亚洲成人av婷婷_国产农村艳妇AⅤ传媒_欧美性爱午夜福利网站_91黄色片在线观看_干进去了视频在线观看_亚洲成年影片免费_日韩无码av一区二区三区_妺妺窝人体色www在线_亚洲熟女小黄视频_国产美女免费永久视频

安全資訊

網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求--安全通信網(wǎng)絡(luò)&安全區(qū)域邊界

網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求安全通信網(wǎng)絡(luò)&安全區(qū)域邊界

《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(以下簡(jiǎn)稱(chēng)“基本要求”)于2019年5月13日發(fā)布,2019年12月1日起正式實(shí)施。基本要求中等級(jí)保護(hù)對(duì)象在傳統(tǒng)信息系統(tǒng)的基礎(chǔ)上,綜合考慮了云計(jì)算、物聯(lián)網(wǎng)等新應(yīng)用、新技術(shù),等級(jí)保護(hù)對(duì)象調(diào)整為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)(含采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng))、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等;

安全要求部分包括安全通用要求和安全擴(kuò)展要求, 安全擴(kuò)展要求包括云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求以及工業(yè)控制系統(tǒng)安全擴(kuò)展要求。其中,安全通用要求是不管等級(jí)保護(hù)對(duì)象形態(tài)如何必須滿(mǎn)足的要求,而針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和大數(shù)據(jù)提出的特殊要求稱(chēng)為安全擴(kuò)展要求。

安全通用可分為技術(shù)類(lèi)要求和管理類(lèi)要求,其中技術(shù)要求包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心; 管理要求包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員 、安全建設(shè)管理和安全運(yùn)維管理。

在通用要求技術(shù)部分,關(guān)于網(wǎng)絡(luò)安全涉及安全通信網(wǎng)絡(luò)和安全區(qū)域邊界兩個(gè)安全類(lèi)。安全通信網(wǎng)絡(luò)主要針對(duì)通信網(wǎng)絡(luò)(廣域網(wǎng)、城域網(wǎng)或局域網(wǎng))提出安全要求,而安全區(qū)域邊界主要針對(duì)等級(jí)保護(hù)對(duì)象網(wǎng)絡(luò)邊界和區(qū)域邊界提出的安全要求。不同等級(jí)(第一級(jí)到第四級(jí))的等級(jí)保護(hù)對(duì)象的安全要求存在一定的差異,安全通信網(wǎng)絡(luò)和安全區(qū)域邊界在不同等級(jí)的控制點(diǎn)和要求項(xiàng)條款數(shù)如下表,本文以第三級(jí)為例,對(duì)安全通用要求部分關(guān)于“網(wǎng)絡(luò)安全(安全通信網(wǎng)絡(luò)和安全區(qū)域邊界)”部分的要求項(xiàng)進(jìn)行簡(jiǎn)要介紹。

1

安全通信網(wǎng)絡(luò)

網(wǎng)絡(luò)架構(gòu):

a) 應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿(mǎn)足業(yè)務(wù)高峰期需要;

b) 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿(mǎn)足業(yè)務(wù)高峰期需要;

c) 應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域,并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址;

d) 應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處,重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段;

e) 應(yīng)提供通信線(xiàn)路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備的硬件冗余,保證系統(tǒng)的可用性。

條款a、b、e要求網(wǎng)絡(luò)架構(gòu)應(yīng)配置冗余策略,網(wǎng)絡(luò)冗余策略包括網(wǎng)絡(luò)線(xiàn)路冗余、網(wǎng)絡(luò)重要設(shè)備冗余及網(wǎng)絡(luò)重要系統(tǒng)和數(shù)據(jù)備份策略等。

為保證網(wǎng)絡(luò)冗余策略,應(yīng)保證:

◇采用不同運(yùn)營(yíng)商線(xiàn)路,相互備份且互不影響;

◇重要網(wǎng)絡(luò)設(shè)備熱冗余,如采用雙機(jī)熱備或服務(wù)器集群部署;

◇保證網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力具備冗余空間。

條款c要求劃分安全域、制定網(wǎng)絡(luò)IP地址分配策略,條款d要求為避免重要的安全域暴露在邊界處,在網(wǎng)絡(luò)邊界部署訪(fǎng)問(wèn)控制類(lèi)安全設(shè)備。

劃分網(wǎng)絡(luò)安全域是指按照不同區(qū)域的不同功能目的和安全要求,將網(wǎng)絡(luò)劃分為不同的安全域,以便實(shí)施不同的安全策略。制定網(wǎng)絡(luò)IP地址分配策略是指根據(jù)IP編址特點(diǎn),為設(shè)計(jì)的網(wǎng)絡(luò)中的節(jié)點(diǎn)和設(shè)備分配合適的IP地址,網(wǎng)絡(luò)IP地址分配策略要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃和流量規(guī)劃等結(jié)合起來(lái)考慮。IP地址分配包括靜態(tài)分配地址、動(dòng)態(tài)分配地址以及網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Aclclress Translation,NAT)分配地址等方式。

