网络对应用系统的支持规范.doc
《网络对应用系统的支持规范.doc》由会员分享,可在线阅读,更多相关《网络对应用系统的支持规范.doc(6页珍藏版)》请在三一文库上搜索。
1、某某石油管理局企业标准网络对应用系统的支持规范1适用范围 某某油田各级单位2规范解释权 本规定适用于某某油田管理局信息安全管理中心和下属各单位中心机房。3网络对应用系统支持概述:网络为用户数据流的传输和获得用户信息而提供一种传输机制。网络和支持它的基础设施必须防止阻碍用户信息传输的拒绝服务攻击。支撑性基础设施可以是管理系统或者其他任何支持网络运行的系统。网络支持三种不同的数据流:用户、控制和管理。用户通信流就是简单的在网上传输用户信息。网络有责任分割用户通信流。必须维护单个用户连结的隔离,以确保可信赖的发出信息。控制通信流是为了建立用户连结而在所必备的网络组件之间传送的任意信息。控制通信流由一
2、个信令协议提供,包括编址、路由信息和发信令。网络基础设施的正确编址是用户通信流的基础,它确保了数据能被传送到目的地址。管理通信流使用来配置网络组件或表明网络组件状态的信息,与其相关的协议包括简单网络管理协议(SNMP)公共管理信息协议(CMIP)、超文本传输协议(HTTP)等。网络管理通信流对于确保网络组件没有被非授权用户改变非常重要。下面将从两个方面说明网络在支持应用系统安全时因该注意的地方4油田专有骨干网的可用性这一部分内容强调了改善油田骨干传输系统的可用性,使得即使在信息战的攻击下仍能够满足网络的操作需求。骨干网可用性的基本要求是当需要通过骨干网来完成任务时它们能够发挥作用。以下是我们对
3、其确定的特别需求: 骨干网必须提供得到认可级别的响应、服务连续性、通信服务中的抗意外性和抗故意中断服务。(认可是在网络拥有者和网络用户之间达成的)。 骨干网不需要太多的提供用户数据的安全服务(比如保密性和数据完整性),那一般在子网网络边界提供。 骨干网必须保证信息不拖延、误传递或不传递。 作为端到端的信息传输系统,骨干网提供的服务必须对用户透明。 作为透明需求的一部分,骨干网与其它骨干网或者本地网络必须无缝连接。4.1 骨干网安全要求访问控制 访问控制必须能够区分用户对数据传输的访问和管理员对网络管理和控制的访问。比如,用户对状态信息访问时,必须实施比访问配置信息更强的访问控制。 访问控制必须
4、能够限制对网络管理中心的访问。认证 网络设备必须能认证从其它网络设备外发出的所有通信的来源,比如路由信息。 网络设备必须认证网络管理人员的所有的连接要求。 网络管理系统必须在同意访问之前能认证网络管理人员。 网络管理中心必须认证从外网进入网络管理中心的所有通信源。 网络管理中心必须认证制造商提供的材料的来源。 网络管理中心必须认证制造商提供的软件的来源。比如,新版本的操作系统必须经相应级别的信息安全机构评审认可后才能在网络上使用。 在所有拨号用户进入网络管理之前,网络管理中心必须认证他们。可用性 硬件和软件(比如用户代理和服务器)对用户必须是可用的。 服务商必须向用户提供高层次的系统可用性。保
5、密性 必须提供关键材料的保密性。 网络管理员必须提供路由信息、信令信息、网络管理通信流的保密性,以保障它们的安全。完整性 必须保证网络设备之间通信的完整性。 必须保证网络设备的硬件和软件的完整性。 必须保证网络设备的网络管理中心之间的完整性。 必须保证制造商提供的硬件和软件的完整性。 必须保护向网络管理中心的拨号通信的完整性。不可否认性 网络人员一定不能否认对网络设备的配置所作的改变。 制造商一定不能否认由他们提供或开发的软硬件。4.2骨干网潜在的威胁网络可用性的威胁主要有: 可用带宽损耗:每一个网络都只有有限的带宽。黑客的攻击可以减少可用带宽,使合法用户的网络资源受到限制,从而降低了网络的可
6、用性。 网络管理通信的破坏:本质上,网络的功能是通过通信信道将一个用户的信息传递给另一个用户。这种攻击通过破坏通信信道,从而威胁正常的信息传输。 网络基础设施失去管理:表现为网络基础设施失控。这时网络资源可能被攻击者利用以达到它们的目的。4.3为支持应用骨干网应当实施的防范 对于可用网络带宽的攻击:1) 对骨干网来说,网络阻塞攻击最容易检测但最难处理。这种攻击有很多防御措施,如服务代理或者介质冗余技术,他们常用于军事,但在商业骨干网中较少。实施此规范时可以根据油田应用的实际情况酌情使用。2) 洪流攻击能通过消耗网络资源来“淹没”网络,使网络通信量出现超负荷。通常有两种预防措施,一是给特定的用户
7、优先使用带宽的权利,而是给每个接入点一定的带宽。3) 服务与窃取攻击,其危害较轻。典型的预防措施是用户在使用该项业务时先进行认证。另外可以建立可靠的检测技术。 对于网络管理通信破坏攻击:这种类型的攻击是专门针对骨干网的。有两种预防办法。一 所有的网络管理信息流都产生于本地网络之内,需要所有的外接设备都必须对进入网络的通信信息进行检测以防非网络管理命令从外部进入,这种措施关键在于建立一个安全接口;二 对通信的完整性和权限进行认证。 对于使网络基础设施失控的攻击:1) 针对网络操作员和设备之间通行的攻击,最好的对策是提供尽量多的接入点,允许网络管理员和网络基础设备之间的自由通信。2) 直接针对网络
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 应用 系统 支持 规范
链接地址:https://www.31doc.com/p-1152634.html