安全区域边界技术测评要求项

        1.边界防护-非授权设备接入、非授权连接外部网络、无线网络使用和设备可信接入

        (网络边界就是采用不同安全策略的两个网络的连接处)

        1-1/2-1/3-4/4-6

        a)保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信

        b)应能够对非授权设备私自联到内部网络的行为进行检查或限制

        c)应能够对内部用户非授权联到外部网络的行为进行检查或限制

        d)应限制无线网络的使用,保证无线网络通过授控的边界设备接入内部网络

        e)应能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时,对其进行有效阻断

        f)应采用可信验证机制对接入到网络中的设备进行可信验证,保证接入网络的设备真实可信

        测评实施重点:

        1)通过边界设备提供的受控端口进行通信,受控端口配置并启用安全策略

        2)通过终端管理系统、终端准入控制系统或IP/MAC地址绑定等措施对非授权接入行为进行限制和检查

        3)采用技术手段(终端管理系统、终端准入系统等)和管理措施对非授权连接外部网络的行为进行限制或检查

        4)3级及以上系统,限制无线网络的使用,要求无线网络单独组网后连接到有线网络,且必须通过受控的边界防护设备接入内部有线网络

        2.访问控制-访问控制规则、通信协议转换和通信协议隔离

        (在全网对网络的连接状态进行监控,并准确定位、及时报警和阻断,而不仅是边界预设出入口

        1-3/2-4/3-5/4-5+

        a)应在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信

        b)应删除多余或无效的访问控制规划,优化访问控制列表,并保证访问控制规则数量最小化

        c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出(如包过滤防火墙)

        d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力(如状态检测防火墙)

        e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制(如应用代理防火墙)

        e+)应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换

        测评实施重点:

        1)设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信

        2)优化访问控制列表ACL至最小化

        3)明确的五元组访问控制规则

        4)对进出网络的流量进行过滤

        5)部署NGFW,实现基于应用协议和应用内容的访问控制

        6)4级系统(例如SCADA、电网调度系统等)要求采用通信协议转换、通信协议隔离等方式进行数据交换

        3.入侵检测-外部网络攻击、内部网络攻击和新型网络攻击

        (在关键网络节点监视所在网络内的各种数据包)

        1-0/2-1/3-4/4-4

        a)应在关键网络节点处监视网络攻击行为(如抗APT攻击系统、网络回溯系统、IPS等)

        a+)应在关键网络节点处检测、防止或限制外部发起的网络攻击行为

        b)应在关键网络节点处检测、防止或限制内部发起的网络攻击行

        c)应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析

        e)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警(应能通过短信、邮件等向相关人员报警)

        测评实施重点:(同上)

        4.恶意代码和垃圾邮件防范-从网络层面的防恶意代码、防垃圾邮件提出要求

        1-0/2-1/3-2/4-2

        a)应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新

        b)应在关键网络节点处对垃圾邮件进行监测和防护,并维护垃圾邮件防护机制的升级和更新

        测评实施重点:

        1)在关键网络节点处部署恶意代码防护设备(如UTM、反病毒防火墙、防病毒网关),在邮件系统外部署防垃圾邮件网关设备

        2)保持相关设备的可用性

        3)保持相关设备的有效性

        4)配置相关设备的审计功能,实现对安全事件的实时审计并验证防护策略的有效性

        5.安全审计-从网络层对终端用户的访问行为进行审计

        1-0/2-3/3-4/3-3

        a)应在网络边界、重要网络节点进行安全审计,审计覆盖至每个用户对重要的用户行为和重要安全事件进行审计

        b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

        c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖

        d)应能对远程访问的用户行为,访问互联网的用户行为等单独进行行为审计和数据分析

        测评实施重点:

        1)在网络边界处、重要节点处部署综合安全审计系统或具有类似功能的系统平台,审计范围覆盖所有用户

        2)配置详细的审计策略,对事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息进行记录

        3)对审计结果数据采取必要的保护措施

        4)单独对2类访问行为进行安全审计和必要的分析(通过互联网或专网远程访问应用系统的业务终端;或者从内部访问互联网的业务终端

        6.可信验证-安全区域边界的各类设备在启动及运行各环节中进行安全验证

        1-1/2-1+/3-1++/4-1+++

        a)对边界设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信息性受到破坏后进行报警

        a+)对边界设备的系统引导程序、系统程序等进行可信验证并在检测到其可信息性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理

        a++)对边界设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证并在应用程序的关键执行环节进行动态可信验证,在检测到其可信息性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心

        a+++)对边界设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证并在应用程序的所有执行环节进行动态可信验证,在检测到其可信息性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知

        测评实施重点:(同上)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/58699.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Linux学习之RAID

基础概念 RAID,英文全称为Redundant Arrays of Independent Drives,RAID,中文称为独立冗余磁盘阵列,这项技术把多个硬盘设备组合成一个容量更大的、安全性更好的磁盘阵列,把数据切割成许多区段分别放在不同的物理磁盘…

MATLAB算法实战应用案例精讲-【概念篇】构建数据指标方法(最终篇)

目录 前言 算法原理 指标体系的意义 1. 更好进行管理 2. 更优打造业务 3. 更早构造壁垒 什么是好的

15. 实现业务功能--帖子操作

1. 集成编译器 editor.md 支持 MarkDown 语法编辑&#xff0c;在需要用户输⼊内容的页面按以下代码嵌入编辑器 1.1 编写 HTML <!-- 引⼊编辑器的CSS --> <link rel"stylesheet" href"./dist/editor.md/css/editormd.min.css"> <!-- 引⼊编…

Linux服务器中创建SVN项目详细步骤

一、Linux服务器中的SVN安装和搭建项目环境可以参考一下文章: 1、《阿里云服务器搭建》------搭建SVN服务 2、在一个服务器的svn上&#xff0c;设置一个端口号对应一个项目 3、如何解决Linuxsvn无法显示日志的问题 二、Linux服务器中的SVN项目如何添加项目的忽略文件&#xff1…

Rabbitmq的消息转换器

Spring会把你发送的消息序列化为字节发送给MQ&#xff0c;接收消息的时候&#xff0c;还会把字节反序列化为Java对象 ,只不过&#xff0c;默认情况下Spring采用的序列化方式是JDK序列化。众所周知&#xff0c;JDK序列化存在下列问题&#xff1a; 数据体积过大 有安全漏洞 可读…

nacos Error to process server push response

nacos2.0.3报错&#xff1a; Error to process server push response 解决办法&#xff1a; 排查项目当中有没有直接或间接依赖reflections&#xff1a; <dependency><groupId>org.reflections</groupId><artifactId>reflections</artifactId>…

华为配置聚合vlan(Super vlan--Sub vlan)

聚合vlan&#xff0c;Aggregation vlan&#xff0c;也称Super vlan&#xff0c;可以实现用Sub vlan二层隔离广播域&#xff0c;但又将这些Sub vlan聚合使用同一IP子网和网关的情况。 这样&#xff0c;多个Sub-VLAN共享一个网关地址&#xff0c;节约了子网号、子网定向广播地址、…

部署问题集合(二十一)从零开始搭建一台NAS服务器(Linux虚拟机)

前言 因工作需要&#xff0c;需要从零通过虚拟机搭建一台NAS服务器&#xff0c;以此记录下来 步骤 1、创建虚拟机 通过VMWare创建一台新虚拟机&#xff0c;虚拟机内存和磁盘自定义&#xff0c;不过建议尽量大一点 2、服务器端配置 查看是否安装有NFS服务&#xff1a;rpm …

TensorFlow-slim包进行图像数据集分类---具体流程

TensorFlow中slim包的具体用法 1、训练脚本文件&#xff08;该文件包含数据下载打包、模型训练&#xff0c;模型评估流程&#xff09;3、模型训练1、数据集相关模块&#xff1a;2、设置网络模型模块3、数据预处理模块4、定义损失loss5、定义优化器模块 本次使用的TensorFlow版本…

open cv快速入门系列---数字图像基础

目录 一、数字图像基础 1.1 数字图像和图像单位 1.2 区分图片分辨率与屏幕分辨率 1.3 图像的灰度与灰度级 1.4 图像的深度 1.5 二值图像、灰度图像与彩色图像 1.6 通道数 二、数字图像处理 2.1 图像噪声及其消除 2.2 数字图像处理技术 2.2.1 图像变换 2.2.2 图像增强…

