差距评估 安全通信网络 安全区域边界

作者丨毛华庆
出品丨北京一等一技术咨询有限公司
本次从头梳理一下等保2.0涉及到的主要步骤:
等保概述、定级备案、差距评估、规划设计、安全整改以及测评验收等。
定级备案后就开始正式测评工作,我们忽略掉签合同、开项目启动会等非技术性环节,本节开始就要按等保测评的十个方面逐个按测评指导书结合等保要求来进行详细的分析,在开始之前先把整个大的框架先描述一下。
上篇讲了安全物理环境,这节写写安全通信网络和安全区域边界,其实技术测评这五块里面安全物理环境算是比较简单的,因为都是比较死的东西,其他几块就比较的复杂,没法按上节那样直接按标准给出参考答案,因为涉及到不同厂家的设备,测评的步骤当然也不一样。
安全通信网络
安全通用要求的安全通信网络部分针对通信网络提出安全控制要求,主要对象为广域网、城域网和局域网等,涉及的安全控制点包括网络架构、通信传输和可信验证

8.1.2.1 网络架构

这里注意,个别对系统正常运行影响较小的设备(如终端接入交换机、带外管理设备等)出现性能不足的情况,可弱化处理。
在有监控环境的条件下,应通过监控平台查看主要设备在业务高峰期的资源(CPU、内存等)使用情况;在无监控环境的情况下,在业务高峰期登录主要设备使用命令查看资源使用情况。不同厂家设备操作:
Cisco网络设备可使用show process 或show process memory(查看内存使用情况)、show process cpu(查看CPU使用率)、show resource usage all(查看会话连接数情况,可选)命令进行查看。
HUAWEI/H3C网络设备可使用display memory(查看内存使用情况)、display cpu-usage(查看CPU使用率)、dis session statistics(查看会话统计情况,可选)命令进行查看。
锐捷网络设备可使用或show memory slot(查看内存使用情况)、show cpu(查看CPU使用率)命令进行查看。
中兴网络设备可使用show process 命令查看设备的CPU利用率,内存等信息。
这里注意,因远程按入链路价格高昂,部分被测主体机构为减小开支和有效利用现有资源,可能会对进出口链路采用最大使用率原则,该情况下需分析采取的流量控制措施是否可满足被测系统在业务高峰期内的使用需求,如核查被测机构的《网络流量使用分析报告》等文档(找甲方)。
这里主要是查看网络拓扑图,看是否划分VLAN,例如划分了服务器区,客户区,管理区,互联网接入区等。
针对1不同厂家设备操作:
思科可通过tracert、traceroute、show cdp nei等命令测试实际网络连接是否与拓扑图一致。
华为/三可通过tracert display lldp neighbor-information(需在接口下配LLDP:链路层发现协议)等命令测试实际网络连接是否与拓扑图一致。
锐捷可通过tracert/traceroute等命令测试实际网络连接是否与拓扑图一致。
中兴同上。
这点主要看是否对核心区域配置双机冗余。

8.1.2.2 通信传输

这里的完整性主要看系统是否采用了SSH、HTTPS、FTPS等协议,有任意一个即可;保密性主要看系统是否采用了类似VPN的协议。

8.1.2.3 可信验证

这块是等保2.0新增内容,有好几个地方都有这个可信验证测评项,通信网络中的可信验证一般都是通过部署堡垒机完成的,例如第一点中,用户修改重要配置参数的时候可以通过堡垒机进行不同级别的控制(拒绝、记录等);同样的对于第二点中关键执行环节类似format c: \q之类的操作也可以进行控制;对于第三点,在用户做出异常操作后,堡垒机应该可以进行报警(email、短信);最后一点,审计记录要统一保存。
安全区域边界
安全通用要求的安全区域边界部分针对网络边界提出安全控制要求(常见的是互联网接入区域的设备,当然也可以有内网和内网之间的区域)。主要对象为系统边界和区域边界等,涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。

