随着现代信息化技术的不断发展,等级保护对象通常通过网络实现资源共享和数据交互。当大量的设备联成网络后,网络安全成为最受关注的问题。按照“一个中心,三重防御”的纵深防御思想,在网络边界外部通过广域网或城域网通信的安全是首先需要考虑的问题,网络边界内部的局域网网络架构设计是否合理、内部通过网络传输的数据是否安全也在考虑范围之内。 安全通信网络针对网络架构和通信传输提出了安全控制要求,主要对象为广域网、城域网、局域网的通信传输及网络架构等,涉及的安全控制点包括网络架构、通信传输、可信验证。
1网络架构
网络架构是业务运行所需的重要部分,如何根据业务系统的特点构建网络是非常关键的。首先应关注整个网络的资源分布、架构是否合理,只有架构安全了,才能在其上实现各种技术功能,达到保护通信网络的目的。下面重点对网络设备的性能、业务系统对网络带宽的需求、网络区域的合理划分、区域间的有效防护、网络通信线路及设备的冗余等要求进行解读。
1.1应保证网络设备的业务处理能力满足业务高峰期需要
为了保证主要网络设备具备足够的处理能力,应定期检查设备的资源占用情况,确保设备的业务处理能
力具备冗余空间。
1.2应保证网络各个部分的带宽满足业务高峰期需要
为了保证业务服务的连续性,应保证网络各个部分的带宽满足业务高峰期需要。如果存在带宽无法满足业务高峰期需要的情况,则要在主要网络设备上进行带宽配置,以保证关键业务应用的带宽需求。
1.3应划分不同的网络区域,并按照方便管理和控制的原则
为各网络区域分配地址
应根据实际情况和区域安全防护要求,在主要网络设备上进行VLAN划分。VLAN是一种通过将局域网内的设备逻辑地而不是物理地划分成不同子网从而实现虚拟工作组的技术。不同VLAN内的报文在传输时是相互隔离的,即一个VLAN 内的用户不能和其他VLAN内的用户直接通信。如果要在不同的VLAN之间进行通信,则需要通过路由器或三层交换机等三层设备实现。
我海军目前的力量部暑是1.4应避免将重要网络区域部署在边界处,重要网络区域与
其他网络区域之间应采取可靠的技术隔离手段
阻容分压器
为了保证等级保护对象的安全,应避免将重要网段部署在边界处且直接连接外部等级保护对象,从而防止来自外部等级保护对象的攻击。同时,应在重要网段和其他网段之间配置安全策略,进行访问控制
1.5应提供通信线路、关键网络设备和关键计算设备的硬件
特钢厂冗余,保证系统的可用性汽车智能防盗系统
本要求虽然放在“安全通信网络”分类中,但实际上是要求整个网络架构设计要有冗余。为了避免网络设备或通信线路因出现故障而引发系统中断,应采用冗余技术设计网络拓扑结构,以确保在通信线路或设备发生故障时提供备用方案,有效增强网络的可靠性。同时,关键计算设备需要采用热冗余方式部署,以保证系统的高可用性
2通信传输
通信传输为等级保护对象在网络环境中的安全运行提供了支持。为了防止数据被篡改或泄露,应确保在网络中传输的数据的保密性、完整性、可用性等。应注意,此处的通信传输,既应关注不同安全计算环境之间的通信安全(例如,分
支机构与总部之间的通信安全,不同安全保护等级对象之间的通信安全),也应关注单一计算环境内
部不同区域之间的通信安全(例如,管理终端与被管设备之间的通信安全,业务终端与应用服务器之间的通信安全)。
2.1应采用校验技术或密码技术保证通信过程中数据的完整
性
为了防止数据在通信过程中被修改或破坏,应采用校验技术或密码技术保证通信过程中数据的完整性。这些数据包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
2.2应采用密码技术保证通信过程中数据的保密性
文件管理系统根据实际情况和安全防护要求,为了防止信息被窃听,应采取技术手段对通信过程中的敏感信息字段或整个报文加密。可采用对称加密、非对称加密等方式实现数据的保密性。
3可信验证
屋脊线传统的通信设备采用缓存或其他形式来保存固件,这种方式容易遭受恶意攻击。黑客可以未经授权访问固件或篡改固件,也可以在组件的闪存中植入恶意代码(这些代码能够轻易躲过标准的系统检测过程,
从而对系统造成永久性的破坏)。通信设备如果是基于硬件的可信根的,可在加电后基于可信根实现预装软件(包括系统引导程序、系统程序、相关应用程序和重要配置参数)的完整性验证或检测,确保“无篡改再执行,有篡改就报警”,从而保证设备启动和执行过程的安全。
3.1可基于可信根对通信设备的系统引导程序、系统程序、
重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
通信设备可能包括交换机、路由器和其他通信设备等。通过在设备的启动和运行过程中对预装软件(包括系统引导程序、系统程序、相关应用程序和重要配置参数)的完整性进行验证或检测,可以确保对系统引导程序、系统程序、重要配置参数和关键应用程序的篡改行为能被发现并报警,便于进行后续处置。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议