|
政府信息化網(wǎng)絡規(guī)劃及網(wǎng)絡安全管理方案
資源天下 2019/8/21 17:34:27
(接上頁)據(jù)鏈路層地址綁定措施,防止地址欺騙��; 通過部署具備防地址欺騙的接入安全交換機實現(xiàn)
g) 應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別�����,保證在網(wǎng)絡發(fā)生擁堵的時候優(yōu)先保護重要業(yè)務數(shù)據(jù)主機����。 在安全交換機上啟用QOS實現(xiàn)
網(wǎng)絡訪問控制
a) 應能根據(jù)會話狀態(tài)信息(包括數(shù)據(jù)包的源地址、目的地址�����、源端口號�����、目的端口號�、協(xié)議����、出入的接口、會話序列號����、發(fā)出信息的主機名等信息��,并應支持地址通配符的使用)��,為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力���; 通過部署具備高級訪問控制列表的接入安全交換機實現(xiàn)
b) 應對進出網(wǎng)絡的信息內(nèi)容進行過濾,實現(xiàn)對應用層HTTP�、FTP、TELNET�、SMTP、POP3等協(xié)議命令級的控制�����; 通過部署具備高級訪問控制列表的接入安全交換機實現(xiàn)
c) 應依據(jù)安全策略允許或者拒絕便攜式和移動式設備的網(wǎng)絡接入��; 通過部署安全準入系統(tǒng)��,杜絕不注冊用戶和終端的網(wǎng)絡接入
d) 應在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡連接��; 由應用系統(tǒng)實現(xiàn)
e) 應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)�����。 通過防火墻、流量控制設備等安全設備實現(xiàn)
撥號訪問控制
a) 應在基于安全屬性的允許遠程用戶對系統(tǒng)訪問的規(guī)則的基礎(chǔ)上����,對系統(tǒng)所有資源允許或拒絕用戶進行訪問,控制粒度為單個用戶����; 通過部署安全準入系統(tǒng),對每一個遠程用戶進行分類訪問控制(通過局域網(wǎng)出口設備或其他設備)
b) 應限制具有撥號訪問權(quán)限的用戶數(shù)量�����; 通過局域網(wǎng)出口設備或其他設備
c) 應按用戶和系統(tǒng)之間的允許訪問規(guī)則��,決定允許用戶對受控系統(tǒng)進行資源訪問�����。 通過部署安全準入系統(tǒng)�����,設置嚴格的訪問規(guī)則
網(wǎng)絡安全審計
a) 應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況���、網(wǎng)絡流量、用戶行為等進行全面的監(jiān)測、記錄����; 通過部署網(wǎng)管系統(tǒng)實現(xiàn)設備狀態(tài)檢測,通過安全準入系統(tǒng)實現(xiàn)用戶行為審計
b) 對于每一個事件����,其審計記錄應包括:事件的日期和時間、用戶����、事件類型、事件是否成功����,及其他與審計相關(guān)的信息; 通過架設syslog服務器與防火墻對接獲取日志�,通過網(wǎng)管和準入系統(tǒng)的日志系統(tǒng)、以及IDS實現(xiàn)
c) 安全審計應可以根據(jù)記錄數(shù)據(jù)進行分析��,并生成審計報表�; 同上
d) 安全審計應可以對特定事件,提供指定方式的實時報警�; 利用網(wǎng)管系統(tǒng)、入侵檢測系統(tǒng)���、安全準入系統(tǒng)的告警功能實現(xiàn)
e) 審計記錄應受到保護避免受到未預期的刪除���、修改或覆蓋等��。 管理員人工保留實現(xiàn)
邊界完整性檢查
a) 應能夠檢測內(nèi)部網(wǎng)絡中出現(xiàn)的內(nèi)部用戶未通過準許私自聯(lián)到外部網(wǎng)絡的行為(即“非法外聯(lián)”行為)��; 通過安全準入系統(tǒng)實現(xiàn)非法外聯(lián)的檢測和報告
b) 應能夠?qū)Ψ鞘跈?quán)設備私自聯(lián)到網(wǎng)絡的行為進行檢查���,并準確定出位置,對其進行有效阻斷����; 通過安全準入系統(tǒng)所屬客戶端軟件進行阻斷
c) 應能夠?qū)?nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢測后準確定出位置,并對其進行有效阻斷����。 通過安全準入系統(tǒng)所屬客戶端軟件進行阻斷
網(wǎng)絡入侵防范
a) 應在網(wǎng)絡邊界處應監(jiān)視以下攻擊行為:端口掃描、強力攻擊���、木馬后門攻擊���、拒絕服務攻擊�����、緩沖區(qū)溢出攻擊、IP碎片攻擊���、網(wǎng)絡蠕蟲攻擊等入侵事件的發(fā)生��; 部署IDS實現(xiàn)
b) 當檢測到入侵事件時���,應記錄入侵的源IP、攻擊的類型�、攻擊的目的、攻擊的時間��,并在發(fā)生嚴重入侵事件時提供報警���。 部署IDS實現(xiàn)
惡意代碼防范
a) 應在網(wǎng)絡邊界及核心業(yè)務網(wǎng)段處對惡意代碼進行檢測和清除���; 邊界防火墻實現(xiàn)
b) 應維護惡意代碼庫的升級和檢測系統(tǒng)的更新; 邊界防火墻實現(xiàn)
c) 應支持惡意代碼防范的統(tǒng)一管理��。 邊界防火墻實現(xiàn)
網(wǎng)絡設備防護
a) 應對登錄網(wǎng)絡設備的用戶進行身份鑒別�����; 通過設置網(wǎng)絡設備落實
b) 應對網(wǎng)絡上的對等實體進行身份鑒別; 通過設置網(wǎng)絡設備落實
c) 應對網(wǎng)絡設備的管理員登錄地址進行限制����; 通過設置網(wǎng)絡設備落實
d) 網(wǎng)絡設備用戶的標識應唯一; 通過設置網(wǎng)絡設備落實
e) 身份鑒別信息應具有不易被冒用的特點�,例如口令長度、復雜性和定期的更新等���; 通過設置網(wǎng)絡設備落實
f) 應對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別����; 通過設置網(wǎng)絡設備落實
g) 應具有登錄失敗處理功能�����,如結(jié)束會話��、限制非法登錄次數(shù)�����,當網(wǎng)絡登錄連接超時�����,自動退出; 通過設置網(wǎng)絡設備落實
h) 應實現(xiàn)設備特權(quán)用戶的權(quán)限分離���,例如(未完,下一頁)
|