安全通信网络针对网络架构和通信传输提出安全控制要求。主要对象为广域网、城域网、局域网的通信传输以及网络架构等;涉及的安全控制点包括:网络架构、通信传输、可信验证,接下来本文章将以三级等级保护测评对象为例,描述安全通信网络各个控制要求的标准解读、预期结果,助力各单位系统理解测评要求,提前做好自查与整改工作。
1.网络架构
网络架构作为业务系统运行的核心支撑组件,其构建需深度适配业务场景特性,是保障通信网络安全的基础前提。首要关注整个网络资源分布与架构是否合理性。只有架构安全了才能在其上实现各科技术功能,达到通信网络保护的目的。本层面重点针对网络设备性能要求;业务系统对网络带宽的需求;网络区域的合理划分;区域间的有效防护;网络通信线路以及设备的冗余等要求进行解读说明。
a)应保证网络设备的业务处理能力满足业务高峰期需要。
标准解读:
保证主要网络设备具备足够处理能力,应定期检查设备资源占用情况,确保设备的业务处理能力具备冗余空间。
预期结果:
1)设备CPU和内存使用率峰值不大于70%;
2)未出现宕机情况,网管平台未出现宕机告警日志,设备运行时间较长;
3)业务高峰流量不超过设备处理能力的70%。
b)保证网络各个部分的带宽满足业务高峰期需要。
标准解读:
为了保证业务服务的连续性,应保证网络各个部分的带宽满足业务高峰期需要。如果存在带宽无法满足业务高峰期需要的情况,则需要在主要网络设备上进行带宽配置,保证关键业务应用的带宽需求。
预期结果:
1)在各个关键节震部暑流量监控系统,能够监测网络中的实时流量,部署流量控制设备,在关键节点设备配置QoS策略,对关键业务系统的流量带宽进行控制;
2)节点设备配置了流量监管和流量整形策略;
3)各通信链路高峰流量均不大于其宽带的70%。
c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。
标准解读:
根据实际情况和区域网络防护要求,应在主要网络设备上进行VLAN划分。VLAN是一种通过将局域网内的设备逻辑地而不是物理地划分成不同子网从而实现虚拟工作组的新技术。不同VLAN内的报文在传输时是互相隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备实现。
预期结果:
划分不同的网络区域,按照方便管理和控制的原则为各网络区域分配地址,不同网络区域之间应采取边界防护措施。
d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
标准解读:
为了保证等级保护对象的安全,应避免将重要网段部署在网络边界处且直接连接外部等级保护对象,防止来自外部等级保护对象的攻击。同时,应在重要网段和其他网段之前配置安全策略进行访问控制。
预期结果:
1)网络拓扑图与实际网络运行环境一致;
2)重要网络区域未部署在网络边界处;
3)在重要网络区域与其他网络区域之间部署了网闸、防火墙等安全设备实现了技术隔离。
e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
标准解读:
本要求虽然放在"安全通信网络"分类中,实际是要求整个网络架构设计需要冗余。为了避免网络设备或通信线路出现故障时引起系统中断,应采用冗余技术设计网络拓扑结构,以确保在通信线路或设备故障时提供备用方案,有效增强网络的可靠性。
预期结果:
采用HSRP、VRRP等冗余技术设计网络架构,确保在通信线路或设备故障时网络不中断,有效增强网络的可靠性。
2.通信传输
通信传输为等级保护对象在网络环境的安全运行提供支持。为了防止数据被篡改或泄露,确保在网络中传输数据的保密性、完整性和可用性等。本层面重点针对在网络中传输的数据是否具有完整性校验;数据是否采用加密等安全措施来保障数据的完整性和保密性。
a)应采用校验技术或密码技术保证通信过程中数据的完整性。
标准解读:
为了防止数据在通信过程中被修改或破坏,应采用校验技术或密码技术保证通信过程中数据的完整性,这些数据包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
预期结果:
1)对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息数据等采用校验技术或密码技术保证通信过程中数据的完整性;
2)File ChecksumIntegrity Verifier 计算数据的散列值,验证数据的完整性。
b) 应采用密码技术保证通信过程中数据的保密性。
标准解读:
根据实际情况和安全防护要求,为了防止信息被窃听,应采取技术手段对通信过程中的敏感信息字段或整个报文加密,可采用对称加密、非对称加密等方式实现数据的保密性。
预期结果:
1)对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和个人信息数据等采用密码技术保证通信过程中数据的保密性;
2)Sniffer、Wireshark可以监视到信息的传送,但显示的是加密报文。
3.可信验证
传统的通信设备采用缓存或其他形式来保存其固件,这种方式容易遭受恶意攻击,黑客可以未经授权就访问固件或篡改固件,在组件的闪存中植入恶意代码,这些代码能够轻易躲过标准的系统检测过程,从而对系统造成永久性破坏。通信设备如果基于硬件的可信根,在加电后基于可信根实现预装软件(包括系统引导程序、系统程序、相关应用程序和重要配置参数)的完整性验证或检测,确保"无篡改再执行、有篡改就报警"才能保证设备启动和执行过程的安全。
标准解读:
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
预期结果:
1)通信设备(交换机、路由器或其他通信设备)具有可信根芯片或硬件;
2)启动过程基于可信根对系统引导程序、系统程序、重要配置参数和关键应用程序等进行可信验证度量;
3)在检测到其可信性收到破环后进行报警,并将验证结果形成审计记录送至安全管理中心;
4)安全管理中心可以接受设备的验证结果记录。
4.总结建议
"安全通信网络"不仅是等保三级的基本要求,更是企业网络架构是否健壮、数据传输是否安全的重要体现。建议各单位在自评或迎检前:
●网络规划 :按照实际情况提前梳理网络架构,规划IP地址,确保网络区域划分合理。
**●区域隔离:**不同的网络区域之间应采用可靠的技术隔离手段,并避免将重要区域部署在网络边界处。
**●硬件冗余:**在关键节点实施硬件冗余与线路冗余,如:系统的出口路由器、核心交换机、安全设备等,保障系统的高可用性。
**●数据保密:**对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和个人信息数据的通信传输,采用校验技术和密码技术保障数据的完整性和保密性。