收藏
下载资源

等级保护网络安全测评内容及山石网科应对方案资料

上传人:w****i 文档编号:114983157 上传时间:2019-11-12 格式:PPT 页数:89 大小:4.06MB
返回 下载 相关 举报
等级保护网络安全测评内容及山石网科应对方案资料_第1页
第1页 / 共89页
等级保护网络安全测评内容及山石网科应对方案资料_第2页
第2页 / 共89页
等级保护网络安全测评内容及山石网科应对方案资料_第3页
第3页 / 共89页
等级保护网络安全测评内容及山石网科应对方案资料_第4页
第4页 / 共89页
等级保护网络安全测评内容及山石网科应对方案资料_第5页
第5页 / 共89页
点击查看更多>>
资源描述

《等级保护网络安全测评内容及山石网科应对方案资料》由会员分享,可在线阅读,更多相关《等级保护网络安全测评内容及山石网科应对方案资料(89页珍藏版)》请在金锄头文库上搜索。

1、等级保护网络安全测评内容及山石应对方案 Hillstone山石网科解决方案事业部 | Hillstone Confidential 编写目的 大多数行业用户多要做等级保护 等级保护建设的关键任务是通过测评 山石的价值在于提供满足等保要求的产品 从测评内容反观山石网关能做的事情 | Hillstone Confidential 编写内容 依据理解反观 Hillstone山石网科安 全网关可为用户提供 的价值 用户等级保护建设的要点用户等级保护建设结果的考察点 | Hillstone Confidential 先看等级保护的基本要求 物理安全网络安全主机安全应用安全数据安全 身份鉴别(S) 安全标

2、记(S) 访问控制(S) 可信路径(S) 安全审计(G) 剩余信息保护(S) 物理位置的选择(G) 物理访问控制(G) 防盗窃和破坏(G) 防雷/火/水(G) 温湿度控制(G) 电力供应(A) 数据完整性(S) 数据保密性(S) 备份与恢复(A) 防静电(G) 电磁防护(S) 入侵防范(G) 资源控制(A) 恶意代码防范(G) 结构安全(G) 访问控制(G) 安全审计(G) 边界完整性检查(S) 入侵防范(G) 恶意代码防范(G) 网络设备防护(G) 身份鉴别(S) 剩余信息保护(S) 安全标记(S) 访问控制(S) 可信路径(S) 安全审计(G) 通信完整性(S) 通信保密性(S) 抗抵赖(

3、G) 软件容错(A) 资源控制(A) 技术要求 Hillstone山石网 科安全网关技术 可以满足的部分 Hillstone山石 网科安全网关 技术可以满足 的部分 | Hillstone Confidential 等级保护网络安全要求概述 结构安全 (7项要求) 访问控制 (8项要求) 安全审计 (4项要求) 边界完整性检查 (2项要求) 入侵防范 (2项要求) 恶意代码防范 (2项要求) 网络设备防护 (8项要求) 以三级系统为例 7个控制点 33个要求项 | Hillstone Confidential 结构安全(7项) p 结构安全是网络安全测评检查的重点,网络结构是否合理 直接关系到

4、信息系统的整体安全 p 典型的方法为访谈、检查两种手段 p Hillstone山石网科安全网关的价值在于提供带灵活宽管理 手段 | Hillstone Confidential 结构安全部分 a) 应保证主要网络设备等而业务处理能力具备冗余空间,满 足业务高峰期需要; p 条款理解 n 为了保证信息系统的可用性,主要网络设备的业务处理能力应具备 冗余空间 p 检查方法 n 访谈网络管理员,询问主要网络设备的性能及业务高峰流量 n 访谈网络管理员,询问采取何种手段对网络设备进行监控 | Hillstone Confidential Hillstone山石网科安全网关的状态监控 接口流量监控 设备

