等級保護評估三級信息系統(tǒng)網(wǎng)絡安全要求
等級保護評估的技術要求可分為五類:物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全、備份恢復。今天,我們不得不等待網(wǎng)絡安全的技術要求被整理出來,以供大家學習。
1、結構安全(G3)
應確保主要網(wǎng)絡設備的服務處理能力有冗余的空間,以滿足高峰期的需求。
確保網(wǎng)絡各部分的帶寬滿足最高業(yè)務需求。
應在服務終端和服務服務器之間進行路由控制,以建立安全的訪問路徑。
應將拓撲映射到與當前性能相匹配。
應根據(jù)各部門的工作職能和重要性以及所涉信息的重要性等因素劃分不同的子網(wǎng)或網(wǎng)段,并按照方便管理和控制的原則為每個子網(wǎng)和網(wǎng)段分配地址段。
重要的網(wǎng)絡段應部署在網(wǎng)絡邊界并直接連接到外部信息系統(tǒng),重要的網(wǎng)段和其他網(wǎng)段之間采用可靠的技術隔離。
應在業(yè)務服務的重要順序中指定帶寬分配優(yōu)先級,以確保在網(wǎng)絡發(fā)生擁塞時優(yōu)先考慮重要主機。
必須等待分析:核心設備需要考慮冗余,如核心交換機,注意帶寬劃分,確保重要主機的應用,合理劃分網(wǎng)段,做好不同網(wǎng)段的技術隔離,涉及安全設備:防火墻、在線行為管理或FLOW控制。
2、訪問控制(G3)
應在網(wǎng)絡邊界部署出入控制設備,以實現(xiàn)出入控制功能。
應根據(jù)會話狀態(tài)信息提供允許/拒絕訪問數(shù)據(jù)流的能力,控制粒度應在端口級。
對網(wǎng)絡內(nèi)外的信息內(nèi)容進行過濾,以控制應用層HTTP、FTP、Telnet、SMTP、POP 3等應用層的協(xié)議命令層。
網(wǎng)絡連接應在會話處于非活動狀態(tài)一段時間后或會話結束后終止。
應限制網(wǎng)絡流量和網(wǎng)絡連接的最大數(shù)量。
重要部門應采取技術措施,防止地址欺詐。
根據(jù)用戶與系統(tǒng)之間的允許訪問規(guī)則,允許或拒絕用戶訪問被控系統(tǒng)的資源,控制粒度為單用戶。
應該限制撥號接入的用戶數(shù)量。
不得不等待分析:這里主要注意防火墻策略做端口級別,這是第二級和第三級之間的明顯區(qū)別之一,另一種是限制流量和網(wǎng)絡連接的最大數(shù)量和IP地址管理,涉及的安全設備是:網(wǎng)關設備,如防火墻和UTM以及IP地址管理設備。
等級保護測評公司
3、安全審計(G3)
應記錄網(wǎng)絡設備的運行狀態(tài)、網(wǎng)絡流量和用戶在網(wǎng)絡系統(tǒng)中的行為。
審計記錄應包括:活動的日期和時間、用戶、活動類型、活動的成功和其他與審計有關的信息。
應能夠根據(jù)記錄的數(shù)據(jù)進行分析并編制審計報表。
應保護審計記錄不被意外刪除、修改或覆蓋。
必須等待分析:此要求強調(diào)需要具有日志記錄。有必要注意生成審計報告和避免未經(jīng)授權的刪除的能力。此常規(guī)設備沒有日志功能,因此建議您具備條件。頂部:日志審核設備,這是網(wǎng)絡安全法中明確要求的,必須保留六個月以上。
4。邊界完整性檢查(S3)
與內(nèi)部網(wǎng)絡連接的未經(jīng)授權的設備應能夠檢查其位置并加以有效封鎖。
應該能夠檢查內(nèi)部網(wǎng)絡用戶與外部網(wǎng)絡的私有連接,準確地確定位置并有效地阻止它。
