文章目录

  • 前言
  • 一、网络架构
  • 二、通信传输
  • 三、可信验证
  • 总结

前言

上期对GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》中第三级测评要求的安全测评通用要求的第一部分(安全物理环境)进行了解读,本期就安全测评通用要求第二部分(安全通信网络)进行解读。

一、网络架构

8.1.2.1 网络架构

8.1.2.1.1 测评单元(L3-CNS1-01

该测评单元包括以下要求:
a)测评指标:应保证网络设备的业务处理能力满足业务高峰期需要。
b)测评对象:路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件。
c)测评实施包括以下内容:
  1)应核查业务高峰时期一段时间内主要网络设备的CPU使用率和内存使用率是否满足需要;
  2)应核查网络设备是否从未出现过因设备性能问题导致的宕机情况;
  3)应测试验证设备是否满足业务高峰期需求。
d)单元判定:如果1)~3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

1)一般来说,在业务高峰期主要网络设备的CPU内存最大使用率不宜超过70%;
不同品牌的网络设备配置查看命令不一样,比如华为交换机使用“display cpu-usage”查看交换机CPU状态,思科交换机使用“show processes cpu”查看交换机CPU状态,其它网络设备也同样使用相应的命令来查看等相关配置信息。当然,如果有SOC或者综合网管系统,也可以通过他们来查看主要网络设备的CPU、 内存的使用情况。

2)通过查看设备系统宕机/重启告警日志来检查近期是否宕机/重启过,如果有,询问的原因。也可以查看设备在线时长来判定近期是否有宕机/重启;

3)业务高峰流量不超过设备处理能力的70%。
设备处理能力包括CPU处理能力、内存等。

8.1.2.1.2 测评单元(L3-CNS1-02)

该测评单元包括以下要求:
a)测评指标:应保证网络各个部分的带宽满足业务高峰期需要。
b)测评对象:综合网管 系统等。
c) 测评实施包括以下内容:
  1)应核查综合网管系统各通信链路带宽是否满足高峰时段的业务流量需要;
  2)应测试验证网络带宽是否满足业务高峰期需求。
d) 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

1)应访谈管理员高峰时段的流量使用情况,是否部署流量控制设备对关键业务系统的流量带宽进行控制,或在相关设备上启用QoS配置,对网络各个部分进行带宽分配,从而保证业务高峰期业务服务的连续性;
在关键节点部署流量监控系统,能够检测实时流量,部署流量控制设备,
在关键节点配置QoS策略,对关键业务熊的流量带宽进行控制。

2)测试验证(可以使用网页测试或者软件测试)网络各个部分的带宽是否满足业务高峰期需求,应保证各通信链路高峰流量均不大于其带宽的70%。

8.1.2.1.3 测评单元(L3-CNS1-03

该测评单元包括以下要求:
a)测评指标:应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。
b)测评对象:路由器、交换机、无线接人设备和防火墙等提供网络通信功能的设备或相关组件。
c)测评实施包括以下内容:
  1)应核查是否依据重要性、部门等因素划分不同的网络区域;
  2)应核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

1)应访谈网络管理员,是否依据部门的工作职能、等级保护对象的重要程度和应用系统的级别等实际情况和区域安全防护要求划分了不同的VLAN;

2)并核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致。
以Cisco IOS 为例,输入命令“show vlan brief”, 查看相关配置信息。

8.1.2.1.4 测评单元(L3-CNS1-04

该测评单元包括以下要求:
a)测评指标:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
b)测评对象:网络拓扑。
c)测评实施包括以下内容:
  1)应核查网络拓扑图是否与实际网络运行环境一致;
  2)应核查重要网络区域是否未部署在网络边界处;
  3)应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段,如网闸、防火墙和设备访问控制列表(ACL)等。
d)单元判定:如果1)~3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

1)检查网络实际运行环境是否与提供的拓扑图一致,如不一致,则需要及时更新拓扑图;

2)检查重要网络区域(一般包含单位核心业务、核心数据处理和存放的地方)是否部署在网络边界处;

3)应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段,如网闸、防火墙和设备访问控制列表(ACL)等。比如查看内网和外网之间有采取有效的隔离手段。

8.1.2.1.5 测评单元(L3-CNS1-05)

该测评单元包括以下要求:
a)测评指标:应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
b)测评对象:网络管理员和网络拓扑。
c)测评实施:应核查是否有关键网络设备、安全设备和关键计算设备的硬件冗余(主备或双活等) 和通信线路冗余。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。

核查系统出口路由器、核心交换机、安全设备等关键设备是否有硬件冗余和通信线路冗余,保证系统的高可用性。或者查看网络架构是否采用HSRP(热备份路由协议)、VRRP(虚拟路由冗余协议)等冗余技术设计,这样可以确保在通信线路或设备故障时网络不中断,有效增强网络的可靠性。

