您好,欢迎光临搜索引擎优化网站!

企业网站优化,优化方法,公司网络优化方案

seo服务公司,seo排名工具、关键词优化学习

我理解的等保2.0条目解读1-安全通信网络

作者:jcmp

浏览量: 0

2021-04-06

我认为一个合格的测评师应该具备:以三级条

我认为一个合格的测评师应该具备:

以三级条目为例,说出每个条目的要求含义,不同条目的关联性,如何能够满足要求,常见不符合项和高风险项。

一、网络架构

a)应保证网络设备的业务处理能力满足业务高峰期需要;

——查看业务高峰期网络和安全设备的CPU、内存使用率,一般要求在60%以下;查看设备系统日志、告警日志,是否出现过因设备性能问题导致的宕机情况。

如果是部署在云平台的系统,此项判定为“由云服务商保障主要网络设备的业务处理能力,不适用”。

b)应保证网络各个部分的带宽满足业务高峰期需要;

——询问出口带宽,查看出口防火墙带宽使用情况,是否配置了QOS策略根据不同业务配备带宽优先级。

c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;

d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;

——这两条一起看,要求依据重要性、部门等因素划分不同的网络区域,比如业务区域、运维区域、办公区域、互联网区域等,业务区域不应该直接连接互联网,各区域配置不同网段的ip地址,防火墙或交换机上配置策略,实现逻辑隔离或策略下的连通。

以下三种情况可判定为高风险:

1、如果重要区域与非重要区域在同一子网或网段;

2、无互联网边界访问控制设备;

3、重要网络区域部署与其他网络区域之间的边界处(包括内/外部网络区域、内/外部网络边界)无访问控制设备实施访问控制。

e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。

——通信线路冗余:电信、联通双线路或使用BGP;关键网络设备如防火墙、核心交换机、出口路由器冗余部署;关键计算设备(应用服务器、数据库服务器)双机热备或多节点部署。

二、通信传输

a)应采用校验技术或密码技术保证通信过程中数据的完整性;

b)应采用密码技术保证通信过程中数据的保密性。

——此处有争议,通信过程中的数据,指应用数据,还是网络安全设备传输的数据。此处大条目是通信网络,且在安全计算环境中对数据完整性和保密性有单独的要求,后者更恰当。

严格来说,可以两者都要求,理解成整个通信网络中的数据均需要满足要求。

一般认为通过TLS协议传输即满足要求,或具有完整性校验措施(有哪些待明确)。

三、可信验证

可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

——此项通常不符合,需要通信设备支持可信验证。后续每条可信相关的条目均如同。

进入了解更多关于新闻资讯的信息。