我們必須等待分析:這里強調(diào)的是非法外聯(lián)和非法獲取的問題,這在第二和第三層次都是必要的。區(qū)別在于,可以找到第二層發(fā)現(xiàn),而第三層也需要阻塞。所涉及的設備是安全接入設備或桌面管理軟件。
5。入侵防范(G3)
應在網(wǎng)絡邊界監(jiān)視以下攻擊:端口掃描,暴力攻擊,木馬后門攻擊,拒絕服務攻擊,緩沖區(qū)溢出攻擊,IP碎片攻擊和網(wǎng)絡蠕蟲攻擊;
當檢測到攻擊時,記錄攻擊源的IP、攻擊類型、攻擊目的和攻擊時間,并在發(fā)生嚴重入侵時發(fā)出警報。
我們必須拭目以待:這表明入侵檢測設備需要部署在網(wǎng)絡邊界,涉及的設備有:ids/ips,下一代防火墻等。
6。惡意代碼預防(G3)
應在網(wǎng)絡邊界檢測和清除惡意代碼。
應保持對惡意代碼庫的更新和對檢測系統(tǒng)的更新。
必須等待分析:這里還有一個明確的部署在網(wǎng)絡邊界的防病毒墻,涉及設備:防病毒墻、IP、UTM等。
等級保護測評公司
7。網(wǎng)絡設備保護(g3)
應對登錄網(wǎng)絡設備的用戶進行身份驗證。
應對網(wǎng)絡設備管理員的登錄地址施加限制。
網(wǎng)絡設備用戶的身份應該是唯一的。
主要網(wǎng)絡設備應通過選擇兩種或兩種以上的認證技術組合來識別同一用戶。
識別信息不應輕易被濫用,密碼應符合復雜要求,并應定期更換。
應具有登錄失敗的功能,并可采取終止會話、限制非法登錄次數(shù)、在網(wǎng)絡登錄連接超時自動退出等措施。
在遠程管理網(wǎng)絡設備時,應采取必要措施,防止認證信息在網(wǎng)絡傳輸過程中被竊聽。
應實現(xiàn)設備特權用戶的權限分離。
必須等待分析:管理員的登錄地址應受到限制,不能在任何地址進行管理,這是非常不安全的;管理權限應分開,以避免超級管理員的存在;管理員的身份識別至少需要兩種身份驗證技術組合,以確保合法性。管理員身份;限制非法登錄次數(shù),超時登錄處理功能,防止停止暴力破解和信息搶劫。涉及的安全設備包括:堡壘機、雙因素認證軟件等。
1、結構安全(G3)
應確保主要網(wǎng)絡設備的服務處理能力有冗余的空間,以滿足高峰期的需求。
確保網(wǎng)絡各部分的帶寬滿足最高業(yè)務需求。
應在服務終端和服務服務器之間進行路由控制,以建立安全的訪問路徑。
應將拓撲映射到與當前性能相匹配。
應根據(jù)各部門的工作職能和重要性以及所涉信息的重要性等因素劃分不同的子網(wǎng)或網(wǎng)段,并按照方便管理和控制的原則為每個子網(wǎng)和網(wǎng)段分配地址段。
重要的網(wǎng)絡段應部署在網(wǎng)絡邊界并直接連接到外部信息系統(tǒng),重要的網(wǎng)段和其他網(wǎng)段之間采用可靠的技術隔離。
應在業(yè)務服務的重要順序中指定帶寬分配優(yōu)先級,以確保在網(wǎng)絡發(fā)生擁塞時優(yōu)先考慮重要主機。
必須等待分析:核心設備需要考慮冗余,如核心交換機,注意帶寬劃分,確保重要主機的應用,合理劃分網(wǎng)段,做好不同網(wǎng)段的技術隔離,涉及安全設備:防火墻、在線行為管理或FLOW控制。
2、訪問控制(G3)
應在網(wǎng)絡邊界部署出入控制設備,以實現(xiàn)出入控制功能。
應根據(jù)會話狀態(tài)信息提供允許/拒絕訪問數(shù)據(jù)流的能力,控制粒度應在端口級。
對網(wǎng)絡內(nèi)外的信息內(nèi)容進行過濾,以控制應用層HTTP、FTP、Telnet、SMTP、POP 3等應用層的協(xié)議命令層。
網(wǎng)絡連接應在會話處于非活動狀態(tài)一段時間后或會話結束后終止。
