等級保護測評網(wǎng)絡安全.doc_第1頁
等級保護測評網(wǎng)絡安全.doc_第2頁
等級保護測評網(wǎng)絡安全.doc_第3頁
等級保護測評網(wǎng)絡安全.doc_第4頁
等級保護測評網(wǎng)絡安全.doc_第5頁
免費預覽已結束,剩余1頁可下載查看

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

A.1 全局性項目安全子類測評項結果記錄符合情況結構安全a)應保證主要網(wǎng)絡設備的業(yè)務處理能力具備冗余空間,滿足業(yè)務高峰期需要;b)應保證網(wǎng)絡各個部分的帶寬滿足業(yè)務高峰期需要;c)應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑;d)應繪制與當前運行情況相符的網(wǎng)絡拓撲結構圖;e)應根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段;f)應避免將重要網(wǎng)段部署在網(wǎng)絡邊界處且直接連接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術隔離手段;g)應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別,保證在網(wǎng)絡發(fā)生擁堵的時候優(yōu)先保護重要主機。訪問控制a)應在網(wǎng)絡邊界部署訪問控制設備,啟用訪問控制功能;邊界完整性檢查a)應能夠?qū)Ψ鞘跈嘣O備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查,準確定出位置,并對其進行有效阻斷;b)應能夠?qū)?nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查,準確定出位置,并對其進行有效阻斷。入侵防范a)應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等;b)當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發(fā)生嚴重入侵事件時應提供報警。惡意代碼防范a)應在網(wǎng)絡邊界處對惡意代碼進行檢測和清除;b)應維護惡意代碼庫的升級和檢測系統(tǒng)的更新。A.2 交換機安全子類測評項結果記錄符合情況訪問控制b)應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級;c)應對進出網(wǎng)絡的信息內(nèi)容進行過濾,實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制;d)應在會話處于非活躍一定時間或會話結束后終止網(wǎng)絡連接;e)應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù);f)重要網(wǎng)段應采取技術手段防止地址欺騙;g)應按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問,控制粒度為單個用戶;h)應限制具有撥號訪問權限的用戶數(shù)量。安全審計a)應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄;b)審計記錄應包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;c)應能夠根據(jù)記錄數(shù)據(jù)進行分析,并生成審計報表;d)應對審計記錄進行保護,避免受到未預期的刪除、修改或覆蓋等。網(wǎng)絡設備防護a)應對登錄網(wǎng)絡設備的用戶進行身份鑒別;b)應對網(wǎng)絡設備的管理員登錄地址進行限制;c)網(wǎng)絡設備用戶的標識應唯一;d)主要網(wǎng)絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別;e)身份鑒別信息應具有不易被冒用的特點,口令應有復雜度要求并定期更換;f)應具有登錄失敗處理功能,可采取結束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等措施;g)當對網(wǎng)絡設備進行遠程管理時,應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽;h)應實現(xiàn)設備特權用戶的權限分離。備份和恢復a)應能夠?qū)χ匾畔⑦M行備份和恢復;b)應提供關鍵網(wǎng)絡設備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余,保證系統(tǒng)的可用性。A.3 防火墻模塊安全子類測評項結果記錄符合情況訪問控制b)應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級;c)應對進出網(wǎng)絡的信息內(nèi)容進行過濾,實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制;d)應在會話處于非活躍一定時間或會話結束后終止網(wǎng)絡連接;e)應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù);f)重要網(wǎng)段應采取技術手段防止地址欺騙;g)應按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問,控制粒度為單個用戶;h)應限制具有撥號訪問權限的用戶數(shù)量。安全審計a)應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄;b)審計記錄應包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;c)應能夠根據(jù)記錄數(shù)據(jù)進行分析,并生成審計報表;d)應對審計記錄進行保護,避免受到未預期的刪除、修改或覆蓋等。網(wǎng)絡設備防護a)應對登錄網(wǎng)絡設備的用戶進行身份鑒別;b)應對網(wǎng)絡設備的管理員登錄地址進行限制;c)網(wǎng)絡設備用戶的標識應唯一;d)主要網(wǎng)絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別;e)身份鑒別信息應具有不易被冒用的特點,口令應有復雜度要求并定期更換;f)應具有登錄失敗處理功能,可采取結束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等措施;g)當對網(wǎng)絡設備進行遠程管理時,應采取

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論