等保测评——安全通信网络——安全区域边界

安全通信网络

网络架构

a) 应保证网络设备的业务处理能力满足业务高峰期需要;

b) 应保证网络各个部分的带宽满足业务高峰期需要;

c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;

应核查是否依据重要性、部门等因素划分不同的网络区域;

应核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致;

(重要网络区域与非重要网络区域在同一子网或网段,为高风险。)

d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;

应核查网络拓扑图是否与实际网络运行环境一致;

应核查重要网络区域是否未部署在网络边界处;

应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段,如网闸、防火墙和设备访问控制列表等。

(重要网络区域与其他网络区域之间无访问控制策略,为高风险。)

通信传输

应采用校验技术或密码技术保证通信过程中数据的完整性;

应核查是否在数据传输过程中使用校验技术或密码技术来保证其完整性;

应测试验证密码技术设备或组件能否保证通信过程中数据的完整性;

(网络层或应用层无任何重要数据传输完整性保护措施,为高风险。)

 应采用密码技术保证通信过程中数据的保密性;

应核查是否在通信过程中采取保密措施,具体采用哪些技术措施;

应测试验证在通信过程中是否对数据进行加密;

(鉴别信息、个人敏感信息或重要业务敏感信息等以明文方式在不可控网络环境中传输,为高风险。)

在算法选择时,需要选择国家密码管理局认可的密码算法,如SM1、SM2、SM3和SM4等,不允许单纯使用MD5、SHA-0、SHA-1、RSA1024和DES等不安全的算法。 国密算法: 对称算法:SM1、SM4、SM7、祖冲之密码(ZUC) 非对称算法:SM2、SM9 杂凑算法:SM3

可信验证

可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证, 并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果 形成审计记录送至安全管理中心;

相关安全产品包括TCM芯片、TPCM芯片或板卡和TSB软件及支持内置可信计算的路由器、交换机和VPN安全网关等提供可信验证功能的安全通信网络设备或相关固件及组件。

安全区域边界

边界防护

应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;

 应核查在网络边界处是否部署访问控制设备;

 应核查设备配置信息是否制定端口进行跨越边界的网络通信,指定端口是否配置并启用了安全策略;

应能够对非授权设备私自联到内部网络的行为进行检查或限制;

 应核查是否采用技术措施防止非授权设备接入内部网络;

 应核查所有路由器和交换机等相关设备闲置端口是否均已关闭

应能够对内部用户非授权联到外部网络的行为进行检查或限制;

应核查是否采用技术措施防止内部用户存在非法外联行为;

应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。  

应核查无线网络的部署方式,是否单独组网后再连接到有限网络;

 应核查无线网络是否通过受控的边界防护设备接入到内部有线网络;

访问控制

应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;

 a)应核查在网络边界或区域之间是否部署访问控制设备并启用访问控制策略;  

应核查设备的最后一条访问控制策略是否为禁止所有网络通信。

b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;

应核查是否不存在多余或无效的访问控制策略;

应核查不用的访问控制策略之间的逻辑关系及前后排列顺序是否合理;

c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;

应核查设备的访问控制策略中时设定了源地址、目的地址、源端口、目的端口和协议等相关配置参数;

应测试验证访问控制策略中设定的相关配置参数是否有效;

d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;

e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。

入侵防范

应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;

应核查相关系统或组件能否检测从外部发起的网络攻击行为;

应核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本;

应核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点;

b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;

1. 应核查相关系统或组件能否检测从外部发起的网络攻击行为;

2. 应核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本;

3. 应核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点;

c) 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;

d) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。

恶意代码和垃圾邮件防范

应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;

应核查在关键网络节点处是否部署防恶意代码功能的系统或相关组件;

应核查防恶意代码产品运行是否正常,恶意代码库是否已经更新到最新;

b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。

应核查在关键网络节点处是否部署了防垃圾邮件产品等技术措施;

应核查防垃圾邮件产品运行是否正常,防垃圾邮件规则库已经更新到最新;

安全审计

a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

应核查是否部署了综合安全审计系统或类似功能的平台;

应核查安全审计范围是否覆盖到每个用户; 迎合从是否对重要的用户行为和重要的安全事件进行了审计;

b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

1. 应核查审计记录信息是否包括时间的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

应核查是否采取了技术措施对审计记录进行保护;

