某石油管理局网络对应用系统的支持规范

《某石油管理局网络对应用系统的支持规范》由会员分享，可在线阅读，更多相关《某石油管理局网络对应用系统的支持规范（12页珍藏版）》请在装配图网上搜索。

1、Evaluation Warning: The document was created with Spire.Doc for .NET.某某石油管理局企业标准网络对应用系统的支持规范1适用范围围 某某油田各各级单位位2规范解释释权 本规定适用用于某某某油田管管理局信信息安全全管理中中心和下下属各单单位中心心机房。3网络对应应用系统统支持概概述：网络为用户户数据流流的传输输和获得得用户信信息而提提供一种种传输机机制。网网络和支支持它的的基础设设施必须须防止阻阻碍用户户信息传传输的拒拒绝服务务攻击。支支撑性基基础设施施可以是是管理系系统或者者其他任任何支持持网络运运行的系系统。网络支持三三种不同

2、同的数据据流：用用户、控控制和管管理。用用户通信信流就是是简单的的在网上上传输用用户信息息。网络络有责任任分割用用户通信信流。必必须维护护单个用用户连结结的隔离离，以确确保可信信赖的发发出信息息。控制通信流流是为了了建立用用户连结结而在所所必备的的网络组组件之间间传送的的任意信信息。控控制通信信流由一一个信令令协议提提供，包包括编址址、路由由信息和和发信令令。网络络基础设设施的正正确编址址是用户户通信流流的基础础，它确确保了数数据能被被传送到到目的地地址。管理通信流流使用来来配置网网络组件件或表明明网络组组件状态态的信息息，与其其相关的的协议包包括简单单网络管管理协议议（SNNMP）公公共管理

3、理信息协协议（CCMIPP）、超超文本传传输协议议（HTTTP）等等。网络络管理通通信流对对于确保保网络组组件没有有被非授授权用户户改变非非常重要要。下面将从两两个方面面说明网网络在支支持应用用系统安安全时因因该注意意的地方方4油田专有有骨干网网的可用用性这一部分内内容强调调了改善善油田骨骨干传输输系统的的可用性性，使得得即使在在信息战战的攻击击下仍能能够满足足网络的的操作需需求。骨干网可用用性的基基本要求求是当需需要通过过骨干网网来完成成任务时时它们能能够发挥挥作用。以以下是我我们对其其确定的的特别需需求： 骨干网必须须提供得得到认可可级别的的响应、服服务连续续性、通通信服务务中的抗抗意外性

4、性和抗故故意中断断服务。（认认可是在在网络拥拥有者和和网络用用户之间间达成的的）。 骨干网不需需要太多多的提供供用户数数据的安安全服务务（比如如保密性性和数据据完整性性），那那一般在在子网网网络边界界提供。 骨干网必须须保证信信息不拖拖延、误误传递或或不传递递。 作为端到端端的信息息传输系系统，骨骨干网提提供的服服务必须须对用户户透明。 作为透明需需求的一一部分，骨骨干网与与其它骨骨干网或或者本地地网络必必须无缝缝连接。4.1 骨骨干网安安全要求求访问控制 访问控制必必须能够够区分用用户对数数据传输输的访问问和管理理员对网网络管理理和控制制的访问问。比如如，用户户对状态态信息访访问时，必必须实

5、施施比访问问配置信信息更强强的访问问控制。 访问控制必必须能够够限制对对网络管管理中心心的访问问。认证 网络设备必必须能认认证从其其它网络络设备外外发出的的所有通通信的来来源，比比如路由由信息。 网络设备必必须认证证网络管管理人员员的所有有的连接接要求。 网络管理系系统必须须在同意意访问之之前能认认证网络络管理人人员。 网络管理中中心必须须认证从从外网进进入网络络管理中中心的所所有通信信源。 网络管理中中心必须须认证制制造商提提供的材材料的来来源。 网络管理中中心必须须认证制制造商提提供的软软件的来来源。比比如，新新版本的的操作系系统必须须经相应应级别的的信息安安全机构构评审认认可后才才能在网

