資訊保安等級保護,是對資訊和資訊載體按照重要性等級分級別進行保護的一種工作,在中國、美國等很多國家都存在的一種資訊保安領域的工作。在中國,資訊保安等級保護廣義上為涉及到該工作的標準、產品、系統、資訊等均依據等級保護思想的安全工作;狹義上一般指資訊系統安全等級保護。
目錄
網路安全等級測評師---安全通訊網路測試(cns)
1.網路架構
2.通訊傳輸
3.可信驗證
1)業務高峰為何時,處理能力是否滿足需要,何種手段監控裝置運**況
裝置cpu和記憶體使用率峰值不大於70%
2)是否出現宕機情況,核查網管平台告警日誌及裝置執行時間,訪談是否因裝置處理能力不足而進行裝置公升級
未出現宕機情況,網管平台未出現宕機告警日誌,裝置執行時間較長
3)核查效能峰值,結合承載效能,分析業務處理能力
業務高峰流量不超過裝置處理能力的70%
1)高峰期流量使用情況,是否部署流量控制裝置對關鍵業務系統的流量頻寬進行控制,或在相關裝置上啟用qos配置,對網路各個部分進行頻寬分配,從而保證業務高峰期業務服務的連續性。
關鍵節點部署流量監控系統,能夠檢測實時流量,部署流量控制裝置
在關鍵節點配置qos策略,對關鍵業務熊的流量頻寬進行控制
2)核查業務高峰時段的頻寬占用情況,分析是否滿足業務需求,若不滿足,則需要在主要網路裝置上進行頻寬配置。
節點裝置配置流量監管和流量整形策略
3)測試驗證網路各個部分的頻寬是否滿足業務高峰期需求。
各通訊鏈路高峰流量均不大於其頻寬的70%
網路管理員是否依據部門的工作職能、等級保護物件的重要程度和應用系統的級別等實際情況和區域安全防護要求劃分不同vlan,核查網路裝置配置資訊,驗證劃分的網路區域是否與劃分原則一致。
劃分不同區域,按方便管控的原則為各網路區域分配位址,不同網路區域之間應採取邊界防護措施
1)核查網路拓撲圖是否與執行環境一致
2)核查重要網路區域是否部署在網路邊界處,邊界處是否部署了安全防護措施
3)核查重要網路區域與其他區域之間,是否採取可靠技術隔離手段,是否部署網閘、防火牆和裝置訪問控制列表(acl)等
核查系統出口路由器、核心交換機、安全裝置等關鍵裝置是否有硬體冗餘和通訊線路冗餘,保證系統的高可用性。
採用hsrp、vrrp等冗餘技術設計網路架構,確保在通訊線路或裝置故障時網路不中斷,有效增強網路的可靠性。
hsrp(hot standby routing protocol 熱備份路由協議):是cisco平台一種特有的技術,是cisco的私有協議。當源主機不能動態知道第一跳路由器的ip位址時,hsrp協議能夠保護第一條路由器不出故障。
vrrp(virtual router redundancy protocol 虛擬路由冗餘協議):vrrp是一種選擇協議,它可以把乙個虛擬路由器的責任動態分配到區域網上的 vrrp 路由器中的一台。控制虛擬路由器 ip 位址的 vrrp 路由器稱為主路由器,它負責**資料報到這些虛擬 ip 位址。一旦主路由器不可用,這種選擇過程就提供了動態的故障轉移機制,這就允許虛擬路由器的 ip 位址可以作為終端主機的預設第一跳路由器。
2)應測試驗證裝置或元件是否保證通訊過程中資料的完整性。校驗工具:file checksumlntegrity verifier、sugcheck。計算資料的雜湊值,驗證資料的完整性。
1)核查通訊過程中是否採取保密措施,採用哪些技術措施
2)測試驗證通訊過程中是否對敏感資訊欄位或整個報文進行加密,通過流量映象等方式抓取網路中的資料,驗證資料是否加密,測試工具:sniffer、wireshark
1)核查是否基於可信根對裝置的系統引導程式、系統程式、重要配置引數和關鍵應用程式等進行可信驗證。通訊裝置具有可信根晶元或硬體
2)核查是否在應用程式的關鍵執行環節進行動態可信驗證。啟動過程基於可信根對系統引導程式、系統程式、重要配置引數和關鍵應用程式進行可信驗證度量
3)測試驗證當檢測到裝置的可信性收到破壞後是否進行報警。檢測到破壞可以報警,並將結構形成記錄送至安全管理中心
4)測試驗證結構是否以審計記錄的形式傳送至安全管理中心。安全管理中心可以接受裝置的驗證結果記錄。
等保測評之安全通訊網路
a 應保證網路裝置的業務處理能力滿足業務高峰期需要 1 應訪談網路管理員業務高峰時期為何時,核查邊界裝置和主要網路裝置的處理能力是否滿足業務高峰期需要,詢問採用何種手段對主要網路裝置的執行狀態進行監控。以華為交換機為例,輸入命令 display cpu usage display memory us...
等保測評高風險判定項 安全通訊網路
在等級保護2.0標準 安全通訊網路 中主要包括 通訊網路結構 通訊傳輸 和 可信驗證 三個控制點。其中,通訊網路結構的核心要求是 1 網路頻寬合適,且核心裝置的處理能力要和頻寬匹配 2 網路層要劃分安全區域,且各區域之間有相應的防護措施 3 整個網路設計要考慮冗餘問題。而通訊傳輸的核心要求是 保障資...
等保測評 安全建設管理(二)
資訊保安等級保護,是對資訊和資訊載體按照重要性等級分級別進行保護的一種工作,在中國 美國等很多國家都存在的一種資訊保安領域的工作。在中國,資訊保安等級保護廣義上為涉及到該工作的標準 產品 系統 資訊等均依據等級保護思想的安全工作 狹義上一般指資訊系統安全等級保護。安全建設管理cms 工程實施 測試驗...