等級(jí)保護(hù)評(píng)估三級(jí)信息系統(tǒng)網(wǎng)絡(luò)安全要求
等級(jí)保護(hù)評(píng)估的技術(shù)要求可分為五類(lèi):物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全、備份恢復(fù)。今天,我們不得不等待網(wǎng)絡(luò)安全的技術(shù)要求被整理出來(lái),以供大家學(xué)習(xí)。
1、結(jié)構(gòu)安全(G3)
應(yīng)確保主要網(wǎng)絡(luò)設(shè)備的服務(wù)處理能力有冗余的空間,以滿(mǎn)足高峰期的需求。
確保網(wǎng)絡(luò)各部分的帶寬滿(mǎn)足最高業(yè)務(wù)需求。
應(yīng)在服務(wù)終端和服務(wù)服務(wù)器之間進(jìn)行路由控制,以建立安全的訪(fǎng)問(wèn)路徑。
應(yīng)將拓?fù)溆成涞脚c當(dāng)前性能相匹配。
應(yīng)根據(jù)各部門(mén)的工作職能和重要性以及所涉信息的重要性等因素劃分不同的子網(wǎng)或網(wǎng)段,并按照方便管理和控制的原則為每個(gè)子網(wǎng)和網(wǎng)段分配地址段。
重要的網(wǎng)絡(luò)段應(yīng)部署在網(wǎng)絡(luò)邊界并直接連接到外部信息系統(tǒng),重要的網(wǎng)段和其他網(wǎng)段之間采用可靠的技術(shù)隔離。
應(yīng)在業(yè)務(wù)服務(wù)的重要順序中指定帶寬分配優(yōu)先級(jí),以確保在網(wǎng)絡(luò)發(fā)生擁塞時(shí)優(yōu)先考慮重要主機(jī)。
必須等待分析:核心設(shè)備需要考慮冗余,如核心交換機(jī),注意帶寬劃分,確保重要主機(jī)的應(yīng)用,合理劃分網(wǎng)段,做好不同網(wǎng)段的技術(shù)隔離,涉及安全設(shè)備:防火墻、在線(xiàn)行為管理或FLOW控制。
2、訪(fǎng)問(wèn)控制(G3)
應(yīng)在網(wǎng)絡(luò)邊界部署出入控制設(shè)備,以實(shí)現(xiàn)出入控制功能。
應(yīng)根據(jù)會(huì)話(huà)狀態(tài)信息提供允許/拒絕訪(fǎng)問(wèn)數(shù)據(jù)流的能力,控制粒度應(yīng)在端口級(jí)。
對(duì)網(wǎng)絡(luò)內(nèi)外的信息內(nèi)容進(jìn)行過(guò)濾,以控制應(yīng)用層HTTP、FTP、Telnet、SMTP、POP 3等應(yīng)用層的協(xié)議命令層。
網(wǎng)絡(luò)連接應(yīng)在會(huì)話(huà)處于非活動(dòng)狀態(tài)一段時(shí)間后或會(huì)話(huà)結(jié)束后終止。
應(yīng)限制網(wǎng)絡(luò)流量和網(wǎng)絡(luò)連接的最大數(shù)量。
重要部門(mén)應(yīng)采取技術(shù)措施,防止地址欺詐。
根據(jù)用戶(hù)與系統(tǒng)之間的允許訪(fǎng)問(wèn)規(guī)則,允許或拒絕用戶(hù)訪(fǎng)問(wèn)被控系統(tǒng)的資源,控制粒度為單用戶(hù)。
應(yīng)該限制撥號(hào)接入的用戶(hù)數(shù)量。
不得不等待分析:這里主要注意防火墻策略做端口級(jí)別,這是第二級(jí)和第三級(jí)之間的明顯區(qū)別之一,另一種是限制流量和網(wǎng)絡(luò)連接的最大數(shù)量和IP地址管理,涉及的安全設(shè)備是:網(wǎng)關(guān)設(shè)備,如防火墻和UTM以及IP地址管理設(shè)備。
等級(jí)保護(hù)測(cè)評(píng)公司
3、安全審計(jì)(G3)
應(yīng)記錄網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)、網(wǎng)絡(luò)流量和用戶(hù)在網(wǎng)絡(luò)系統(tǒng)中的行為。
審計(jì)記錄應(yīng)包括:活動(dòng)的日期和時(shí)間、用戶(hù)、活動(dòng)類(lèi)型、活動(dòng)的成功和其他與審計(jì)有關(guān)的信息。
