安全通信網絡
隨着現代信息化技術的不斷發展,等級保護對象通常通過網絡實現資源共享和數據交互,當大量的設備連成網絡后,網絡安全成了最為關注的問題。按照“一個中心,三重防御”的縱深防御思想,邊界外部通過廣域網或城域網的通信安全是首先需要考慮的問題,但是邊界內部的局域網網絡架構設計是否合理,內部通過網絡傳輸的數據是否安全,也在考慮范圍之內。
安全通信網絡針對網絡架構和通信傳輸提出了安全控制要求。主要對象為廣域網、城域網、局域網的通信傳輸以及網絡架構等;涉及的安全控制點包括網絡架構、通信傳輸和可信驗證。以下將以三級等級保護對象為例,描述安全通信網絡各個控制要求項的檢查對象、檢查方法和期望結果等。
控制點
1.
網絡架構網絡架構是滿足業務運行的重要組成部分,如何根據業務系統的特點構建網絡是非常關鍵的。首先應關注整個網絡的資源分布、架構是否合理。只有架構安全了,才能在其上實現各種技術動能,達到通信網絡保護的目的。本層面重點針對網絡設備的性能要求;業務系統對網絡帶寬的需求;網絡區域的合理划分;區域間的有效防護;網絡通信線路以及設備的冗余等要求進行解讀說明。
a)*
安全要求:應保證網絡設備的業務處理能力滿足業務高峰期需要。
要求解讀:為了保證主要網絡設備具備足夠處理能力,應定期檢查設備資源占用情況,確保設備的業務處理能力具備冗余空間。
檢查方法
1.應訪談網絡管理員業務高峰時期為何時,檢查邊界設備和主要網絡設備的處理能力是否滿足業務高峰期需要,詢問采用何種手段對主要網絡設備的運行狀態進行監控。
以華為交換機為例,輸入命令“display cpu-usage”,“display memory-usage”查看相關配置。一般來說,在業務高峰期主要網絡設備的CPU、內存最大使用率不宜超過70%,也可以通過綜合網管系統查看主要網絡設備的CPU、內存的使用情況。
2.應訪談或檢查是否因設備處理能力不足而出現過宕機情況,可核查綜合網管系統告警日志或設備運行時間等,或者訪談是否因設備處理能力不足而進行設備升級。
以華為設備為例,輸入命令“display version”,查看設備在線時長,如設備在線時間在近期有重啟可詢問原因。
3.應檢查設備在一段時間內的性能峰值,結合設備自身的承載性能,分析是否能夠滿足業務處理能力。
測評對象
1.網絡管理員
2.網絡設備
期望結果
1.設備CPU和內存使用率峰值不大於於70%,通過命令核查相關使用情況:
<Huawei>display cpu-usage
CPU Usage Stat.Cycle:60(Second)
CPU Usage :3% Max:45%
CPU Usage stat.Time :2018-05-26 16:58:16|
CPU utilization for five seconds:15%:one-minute:15%:five minutes:15%
<Huawei>display memory-usage
CPU utilization for five seconds:15%:one minute:15%:five minutes:15%
System Total Memory Is:75312648 bytes
Total Memory Used Is:45037704 bytes
Memory Using Percentage Is:59%
2.未出現宕機情況,網管平台未出現宕機告警日志,設備運行時間較長:
<Huawei>display version
Huawei Versatile Routing Platform Software
VRP (R) software,Version 5.130(AR1200 V200R003C00)
Copyright (C) 2011-2012 HUAWEI TECH CO.,LTD
Huawei AR1220 Router uptime is 0 week,0 day,0 hour,1 minute
