等級保護評估的技術(shù)要求可分為五類：物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全、備份恢復(fù)。今天，我們不得不等待網(wǎng)絡(luò)安全的技術(shù)要求被整理出來，以供大家學(xué)習(xí)。
1、結(jié)構(gòu)安全（G3）
應(yīng)確保主要網(wǎng)絡(luò)設(shè)備的服務(wù)處理能力有冗余的空間，以滿足高峰期的需求。
確保網(wǎng)絡(luò)各部分的帶寬滿足最高業(yè)務(wù)需求。
應(yīng)在服務(wù)終端和服務(wù)服務(wù)器之間進行路由控制，以建立安全的訪問路徑。
應(yīng)將拓撲映射到與當(dāng)前性能相匹配。
應(yīng)根據(jù)各部門的工作職能和重要性以及所涉信息的重要性等因素劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為每個子網(wǎng)和網(wǎng)段分配地址段。
重要的網(wǎng)絡(luò)段應(yīng)部署在網(wǎng)絡(luò)邊界并直接連接到外部信息系統(tǒng)，重要的網(wǎng)段和其他網(wǎng)段之間采用可靠的技術(shù)隔離。
應(yīng)在業(yè)務(wù)服務(wù)的重要順序中指定帶寬分配優(yōu)先級，以確保在網(wǎng)絡(luò)發(fā)生擁塞時優(yōu)先考慮重要主機。
必須等待分析：核心設(shè)備需要考慮冗余，如核心交換機，注意帶寬劃分，確保重要主機的應(yīng)用，合理劃分網(wǎng)段，做好不同網(wǎng)段的技術(shù)隔離，涉及安全設(shè)備：防火墻、在線行為管理或FLOW控制。
 
2、訪問控制（G3）
應(yīng)在網(wǎng)絡(luò)邊界部署出入控制設(shè)備，以實現(xiàn)出入控制功能。
應(yīng)根據(jù)會話狀態(tài)信息提供允許/拒絕訪問數(shù)據(jù)流的能力，控制粒度應(yīng)在端口級。
對網(wǎng)絡(luò)內(nèi)外的信息內(nèi)容進行過濾，以控制應(yīng)用層HTTP、FTP、Telnet、SMTP、POP 3等應(yīng)用層的協(xié)議命令層。
網(wǎng)絡(luò)連接應(yīng)在會話處于非活動狀態(tài)一段時間后或會話結(jié)束后終止。
應(yīng)限制網(wǎng)絡(luò)流量和網(wǎng)絡(luò)連接的最大數(shù)量。
重要部門應(yīng)采取技術(shù)措施，防止地址欺詐。
根據(jù)用戶與系統(tǒng)之間的允許訪問規(guī)則，允許或拒絕用戶訪問被控系統(tǒng)的資源，控制粒度為單用戶。
應(yīng)該限制撥號接入的用戶數(shù)量。
不得不等待分析：這里主要注意防火墻策略做端口級別，這是第二級和第三級之間的明顯區(qū)別之一，另一種是限制流量和網(wǎng)絡(luò)連接的最大數(shù)量和IP地址管理，涉及的安全設(shè)備是：網(wǎng)關(guān)設(shè)備，如防火墻和UTM以及IP地址管理設(shè)備。
等級保護測評公司
3、安全審計（G3）
應(yīng)記錄網(wǎng)絡(luò)設(shè)備的運行狀態(tài)、網(wǎng)絡(luò)流量和用戶在網(wǎng)絡(luò)系統(tǒng)中的行為。
審計記錄應(yīng)包括：活動的日期和時間、用戶、活動類型、活動的成功和其他與審計有關(guān)的信息。
應(yīng)能夠根據(jù)記錄的數(shù)據(jù)進行分析并編制審計報表。
應(yīng)保護審計記錄不被意外刪除、修改或覆蓋。
必須等待分析：此要求強調(diào)需要具有日志記錄。有必要注意生成審計報告和避免未經(jīng)授權(quán)的刪除的能力。此常規(guī)設(shè)備沒有日志功能，因此建議您具備條件。頂部：日志審核設(shè)備，這是網(wǎng)絡(luò)安全法中明確要求的，必須保留六個月以上。
 
4。邊界完整性檢查（S3）
與內(nèi)部網(wǎng)絡(luò)連接的未經(jīng)授權(quán)的設(shè)備應(yīng)能夠檢查其位置并加以有效封鎖。
應(yīng)該能夠檢查內(nèi)部網(wǎng)絡(luò)用戶與外部網(wǎng)絡(luò)的私有連接，準(zhǔn)確地確定位置并有效地阻止它。
我們必須等待分析：這里強調(diào)的是非法外聯(lián)和非法獲取的問題，這在第二和第三層次都是必要的。區(qū)別在于，可以找到第二層發(fā)現(xiàn)，而第三層也需要阻塞。所涉及的設(shè)備是安全接入設(shè)備或桌面管理軟件。
 
5。入侵防范（G3）
應(yīng)在網(wǎng)絡(luò)邊界監(jiān)視以下攻擊：端口掃描，暴力攻擊，木馬后門攻擊，拒絕服務(wù)攻擊，緩沖區(qū)溢出攻擊，IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊;
當(dāng)檢測到攻擊時，記錄攻擊源的IP、攻擊類型、攻擊目的和攻擊時間，并在發(fā)生嚴(yán)重入侵時發(fā)出警報。
我們必須拭目以待：這表明入侵檢測設(shè)備需要部署在網(wǎng)絡(luò)邊界，涉及的設(shè)備有：ids/ips，下一代防火墻等。
 
6。惡意代碼預(yù)防(G3)
應(yīng)在網(wǎng)絡(luò)邊界檢測和清除惡意代碼。
應(yīng)保持對惡意代碼庫的更新和對檢測系統(tǒng)的更新。
必須等待分析：這里還有一個明確的部署在網(wǎng)絡(luò)邊界的防病毒墻，涉及設(shè)備：防病毒墻、IP、UTM等。

等級保護測評公司
7。網(wǎng)絡(luò)設(shè)備保護（g3）
應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份驗證。
應(yīng)對網(wǎng)絡(luò)設(shè)備管理員的登錄地址施加限制。
網(wǎng)絡(luò)設(shè)備用戶的身份應(yīng)該是唯一的。
主要網(wǎng)絡(luò)設(shè)備應(yīng)通過選擇兩種或兩種以上的認證技術(shù)組合來識別同一用戶。
識別信息不應(yīng)輕易被濫用，密碼應(yīng)符合復(fù)雜要求，并應(yīng)定期更換。
應(yīng)具有登錄失敗的功能，并可采取終止會話、限制非法登錄次數(shù)、在網(wǎng)絡(luò)登錄連接超時自動退出等措施。
在遠程管理網(wǎng)絡(luò)設(shè)備時，應(yīng)采取必要措施，防止認證信息在網(wǎng)絡(luò)傳輸過程中被竊聽。
應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。
 
必須等待分析：管理員的登錄地址應(yīng)受到限制，不能在任何地址進行管理，這是非常不安全的；管理權(quán)限應(yīng)分開，以避免超級管理員的存在；管理員的身份識別至少需要兩種身份驗證技術(shù)組合，以確保合法性。管理員身份；限制非法登錄次數(shù)，超時登錄處理功能，防止停止暴力破解和信息搶劫。涉及的安全設(shè)備包括：堡壘機、雙因素認證軟件等。