等级保护测评中技术要求类别分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复五个大类。今天不得不等把网络安全的技术要求整理出来,供大家学习。
1、结构安全(G3)
a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
b)应保证网络各个部分的带宽满足业务高峰期需要;
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
d)应绘制与当前运行情况相符的网络拓扑结构图;
e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
不得不等分析:核心设备需要考虑冗余,如核心交换机,注意带宽的划分,保障重要主机的应用,合理划分网段,不同网段做好技术隔离,涉及安全设备:防火墙、上网行为管理或流控。
2、访问控制(G3)
a)应在网络边界部署访问控制设备,启用访问控制功能;
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;
e)应限制网络最大流量数及网络连接数;
f)重要网段应采取技术手段防止地址欺骗;
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
h)应限制具有拨号访问权限的用户数量。
不得不等分析:这里主要注意防火墙策略要做到端口级,这是二级和三级明显的区别之一,另外就是限制最大流量数和网络连接数以及IP地址管理,涉及安全设备为:防火墙、UTM等网关设备和IP地址管理设备。
3、安全审计(G3)
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应能够根据记录数据进行分析,并生成审计报表;
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
不得不等分析:这点要求强调的是要有日志记录,需要注意的是能够生成审计报表及避免非授权的删除等操作,这个一般设备自带的日志功能不具备,所以建议大家有条件就上:日志审计设备,在网络安全法中有明确要求的,而且要保留6个月以上。
4、边界完整性检查(S3)
a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
不得不等分析:这里强调的是非法外联和非法接入的问题,这在二级和三级里都有要求,不同的是二级发现就可以,三级还要求阻断,涉及的设备就是安全准入设备或桌面管理软件。
5、入侵防范(G3)
a)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
不得不等分析:这里就指明需要在网络边界处部署入侵检测设备,涉及设备:IDS/IPS,下一代防火墙等。
6、恶意代码防范(G3)
a)应在网络边界处对恶意代码进行检测和清除;
b)应维护恶意代码库的升级和检测系统的更新。
不得不等分析:这里也是明确了在网络边界处部署防毒墙,涉及的设备:防毒墙、IPS、UTM等。
7、网络设备防护(G3)
a)应对登录网络设备的用户进行身份鉴别;
b)应对网络设备的管理员登录地址进行限制;
c)网络设备用户的标识应唯一;
d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
h)应实现设备特权用户的权限分离。
不得不等分析:需要注意的是管理员登录地址需要进行限定,不能任意地址都能管理,这很不安全;管理权限进行分离,避免超级管理员的存在;管理员的身份鉴别需要至少两种组合的鉴别技术确保管理员身份的合法性;限制非法登录次数、超时登录处理功能,防止暴力破解,信息劫取。涉及的安全设备有:堡垒机、双因素认证软件等。
好了,不得不等逐条分析解读下是不是看起来更简单、更明白些?总结下,网络安全牵涉到的安全设备主要有:防火墙、IDS/IPS、防毒墙、安全准入、堡垒机、双因素认证。最近了解一款双因素认证软件,支持短信、手机动态口令等功能,结合用户本身的用户名和密码,满足等保的两种以上身份鉴别要求,同时安全上也提高很多,防止用户名密码被冒用或盗用,很有用。//www.hainanu.edu.cn