MPU 0(Master):uptime is 0 week,0 day,0 hour,1 minute
3.業務高峰流量不超過設備處理能力的70%。
高風險判定
滿足以下條件即可判定為高風險:
核心交換機、核心路由器、邊界防火牆等網絡鏈路上的關鍵設備性能無法滿足高峰期需求,可能導致服務質量嚴重下降或中斷,例如性能指標平均達到80%以上。
補償因素:
對於采用多數據中心方式部署,且通過技術手段實現應用級災備,能降低單一機房發生設備故障所帶來的可用性方面影響的情況,可從影響程度、RTO等角度進行綜合風險分析,根據分析結果,酌情判定風險等級。
(注:80%僅為參考值,可根據設備類型處理效果等情況綜合判斷,性能指標包括CPU、內存占用率、吞吐量等。)
b)*
安全要求:應保證網絡各個部分的帶寬滿足業務高峰期需要。
要求解讀:為了保證業務服務的連續性,應保證網絡各個部分的帶寬滿足業務高峰期需要。如果存在帶寬無法滿足業務高峰期需要的情況,則需要在主要網絡設備上進行帶寬配置,保證關鍵業務應用的帶寬需求。
檢查方法
1.應訪談管理員高峰時段的流量使用情況,是否部署流量控制設備對關鍵業務系統的流量帶寬進行控制,或在相關設備上啟用QoS配置,對網絡各個部分進行帶寬分配,從而保證業務高峰期業務服務的連續性。
2.應檢查綜合網管系統在業務高峰時段的帶寬占用情況,分析是否滿足業務需求。如果無法滿足業務高峰期需要,則需要在主要網絡設備上進行帶寬配置。
3.測試驗證網絡各個部分的帶寬是否滿足業務高峰期需求。
測評對
1.網絡管理員
2.各部分寬帶
期望結果
1.在各個關鍵節點部署流量監控系統,能夠兼,監測網絡中的實時流量,部署流量控制設備,在關鍵節點設備配置QoS策略,對關鍵業務系統的流量帶寬進行控制;
2.節點設備配置了流量監管和流量整形策略;流量監管配置:
class-map:class-1
bandwidth percent 50
bandwidth 5000(kbps)max threshold 64(packets)
class-map:class-2
bandwidth percent 15
bandwidth 1500(kbps)max threshold 64(packets)
流量整形配置:
traffic classifier cl operator or
if-match ac1 3002
traffic behavior b1
remark 1ocal-precedence af3
traffic policy p1
classifier c1 behavior b1
interface gigabitethernet 3/0/0
traffic-policy p1 inbound
3.各通信鏈路高峰流量均不大於其帶寬的70%。
c)*
安全要求:應划分不同的網絡區域,並按照方便管理和控制的原則為各網絡區域分配地址。
要求解讀:根據實際情況和區域安全防護要求,應在主要網絡設備上進行VLAN划分。
VLAN是一種通過將局域網內的設備邏輯地而不是物理地划分成不同子網從而實現虛擬工作組的新技術。不同VLAN內的報文在傳輸時是相互隔離的,即一個VLAN內的用戶不能和其它VLAN內的用戶直接通信,如果不同的VLAN要進行通信,則需要通過路由器或三層交換機等三層設備實現。
檢查方法
應訪談網絡管理員,是否依據部門的工作職能、等級保護對象的重要程度和應用系統的級別等實際情況和區域安全防護要求划分了不同的VLAN,並核查相關網絡設備配置信息,驗證划分的網絡區域是否與划分原則一致。
以Cisco IOS為例,輸入命令“show vlan brief”,查看相關配置。
測評對象
1.網絡管理員
2.相關網絡設備配置信息
期望結果
划分不同的網絡區域,按照方便管理和控制的原則為各網絡區域分配地址,不同網絡區域之間應采取邊界防護措施:
10 server active
20 user active
30 test active
99 management active
高風險判定
滿足以下條件即可判定為高風險:
重要網絡區域與非重要網絡在同一子網或網段,例如承載業務系統的生產網絡與員工日常辦公網絡,面向互聯網提供服務的服務器區域與內部網絡區域在同一子網或網段等。
補償因素:
同一子網之間有技術手段實現訪問控制,可根據實際措施效果,酌情判定風險等級。
d)*
安全要求:應避免將重要網絡區域部署在邊界處,重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段。
要求解讀:為了保證等級保護對象的安全,應避免將重要網段部署在網絡邊界處且直接連接外部等級保護對象,防止來自外部等級保護對象的攻擊。同時,應在重要網段和其它網段之間配置安全策略進行訪問控制。
檢查方法
1.應檢查網絡拓撲圖是否與實際網絡運行環境一致,
2.應檢查重要網絡區域是否未部署在網絡邊界處;網絡區域邊界處是否部署了安全防護措施。
3.應檢查重要網絡區域與其他網絡區域之間,例如應用系統區、數據庫系統區等重要網絡區域邊界是否采取可靠的技術隔離手段,是否部署了網閘、防火牆和設備訪問控制列表(ACL)等。
測評對象
重要網絡區域、安全防護措施
期望結果
1.網絡拓撲圖與實際網絡運行環境一致;
2.重要網絡區域未部署在網絡邊界處;
3.在重要網絡區域與其他網絡區域之間部署了網閘、防火牆等安全設備實現了技術隔離。
高風險判定
網絡邊界訪問控制設備不可控
同時滿足以下條件即可判定為高風險:
1.網絡邊界訪問控制設備無管理權限;
2.未采取其他任何有效的訪問控制措施,例如服務器自帶防火牆未配置訪問控制策略等;
3.無法根據業務需要或所發生的的安全事件及時調整訪問控制策略。
補償因素:
網絡邊界訪問控制措施由雲服務提供或由集團公司統一管理,管理方能夠根據系統的業務及安全需要及時調整訪問控制策略,可從策略更改響應時間、策略有效性、執行效果等角度進行綜合風險分析,根據分析結果,酌情判定風險等級。
重要網絡區域邊界訪問控制措施缺失
滿足以下條件即可判定為高風險且無補償因素:
在網絡架構上,重要網絡區域與其他網絡區域之間(包括內部區域邊界和外部區域邊界)無訪問控制設備實施訪問控制措施,例如重要網絡區域與互聯網等外部非安全可控網絡邊界處、生產網絡與員工日常辦公網絡之間、生產網絡接入區之間未部署訪問控制設備實施訪問控制措施等。
(注:互聯網邊界訪問控制設備包括但不限於防火牆、UTM等能實現相關訪問控制功能的專用設備,對於內部邊界訪問控制,也可使用路由器、交換機或者帶ACL功能的負載均衡器等設備實現,測評過程中應根據設備部署位置設備性能壓力等因素綜合進行分析,判斷采用設備的合理性。)
e)**
安全要求:應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗余,保證系統的可用性。
要求解讀:本要求雖然放在“安全通信網絡”分類中,實際是要求整個網絡架構設計需要冗余。為了避免網絡設備或通信線路出現故障時引起系統中斷,應采用冗余技術設計網絡拓撲結構,以確保在通信線路或設備故障時提供備用方案,有效增強網絡的可靠性。
檢查方法
應檢查系統的出口路由器、核心交換機、安全設備等關鍵設備是否有硬件冗余和通信線路冗余,保證系統的高可用性。
測評對象
系統的出口路由器、核心交換機、安全設備等關鍵設備
期望結果
采用HSRP、VRRP等冗余技術設計網絡架構,確保在通信線路或設備故障時網絡不中斷,有效增強網絡的可靠性。
高風險判定
滿足以下條件即可判定為高風險:
核心通信線路、關鍵網絡設備和關鍵計算機設備無冗余設計,一旦出現線路或設備故障就可能導致服務中斷。
補償因素:
1.對於采取多數據中心方式部署,且通過技術手段實現應用級災備,能降低生產環境設備故障所帶來的可用性方面影響的情況,可從影響程度、RTO等角度進行綜合風險分析,根據分析結果,可酌情判定風險等級。
2.對於關鍵計算設備采用虛擬化技術的情況,可從虛擬化環境的硬件冗余和虛擬化計算設備(如虛擬機、虛擬網絡設備等)冗余等角度進行綜合風險分析,根據分析結果,可酌情判定風險等級。