应核查是否采取技术措施对审计记录进行备份,并核查其备份策略;

d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。

1. 应核查是否对远程访问用户及互联网访问用户行为单独进行审计分析。

可信验证

可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形 成审计记录送至安全管理中心。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/36026.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

远程过程调用协议gRPC及在go环境下的使用

1. 远程过程调用协议 1.1 定义 远程过程调用(Remote Procedure Call,PRC是一种进程间通信技术,它使得程序可以像调用本地函数一样调用远程服务器上的函数。RPC 屏蔽了底层的通信细节,让开发者能够更专注于业务逻辑,而无需关心网络…

无源电压继电器 JDY-1210AW 导轨安装 约瑟JOSEF

系列型号: JDY-1002AW电压继电器;JDY-1002B电压继电器; JDY-1110AW电压继电器;JDY-1110B电压继电器; JDY-1220AW电压继电器;JDY-1220B电压继电器; JDY-1100AW电压继电器;JDY-110…

服务器数据恢复—用raid6阵列磁盘组建raid5阵列如何恢复原raid数据?

服务器存储数据恢复环境: 华为OceanStor 5800存储,该存储中有一组由10块硬盘组建的raid6磁盘阵列,供企业内部使用,服务器安装linux操作系统EXT3文件系统,划分2个lun。 服务器存储故障: 管理员发现存储中rai…

JavaScript的学习之dom的查询(一)

一、获得元素 通过document对象调用&#xff1a; getElementById()&#xff1a;通过id属性获取一个元素节点对象getElementsByTagName()&#xff1a;通过标签名获取一组元素节点对象getElementsByName()&#xff1a;通过name属性来获取一组元素节点对象 核心学习代码 <scrip…

记录一次即将出现的钓鱼新方式

钓鱼通常是内网渗透过程中的最为常见的入口方式&#xff0c;但是随着蓝队人员溯源反制思路开阔&#xff0c;入侵排查能力提升&#xff0c;钓鱼也越来越困难&#xff0c;这里就记一种不同寻常的钓鱼方式。 pip install 的执行流程&#xff1a; 先获取到远端的服务器地址 url 比…

node.js 面试题 1

### 明天要去面试了 今天晚上突击一下node.js 什么是Node.js&#xff1f;它有什么特点&#xff1f; Node.js是一个基于Chrome V8引擎的JavaScript运行环境&#xff0c;它允许在服务器端运行JavaScript代码。它的特点包括单线程、非阻塞I/O、事件驱动等 …

dispatch_after

dispatch_after dispatch_after dispatch_after dispatch_after函数并不是延迟对应时间后立即执行block块中的操作&#xff0c;而是将任务追加到对应队列中&#xff0c;考虑到队列阻塞等情况&#xff0c;所以这个任务从加入队列到真正执行的时间是不准确的。 dispatch_after(…

Kubernetes CSI livenessprobe探活

Kubernetes CSI livenessprobe探活 要实现一个Kubernetes CSI的livenessprobe探活&#xff0c;可以有以下三种方法&#xff1a; HttpServer 1、在CSI中实现一个简单的HttpServer&#xff0c;暴露探活接口&#xff1b; GRPC探测 2、CSI镜像中&#xff0c;增加grpcurl命令&a…

单目标应用:基于吸血水蛭优化器(Blood-Sucking Leech Optimizer,BSLO)的微电网优化(MATLAB代码)

一、微电网模型介绍 微电网多目标优化调度模型简介_vmgpqv-CSDN博客 参考文献&#xff1a; [1]李兴莘,张靖,何宇,等.基于改进粒子群算法的微电网多目标优化调度[J].电力科学与工程, 2021, 37(3):7 二、吸血水蛭优化器求解微电网 2.1算法简介 吸血水蛭优化器&#xff08;B…

【Java Web】Tomcat服务器

目录 一、Tomcat是什么 二、Tomcat安装 三、Tomcat相关目录 四、Web项目标准目录结构规范 五、Tomcat项目部署方式 六、IDEA关联本地Tomcat 七、HTTP协议 7.1 http的交互方式 7.1.1 http长连接和短连接 7.1.2 http1.1缓存机制 7.2 http数据报文格式 八、常见响应状态码 一、Tom…