通常情況網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)絡(luò)安全域、互聯(lián)網(wǎng)安全域和外部網(wǎng)絡(luò)安全域。基于業(yè)務(wù)需求,可進(jìn)一步劃分,如核心業(yè)務(wù)安全域、數(shù)據(jù)安全域等。網(wǎng)絡(luò)安全域的劃分,應(yīng)遵循如下原則:

1)網(wǎng)絡(luò)整體的拓?fù)浣Y(jié)構(gòu)嚴(yán)格規(guī)劃、設(shè)計(jì)和管理;

2)按照網(wǎng)絡(luò)分層設(shè)計(jì)的原則進(jìn)行規(guī)劃,便于擴(kuò)充和管理,易于故障隔離和排除;

3)網(wǎng)絡(luò)按訪(fǎng)問(wèn)控制策略劃分成不同的安全域,將有相同安全需求的網(wǎng)絡(luò)設(shè)備劃分到一 個(gè)安全域中,采取相同或類(lèi)似的安全策略,對(duì)重要網(wǎng)段進(jìn)行重點(diǎn)保護(hù);

4)使用防火墻等安全設(shè)備、VLAN或其他訪(fǎng)問(wèn)控制方式與技術(shù),將重要網(wǎng)段與其他網(wǎng)段隔離開(kāi),在不同安全域之間設(shè)置訪(fǎng)問(wèn)控制措施。(條款d要求)

虛擬局域網(wǎng)( Virtual Local Area Network,VLAN)是一種劃分互相隔離子網(wǎng)的技術(shù)。通過(guò)VLAN隔離技術(shù),可以把一個(gè)網(wǎng)絡(luò)系統(tǒng)中眾多的網(wǎng)絡(luò)設(shè)備邏輯地分成若干個(gè)虛擬工作組,組和組之間的網(wǎng)絡(luò)設(shè)備在第二層網(wǎng)絡(luò)上相互隔離,形成不同的安全區(qū)域,同時(shí)將廣播流量限制在不同的廣播域。

通信傳輸

a) 應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性;

b) 應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的保密性。

為避免數(shù)據(jù)在通信過(guò)程中被非法截獲、非法篡改等破壞數(shù)據(jù)可用性的風(fēng)險(xiǎn),保證遠(yuǎn)程安全接入、保證通信過(guò)程中數(shù)據(jù)的安全,可部署IPSec、SSL VPN等通信設(shè)備,保證通信的安全性。VPN技術(shù)通過(guò)建立了一條安全隧道,既保證了通信完整性,也保證了通信保密性。

可信驗(yàn)證

可基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證,并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證,在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警,并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心,并進(jìn)行動(dòng)態(tài)關(guān)聯(lián)感知。


2

安全區(qū)域邊界


邊界防護(hù)

a) 應(yīng)保證跨越邊界的訪(fǎng)問(wèn)和數(shù)據(jù)流通過(guò)邊界設(shè)備提供的受控接口進(jìn)行通信;

b) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制;

c) 應(yīng)能夠?qū)?nèi)部用戶(hù)非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制;

d) 應(yīng)限制無(wú)線(xiàn)網(wǎng)絡(luò)的使用,保證無(wú)線(xiàn)網(wǎng)絡(luò)通過(guò)受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。

邊界防護(hù)是構(gòu)建網(wǎng)絡(luò)安全縱生防御體系的重要一環(huán),缺少邊界安全防護(hù)就無(wú)法實(shí)現(xiàn)網(wǎng)絡(luò)安全。邊界防護(hù)相關(guān)要求項(xiàng)針對(duì)邊界安全準(zhǔn)入、準(zhǔn)出的相關(guān)安全策略,條款a)要求邊界要有訪(fǎng)問(wèn)控制設(shè)備,并明確邊界設(shè)備物理端口,跨越邊界的訪(fǎng)問(wèn)和數(shù)據(jù)流僅能通過(guò)指定的設(shè)備端口進(jìn)行數(shù)據(jù)通信,條款b、c)要求通過(guò)技術(shù)手段和管理措施對(duì)“非法接入”、“非法外聯(lián)”行為進(jìn)行檢查、限制。