應限制網(wǎng)絡流量和網(wǎng)絡連接的最大數(shù)量。
重要部門應采取技術措施,防止地址欺詐。
根據(jù)用戶與系統(tǒng)之間的允許訪問規(guī)則,允許或拒絕用戶訪問被控系統(tǒng)的資源,控制粒度為單用戶。
應該限制撥號接入的用戶數(shù)量。
不得不等待分析:這里主要注意防火墻策略做端口級別,這是第二級和第三級之間的明顯區(qū)別之一,另一種是限制流量和網(wǎng)絡連接的最大數(shù)量和IP地址管理,涉及的安全設備是:網(wǎng)關設備,如防火墻和UTM以及IP地址管理設備。
等級保護測評公司
3、安全審計(G3)
應記錄網(wǎng)絡設備的運行狀態(tài)、網(wǎng)絡流量和用戶在網(wǎng)絡系統(tǒng)中的行為。
審計記錄應包括:活動的日期和時間、用戶、活動類型、活動的成功和其他與審計有關的信息。
應能夠根據(jù)記錄的數(shù)據(jù)進行分析并編制審計報表。
應保護審計記錄不被意外刪除、修改或覆蓋。
必須等待分析:此要求強調(diào)需要具有日志記錄。有必要注意生成審計報告和避免未經(jīng)授權的刪除的能力。此常規(guī)設備沒有日志功能,因此建議您具備條件。頂部:日志審核設備,這是網(wǎng)絡安全法中明確要求的,必須保留六個月以上。
4。邊界完整性檢查(S3)
與內(nèi)部網(wǎng)絡連接的未經(jīng)授權的設備應能夠檢查其位置并加以有效封鎖。
應該能夠檢查內(nèi)部網(wǎng)絡用戶與外部網(wǎng)絡的私有連接,準確地確定位置并有效地阻止它。
我們必須等待分析:這里強調(diào)的是非法外聯(lián)和非法獲取的問題,這在第二和第三層次都是必要的。區(qū)別在于,可以找到第二層發(fā)現(xiàn),而第三層也需要阻塞。所涉及的設備是安全接入設備或桌面管理軟件。
5。入侵防范(G3)
應在網(wǎng)絡邊界監(jiān)視以下攻擊:端口掃描,暴力攻擊,木馬后門攻擊,拒絕服務攻擊,緩沖區(qū)溢出攻擊,IP碎片攻擊和網(wǎng)絡蠕蟲攻擊;
當檢測到攻擊時,記錄攻擊源的IP、攻擊類型、攻擊目的和攻擊時間,并在發(fā)生嚴重入侵時發(fā)出警報。
我們必須拭目以待:這表明入侵檢測設備需要部署在網(wǎng)絡邊界,涉及的設備有:ids/ips,下一代防火墻等。
6。惡意代碼預防(G3)
應在網(wǎng)絡邊界檢測和清除惡意代碼。
應保持對惡意代碼庫的更新和對檢測系統(tǒng)的更新。
必須等待分析:這里還有一個明確的部署在網(wǎng)絡邊界的防病毒墻,涉及設備:防病毒墻、IP、UTM等。
等級保護測評公司
7。網(wǎng)絡設備保護(g3)
應對登錄網(wǎng)絡設備的用戶進行身份驗證。
應對網(wǎng)絡設備管理員的登錄地址施加限制。
網(wǎng)絡設備用戶的身份應該是唯一的。
主要網(wǎng)絡設備應通過選擇兩種或兩種以上的認證技術組合來識別同一用戶。
識別信息不應輕易被濫用,密碼應符合復雜要求,并應定期更換。
應具有登錄失敗的功能,并可采取終止會話、限制非法登錄次數(shù)、在網(wǎng)絡登錄連接超時自動退出等措施。
在遠程管理網(wǎng)絡設備時,應采取必要措施,防止認證信息在網(wǎng)絡傳輸過程中被竊聽。
應實現(xiàn)設備特權用戶的權限分離。
必須等待分析:管理員的登錄地址應受到限制,不能在任何地址進行管理,這是非常不安全的;管理權限應分開,以避免超級管理員的存在;管理員的身份識別至少需要兩種身份驗證技術組合,以確保合法性。管理員身份;限制非法登錄次數(shù),超時登錄處理功能,防止停止暴力破解和信息搶劫。涉及的安全設備包括:堡壘機、雙因素認證軟件等。
