评-安全通信网络
07-06
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等...
思维导图网络安全等保测评工程师(初级)& 等保2.0 & 等级保护
08-31
安全通信网络安全计算环境 安全区域边界 安全管理中心 安全管理人员 安全管理机构 安全管理制度 安全建设管理 安全运维管理 云计算安全扩展 移动互联网安全扩展 物联网安全扩展 工业控制安全扩展 大数据安全扩展 ...
网络安全等级保护等级测评方案.docx
02-17
安全通信网络测评则评估网络设备、协议、加密技术等在保障数据传输安全上的表现;安全区域边界测评则关注内外网之间的隔离和访问控制,防止非法渗透。 测评的目的不仅在于找出安全漏洞,还在于提供改进措施,帮助被...
2020年度通信网络安全防护符合性评测表-等保.xls
05-25
2020年度通信网络安全防护符合性评测表-等保.xls
信息安全等级保护测评实施H3C和华为二级作业指导书.doc
09-02
H3C和华为交换机-等保二级测评指导书
等保2.0测评指导书
11-04
物理安全安全通信网络安全区域边界、安全计算环境、安全计算环境linux、安全计算环境windows、Oracle、Mysql、终端设备、应用系统、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、...
华为交换机-关于等保“身份鉴别”的配置
学无止境
12-11 8828
+++++++++++++++++++++++口令长度要求++++++++++++++++++++++++ password说明: 字符串形式,长度范围是8~16或长度是56或68。输入的密码可以是明文或者密文。 当明文输入时,长度范围为8~16,区分大小写,输入的密码至少包含两种类型字符,包括大写字母、小写字母、数字及特殊字符。特殊字符不包括“?”和空格。 当密文输入时,长度是56或68。该密文密码必须以$1a$开始,以$结束;或者以%^%#开始,以%^%#结束。 说明: 如果升级前版本支持设置长度为24
5. 3级等保-安全通信网络-网络架构测评
土豆123的博客
07-08 3555
1. 应保证网络设备的业务处理能力满足业务高峰期需要 (1) 应核查业务高峰时期一段时间内主要网络设备的 CPU 使用率和内存使用率是否满足需要; 华为/H3C: 思科/锐捷: (2) 应核查网络设备是否从未出现过宕机情况; 查看设备在线时长 华为/H3C: 思科/锐捷: (3)应测试验证设备是否满足业务高峰期需求。 查看各设备日志,看是否出现性能告警信息 华为/H3C: 思科/锐捷: 2. 应保证网络各个部分带宽满足业务高峰期需要; 通过网络管理平台查看,或在业务高峰时段登录登录链路接入设.
等保测评 安全计算环境之网络设备
weixin_45380284的博客
02-20 5332
安全计算环境之网络设备 1. 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 1)应核查用户在登录时是否采用了身份鉴别措施 2)应核查用户列表,测试用户身份标识是否具有唯一性 3)应核查用户配置信息或访谈系统管理员,核查是否不存在空口令用户 4)应核查用户鉴别信息是否具有复杂度要求并定期更换 b)具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施 1)应核查是否配置并启用了登录失败处理功能:如果网络中部署堡
等保培训.05.应用和数据库安全测评
老毛的博客
04-18 3045
文章目录应用系统安全测评背景介绍应用测评的特点和方法应用测评的特点应用测评的方法通过访谈,了解安全措施的实施情况通过检查,查看其是否进行了正确的配置如果条件允许,需进行测试主要测评内容身份鉴别访问控制安全审计剩余信息保护通信完整性通信保密性抗抵赖软件容错资源控制数据完整性数据保密性备份和恢复结果整理和分析数据库安全测评前言背景介绍常见威胁主要内容身份鉴别访问控制安全审计资源控制备份和恢复 缺第四集...
安全HCIP之等保测评
XiaoHG_CSDN的博客
10-11 397
国家信息安全等级保护测评标准 没有网络安全就没有国家安全 待补充。。。
等保三级测评笔记
weixin_68831724的博客
08-16 2438
等保三级
网络安全等级保护测评高风险判定指引(2019定稿)安全测评联盟.doc
09-26
依据《信息安全技术 网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》有关条款,对测评过程中所发现的安全性问题进行风险判断的指引性文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值