安全通信网络
概述:安全通信网络针对网络架构和通信传输提出了安全控制要求,主要对象为广域网、城域网、局域网的通信传输及网络架构等,涉及的安全控制点包括网络架构、通信传输、可信验证。
1.网络架构
1)应保证网络设备的业务处理能力满足业务高峰期需要。
2)应保证网络各个部分的带宽满足业务高峰期需要。
3)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。
4)应避免将重要网络区域部署在边界处,重要网络区域与其他区域之间应采取可靠的技术隔离手段。
5)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
注释:网络设备主要包括交换机和路由器,网路设备的CPU和内存使用率的峰值一般不高于设备本身处理能力的70%,通信链路中的业务流量不高于网络带宽 的70%为合适;
内网通过VLAN划分子网或者防火墙进行逻辑隔离,外网则通过隔离装置等边界设备进行近似物理隔离;冗余部署一般要做到数据链路和核心设备两方面的冗余。
2.通信传输
1)应采用校检技术或密码技术保证通信过程中数据的完整性。
2)应采用密码技术保证通信过程中数据的保密性。
注释:查看内网与外网边界处有没有部署加密装置来保证数据传输的完整性和保密性,是否有File Checksum Integrity Verifier或者SigCheck等工具组件进行完整性校检;
在同一网络区域或者计算环境,验证是否采用SSH,HTTPS等加密协议进行身份鉴别或者远程通信,应禁止FTP,Telent,HTTP等明文通信协议。
3.简单练习题
1)不同VLAN之间要进行通信,可以通过(AB)
A三层交换机 B路由器 C网闸 D入侵检测 E入侵防御系统
注释:不同VLAN之间通信需要具有路由功能的三层设备
2)VLAN技术是基于应用层和网络层之间的隔离技术。(×)
注释:VLAN技术是二层技术,不同VLAN之间通信需要三层路由技术。
3)系统资源概念是指()等软硬件资源。(ACD)
A、CPU B、网络地址 C、存储空间 D、传输带宽
注释:计算机系统资源通常指的是的CPU资源、内存资源、硬盘资源和网络资源,对应到等保即是指设备的CPU(处理能力、存储空间)、网络带宽
4)结构安全是网络安全检查的重点,网络结构的安全关系到整体的安全。(√)
5)不同VLAN内的用户可以直接进行通信。(×)
6)一个企事业单位的不同vlan之间可直接进行通信,和外网则不可以(×)
7)星型网络拓扑结构中,对中心设备的性能要求比较高。(√)
