1.结构安全(G3)
a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
b) 应保证网络各个部分的带宽满足业务高峰期需要;
c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;(静态动态路由、动态路由协议认证功能。)ospf开放最短路径优先)
d) 应绘制与当前运行情况相符的网络拓扑结构图;
e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;(VLAN划分)
f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;(在网络边界处部署:防火墙、网闸、或边界网络设备配置并启用acl)
g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。(检查防火墙是否存在策略带宽配置)
2.边界完整性检查(S3)
a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;(技术手段:网络接入控制、关闭网络未使用的端口、ip/mac地址绑定;管理措施:进入机房全程陪同、红外视频监控)
b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。(方法:非法外联监控功能、非法外联软件)
3.入侵防范(G3)
a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;(入侵防范的技术:入侵检测系统IDS,包含入侵防范模块的多功能安全网关UTM)
b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。(报警方式:短信、邮件、声光报警等)
4.恶意代码防范(G3)
a) 应在网络边界处对恶意代码进行检测和清除。(防恶意代码产品:防病毒网关、包含防病毒模块的多功能安全网关、网络版防病毒系统等)
b) 应维护恶意代码库的升级和检测系统的更新。(更新方式:自动远程更新、手动远程更新、手动本地更新等)
访问控制(G3)(路由器、交换机、防火墙、入侵检测系统/防御系统)
a) 应在网络边界部署访问控制设备,启用访问控制功能;(访问控制设备:网闸、防火墙、路由器、三层路由交换机等)
b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;(路由器通过配置合理的访问控制列表ACL)
c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;(一般实现方式:防火墙)
d) 应在会话处于非活跃一定时间或会话结束后终止网络连接;(5一般在防火墙上实现)
e) 应限制网络最大流量数及网络连接数;(2一般在防火墙上实现)
f) 重要网段应采取技术手段防止地址欺骗;(3)
g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;(4)
h) 应限制具有拨号访问权限的用户数量。(路由或相关设备应提供限制具有拨号访问权限的用户数量的相关功能)
网络设备防护(G3)(路由器、交换机、防火墙、入侵检测系统/防御系统)
a) 应对登录网络设备的用户进行身份鉴别;(1)
b) 应对网络设备的管理员登录地址进行限制;(2)
c) 网络设备用户的标识应唯一;
d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;(采用方法:双因子鉴别)
e) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;(使用口令的组成、长度和更改周期。对储存在配置文件中的所有口令和类似数据进行加密,可以避免通过读取配置文件而获取明文口令)
f) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;(可以利用命令配置VTY的超时,避免一个空闲的任务一直占用VTY,从而避免恶意攻击或远端系统的意外崩溃导致的资源独占。)
g) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;(不应当使用明文传送的telnet、http服务,而应当采用ssh、https等加密协议等方式进行交互式管理)
h) 应实现设备特权用户的权限分离。(应根据实际需要为用户分配完成其任务的最小权限)
西部数码网站提供云平台用户与各省市等级保护测评机构的沟通渠道,促成用户与测评机构等级保护测评合作关系,专业机构,一站式服务更省心,业务咨询链接 https://www.west.cn/web/dengbao/