應(yīng)能夠根據(jù)記錄的數(shù)據(jù)進(jìn)行分析并編制審計(jì)報(bào)表。
應(yīng)保護(hù)審計(jì)記錄不被意外刪除、修改或覆蓋。
必須等待分析:此要求強(qiáng)調(diào)需要具有日志記錄。有必要注意生成審計(jì)報(bào)告和避免未經(jīng)授權(quán)的刪除的能力。此常規(guī)設(shè)備沒(méi)有日志功能,因此建議您具備條件。頂部:日志審核設(shè)備,這是網(wǎng)絡(luò)安全法中明確要求的,必須保留六個(gè)月以上。
4。邊界完整性檢查(S3)
與內(nèi)部網(wǎng)絡(luò)連接的未經(jīng)授權(quán)的設(shè)備應(yīng)能夠檢查其位置并加以有效封鎖。
應(yīng)該能夠檢查內(nèi)部網(wǎng)絡(luò)用戶(hù)與外部網(wǎng)絡(luò)的私有連接,準(zhǔn)確地確定位置并有效地阻止它。
我們必須等待分析:這里強(qiáng)調(diào)的是非法外聯(lián)和非法獲取的問(wèn)題,這在第二和第三層次都是必要的。區(qū)別在于,可以找到第二層發(fā)現(xiàn),而第三層也需要阻塞。所涉及的設(shè)備是安全接入設(shè)備或桌面管理軟件。
5。入侵防范(G3)
應(yīng)在網(wǎng)絡(luò)邊界監(jiān)視以下攻擊:端口掃描,暴力攻擊,木馬后門(mén)攻擊,拒絕服務(wù)攻擊,緩沖區(qū)溢出攻擊,IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊;
當(dāng)檢測(cè)到攻擊時(shí),記錄攻擊源的IP、攻擊類(lèi)型、攻擊目的和攻擊時(shí)間,并在發(fā)生嚴(yán)重入侵時(shí)發(fā)出警報(bào)。
我們必須拭目以待:這表明入侵檢測(cè)設(shè)備需要部署在網(wǎng)絡(luò)邊界,涉及的設(shè)備有:ids/ips,下一代防火墻等。
6。惡意代碼預(yù)防(G3)
應(yīng)在網(wǎng)絡(luò)邊界檢測(cè)和清除惡意代碼。
應(yīng)保持對(duì)惡意代碼庫(kù)的更新和對(duì)檢測(cè)系統(tǒng)的更新。
必須等待分析:這里還有一個(gè)明確的部署在網(wǎng)絡(luò)邊界的防病毒墻,涉及設(shè)備:防病毒墻、IP、UTM等。
等級(jí)保護(hù)測(cè)評(píng)公司
7。網(wǎng)絡(luò)設(shè)備保護(hù)(g3)
應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶(hù)進(jìn)行身份驗(yàn)證。
應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備管理員的登錄地址施加限制。
網(wǎng)絡(luò)設(shè)備用戶(hù)的身份應(yīng)該是唯一的。
主要網(wǎng)絡(luò)設(shè)備應(yīng)通過(guò)選擇兩種或兩種以上的認(rèn)證技術(shù)組合來(lái)識(shí)別同一用戶(hù)。
識(shí)別信息不應(yīng)輕易被濫用,密碼應(yīng)符合復(fù)雜要求,并應(yīng)定期更換。
應(yīng)具有登錄失敗的功能,并可采取終止會(huì)話(huà)、限制非法登錄次數(shù)、在網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施。
在遠(yuǎn)程管理網(wǎng)絡(luò)設(shè)備時(shí),應(yīng)采取必要措施,防止認(rèn)證信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)。
應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶(hù)的權(quán)限分離。
必須等待分析:管理員的登錄地址應(yīng)受到限制,不能在任何地址進(jìn)行管理,這是非常不安全的;管理權(quán)限應(yīng)分開(kāi),以避免超級(jí)管理員的存在;管理員的身份識(shí)別至少需要兩種身份驗(yàn)證技術(shù)組合,以確保合法性。管理員身份;限制非法登錄次數(shù),超時(shí)登錄處理功能,防止停止暴力破解和信息搶劫。涉及的安全設(shè)備包括:堡壘機(jī)、雙因素認(rèn)證軟件等。