6、网络上使使用。 在所有拨号号用户进进入网络络管理之之前，网网络管理理中心必必须认证证他们。可用性 硬件和软件件（比如如用户代代理和服服务器）对对用户必必须是可可用的。 服务商必须须向用户户提供高高层次的的系统可可用性。保密性 必须提供关关键材料料的保密密性。 网络管理员员必须提提供路由由信息、信信令信息息、网络络管理通通信流的的保密性性，以保保障它们们的安全全。完整性 必须保证网网络设备备之间通通信的完完整性。 必须保证网网络设备备的硬件件和软件件的完整整性。 必须保证网网络设备备的网络络管理中中心之间间的完整整性。 必须保证制制造商提提供的硬硬件和软软件的完完整性。 必须保护向向网络管管理中

7、心心的拨号号通信的的完整性性。不可否认性性 网络人员一一定不能能否认对对网络设设备的配配置所作作的改变变。 制造商一定定不能否否认由他他们提供供或开发发的软硬硬件。4.2骨干干网潜在在的威胁胁网络可用性性的威胁胁主要有有： 可用带宽损损耗：每每一个网网络都只只有有限限的带宽宽。黑客客的攻击击可以减减少可用用带宽，使使合法用用户的网网络资源源受到限限制，从从而降低低了网络络的可用用性。 网络管理通通信的破破坏：本本质上，网网络的功功能是通通过通信信信道将将一个用用户的信信息传递递给另一一个用户户。这种种攻击通通过破坏坏通信信信道，从从而威胁胁正常的的信息传传输。 网络基础设设施失去去管理：表现为

8、为网络基基础设施施失控。这这时网络络资源可可能被攻攻击者利利用以达达到它们们的目的的。4.3为支支持应用用骨干网网应当实实施的防防范 对于可用网网络带宽宽的攻击击：1) 对骨干网来来说，网网络阻塞塞攻击最最容易检检测但最最难处理理。这种种攻击有有很多防防御措施施，如服服务代理理或者介介质冗余余技术，他他们常用用于军事事，但在在商业骨骨干网中中较少。实实施此规规范时可可以根据据油田应应用的实实际情况况酌情使使用。2) 洪流攻击能能通过消消耗网络络资源来来“淹没”网络，使使网络通通信量出出现超负负荷。通通常有两两种预防防措施，一一是给特特定的用用户优先先使用带带宽的权权利，而而是给每每个接入入点一

9、定定的带宽宽。3) 服务与窃取取攻击，其其危害较较轻。典典型的预预防措施施是用户户在使用用该项业业务时先先进行认认证。另另外可以以建立可可靠的检检测技术术。 对于网络管管理通信信破坏攻攻击：这这种类型型的攻击击是专门门针对骨骨干网的的。有两两种预防防办法。一一 所有有的网络络管理信信息流都都产生于于本地网网络之内内，需要要所有的的外接设设备都必必须对进进入网络络的通信信信息进进行检测测以防非非网络管管理命令令从外部部进入，这这种措施施关键在在于建立立一个安安全接口口；二 对通信信的完整整性和权权限进行行认证。 对于使网络络基础设设施失控控的攻击击：1) 针对网络操操作员和和设备之之间通行行的攻

10、击击，最好好的对策策是提供供尽量多多的接入入点，允允许网络络管理员员和网络络基础设设备之间间的自由由通信。2) 直接针对网网络设备备的网络络控制攻攻击，有有两种可可行的对对策，在在进入网网络系统统之前进进行严格格认证或或者在网网络操作作员和设设备之间间建立一一条受保保护的通通道，例例如加密密的虚拟拟专用网网络。3) 针对网管中中心的攻攻击，网网络护卫卫和防火火墙可以以用来监监测进入入网管中中心的通通道，可可防止非非通信的的访问、病病毒入侵侵和其它它的网络络威胁。另另外是在在组织和和流程上上，实施施有关的的策略或或者流程程来支持持网管中中心的恢恢复和建建立备份份网管中中心 此外对于内内部人员员的

