等级保护评估三级信息系统网络安全要求
等级保护评估的技术要求可分为五类:物理安全、网络安全、主机安全、应用安全和数据安全、备份恢复。今天,我们不得不等待网络安全的技术要求被整理出来,以供大家学习。
1、结构安全(G3)
应确保主要网络设备的服务处理能力有冗余的空间,以满足高峰期的需求。
确保网络各部分的带宽满足最高业务需求。
应在服务终端和服务服务器之间进行路由控制,以建立安全的访问路径。
应将拓扑映射到与当前性能相匹配。
应根据各部门的工作职能和重要性以及所涉信息的重要性等因素划分不同的子网或网段,并按照方便管理和控制的原则为每个子网和网段分配地址段。
重要的网络段应部署在网络边界并直接连接到外部信息系统,重要的网段和其他网段之间采用可靠的技术隔离。
应在业务服务的重要顺序中指定带宽分配优先级,以确保在网络发生拥塞时优先考虑重要主机。
必须等待分析:核心设备需要考虑冗余,如核心交换机,注意带宽划分,确保重要主机的应用,合理划分网段,做好不同网段的技术隔离,涉及安全设备:防火墙、在线行为管理或FLOW控制。
2、访问控制(G3)
应在网络边界部署出入控制设备,以实现出入控制功能。
应根据会话状态信息提供允许/拒绝访问数据流的能力,控制粒度应在端口级。
对网络内外的信息内容进行过滤,以控制应用层HTTP、FTP、Telnet、SMTP、POP 3等应用层的协议命令层。
网络连接应在会话处于非活动状态一段时间后或会话结束后终止。
应限制网络流量和网络连接的最大数量。
重要部门应采取技术措施,防止地址欺诈。
根据用户与系统之间的允许访问规则,允许或拒绝用户访问被控系统的资源,控制粒度为单用户。
应该限制拨号接入的用户数量。
不得不等待分析:这里主要注意防火墙策略做端口级别,这是第二级和第三级之间的明显区别之一,另一种是限制流量和网络连接的最大数量和IP地址管理,涉及的安全设备是:网关设备,如防火墙和UTM以及IP地址管理设备。
等级保护测评公司
3、安全审计(G3)
应记录网络设备的运行状态、网络流量和用户在网络系统中的行为。
审计记录应包括:活动的日期和时间、用户、活动类型、活动的成功和其他与审计有关的信息。
应能够根据记录的数据进行分析并编制审计报表。
应保护审计记录不被意外删除、修改或覆盖。
必须等待分析:此要求强调需要具有日志记录。有必要注意生成审计报告和避免未经授权的删除的能力。此常规设备没有日志功能,因此建议您具备条件。顶部:日志审核设备,这是网络安全法中明确要求的,必须保留六个月以上。
4。边界完整性检查(S3)
与内部网络连接的未经授权的设备应能够检查其位置并加以有效封锁。
应该能够检查内部网络用户与外部网络的私有连接,准确地确定位置并有效地阻止它。
我们必须等待分析:这里强调的是非法外联和非法获取的问题,这在第二和第三层次都是必要的。区别在于,可以找到第二层发现,而第三层也需要阻塞。所涉及的设备是安全接入设备或桌面管理软件。
5。入侵防范(G3)
应在网络边界监视以下攻击:端口扫描,暴力攻击,木马后门攻击,拒绝服务攻击,缓冲区溢出攻击,IP碎片攻击和网络蠕虫攻击;
当检测到攻击时,记录攻击源的IP、攻击类型、攻击目的和攻击时间,并在发生严重入侵时发出警报。
我们必须拭目以待:这表明入侵检测设备需要部署在网络边界,涉及的设备有:ids/ips,下一代防火墙等。
6。恶意代码预防(G3)
应在网络边界检测和清除恶意代码。
应保持对恶意代码库的更新和对检测系统的更新。
必须等待分析:这里还有一个明确的部署在网络边界的防病毒墙,涉及设备:防病毒墙、IP、UTM等。
等级保护测评公司
7。网络设备保护(g3)
应对登录网络设备的用户进行身份验证。
应对网络设备管理员的登录地址施加限制。
网络设备用户的身份应该是唯一的。
主要网络设备应通过选择两种或两种以上的认证技术组合来识别同一用户。
识别信息不应轻易被滥用,密码应符合复杂要求,并应定期更换。
应具有登录失败的功能,并可采取终止会话、限制非法登录次数、在网络登录连接超时自动退出等措施。
在远程管理网络设备时,应采取必要措施,防止认证信息在网络传输过程中被窃听。
应实现设备特权用户的权限分离。
必须等待分析:管理员的登录地址应受到限制,不能在任何地址进行管理,这是非常不安全的;管理权限应分开,以避免超级管理员的存在;管理员的身份识别至少需要两种身份验证技术组合,以确保合法性。管理员身份;限制非法登录次数,超时登录处理功能,防止停止暴力破解和信息抢劫。涉及的安全设备包括:堡垒机、双因素认证软件等。