1、結(jié)構(gòu)安全(G3)
應(yīng)確保主要網(wǎng)絡(luò)設(shè)備的服務(wù)處理能力有冗余的空間,以滿(mǎn)足高峰期的需求。
確保網(wǎng)絡(luò)各部分的帶寬滿(mǎn)足最高業(yè)務(wù)需求。
應(yīng)在服務(wù)終端和服務(wù)服務(wù)器之間進(jìn)行路由控制,以建立安全的訪(fǎng)問(wèn)路徑。
應(yīng)將拓?fù)溆成涞脚c當(dāng)前性能相匹配。
應(yīng)根據(jù)各部門(mén)的工作職能和重要性以及所涉信息的重要性等因素劃分不同的子網(wǎng)或網(wǎng)段,并按照方便管理和控制的原則為每個(gè)子網(wǎng)和網(wǎng)段分配地址段。
重要的網(wǎng)絡(luò)段應(yīng)部署在網(wǎng)絡(luò)邊界并直接連接到外部信息系統(tǒng),重要的網(wǎng)段和其他網(wǎng)段之間采用可靠的技術(shù)隔離。
應(yīng)在業(yè)務(wù)服務(wù)的重要順序中指定帶寬分配優(yōu)先級(jí),以確保在網(wǎng)絡(luò)發(fā)生擁塞時(shí)優(yōu)先考慮重要主機(jī)。
必須等待分析:核心設(shè)備需要考慮冗余,如核心交換機(jī),注意帶寬劃分,確保重要主機(jī)的應(yīng)用,合理劃分網(wǎng)段,做好不同網(wǎng)段的技術(shù)隔離,涉及安全設(shè)備:防火墻、在線(xiàn)行為管理或FLOW控制。
2、訪(fǎng)問(wèn)控制(G3)
應(yīng)在網(wǎng)絡(luò)邊界部署出入控制設(shè)備,以實(shí)現(xiàn)出入控制功能。
應(yīng)根據(jù)會(huì)話(huà)狀態(tài)信息提供允許/拒絕訪(fǎng)問(wèn)數(shù)據(jù)流的能力,控制粒度應(yīng)在端口級(jí)。
對(duì)網(wǎng)絡(luò)內(nèi)外的信息內(nèi)容進(jìn)行過(guò)濾,以控制應(yīng)用層HTTP、FTP、Telnet、SMTP、POP 3等應(yīng)用層的協(xié)議命令層。
網(wǎng)絡(luò)連接應(yīng)在會(huì)話(huà)處于非活動(dòng)狀態(tài)一段時(shí)間后或會(huì)話(huà)結(jié)束后終止。
應(yīng)限制網(wǎng)絡(luò)流量和網(wǎng)絡(luò)連接的最大數(shù)量。
重要部門(mén)應(yīng)采取技術(shù)措施,防止地址欺詐。
根據(jù)用戶(hù)與系統(tǒng)之間的允許訪(fǎng)問(wèn)規(guī)則,允許或拒絕用戶(hù)訪(fǎng)問(wèn)被控系統(tǒng)的資源,控制粒度為單用戶(hù)。
應(yīng)該限制撥號(hào)接入的用戶(hù)數(shù)量。
不得不等待分析:這里主要注意防火墻策略做端口級(jí)別,這是第二級(jí)和第三級(jí)之間的明顯區(qū)別之一,另一種是限制流量和網(wǎng)絡(luò)連接的最大數(shù)量和IP地址管理,涉及的安全設(shè)備是:網(wǎng)關(guān)設(shè)備,如防火墻和UTM以及IP地址管理設(shè)備。
等級(jí)保護(hù)測(cè)評(píng)公司
3、安全審計(jì)(G3)
應(yīng)記錄網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)、網(wǎng)絡(luò)流量和用戶(hù)在網(wǎng)絡(luò)系統(tǒng)中的行為。
審計(jì)記錄應(yīng)包括:活動(dòng)的日期和時(shí)間、用戶(hù)、活動(dòng)類(lèi)型、活動(dòng)的成功和其他與審計(jì)有關(guān)的信息。
應(yīng)能夠根據(jù)記錄的數(shù)據(jù)進(jìn)行分析并編制審計(jì)報(bào)表。
應(yīng)保護(hù)審計(jì)記錄不被意外刪除、修改或覆蓋。