11、攻击击（网管管中心的的操作员员、网络络组件的的开发者者和程序序员恶意意的攻击击或者误误操作），最最有效的的对策是是建立策策略机制制和严格格的访问问控制。策策略机制制把网络络访问权权限分为为关键网网络功能能，诸如如配置、维维护和提提供资源源，以及及非关键键网络功功能。建建立审计计机制来来检查网网络操作作的执行行。 石油管理局局应当统统一管理理骨干网网络，规规定各应应用单位位接入主主干网络络的标准准，包括括防火墙墙配置，应应用端口口的设定定等；保保证应用用系统之之间的透透明性。5支持公共共网络平平台安全全的若干干技术网络平台安安全指利利用公共共通信基基础设施施构造内内联网以以及与国国际互联联网和其

12、其他网络络连接的的结构安安全。利利用公共共通信基基础设施施进行户户外或跨跨地域连连接的安安全问题题，主要要解决被被保护网网络内的的站点以以及子网网在与外外部网络络连接、通通信和信信息交换换中的访访问控制制、实体体鉴别和和传输过过程中的的机密性性、完整整性问题题。目前被广泛泛看好的的虚拟专专用网（Virtual Private Network），即VPN，是通过共享公共通信基础设施实现内联网、外联网和远程用户连接的优化技术之一。VPN的构建在链路层或者网络层上进行，VPN这种网络的“专有”或“私有”是依靠防火墙、网关设备或密码设备等的配置来维持的。因此，一般来说VPN是一种泛称技术，并不等于网络

13、安全，为此提出安全VPN的概念。所谓安全的的VPNN，就是是解决维维持VPPN结构构期间通通行源之之间的访访问控制制、鉴别别以及加加密传输输的问题题，并对对VPNN结构的的维持具具有可管管理性。可可见，解解决了VVPN的的安全问问题，实实际上就就构成了了安全的的网络通通信平台台。5.1 防防火墙5.1.11 概念念防火墙是位位于内部部网络和和外部网网络连接接通道处处的物理理隔离设设备，对对进出内内部网络络的通信信和服务务进行基基于访问问控制策策略的判判决和反反应，从从而允许许符合安安全策略略的信息息流动，而而阻断不不合符安安全策略略的信息息流动。5.1.22 功能能防火墙的基基本功能能有两个个

14、：一是是隔离 ，使内内部网络络不与外外部网络络连接；二是访访问控制制，使进进出内部部网络的的数据包包按照安安全策略略有选择择的转发发。围绕绕这两个个基本功功能，大大量与安安全有关关的网络络技术和和安全技技术被综综合进防防火墙中中，使防防火墙的的功能不不断扩展展，性能能不断提提高。概概括的说说，功能能较完善善的防火火墙一般般具有下下列特性性： 基于IP地地址、TTCP/IP协协议端口口号以及及协议类类型的过过滤控制制功能，一一实现基基本访问问控制； 基于流状态态检测的的过滤控控制功能能，以实实现更为为细粒度度的访问问控制； 网络地址转转换能力力（NAAT），以以利用保保留IPP地址实实现与异异地

15、网络络的连接接，并对对外部网网络隐藏藏内部网网络拓扑扑信息； 自主可控操操作系统统平台，以以阻塞通通用操作作系统的的安全漏漏洞； 黑匣子功能能，即防防火墙不不对除管管理器以以外的任任何用户户和进程程提供进进入系统统的途径径； 较强的审计计信息收收集能力力，并通通过安全全通道传传输审查查信息； 告警和紧急急状态下下的应急急处理能能力。此外，某些些针对内内部网络络与国际际互联网网连接安安全而专专门设计计的防火火墙，还还将用户户鉴别、应应用代理理等功能能集成到到防火墙墙设备中中。5.2 链链路层加加密5.2.11 概念念链路加密是是在OSSI参考考模型的的第二层层实现的的，信息息在同一一链路的的两节