二、通信传输

8.1.2.2 通信传输

8.1.2.2.1 测评单元(L3-CNS1-06

该测评单元包括以下要求:
a)测评指标:应采用校验技术或密码技术保证通信过程中数据的完整性。
b)测评对象:提供校验技术或密码技术功能的设备或组件。
c)测评实施包括以下内容:
  1)应核查是否在数据传输过程中使用校验技术或密码技术来保证其完整性;
  2)应测试验证密码技术设备或组件能否保证通信过程中数据的完整性。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

1)检查是否在数据传输过程中使用校验技术或密码技术来保证其完整性;
传输过程中的完整性主要通过协议(比如TLS、SSH协议)来实现,通过MAC(消息校验码)来实现整个数据报文的完整性和加密性,因此,在测评中,如果采用TLS/SSL协议、SSH协议,默认其实应该是符合传输过程中的完整性要求的。

2)测试验证密码技术设备或组件能否保证通信过程中数据的完整性。
可以直接使用MD5校验器检查发送端文件和接收端文件的SHA1值是否一致,若一致,则说明符合完整性测试,否则,则不符合。一般测评时默认采用加密协议的就可以保证其完整性。这里的数据一般包括重要鉴别数据、重要业务数据、审计数据、重要配置数据、个人信息等等。

这里的测试思路分为两部:第一步,是否有相关设备或者技术保证数据传输过程的完整性;第二步,保障数据传输过程完整性措施是否有效。

8.1.2.2.2 测评单元(L3-CNS1-07)

该测评单元包括以下要求:
a)测评指标:应采用密码技术保证通信过程中数据的保密性。
b)测评对象:提供密码技术功能的设备或组件。
c)测评实施包括以下内容:
  1)应核查是否在通信过程中采取保密措施,具体采用哪些技术措施;
  2)应测试验证在通信过程中是否对数据进行加密。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

1)应核查是否在通信过程中采取保密措施,具体采用哪些技术措施;
检查数据传输过程中的保密性,主要核查是否采用TLS/SSL、SSH等加密协议,对于B/S架构的系统,一般查看网站域名是否是https打头即可,若是则符合.

2)应测试验证在通信过程中是否对数据进行加密。
测试通信过程是否对报文进行加密(如果不能保证整个报文的加密,至少密码等敏感信息字段需要加密),可以使用Sniffer、Wireshark 、Burpsuite等测试工具通过流量镜像等方式抓取网络中的数据,验证数据是否加密。
一般情况下如果采用https等加密协议,则默认符合数据传输过程保密性要求。

这里的测试思路分为两部:第一步,是否有相关设备或者技术保证数据保密性;第二步,验证数据保密性措施是否有效。

关于数据传输过程的完整性和保密性实现及验证,我在之前的文章里面有详细讲解,所以在这里只简单写了一些,想要了解更多的可以查看我之前写的《如何理解数据的保密性与完整性?如何保证数据的保密性与完整性?》。

三、可信验证

8.1.2.3 可信验证

8.1.2.3.1 测评单元(L3-CNS1-08)

该测评单元包括以下要求:
a)测评指标:可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
b)测评对象:提供可信验证的设备或组件、提供集中审计功能的系统。
c)测评实施包括以下内容:
  1)应核查是否基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证;
  2)应核查是否在应用程序的关键执行环节进行动态可信验证;
  3)应测试验证当检测到通信设备的可信性受到破坏后是否进行报警;
  4)应测试验证结果是否以审计记录的形式送至安全管理中心。
d)单元判定:如果1)~4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。

1)检查路由器、交换机等其他通信设备是否具有可信根芯片或可信硬件,如果有,则符合;

2)检查应用程序启动过程是否基于可信根对系统引导程序、系统程序、重要配置参数和关键应用程序进行可信验证度量,如果有,则符合;

3)检查通信设备的可信性受到破坏后是否进行报警,如果有报警,则符合;

4)应测试验证结果是否以审计记录的形式送至安全管理中心。这里的测试验证结果指的是可信验证的结果(无论验证结果是成功还是失败)。

总结

本期就GB/T 28448-2019三级系统中的安全通信网络测评进行了简单的解读,有不对的地方,欢迎指正。下期将对安全区域边界进行解读。

——————————————-----------------——

GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》之安全通信网络测评解读相关推荐

  1. 信息安全技术网络安全等级保护定级指南_报业网络安全等级保护定级参考指南V2.0发布...

    近期,<报业网络安全等级保护定级参考指南V2.0>正式发布. 该指南由中国新闻技术工作者联合会组织网络安全领域的专家.报业技术专家以及业务专家经过多次调研.学习.探讨后,在原<报业网 ...

