某石油管理局网络对应用系统的支持规范.docxVIP

PAGE 最新 精品 Word 欢送下载 可修改 某某石油管理局企业标准 网络对应用系统的支持标准 1适用范围 某某油田各级单位 2标准解释权 本规定适用于某某油田管理局信息平安管理中心和下属各单位中心机房。 3网络对应用系统支持概述： 网络为用户数据流的传输和获得用户信息而提供一种传输机制。网络和支持它的根底设施必须防止阻碍用户信息传输的拒绝效劳攻击。支撑性根底设施可以是管理系统或者其他任何支持网络运行的系统。 网络支持三种不同的数据流：用户、控制和管理。用户通信流就是简单的在网上传输用户信息。网络有责任分割用户通信流。必须维护单个用户连结的隔离，以确保可信赖的发出信息。 控制通信流是为了建立用户连结而在所必备的网络组件之间传送的任意信息。控制通信流由一个信令协议提供，包括编址、路由信息和发信令。网络根底设施的正确编址是用户通信流的根底，它确保了数据能被传送到目的地址。 管理通信流使用来配置网络组件或说明网络组件状态的信息，与其相关的协议包括简单网络管理协议〔SNMP〕公共管理信息协议〔CMIP〕、超文本传输协议〔HTTP〕等。网络管理通信流对于确保网络组件没有被非授权用户改变非常重要。 下面将从两个方面说明网络在支持应用系统平安时因该注意的地方 4油田专有骨干网的可用性 这一局部内容强调了改善油田骨干传输系统的可用性，使得即使在信息战的攻击下仍能够满足网络的操作需求。 骨干网可用性的根本要求是当需要通过骨干网来完成任务时它们能够发挥作用。以下是我们对其确定的特别需求： 骨干网必须提供得到认可级别的响应、效劳连续性、通信效劳中的抗意外性和抗成心中断效劳。〔认可是在网络拥有者和网络用户之间达成的〕。 骨干网不需要太多的提供用户数据的平安效劳〔比方保密性和数据完整性〕，那一般在子网网络边界提供。 骨干网必须保证信息不拖延、误传递或不传递。 作为端到端的信息传输系统，骨干网提供的效劳必须对用户透明。 作为透明需求的一局部，骨干网与其它骨干网或者本地网络必须无缝连接。 4.1 骨干网平安要求 访问控制 访问控制必须能够区分用户对数据传输的访问和管理员对网络管理和控制的访问。比方，用户对状态信息访问时，必须实施比访问配置信息更强的访问控制。 访问控制必须能够限制对网络管理中心的访问。 认证 网络设备必须能认证从其它网络设备外发出的所有通信的来源，比方路由信息。 网络设备必须认证网络管理人员的所有的连接要求。 网络管理系统必须在同意访问之前能认证网络管理人员。 网络管理中心必须认证从外网进入网络管理中心的所有通信源。 网络管理中心必须认证制造商提供的材料的来源。 网络管理中心必须认证制造商提供的软件的来源。比方，新版本的操作系统必须经相应级别的信息平安机构评审认可后才能在网络上使用。 在所有拨号用户进入网络管理之前，网络管理中心必须认证他们。 可用性 硬件和软件〔比方用户代理和效劳器〕对用户必须是可用的。 效劳商必须向用户提供高层次的系统可用性。 保密性 必须提供关键材料的保密性。 网络管理员必须提供路由信息、信令信息、网络管理通信流的保密性，以保障它们的平安。 完整性 必须保证网络设备之间通信的完整性。 必须保证网络设备的硬件和软件的完整性。 必须保证网络设备的网络管理中心之间的完整性。 必须保证制造商提供的硬件和软件的完整性。 必须保护向网络管理中心的拨号通信的完整性。 不可否认性 网络人员一定不能否认对网络设备的配置所作的改变。 制造商一定不能否认由他们提供或开发的软硬件。 4.2骨干网潜在的威胁 网络可用性的威胁主要有： 可用带宽损耗：每一个网络都只有有限的带宽。黑客的攻击可以减少可用带宽，使合法用户的网络资源受到限制，从而降低了网络的可用性。 网络管理通信的破坏：本质上，网络的功能是通过通信信道将一个用户的信息传递给另一个用户。这种攻击通过破坏通信信道，从而威胁正常的信息传输。 网络根底设施失去管理：表现为网络根底设施失控。这时网络资源可能被攻击者利用以到达它们的目的。 4.3为支持应用骨干网应当实施的防范 对于可用网络带宽的攻击： 对骨干网来说，网络阻塞攻击最容易检测但最难处理。这种攻击有很多防御措施，如效劳代理或者介质冗余技术，他们常用于军事，但在商业骨干网中较少。实施此标准时可以根据油田应用的实际情况酌情使用。 洪流攻击能通过消耗网络资源来“淹没〞网络，使网络通信量出现超负荷。通常有两种预防措施，一是给特定的用户优先使用带宽的权利，而是给每个接入点一定的带宽。 效劳与窃取攻击，其危害较轻。典型的预防措施是用户在使用该项业务时先进行认证。另外可以建立可靠的检测技术。 对于网络管理通信破坏攻击：这种类型的攻击是专门针对骨干网的。有两种预防方法。一 所有的网络管理信息流都产生于本地网络之内，需要所有的外接