5、状态监控 特色功能:应用和用户流量监控 | Hillstone Confidential 结构安全部分 b) 应保证网络各个部分的带宽满足业务高峰期需要; p 条款理解 n 对网络各个部分进行带宽分配,从而保证在业务高峰期业务服务的 连续性 p 检查方法 n 询问当前网络各部分的带宽是否满足业务高峰期需要 n 如果无法满足业务高峰期需要,则需进行带宽分配。检查主要网络 设备是否进行带宽分配 | Hillstone Confidential Hillstone山石网科安全网关的流量控制策略 依据特定接口的特定应用制定发送流 量控制规则 依据特定接口的特定应用制定接受流 量控制规则 依据特定接口的

6、特定地址制定发送流 量控制规则 依据特定接口的特定地址制定接受流 量控制规则 | Hillstone Confidential Hillstone山石网科安全网关的流量控制策略 依据特定接口/特定用户/特定应用制定QOS策略 支持QOS嵌套 特色功能:根据业务动态调整带宽特色功能:根据业务动态调整带宽 | Hillstone Confidential 结构安全部分 c)应在而业务终端与业务服务器之间进行路由控制建立安全的访问路径 p 条款理解 n静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够自动地 建立自己的路由表。 n路由器之间的路由信息交换是基于路由协议实现的,如OSP

7、F路由协议是一种典型的 链路状态的路由协议。 n如果使用动态路由协议应配置使用路由协议认证功能,保证网络路由安全。 p 检查方法 n检查边界设备和主要网络设备,查看是否进行了路由控制建立安全的访问路径。 n查看动态路由协议是否启用了“认证码”的配置 | Hillstone Confidential Hillstone山石网科安全网关支持的路由功能 Hillstone山石网科安全网关提供多种路由技术,包 括静态路由:目的路由、源路由、源接口路由、ISP 路由、策略路由,动态路由:RIPV1/V2、OSPF 山石能够根据具体的应用和用户指定策略路由,使 得对不同应用和不同用户的访问控制更加灵活。

8、| Hillstone Confidential 结构安全部分 d)应绘制与当前运行情况相符的网络拓扑结构图 p 条款理解 n为了便于网络管理,应绘制与当前运行情况相符的网络拓扑结构图。当网络拓扑结 构发生改变时,应及时更新。 p 检查方法 n检查网络拓扑图,查看其与当前运行情况是否一致。 | Hillstone Confidential 结构安全部分 e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同 的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段 p 条款理解 n根据实际情况和区域安全防护要求,应在主要网络设备上进行VLAN划分或子网划 分。 n不同

9、VLAN内的报文在传输时是相互隔离的。如果不同VLAN要进行通信,则需要通 过路由器或三层交换机等三层设备实现 p 检查方法 n访谈网络管理员,是否依据部门的工作职能、重要性和应用系统的级别划分了不同 的VLAN或子网。 | Hillstone Confidential Hillstone山石网科安全网关实现安全域定义与隔离 Hillstone山石网科安全网关可将不同的接口定义到不同的安全域上,然后在安全域之间进行隔离与访问控制; Hillstone山石网科安全网关也可将同一个接口定义到不同的安全子域上,同样在不同的子域之间进行访问控制; Hillstone山石网科安全网关还可以将不同的接口定

10、义到一个安全域内,但此时不同接口间的访问也需要进行访问 控制。 | Hillstone Confidential 结构安全部分 f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其 他网段之间采取可靠的技术隔离手段 p 条款理解 n为了保证信息系统的安全,应避免将重要网段部署在网络边界处且直接连接外部信 息系统,防止来自外部信息系统的攻击。 n在重要网段和其它网段之间配置安全策略进行访问控制。 p 检查方法 n检查网络拓扑结构,查看是否将重要网段部署在网络边界处,重要网段和其它网段 之间是否配置安全策略进行访问控制。 | Hillstone Confidential Hil