8.1.3.1 边界防护

这里要注意,若未在网络边界处部署访问控制设备,则边界路由、交换设备需配置ACL列表;重点关注业务流的访问控制策略、用于远程管理的访问控制策略、对高危端口(如数据库服务端口、远程访问端口)的访问控制策略。
这里尤其要对无线网络进行检查。
针对步骤第二点,各厂商使用如下命令进行检查:
思科采用show run命令检测未使用的端口是否为人为shut down,或采用show ip interface brief命令测未使用的端口的Status状态是否为ADM:administratively down。
华为/三采用dis cu命令检测未使用的端口是否为人为shut down,或采用dis int brief命令测未使用的端口的St atus状态是否为ADM:administratively down。
锐捷采用show run命令检测未使用的端口是否为人为shut down。
中兴同上。
这里控制非授权外联要配备上网行为管理设备;最后一点则应尽量将无线网络单独划分为一个VLAN。

8.1.3.2 访问控制

这里的第一点主要是看设备是否配置为默认禁止所有通信,一般是ACL默认最后就有一条禁止所有的条目:DENY ALL;
对于第二点比较笼统,就是ACL规则越少越好。
这里是指要达到端口级别的控制。
针对步骤第2点,如无安全设备支撑,检查网络设备acl配置是否对应用层HTTP、FTP、TELNET、SMTP、POP3等协议(端口号为80、21、23、25、110)进行限制,各厂商使用如下命令进行检查:
Cisco网络设备系统中使用show ip access-list(或show access-lists)命令检查设备acl配置是否有控制以上端口。
HUAWEI/H3C网络设备系统中使用dis cu命令查看访问控制表、或使用dis acl all 检查设备acl配置是否有控制以上端口。
锐捷操作同思科。
中兴网络设备系统中使用show run 或show acl命令检查设备acl配置是否有控制以上端口。
针对第2点,要查看边界设备是否关闭了不必要的服务(可选)包括:CDP、TCP/UDP Small service、Finger、B0OTp、IP Source Routing、ARP-Proxy、IP Directed Broadcast、WINS和DNS,具体各厂商验证步骤如下:
思科网络设备系统中使用show run命令查看访问控制表、使用show ip access-list(或show access-iists)命令抽查设备访问控制列表限制的端口级情况(查看ACL的eq值)。
HUAWEI/H3C网络设备系统中使用dis cu命令查看访问控制表、或使用dis acl all命令抽查设备访问控制列表限制的端口级情况(查看ACL的eq值)。
锐捷网络设备系统中使用show ip access-list(或show access-lists)命令抽查设备访问控制列表限制的端口级情况(查看ACL的eq值)。
中兴网络设备系统中使用show run或show acl命令检查设备访问控制列表限制的端口级情况(查看ACL的eq值)
对于内容的访问控制一般是安装上网行为控制设备实现。

8.1.3.3 入侵防范

cisco类设备可使用:show monitor 命令检查source ports(源镜像口)及destination ports(目的端口)的相关配置。
huawei/h3c类设备可使用:display mirroring-group all命令检查mirroring-group(源端口)及monitor port(目的端口)的相关配置。

8.1.3.4 恶意代码防范

8.1.3.5 安全审计

由于所有的安全设备要进行日志审计,系统最好有日志审计设备(硬盘要大)。

8.1.3.6 可信验证

和上面的一样,要满足:
1、加密传输;
2、账号密码登录;
3、必须通过堡垒机进行操作;
4、要进行权限设置,例如修改重要配置参数必须要管理员身份。
(0)

相关推荐

  • 华三,华为,思科,锐捷交换机配置命令大全

    搜集的常用的几种中高端品牌的交换网络设备,新华三,华为,思科,锐捷设备配置命令大全,希望大家喜欢! 1,H3C设备命令大全 网络设备基本操作 命令 描述 system-view 进入系统视图 sysn ...

  • 零信任安全的认知

    安全性在软件架构体系中的地位举足轻重,不仅是非功能性约束的重要考量领域,而且是业务本身的根本性功能需求.安全性同样涉及着诸多的领域,从基础设施到网络空间,从应用安全到数据安全,从访问控制到恶意软件,构 ...

  • 等保 2.0 相关知识点总结

    内容来源:DoHerasYang 等保 2.0 作为 网络安全等级保护基本要求,针对 云计算.大数据.移动互联网.工业控制等领域的相关新兴技术提出了个性化安全保护的标准要求,个人(组织)建站.企业尤其 ...

