某某石油管理局企业标准网络对应用系统的支持规范1适用范围某某油田各级单位2规范解释权本规定适用于某某油田管理局信息安全管理中心和下属各单位中心机房。3网络对应用系统支持概述:网络为用户数据流的传输和获得用户信息而提供一种传输机制。网络和支持它的基础设施必须防止阻碍用户信息传输的拒绝服务攻击。支撑性基础设施可以是管理系统或者其他任何支持网络运行的系统。网络支持三种不同的数据流:用户、控制和管理。用户通信流就是简单的在网上传输用户信息。网络有责任分割用户通信流。必须维护单个用户连结的隔离,以确保可信赖的发出信息。控制通信流是为了建立用户连结而在所必备的网络组件之间传送的任意信息。控制通信流由一个信令协议提供,包括编址、路由信息和发信令。网络基础设施的正确编址是用户通信流的基础,它确保了数据能被传送到目的地址。管理通信流使用来配置网络组件或表明网络组件状态的信息,与其相关的协议包括简单网络管理协议(SNMP)公共管理信息协议(CMIP)、超文本传输协议(HTTP)等。网络管理通信流对于确保网络组件没有被非授权用户改变非常重要。下面将从两个方面说明网络在支持应用系统安全时因该注意的地方第1页共7页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共7页4油田专有骨干网的可用性这一部分内容强调了改善油田骨干传输系统的可用性,使得即使在信息战的攻击下仍能够满足网络的操作需求。骨干网可用性的基本要求是当需要通过骨干网来完成任务时它们能够发挥作用。以下是我们对其确定的特别需求:骨干网必须提供得到认可级别的响应、服务连续性、通信服务中的抗意外性和抗故意中断服务。(认可是在网络拥有者和网络用户之间达成的)。骨干网不需要太多的提供用户数据的安全服务(比如保密性和数据完整性),那一般在子网网络边界提供。骨干网必须保证信息不拖延、误传递或不传递。作为端到端的信息传输系统,骨干网提供的服务必须对用户透明。作为透明需求的一部分,骨干网与其它骨干网或者本地网络必须无缝连接。4.1骨干网安全要求访问控制访问控制必须能够区分用户对数据传输的访问和管理员对网络管理和控制的访问。比如,用户对状态信息访问时,必须实施比访问配置信息更强的访问控制。访问控制必须能够限制对网络管理中心的访问。认证网络设备必须能认证从其它网络设备外发出的所有通信的来源,比如路由信息。网络设备必须认证网络管理人员的所有的连接要求。网络管理系统必须在同意访问之前能认证网络管理人员。网络管理中心必须认证从外网进入网络管理中心的所有通信源。网络管理中心必须认证制造商提供的材料的来源。网络管理中心必须认证制造商提供的软件的来源。比如,新版本的操作系统必须经相应级别的信息安全机构评审认可后才能在网络上使用。在所有拨号用户进入网络管理之前,网络管理中心必须认证他们。可用性硬件和软件(比如用户代理和服务器)对用户必须是可用的。服务商必须向用户提供高层次的系统可用性。保密性必须提供关键材料的保密性。网络管理员必须提供路由信息、信令信息、网络管理通信流的保第2页共7页第1页共7页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共7页密性,以保障它们的安全。完整性必须保证网络设备之间通信的完整性。必须保证网络设备的硬件和软件的完整性。必须保证网络设备的网络管理中心之间的完整性。必须保证制造商提供的硬件和软件的完整性。必须保护向网络管理中心的拨号通信的完整性。不可否认性网络人员一定不能否认对网络设备的配置所作的改变。制造商一定不能否认由他们提供或开发的软硬件。4.2骨干网潜在的威胁网络可用性的威胁主要有:可用带宽损耗:每一个网络都只有有限的带宽。黑客的攻击可以减少可用带宽,使合法用户的网络资源受到限制,从而降低了网络的可用性。网络管理通信的破坏:本质上,网络的功能是通过通信信道将一个用户的信息传递给另一个用户。这种攻击通过破坏通信信道,从而威胁正常的信息传输。网络基础设施失去管理:表现为网络基础设施失...