1、结构安全(G3)
应确保主要网络设备的服务处理能力有冗余的空间,以满足高峰期的需求。
确保网络各部分的带宽满足最高业务需求。
应在服务终端和服务服务器之间进行路由控制,以建立安全的访问路径。
应将拓扑映射到与当前性能相匹配。
应根据各部门的工作职能和重要性以及所涉信息的重要性等因素划分不同的子网或网段,并按照方便管理和控制的原则为每个子网和网段分配地址段。
重要的网络段应部署在网络边界并直接连接到外部信息系统,重要的网段和其他网段之间采用可靠的技术隔离。
应在业务服务的重要顺序中指定带宽分配优先级,以确保在网络发生拥塞时优先考虑重要主机。
必须等待分析:核心设备需要考虑冗余,如核心交换机,注意带宽划分,确保重要主机的应用,合理划分网段,做好不同网段的技术隔离,涉及安全设备:防火墙、在线行为管理或FLOW控制。
2、访问控制(G3)
应在网络边界部署出入控制设备,以实现出入控制功能。
应根据会话状态信息提供允许/拒绝访问数据流的能力,控制粒度应在端口级。
对网络内外的信息内容进行过滤,以控制应用层HTTP、FTP、Telnet、SMTP、POP 3等应用层的协议命令层。
网络连接应在会话处于非活动状态一段时间后或会话结束后终止。
应限制网络流量和网络连接的最大数量。
重要部门应采取技术措施,防止地址欺诈。
根据用户与系统之间的允许访问规则,允许或拒绝用户访问被控系统的资源,控制粒度为单用户。
应该限制拨号接入的用户数量。
不得不等待分析:这里主要注意防火墙策略做端口级别,这是第二级和第三级之间的明显区别之一,另一种是限制流量和网络连接的最大数量和IP地址管理,涉及的安全设备是:网关设备,如防火墙和UTM以及IP地址管理设备。
等级保护测评公司
3、安全审计(G3)
应记录网络设备的运行状态、网络流量和用户在网络系统中的行为。
审计记录应包括:活动的日期和时间、用户、活动类型、活动的成功和其他与审计有关的信息。
应能够根据记录的数据进行分析并编制审计报表。
应保护审计记录不被意外删除、修改或覆盖。
必须等待分析:此要求强调需要具有日志记录。有必要注意生成审计报告和避免未经授权的删除的能力。此常规设备没有日志功能,因此建议您具备条件。顶部:日志审核设备,这是网络安全法中明确要求的,必须保留六个月以上。
4。边界完整性检查(S3)
与内部网络连接的未经授权的设备应能够检查其位置并加以有效封锁。
应该能够检查内部网络用户与外部网络的私有连接,准确地确定位置并有效地阻止它。
我们必须等待分析:这里强调的是非法外联和非法获取的问题,这在第二和第三层次都是必要的。区别在于,可以找到第二层发现,而第三层也需要阻塞。所涉及的设备是安全接入设备或桌面管理软件。
5。入侵防范(G3)
应在网络边界监视以下攻击:端口扫描,暴力攻击,木马后门攻击,拒绝服务攻击,缓冲区溢出攻击,IP碎片攻击和网络蠕虫攻击;
当检测到攻击时,记录攻击源的IP、攻击类型、攻击目的和攻击时间,并在发生严重入侵时发出警报。
我们必须拭目以待:这表明入侵检测设备需要部署在网络边界,涉及的设备有:ids/ips,下一代防火墙等。
6。恶意代码预防(G3)
应在网络边界检测和清除恶意代码。
应保持对恶意代码库的更新和对检测系统的更新。
必须等待分析:这里还有一个明确的部署在网络边界的防病毒墙,涉及设备:防病毒墙、IP、UTM等。
等级保护测评公司
7。网络设备保护(g3)
应对登录网络设备的用户进行身份验证。
应对网络设备管理员的登录地址施加限制。
网络设备用户的身份应该是唯一的。
主要网络设备应通过选择两种或两种以上的认证技术组合来识别同一用户。
识别信息不应轻易被滥用,密码应符合复杂要求,并应定期更换。
应具有登录失败的功能,并可采取终止会话、限制非法登录次数、在网络登录连接超时自动退出等措施。
在远程管理网络设备时,应采取必要措施,防止认证信息在网络传输过程中被窃听。
应实现设备特权用户的权限分离。
必须等待分析:管理员的登录地址应受到限制,不能在任何地址进行管理,这是非常不安全的;管理权限应分开,以避免超级管理员的存在;管理员的身份识别至少需要两种身份验证技术组合,以确保合法性。管理员身份;限制非法登录次数,超时登录处理功能,防止停止暴力破解和信息抢劫。涉及的安全设备包括:堡垒机、双因素认证软件等。
