安全通信网络

1.网络架构

1）应保证网络设备的业务处理能力满足业务高峰期需要。

设备CPU和内存使用率的峰值不大于设备处理能力的70%。

在有监控环境的条件下，应通过监控平台查看主要设备在业务高峰期的资源（CPU、内存等）使用 情况；在无监控环境的情况下，在业务高峰期登录主要设备使用命令查看资源使用情况。

设备操作：

1.Cisco:

show process[lc1] es（查看内存使用情况）

2. HUAWEI/H3C:

display memory（查看内存使用情况）

display cpu-usage（查看 CPU使用率）

TaskName             CPU  Runtime(CPU Tick High/Tick Low)[lc2]   Task Explanation

BOX                   0%         0/ 25a0ca0            BOX Output                  

_TIL                  0%         0/       0             Infinite loop event task    

VCLK                  0%         0/ 3a168b6                                   

TICK                  0%         0/ 6c3c644                                   

co0                   0%         0/  51ba7e            co0 Line user's task        

U0                    0%         0/       0            U0   user command process

查看运行时间：display version

[RTD]display version

H3C Comware Software, Version 7.1.064, Release 0427P22[lc3] 

Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.

H3C MSR36-20 uptime is 0 weeks, 0 days, 0 hours, 16 minutes[lc4] 

Last reboot reason: User reboot

Boot image: flash:/msr36-cmw710-boot-r0424p22.bin[lc5] 

Boot image version: 7.1.064, Release 0427P22

 Compiled Mar 16 2021 15:00:00

Boot image: flash:/msr36-cmw710-system-r0424p22.bin

CPU ID: 0x2

512M bytes DDR3 SDRAM Memory[lc6] 

1024M bytes Flash Memory[lc7] 

PCB               Version:  2.0[lc8] 

CPLD              Version:  1.0[lc9] 

Basic    BootWare Version:  1.42[lc10] 

Extended BootWare Version:  1.42

dis session statistics（查看会话统计情况，可选）。

[RTD]display session statistics

Slot 0:

Current sessions: 0

       ICMPv6[lc11]  sessions:                    0

     UDP-Lite[lc12]  sessions:                    0

         SCTP[lc13]  sessions:                    0

         DCCP[lc14]  sessions:                    0

        RAWIP[lc15]  sessions:                    0

 

3.锐捷:

show memory slot（查看内存使用情况）

show cpu[lc16] （查看CPU使用率）

4.中兴：

show process 命令查看设备的CPU利用率，内存等信息

2）应保证网络各个部分的带宽满足业务高峰期需要。

该情况下需分析采取的流量控制措施是否可满足被测系统在业 务高峰期内的使用需求，如核查被测机构的《网络流量使用分析报告》等文档（找甲方）。

(1)询问管理员业务高峰期的流量使用情况，核查是否部署了流量控制设备对关键业务系统的流量带宽进行控制，或者在相关设备上启用了 QoS配置对网络各个部分进行带宽分配，以保证业务高峰期业务服务的连续性。

# 显示用户定义策略的配置信息。

<Sysname> display qos policy user-defined

# 显示系统定义策略的配置信息。

<Sysname> display qos policy system-defined

<RTD>display qos policy system-defined

  System-defined QoS policy information:

  Policy: default (ID 0)

   Classifier: default-class (ID 0)

     Behavior: be

      -none-

   Classifier: ef (ID 1)

     Behavior: ef

      Expedited Forwarding:

        Bandwidth 20 (%) Cbs-ratio 25[lc17] 

   Classifier: af1 (ID 2)

     Behavior: af

      Assured Forwarding:

        Bandwidth 20 (%)

        Discard Method: Tail[lc18] 

(2)核查综合网管系统在业务高峰期的带宽占用情况，分析是否满足业务需求。如果无法满足业务高峰期需要，则要在主要网络设备上进行带宽配置。

# 查看流行为的配置信息。HCL

<RTD>display traffic behavior system-defined（user-defined）

  System-defined behavior information:

    Behavior: be-flow-based (ID 0)

      Flow based Weighted Fair Queue:

        Max number of hashed queues: 256

        Discard Method: IP Precedence based WRED

        Exponential Weight: 9[lc19] 

        Pre  Low   High  Dis-prob[lc20] 

        -------------------------

        0    10    30    10

上述信息描述了系统定义的流量行为"be-flow-based"的配置参数。这个行为基于流量的加权公平队列算法，并具有特定的队列配置和丢包控制方法。

# 查看分类器的配置信息。HCL

<RTD>display traffic classifier system-defined

  System-defined classifier information:

   Classifier: default-class (ID 0)

     Operator: AND

     Rule(s) :

      If-match any[lc21] 

   Classifier: ef (ID 1)

     Operator: OR

     Rule(s) :

      If-match dscp[lc22]  ef[lc23] 

# 查看流策略的配置信息。华为

[DeviceB] display traffic policy p1

  Traffic Policy Information:

    Policy: p1

      Classifier: c1

        Type: OR

      Behavior: b1[lc24] [lc25] 

        Committed Access Rate:

          CIR 2000 (Kbps), PIR 2000 (Kbps), CBS 16000 (Bytes), PBS16000 (Bytes)

          Color Mode: color blind

          Conform Action: pass                                                 

          Yellow  Action: pass                                                 

          Exceed  Action: discard

        Statistics: enable

流量策略将分类器和行为关联起来，形成一个完整的流量控制策略。

各通信链路的高峰期流量均不高于其带宽的70%。

(3)测试验证网络各个部分的带宽是否满足业务高峰期需要。

show class-map

3）应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址。

<RTC>show vlan brief

这里主要是查看网络拓扑图，看是否划分VLAN，例如划分了服务器区，客户区，管理区，互联网接入区等。

4）应避免将重要网络区域部署在边界处，重要网络区域与其他区域之间应采取可靠的技术隔离手段。

【测评方法】

（1 ）核查网络拓扑图是否与实际网络运行环境一致[lc26] 。

思科可通过tracert、traceroute、show cdp nei等命令测试实际网络连接是否与拓扑图一致。

（2）核查重要网络区域是否部署在网络边界处（应为未部署在网络边界处），以及在网络区域边界处是否部署了安全防护措施。

（3）核查重要网络区域与其他网络区域（例如应用系统区、数据库系统区等重要网络区域）之间是否采取了可靠的技术隔离手段，以及是否部署了网闸、防火墙和设备访问控制列表（ACL）[lc27] 等。

5）应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性。

这点主要看是否对核心区域配置双机冗余。

核查系统的出口路由器、核心交换机、安全设备等关键设备是否有硬件冗余和通信线路冗余来保证系统的高可用性。

2.通信传输

1）应采用校验技术或密码技术保证通信过程中数据的完整性。

这里的完整性主要看系统是否采用了SSH、HTTPS、FTPS等协议，有任意一个即可；保密性主要看 系统是否采用了类似VPN[lc28] 的协议

［测评方法】

（1）核查是否在传输过程中使用校验技术或密码技术来保证数据的完整性。

（2）测试验证设备或组件是否能够保证通信过程中数据的完整性。例如，使用File

Checksum Integrity Verifier （适用于 MD5、SHA1 算法）、SigCheck （适用于数字签名）等

工具对数据进行完整性校验。

2）应采用密码技术保证通信过程中数据的保密性。

同上。

3. 可信验证

3）可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

(1)核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和关键应

用程序等进行了可信验证[lc29] 。

通信网络中的可信验证一般都是 通过部署堡垒机完成的，例如第一点中，用户修改重要配置参数的时候可以通过堡垒机进行不同级 别的控制（拒绝、记录等）

(2)核查是否在应用程序的关键执行环节进行了动态可信验证。

关键执行环节类似format c: \q[lc30] 之类的操作也可以 进行控制；

(3 )测试验证在检测到设备的可信性受到破坏后是否能进行报警。

在用户做出异常操作后，堡垒机应该可以进行报警（email、短信）

(4 )核查测试验证结果是否以审计记录的形式被送至安全管理中心。

审计记录要统一保存