爬虫逆向实战(二十七)--某某招标投标网站招标公告

一、数据接口分析 主页地址&#xff1a;某网站 1、抓包 通过抓包可以发现数据接口是page 2、判断是否有加密参数 请求参数是否加密&#xff1f; 通过查看“载荷”模块可以发现&#xff0c;请求参数是一整个密文 请求头是否加密&#xff1f; 无响应是否加密&#xff1f; 通…

springboot集成es 插入和查询的简单使用

第一步&#xff1a;引入依赖 <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-elasticsearch</artifactId><version>2.2.5.RELEASE</version></dependency>第二步&#xff1a;…

TypeScript的变量声明的各种方式

TypeScript是一种静态类型的JavaScript超集&#xff0c;它为JavaScript代码提供了类型检查和更好的代码组织结构。在TypeScript中&#xff0c;变量声明是非常重要的&#xff0c;因为它们定义了变量的类型和范围。本文将详细介绍TypeScript的变量声明&#xff0c;并通过代码案例…

Tomcat安装及基本使用

1. 什么是Web服务器 Web服务器是一种应用程序&#xff08;软件&#xff09;&#xff0c;它封装了对HTTP协议的操作&#xff0c;使得开发人员无需直接操作协议&#xff0c;从而简化了Web开发。其主要功能是提供网上信息浏览服务。 Web服务器安装在服务器端&#xff0c;我们可以…

C++ 异常

一、异常概念 异常是一种处理错误的方式&#xff0c;当一个函数发现自己无法处理的错误时就可以抛出异常&#xff0c;让函数的直接或间接 的调用者处理这个错误。 throw: 当问题出现时&#xff0c;程序会抛出一个异常。这是通过使用 throw 关键字来完成的。 catch: 在您想要…

L1-043 阅览室(Python实现) 测试点全过

题目 天梯图书阅览室请你编写一个简单的图书借阅统计程序。当读者借书时&#xff0c;管理员输入书号并按下S键&#xff0c;程序开始计时&#xff1b;当读者还书时&#xff0c;管理员输入书号并按下E键&#xff0c;程序结束计时。书号为不超过1000的正整数。当管理员将0作为书号…

国际腾讯云账号云服务器网络访问丢包问题解决办法!!

本文主要介绍可能引起云服务器网络访问丢包问题的主要原因&#xff0c;及对应排查、解决方法。下面一起了解腾讯云国际云服务器网络访问丢包问题解决办法&#xff1a; 可能原因 引起云服务器网络访问丢包问题的可能原因如下&#xff1a; 1.触发限速导致 TCP 丢包 2.触发限速导致…

linux下vi或vim操作Found a swap file by the name的原因及解决方法--九五小庞

在linux下用vi或vim打开Test.java文件时 [rootlocalhost tmp]# vi Test.java出现了如下信息&#xff1a; E325: ATTENTION Found a swap file by the name ".Test.java.swp" owned by: root dated: Wed Dec 7 13:52:56 2011 file name: /var/tmp/Test.java modif…

Hystrix: Dashboard流监控

接上两张服务熔断 开始搭建Dashboard流监控 pom依赖 <?xml version"1.0" encoding"UTF-8"?> <project xmlns"http://maven.apache.org/POM/4.0.0"xmlns:xsi"http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocat…

华为复合vlan(mux vlan)

一、概念&#xff1a; Multiplex vlan&#xff1a;实现网络资源控制的的机制。 / Principle vlan&#xff1a;port 可以和mux vlan内所有接口进行通信&#xff0c;限制128个 < /Separate vlan&#xff1a;隔离型从vlan&#xff0c;只能和…