  2. 信息安全技术网络安全等级保护

    目录 等级的定义: 工作流程 测评结果 等保2.0的结构 等保2.0变化 等保:对信息或者信息载体按照重要性等级分级别进行保护. 等级的定义: 根据等级保护对象在国家安全.经济建设.社会生活中的重要程 ...

  3. 等保测评--网络安全等级保护测评过程指南

    GB/T 28449-2018 信息安全技术网络安全等级保护测评过程指南 范围 适用于测评机构.定级对象的主管部门及运营使用单位开展网络安全等级保护测试评价工作 规范等保测评工作过程,规定测评活动及工 ...

  4. 《网络安全等级保护基本要求》(GBT 22239-2019)标准解读

    <网络安全等级保护基本要求>(GB/T 22239-2019)标准解读 0 引言 <信息安全技术 信息系统安全等级保护基本要求>(GB/T 22239-2008)在我国推行信息 ...

  5. 二、网络安全等级保护制度的前世今生

    一.开展网络安全等级保护工作的法律依据 1994年<计算机信息系统安全保护条例>(第147号)第九条明确规定,"计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的 ...

  6. 等保(网络安全等级保护)2.0与定级备案之——等保2.0与等保1.0区别解读

    等保2.0与等保1.0区别解读 这4900+的字儿也太多了,哈哈,就先这样吧,听讲座去了 什么是等保? 等保,即网络安全等级保护标准. 2007年我国信息安全等级保护制度正式实施,通过十余年的时间的发 ...

  7. 网络安全等级保护测评机构简介

    加强公安等级保护测评工作,推动等级等级保护2.0学习全国测评机构联系名单. 全国等级保护测评机构推荐目录下载地址 链接:https://pan.baidu.com/s/10_WPRLXn13052TO ...

  8. 网络安全等级保护制度2.0(简称“等保2.0”)学习笔记

    文章目录 一.等保背景 二.为什么要颁布实施等保2.0? 三.等保2.0相比等保1.0有哪些不变? 四.等保2.0相比等保1.0有哪些区别? 五.网络安全等级保护2.0的要求及所需设备的清单 5.1 ...

  9. 网络安全等级保护主要标准简要说明

    1.<计算机信息系统安全保护等级划分准则>(GB17859-1999) (1)主要用途 本标准将计算机信息系统的安全保护能力划分成五个等级,并明确了各个保护级别的技术保护措施要求.本标准是 ...

  10. 等保浅尝-网络安全等级保护/等保2.0

    一.等级保护是什么 等保1.0,信息安全技术 信息安全等级保护:等保2.0,信息安全技术 网络安全等级保护 网络安全等级保护是我国网络安全领域的基本国策.基本制度.等级保护标准在1.0时代标准的基础上 ...

最新文章

  1. a标签是什么意思 怎么使用?
  2. 如何在Window下安装node\npm\cnpm,并安装vue.js,创建项目
  3. linq TO XML 基础
  4. STM32下一次程序后J-link不能识别问题解决
  5. timespan怎么比较大小_装饰画怎么挂都不好看?那是你不懂技巧!整理了一篇攻略,请拿好...
  6. CString GetBuffer() GetString()
  7. boost::sort模块实现spreadsort 浮点排序示例
  8. C#反射之Assembly.Load,Assembly.LoadFile 与 Assembly.LoadFrom方法介绍
  9. 三)mybatis 二级缓存,整合ehcache
  10. 【2018.4.14】模拟赛之二-ssl2392 蚂蚁【图论】
  11. 进程控制常用的一些操作
  12. 八皇后问题 (信息学奥赛一本通-T1213)
  13. linux-history历史命令-光标的移动操作-命令行上的字符删除操作
  14. burp 代理的时候无法访问https网站
  15. word打开出错,要进入安全模式问题
  16. 歌尔首次闪耀CES Asia,展示全面创新力量
  17. 大哥大佬们这个怎么改成 成功
  18. 华硕和兰博基尼将发布iPhone的对手
  19. C#扫雷外挂辅助工具
  20. bzoj2565manacher算法

热门文章

  1. 回弹强度记录表填写_混凝土抗压强度回弹法测试原始记录表.doc-_装配图网
  2. 矩阵论与计算机英语论文,矩阵论翻译论文.pdf
  3. 【前端】html页面的字体代码表及字体效果对比
  4. 转载:在Python 3中使用深度森林(Deep Forest)进行分类
  5. a标签下载文档 a下载文档失败问题 跨域调用
  6. windows7 安装向导
  7. 【修正版】狼叔的2017年总结:
  8. python视频截图
  9. 解决win10cmd乱码
  10. jdk11 下载地址