訪(fǎng)問(wèn)控制

a) 應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪(fǎng)問(wèn)控制策略設(shè)置訪(fǎng)問(wèn)控制規(guī)則,默認(rèn)情況下除允許通信外受控接口拒絕所有通信;

b) 應(yīng)刪除多余或無(wú)效的訪(fǎng)問(wèn)控制規(guī)則,優(yōu)化訪(fǎng)問(wèn)控制列表,并保證訪(fǎng)問(wèn)控制規(guī)則數(shù)量最小化;

c) 應(yīng)對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查,以允許/拒絕數(shù)據(jù)包進(jìn)出;

d) 應(yīng)能根據(jù)會(huì)話(huà)狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪(fǎng)問(wèn)的能力;

e) 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪(fǎng)問(wèn)控制。

訪(fǎng)問(wèn)控制這一控制點(diǎn)相關(guān)要求是針對(duì)網(wǎng)絡(luò)安全策略中訪(fǎng)問(wèn)控制策略提出的相關(guān)要求,不同安全級(jí)別的網(wǎng)絡(luò)相連,產(chǎn)生了網(wǎng)絡(luò)邊界。為防止來(lái)自網(wǎng)絡(luò)外界的入侵,應(yīng)在網(wǎng)絡(luò)邊界設(shè)置安全訪(fǎng)問(wèn)控制措施。常見(jiàn)措施包括設(shè)計(jì)VLAN、劃分網(wǎng)段、部署防火墻、IP地址與MAC地址綁定等。關(guān)于訪(fǎng)問(wèn)控制,應(yīng)保證:嚴(yán)格的安全防護(hù)機(jī)制,安全性較高的防火墻(支持會(huì)話(huà)層和應(yīng)用層訪(fǎng)問(wèn)控制策略)。

入侵防范

a) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為;

b) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為;

c) 應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析;

d) 當(dāng)檢測(cè)到攻擊行為時(shí),記錄攻擊源IP、攻擊類(lèi)型、攻擊目標(biāo)、攻擊時(shí)間,在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。

入侵防范控制點(diǎn)要求項(xiàng)主要針對(duì)流量安全檢測(cè),網(wǎng)絡(luò)流量檢測(cè)措施包括部署入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng)、防病毒網(wǎng)關(guān)、抗拒絕服務(wù)攻擊系統(tǒng)以及漏洞掃描系統(tǒng)等。采用基于特征或基于行為的檢測(cè)方法對(duì)數(shù)據(jù)包的特征進(jìn)行深度分析,發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為和異常訪(fǎng)問(wèn)行為,并設(shè)置告警機(jī)制。

惡意代碼和垃圾郵件防范

a) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)行檢測(cè)和清除,并維護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和更新;

b) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)垃圾郵件進(jìn)行檢測(cè)和防護(hù),并維護(hù)垃圾郵件防護(hù)機(jī)制的升級(jí)和更新。

惡意代碼是一種可執(zhí)行程序,惡意代碼以普通病毒、木馬、網(wǎng)絡(luò)蠕蟲(chóng)、移動(dòng)代碼和復(fù)合型病毒等多種形態(tài)存在,惡意代碼具有非授權(quán)可執(zhí)行性、隱蔽性、傳染性、破壞性、潛伏性及變化快等多種特性,主要通過(guò)網(wǎng)頁(yè)、郵件等網(wǎng)絡(luò)載體進(jìn)行傳播。因此,在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處(網(wǎng)絡(luò)邊界和核心業(yè)務(wù)網(wǎng))部署防病毒網(wǎng)關(guān)、UTM或其他惡意代碼防范產(chǎn)品,是最直接、高效的惡意代碼防范方法。

安全審計(jì)

a) 應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì),審計(jì)覆蓋到每個(gè)用戶(hù),對(duì)重要的用戶(hù)行為和重要安全事件進(jìn)行審計(jì);

b) 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息;

c) 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù),定期備份,避免受到未預(yù)期的刪除、修改或覆蓋等。

d) 應(yīng)能對(duì)遠(yuǎn)程訪(fǎng)問(wèn)的用戶(hù)行為、訪(fǎng)問(wèn)互聯(lián)網(wǎng)的用戶(hù)行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析。

安全審計(jì)控制點(diǎn)針對(duì)網(wǎng)絡(luò)安全審計(jì)策略,網(wǎng)絡(luò)安全審計(jì)策略,可以加強(qiáng)網(wǎng)絡(luò)和系統(tǒng)的審計(jì)安全。常見(jiàn)措施包括部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、設(shè)置操作系統(tǒng)日志及其審計(jì)措施、設(shè)計(jì)應(yīng)用程序日志及其審計(jì)措施等。

網(wǎng)絡(luò)安全是動(dòng)態(tài)的可以部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng),對(duì)網(wǎng)絡(luò)安全狀態(tài)進(jìn)行實(shí)時(shí)可視化審計(jì), 并對(duì)審計(jì)記錄進(jìn)行定期的備份轉(zhuǎn)存,主要針對(duì)網(wǎng)絡(luò)行為和安全事件審計(jì)。

可信驗(yàn)證

可基于可信根對(duì)邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證,并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證,在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警,并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心,并進(jìn)行動(dòng)態(tài)關(guān)聯(lián)感知。


服務(wù)熱線(xiàn)

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號(hào)

微信公眾號(hào)