等级保护测评网络安全知识分享_第1页
等级保护测评网络安全知识分享_第2页
等级保护测评网络安全知识分享_第3页
等级保护测评网络安全知识分享_第4页
等级保护测评网络安全知识分享_第5页
已阅读5页,还剩3页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、精品文档等级保护测评网络安全A.1全局性项目安全 子类测评项结果记录符合情 况结构 安全a)应保证主要网络设备的业务处 理能力具备冗余空间,满足业务 高峰期需要;b)应保证网络各个部分的带宽满 足业务高峰期需要;C)应在业务终端与业务服务器之 间进行路由控制建立安全的访问 路径;d)应绘制与当前运行情况相符的 网络拓扑结构图;e)应根据各部门的工作职能、重 要性和所涉及信息的重要程度等 因素,戈扮不同的子网或网段, 并按照方便管理和控制的原则为 各子网、网段分配地 址段;f)应避免将重要网段部署在网络 边界处且直接连接外部信息系 统,重要网段与其他网段之间采 取可靠的技术隔离手段;g)应按照对

2、业务服务的重要次 序 来指定带宽分配优先级别,保证 在网络发生拥堵的时候优先保护 重要主机。访问 控制a)应在网络边界部署访问控制设 备,启用访冋控制功能;边界 完整 性检 杳a)应能够对非授权设备私自联 到 内部网络的行为进行检查,准确 定岀位置,并对其进行有效阻 断;b)应能够对内部网络用户私自联 到外部网络的行为进行检查,准 确定出位置,并对其进 行有效阻 断。入侵 防范a)应在网络边界处监视以下攻击 仃为:端口扫扌田、强力攻击、 木马后门攻击、拒绝服务攻击、 缓冲区溢出攻击、IP碎片攻击和 网络蠕虫攻击等;b)当检测到攻击仃为时,记录 攻 击源IP、攻击类型、攻击目的、 攻击时间,在发

3、生严重入侵事件 时应提供报警。恶意 代码 防范a)应在网络边界处对恶意代码进 行检测和清除;b)应维护恶意代码库的升级和 检 测系统的更新。A.2交换机安全子 类测评项结果 记录符合 情况访问控 制b)应能根据会话状态信息为数据流提供明确的允许/拒绝访 问的能力,控制粒度为端口级;C)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET SMTP、POP3等协议命令级的控 制;d)应在会话处于非活跃一定时间或会话结束后终止网络连 接;e)应限制网络最大流量数及网络连接数;f)重要网段应采取技术手段防止地址欺骗;g)应按用戸和系统之间的允许访冋规则,决定允许或拒绝用 户对受

4、控系统进行资源访问,控制粒度为单个用户;h)应限制具有拨号访问权限的用户数量。安全审 计a)应对网络系统中的网络设备运行状况、网络流量、用户 行 为等进行日志记录;b)审计记录应包括:事件的日期和时间、用户、事件类 型、 事件是否成功及其他与审计相关的信息;C)应能够根据记录数据进行分析,并生成审计报表;d)应对审计记录进行保护,避免受到未预期的删除、修改或 覆盖等。网络设 备防护a)应对登录网络设备的用户进行身份鉴别;b)应对网络设备的管理员登录地址进行限制;C)网络设备用户的标识应唯一;d)主要网络设备应对同一用户选择两种或两种以上组合的鉴 别技术来进行身份鉴别;e)身份鉴别信息应具有不易

5、被冒用的特点,口令应有复杂度 要求并定期更换;f)应具有登录失败处理功能,可米取结束会话、限制非法登 录次数和当网络登录连接超时自动退出等措施;g)当对网络设备进行远程管理时,应采取必要措施防止鉴别 信息在网络传输过程中被窃听;h)应实现设备特权用户的权限分离。备份和恢复a)应能够对重要信息进行备份和恢复;b)应提供关键网络设备、通信线路和数据处理系统的硬件冗 余,保证系统的可用性。A.3防火墙模块安全子 类测评项结果记录符合情 况访问控 制b)应能根据会话状态信息为数 据流提供明确的允许/拒绝 访冋 的能力,控制粒度为端口级;C)应对进出网络的信息内容进 行过滤,实现对应用层HTTP、 FT

6、P、 TELNET、SMTP、POP3等协议命令级的控制;d)应在会话处于非活跃一疋时 间或会话结束后终止网络 连 接;e)应限制网络最大流量数及网 络连接数;f)重要网段应米取技术手段防 止地址欺骗;g)应按用户和系统之间的允许 访冋规则,决定允许或拒绝用 户对受控系统进行资源访冋, 控制粒度为单个用户;h)应限制具有拨号访问权限的 用户数量。安全审 计a)应对网络系统中的网络设备 运行状况、网络流量、用户行 为等进行日志记录;b)审计记录应包括:事件的口 期和时间、用户、事件类型、 事件是否成功及其他与审计相 关的信息;c)应能够根据记录数据进行分 析,并生成审计报表;d)应对审计记录进行保护,避 免受到未预期的删除、修 改或 覆盖等。网络设 备防护a)应对登录网络设备的用户进 行身份鉴别;b)应对网络设备的管理员登录地址进行限制;C)网络设备用户的标识应唯 d)主要网络设备应对同一用 户 选择两种或两种以上组合的鉴 别技术来进行身份鉴另山e)身份鉴别信息应具有不易被 冒用的特点,口令应有复杂度 要求并定期更换;f)应具有登录失败处理功能, 可采取结束会话、限制非法 登 录次数和当网络登录连接超时 自动退出等措施;g)当对网络设备进行远程管理 时,应采取必要措施防止鉴别 信息在网络传输过程

人人文库> 全部分类> 行业资料 > 信息产业

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论