16、点点之间进进行双向向加/解解密，当当源信息息需要通通过不同同链路才才能到达达终点时时，必须须使用不不同的链链路密码码设备完完成加/解密。5.2.22 功能能链路加密在在采用适适当密码码算法并并在规定定限期内内，可保保证信息息传输的的机密性性和完整整性。链链路加密密可以通通过一对对N的方方式完成成与多个个节点的的保密通通信。通过链路加加密设备备，一个个组织机机构或一一个行业业系统可可以利用用公共网网络将分分散在各各地方的的网络安安全的连连接起来来形成安安全VPPN。从从安全VVPN的的角度讲讲，当两两个节点点需要通通过多个个链路时时，链路路之间会会出现明明文；进进一步，多多种链路路设备的的管理和

17、和配置参参数的一一致性和和集中管管理会存存在一定定难度。因因此，链链路加密密设备最最适合于于通过单单一类型型网络构构成安全全的VPPN。5.3 基基于Ippsecc的网络络加密5.3.11 概念念这里所说的的网络加加密是指指运行在在OSII参考模模型的第第三层或或TCPP/IPP模型的的IP层层上的密密码技术术。就目目前广泛泛采用的的互联网网技术而而言，几几乎所有有公共通通信基础础设施和和服务供供应商都都支持TTCP/IP有有关协议议标准。针对IP层层的密码码技术运运用，国国际上普普遍采用用事实上上的工业业标准基于于Ipssec机机制的隧隧道模式式。当其其设计网网络保护护而不是是主机保保护时，

18、均均采用基基于Ippsecc的ESSP（封封装安全全载荷）隧隧道模式式。这种种工作模模式采用用ESPP模式在在网关处处对原IIP包或或其它协协议数据据包进行行加密封封装后再再附上EESP安安全相关关报头，然然后以网网关的IIP地址址作为新新的源地地址通过过公共网网络送到到接收端端网关。接接收端网网关收到到该IPP包后，利利用ESSP安全全相关信信息进行行解密还还原处理理后将数数据包递递交给目目的地。很很显然，由由于这里里采用了了与网络络接口层层无关的的IP协协议，因因此通过过支持IIP协议议的多个个互联网网网关时时，只需需按路由由递交即即可，而而无需与与密码技技术相关关的其它它转换。5.3.2

19、2 功能能基于Ipssec的的网络加加密具有有如下功功能： 网络层加密密设备具具有一对对N的通通信能力力，因此此一个加加密设备备可与多多个加密密设备互互连； 由于加密设设备处于于网关的的位置，因因此可以以利用访访问控制制策略对对明/密密文传输输要求进进行判决决，从而而使一些些子网或或站点信信息通过过加密隧隧道传输输，而另另一些内内部子网网络或站站点信息息不通过过加密隧隧道传输输，以提提高网络络传输效效率并避避免滥用用密码技技术； 基于Ipssec的的密码设设备，可可通过公公共网络络方便的的构建管管理信息息的安全全通道，以以实现密密钥分发发、管理理以及审审计信息息传输的的网络化化自动过过程； 网络化管理理为密码码设备的的统一配配置提供供了基本本条件，因因此为垂垂直分层层次的树树性结构构大中型型内连网网提供了了集中管管理、分分布式策策略控制制的网络络平台设设备； 基于Ipssec网网关间的的加密隧隧道模式式与网络络接口层层无关，因因此两个个被保护护网络之之间的网网络只需需支持IIP网络络互连协协议标准准，无需需其他设设备；此外，这类类密码设设备还可可以综合合防火墙墙的其他他功能，由由此构成成的网络络平台机机构具有有多重安安全性。综上所述，基基于IPP层的密密码设备备是通过过公共网网络构建建安全VVPN的的理想技技术之一一。6生效日期期11