必須等待分析:此要求強(qiáng)調(diào)需要具有日志記錄。有必要注意生成審計(jì)報(bào)告和避免未經(jīng)授權(quán)的刪除的能力。此常規(guī)設(shè)備沒(méi)有日志功能,因此建議您具備條件。頂部:日志審核設(shè)備,這是網(wǎng)絡(luò)安全法中明確要求的,必須保留六個(gè)月以上。
4。邊界完整性檢查(S3)
與內(nèi)部網(wǎng)絡(luò)連接的未經(jīng)授權(quán)的設(shè)備應(yīng)能夠檢查其位置并加以有效封鎖。
應(yīng)該能夠檢查內(nèi)部網(wǎng)絡(luò)用戶(hù)與外部網(wǎng)絡(luò)的私有連接,準(zhǔn)確地確定位置并有效地阻止它。
我們必須等待分析:這里強(qiáng)調(diào)的是非法外聯(lián)和非法獲取的問(wèn)題,這在第二和第三層次都是必要的。區(qū)別在于,可以找到第二層發(fā)現(xiàn),而第三層也需要阻塞。所涉及的設(shè)備是安全接入設(shè)備或桌面管理軟件。
5。入侵防范(G3)
應(yīng)在網(wǎng)絡(luò)邊界監(jiān)視以下攻擊:端口掃描,暴力攻擊,木馬后門(mén)攻擊,拒絕服務(wù)攻擊,緩沖區(qū)溢出攻擊,IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊;
當(dāng)檢測(cè)到攻擊時(shí),記錄攻擊源的IP、攻擊類(lèi)型、攻擊目的和攻擊時(shí)間,并在發(fā)生嚴(yán)重入侵時(shí)發(fā)出警報(bào)。
我們必須拭目以待:這表明入侵檢測(cè)設(shè)備需要部署在網(wǎng)絡(luò)邊界,涉及的設(shè)備有:ids/ips,下一代防火墻等。
6。惡意代碼預(yù)防(G3)
應(yīng)在網(wǎng)絡(luò)邊界檢測(cè)和清除惡意代碼。
應(yīng)保持對(duì)惡意代碼庫(kù)的更新和對(duì)檢測(cè)系統(tǒng)的更新。
必須等待分析:這里還有一個(gè)明確的部署在網(wǎng)絡(luò)邊界的防病毒墻,涉及設(shè)備:防病毒墻、IP、UTM等。
等級(jí)保護(hù)測(cè)評(píng)公司
7。網(wǎng)絡(luò)設(shè)備保護(hù)(g3)
應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶(hù)進(jìn)行身份驗(yàn)證。
應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備管理員的登錄地址施加限制。
網(wǎng)絡(luò)設(shè)備用戶(hù)的身份應(yīng)該是唯一的。
主要網(wǎng)絡(luò)設(shè)備應(yīng)通過(guò)選擇兩種或兩種以上的認(rèn)證技術(shù)組合來(lái)識(shí)別同一用戶(hù)。
識(shí)別信息不應(yīng)輕易被濫用,密碼應(yīng)符合復(fù)雜要求,并應(yīng)定期更換。
應(yīng)具有登錄失敗的功能,并可采取終止會(huì)話(huà)、限制非法登錄次數(shù)、在網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施。
在遠(yuǎn)程管理網(wǎng)絡(luò)設(shè)備時(shí),應(yīng)采取必要措施,防止認(rèn)證信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)。
應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶(hù)的權(quán)限分離。
必須等待分析:管理員的登錄地址應(yīng)受到限制,不能在任何地址進(jìn)行管理,這是非常不安全的;管理權(quán)限應(yīng)分開(kāi),以避免超級(jí)管理員的存在;管理員的身份識(shí)別至少需要兩種身份驗(yàn)證技術(shù)組合,以確保合法性。管理員身份;限制非法登錄次數(shù),超時(shí)登錄處理功能,防止停止暴力破解和信息搶劫。涉及的安全設(shè)備包括:堡壘機(jī)、雙因素認(rèn)證軟件等。