印刷企业数字工厂管理系统如何保障产品质量

一、引言 随着信息技术的迅猛发展&#xff0c;印刷行业也迎来了数字化转型的浪潮。数字工厂管理系统作为这一转型的核心工具&#xff0c;不仅在提高生产效率、优化资源配置方面发挥了重要作用&#xff0c;更在保障产品质量上扮演着关键角色。本文将深入探讨印刷企业数字工厂管…

浏览器扩展V3开发系列之 chrome.contextMenus 右键菜单的用法和案例

【作者主页】&#xff1a;小鱼神1024 【擅长领域】&#xff1a;JS逆向、小程序逆向、AST还原、验证码突防、Python开发、浏览器插件开发、React前端开发、NestJS后端开发等等 chrome.contextMenus 允许开发者向浏览器的右键菜单添加自定义项。 在使用 chrome.contextMenus 之前…

本地读取classNames txt文件

通过本地读取classNames,来减少程序修改代码,提高了程序的拓展性和自定义化。 步骤: 1、输入本地路径,分割字符串。 2、将className按顺序放入vector容器中。 3、将vector赋值给classNmaes;获取classNames.size(),赋值给CLASSES;这样,类别个数和类别都已经赋值完成。…

Python | Leetcode Python题解之第199题二叉树的右视图

题目&#xff1a; 题解&#xff1a; class Solution:def rightSideView(self, root: TreeNode) -> List[int]:rightmost_value_at_depth dict() # 深度为索引&#xff0c;存放节点的值max_depth -1stack [(root, 0)]while stack:node, depth stack.pop()if node is not…

第N8周:seq2seq翻译实战-Pytorch复现

&#x1f368; 本文为&#x1f517;365天深度学习训练营 中的学习记录博客&#x1f356; 原作者&#xff1a;K同学啊 | 接辅导、项目定制 一、前期准备 from __future__ import unicode_literals, print_function, division from io import open import unicodedata import s…

什么是堡垒机(运维审计系统)?

一、堡垒机是什么 1.1 堡垒机的来由 堡垒机是从跳板机&#xff08;也叫前置机&#xff09;的概念演变过来的。早在2000年左右的时候&#xff0c;一些中大型企业为了能对运维人员的远程登录进行集中管理&#xff0c;会在机房部署一台跳板机。 跳板机其实就是一台lunix/windows…

50、基于NARX神经网络的磁悬浮建模(matlab)

1、NARX神经网络简介 NARX&#xff08;非线性自回归外部输入&#xff09;神经网络是一种用于非线性建模和预测的神经网络结构。与传统的自回归模型不同&#xff0c;NARX网络可以接收外部输入来影响输出结果&#xff0c;从而更好地捕捉系统的复杂性和非线性特征。 NARX神经网络…

NodeJs之npm、yarn、pnpm设置最新的淘宝镜像下载源

NodeJs之npm、yarn、pnpm设置最新的淘宝镜像下载源 文章目录 NodeJs之npm、yarn、pnpm设置最新的淘宝镜像下载源1. 查看默认的下载源1. npm2. yarn3. pnpm 2. 设置最新的淘宝镜像地址1. npm2. yarn3. pnpm 1. 查看默认的下载源 1. npm C:\Users\jinshengyuan>npm get regi…

STM32 SPI实战篇:驱动W25Q64 Flash存储器的技巧与方法

摘要 在嵌入式系统开发中&#xff0c;非易失性存储是必不可少的一部分。W25Q64作为SPI Flash存储器的一种&#xff0c;以其较高的存储密度和擦写次数受到广泛应用。本文将深入探讨STM32通过SPI驱动W25Q64的实战技巧和方法&#xff0c;包括硬件连接、SPI配置、读写操作&#xf…

竞赛选题 python+深度学习+opencv实现植物识别算法系统

0 前言 &#x1f525; 优质竞赛项目系列&#xff0c;今天要分享的是 &#x1f6a9; 基于深度学习的植物识别算法研究与实现 &#x1f947;学长这里给一个题目综合评分(每项满分5分) 难度系数&#xff1a;4分工作量&#xff1a;4分创新点&#xff1a;4分 &#x1f9ff; 更多…