  • 零信任安全架构:远不止在家访问数据库的便利

    疫情防控期间,师生暂时不能返校,传统的教学科研办公模式不再适应.为了能够有效利用学校提供的科研资源,很多师生不得不通过VPN设备来访问校内网络或者认证身份.期间,中国教育与科研计算机网的CARSI认证 ...

  • 【技术】硬核安全!华为防火墙安全攻略分享~

    防火墙概述 "防火墙"一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域.引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的.逻辑意义上的隔离.这种 ...

  • 值得关注的校园网基础安全配置 | 网管技巧

    在学校信息化建设过程中,必须要保证校园网络的安全与稳定,网络是任何信息化建设的基础,网络安全稳定是一个关系到全校教学科研平稳运行的重要问题.然而,随着数字校园的发展,校园网络频频遭受攻击,一直以来问题 ...

  • 等保2.0通用部分 | 安全通信网络(三级)测评指导书

    前言 2019年5月12日公安部发布了网络安全等级保护2.0,2019年12月1日执行,目前北京已执行等保2.0测评,北京自2019年10月1日起网安已不在收取等保1.0测评报告: 等保2.0发布至今 ...

  • 如何全面客观评估5G网络的好坏?这才是正确姿势

    随着5G商用进程不断推进,5G网络质量成为大家关心的热门话题.我们看到过不少"5G峰值速率破纪录"的消息,各种网速评测报告,甚至亲自拿着手机实测过.这些测试结果能反映出5G网络的好 ...

  • 并行计算:算法、架构、网络、性能评估

    文章来自<并行计算:结构.算法.编程>,内容覆盖并行计算与并行计算机结构模型.并行计算机系统互连与基本通信操作.典型并行计算机系统介绍,以及并行计算性能评测,由于篇幅所限,以下为部分内容. ...

  • 144网络对大学师生学识差距的影响

    当前社会,伴随着网络技术的迅速发展,网络以其开放性.快捷性.交互式.虚拟性等特点迅速兴起和繁荣起来.在当今这个网络讯息遍布的时代,网络携带着自身特有的价值和意义渗透到人们生活的每一个场合.角落,以其不 ...

  • 网络安全等级保护:管理评估的基本原则

    对信息系统安全管理的评估应坚持科学性.有效性.公正性等基本原则,即评估的原理.方法.流程.具体要求是科学的,正确的:评估的方法.流程等是可操作的,成本和效率等方面可接受:评估结果是客观公正的,评估机构 ...

  • 网络相亲段子对供应商评估的借鉴 | 参考

    这两天长江流域,尤其是长江中下游地区大雪纷飞,网友纷飞拍照感叹十年一遇的大雪真美. 网上甚至出现对未婚女子的衷心建议: 未婚的姑娘们,是时候出门了,雪已经下大了.没事去路上转转,铲雪的小伙子都是机关事 ...

  • 建筑老八校在QS世界大学学科排名和教育部评估差距大

    2021年QS世界大学学科排名中有令人意想不到几个结果: 1.西安建筑科技大学连国内前16都没进 2.北京大学和上海交大排在3-4名 3.东南大学仅仅排名第6 4.华中科技大学和浙江大学排第6 5.北 ...

  • 如何判断超进展和假进展?何时进行疗效评估?真实病例揭秘肺癌免疫治疗那些事丨金陵肺癌网络论坛

    *仅供医学专业人士阅读参考 "金陵肺癌网络论坛"第14期病例分享带你看晚期肺腺癌患者免疫治疗的关键问题! 免疫治疗的出现,对于驱动基因阴性的晚期肺癌患者而言,显著改善了生存,但免疫 ...

  • 网络小说新老作者,稿子差距:这样对比,一清二楚

    如果阅读网文多年,作为资深网文读者,是可以尝试写网文,成为网文作者的.这样,不仅可以获得收入,甚至可以改变人生.写网文,也是创业的一种形式,且是最新潮的形式. 你说,尝试过两次,看起来不够爽,比较平淡 ...