- 服务说明
网络架构分析是通过对评估范围内信息系统的网络拓扑及网络层面细节架构的评估,主要从以下几个方面进行分析:
- 网络边界安全:网络设备的ACL、防火墙、物理隔离、VLAN(二层ACL)等;
- 网络建设的规范性:IP地址规划、网络安全规划、设备命名规范性、网络架构安全性;
- 网络的可靠性:网络设备和链路冗余、设备选型及可扩展性;
- 网络流量分析:带宽流量分析、异常流量分析、QOS配置分析、抗拒绝服务能力;
- 网络通信安全:通信监控、通信加密、VPN分析等;
- 网络安全管理:网管系统、客户端远程登陆协议、日志审计、设备身份验证等。
- 网络协议分析:路由、交换、组播 、IGMP、CGMP、IPv4、IPv6等协议;
- 设备自身安全:SNMP、口令、设备版本、系统漏洞、服务、端口等;
- 参考依据
本次评估参考的标准和规范包括:
- GB/T 20984-2007信息安全风险评测规范
- GB/T 18336:信息技术安全性审核通用准则
- 工信部通信网路与信息安全防护与评测系列规范
- 信息系统安全等级保护基本要求
中国移动的相关规范:
- 中国移动支撑系统安全域划分与边界整合技术要求
- 中国移动数据业务系统集中化安全防护技术要求
- 网络部\中国移动网管系统安全建设技术要求
- 中国移动网络与信息安全风险评估管理办法
- 工作方法
在网络构架评估过程中,采用以下工作方法来达成上述目标:
查阅网络拓扑图、机房现场勘查、顾问访谈、工具检查、网络设备配置分析、人工检查等。
客户访谈:通过客户访谈,顾问可以从策略、管理和技术等角度更深层次地了解客户的网络安全现状,挖掘出当前网络中存在的威胁和风险;
专家分析:专家经验在安全顾问咨询服务中处于不可替代的关键地位,目前尚没有成型的工具、模型、算法等可以将专家的经验完全体现。通过客户访谈、专用工具分析、文档信息挖掘等收集的资料进行分析,顾问会将自己的经验体现于最终输出评估报告。
- 评估步骤
网络拓扑结构分析、顾问访谈和网络配置检查、防火墙安全配置、网络安全策略配置检查、网络设备漏洞扫描,是该项目进行网络架构分析的主要方式,评估工作主要由下面一些步骤组成:
- 网络拓扑结构梳理:该阶段主要通过查阅现有拓扑,对客户的网络拓扑结构图进行访谈分析,内容包括网络构架的核心层、汇聚层和接入层,并重新绘制目标系统的拓扑结构;
- 顾问访谈:通过和网络管理员进行面对面访谈,内容包括与第三方接入的安全性分析、与Internet连接的安全性分析、访问控制措施分析、网络建设的规范性、路由协议分析、VLAN管理、网络的高可用性和可靠性、网络流量评估、安全审计分析、网络通信安全、网络设备管理等,总结客户当前的网络构架安全现状;
- 网络配置检查:该阶段通过对客户的路由器、交换机和防火墙的配置文件进行安全分析,检查出可能形成威胁和风险的配置缺陷;
- 网络安全策略配置检查:该阶段通过对客户的防火墙访问控制策略,VLAN的访问控制策略进行检查;
- 网络设备漏洞扫描;
- 形成客户的网络架构安全评估报告。