11、lstone山石网科安全网关实现分域安全防护 互联网电信专线 ERP应用服务器ERP数据库OA应用服务器 OA数据库网站应用服务器网站数据库 终 端 主 机 运 维 主 机 终端主机终端主机终端主机 移动办公终端 总部 分支机构1分支机构2分支机构3 网站安全域OA安全域ERP安全域 终端安全域 运维安全域 终端安全域 终端安全域终端安全域 Hillstone山石 网科安全网关 Hillstone山石 网科安全网关 Hillstone山石 网科安全网关 Hillstone山石 网科安全网关 Hillstone山石 网科安全网关 Hillstone山石 网科安全网关 Hillstone山石 网科

12、安全网关 山石安全 管理中心 网站安全域 终端安全域 应用系统安全域 运维安全域 终端安全域 终端安全域 终端安全域 数据中心安全域数据中心安全域应用系统安全域数据中心安全域应用系统安全域 | Hillstone Confidential 结构安全部分 g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵 的时候优先保护重要主机 p 条款理解 n为了保证重要业务服务的连续性,应按照对业务服务的重要次序来指定带宽分配优 先级别,从而保证在网络发生拥堵的时候优先保护重要主机。 p 检查方法 n访谈网络管理员,依据实际应用系统状况,是否进行了带宽优先级分配。 | Hillston

13、e Confidential Hillstone山石网科安全网关基于业务的带宽控制 依据特定接口的特定应用制定发送流 量控制规则 依据特定接口的特定应用制定接受流 量控制规则 依据特定策略控制QOS优先级 | Hillstone Confidential 等级保护网络安全要求概述 结构安全 (7项要求) 访问控制 (8项要求) 安全审计 (4项要求) 边界完整性检查 (2项要求) 入侵防范 (2项要求) 恶意代码防范 (2项要求) 网络设备防护 (8项要求) 以三级系统为例 7个控制点 33个要求项 | Hillstone Confidential 访问控制(8项) p 访问控制是网络测评检查

14、中的核心部分,涉及到大部分网 络设备、安全设备。这是网络安全设备必须满足的 p 典型的方法为访谈、检查两种手段 p 山石网关的价值在于提供灵活的访问控制策略 | Hillstone Confidential 访问控制部分 a)应在网络边界部署访问控制设备,启用访问控制功能 p 条款理解 n在网络边界部署访问控制设备,防御来自其他网络的攻击,保护内部网络的安全。 p 检查方法 n检查网络拓扑结构,查看是否在网络边界处部署了访问控制设备,是否启用了访问 控制功能。 | Hillstone Confidential 山石网络边界隔离与访问控制方案 Hillstone山石网科安全网关作用在不同安全域的

15、边界,进行隔离与访问控制措施,对重要业务进行 有效保护。 | Hillstone Confidential 访问控制部分 b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度 为端口级 p 条款理解 n在网络边界部署访问控制设备,对进出网络的流量进行过滤,保护内部网络的安全。 n配置的访问控制列表应有明确的源/目的地址、源/目的、协议及服务等。 p 检查方法 n检查访问控制设备,看是否能够针对/目的地址、源/目的、协议及服务制定访问控 制策略。 n查看策略是否可定义禁止和允许访问的能力。 | Hillstone Confidential Hillstone山石网科安全网关安

16、全访问策略 Hillstone山石网科安全网关可根据IP地址、安全域、用户、服务、时间、特征等配置更细粒度的访 问控制策略 针对策略还可限定QOS优先级、病毒及入侵防御方式等 | Hillstone Confidential 访问控制部分 c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、 SMTP、POP3等协议命令级的控制 p 条款理解 n对于一些常用的应用层协议,能够在访问控制设备上实现应用层协议命令级的控制 和内容检查,从而增强访问控制粒度。 p 检查方法 n该测评项一般在防火墙、入侵防御系统上检查。 n首先查看防火墙、入侵防御系统是否具有该功能,然后登录设备查看是否启用了相 应的功能。 | Hillstone Confidential Hillstone山石网科安全网关应用行为控制技术 Hillstone山石网科安全网关支持的ALG(

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号