收藏
下载资源

第二三级等保网络及部分主机安全实现的说明20101210

上传人:F****n 文档编号:99564303 上传时间:2019-09-19 格式:DOC 页数:13 大小:169KB
返回 下载 相关 举报
第二三级等保网络及部分主机安全实现的说明20101210_第1页
第1页 / 共13页
第二三级等保网络及部分主机安全实现的说明20101210_第2页
第2页 / 共13页
第二三级等保网络及部分主机安全实现的说明20101210_第3页
第3页 / 共13页
第二三级等保网络及部分主机安全实现的说明20101210_第4页
第4页 / 共13页
第二三级等保网络及部分主机安全实现的说明20101210_第5页
第5页 / 共13页
点击查看更多>>
资源描述

《第二三级等保网络及部分主机安全实现的说明20101210》由会员分享,可在线阅读,更多相关《第二三级等保网络及部分主机安全实现的说明20101210(13页珍藏版)》请在金锄头文库上搜索。

1、1 第二级基本要求1.1.1 网络安全1.1.1.1 结构安全(G2)本项要求包括:a) 应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;支持:双核心,核心设备支持多插槽,具备多业务扩展能力。b) 应保证接入网络和核心网络的带宽满足业务高峰期需要; 支持:核心及接入设备的带宽可扩展万兆能力。c) 应绘制与当前运行情况相符的网络拓扑结构图;需要配合网络管理软件系统实现,通过网络管理软件SNC查看全网二层、三层设备及拓扑图d) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。支持:实施时将严格对

2、不同工作职能等的工作部门进行不同子网的分配访问控制(G2)本项要求包括:a) 应在网络边界部署访问控制设备,启用访问控制功能;支持:核心设备配置防火墙模块,可支持多数量的虚拟防火墙,基于边界控制访问。b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。支持:通过防火墙和GSN,可实现基于每个网段的会话限制,以及相关数据流的访问控制。c) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;支持:通过GSN与防火墙模块相结合实现对用户的受控资源的访问,控制粒度为用户级。d) 应限制具有拨号访问权限的用户数量。支持:通过G

3、SN桌管功能限制用户拨号、多网卡连接、代理外联。1.1.1.2 安全审计(G2)本项要求包括:a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;通过部署网管系统实现设备状态检测、网络流量查看,通过GSN桌管实现用户行为审计b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。通过架设E-log日志服务器与防火墙对接获取日志,通过网管和准入系统的日志系统、以及IDS实现1.1.1.3 边界完整性检查(S2)应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。支持:通过安全准入的桌管系统实现非法外联的检测和报告1.1

4、.1.4 入侵防范(G2)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。支持:防火墙板卡可对安全事件进行防护,GSN和IDS联动可对网络攻击自动发现并自动阻止。1.1.1.5 网络设备防护(G2)本项要求包括:a) 应对登录网络设备的用户进行身份鉴别;通过在网络设备上设置登录密码(可网管设备均支持)b) 应对网络设备的管理员登录地址进行限制;通过在网络设备的登录配置模式里配置访问控制列表(可网管设备均支持)c) 网络设备用户的标识应唯一;访问控制列表里仅允许管理员IP(可网管设备均支持)d) 身份鉴别信息应具有不易

5、被冒用的特点,口令应有复杂度要求并定期更换;通过在GSN里勾上“口令复杂性要求”及“口令过期时间”e) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;通过在GSN里进行设置可以实现以上要求f) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。1.1.2 主机安全1.1.2.1 身份鉴别(S2)本项要求包括:a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别; 对操作系统和数据库设置登录密码(在操作系统上设置)b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;通过在G

6、SN里勾上“口令复杂性要求”及“口令过期时间”c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;在GSN服务器上设置d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。通过GSN实现对用户统一管理1.1.2.2 访问控制(S2)本项要求包括:a) 应启用访问控制功能,依据安全策略控制用户对资源的访问;支持:GSN实现入网认证,身份识别,并通过GSN和防火墙板卡联动实现对用户访问资源的动态下发。b) 应实现操作系统和数据库系统特权用户的权限分离;通过GSN

7、和防火墙板卡联动实现安全域划分,不同业务系统在不同的安全域,并对不同用户给予不同的权限c) 应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;在GSN服务器上设置d) 应及时删除多余的、过期的帐户,避免共享帐户的存在。在GSN服务器上设置1.1.2.3 安全审计(G2)本项要求包括:a) 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;通GSN桌管系统的客户端可以实现对每个用户、每个操作系统的进程、桌面定期截图等进行审计和记录。b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;GSN桌管能对所有用户的硬件资源、操作系

8、统集中查看并生成报表,同时能对安装的软件、进程、注册表、系统命令集中管理,并通过截图、日志记录对用户行为进行监控。c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;通过审计日志记录以上信息d) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。通过对审计日志进行备份(通过Windows 2003备份工具即可实现)1.1.2.4 入侵防范(G2)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。支持:通过GSN实现系统补丁更新、杀毒软件更新1.1.2.5 恶意代码防范(G2)本项要求包括:a) 应安装防恶意代码软

9、件,并及时更新防恶意代码软件版本和恶意代码库;针对重要服务器进行防恶意代码的保护,通过硬件WEB防火墙来实现,并支持代码库自动升级b) 应支持防恶意代码软件的统一管理。(不支持)1.1.2.6 资源控制(A2)本项要求包括:a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录;支持:通过GSN准入控制实现b) 应根据安全策略设置登录终端的操作超时锁定;支持:通过在GSN服务器上设置c) 应限制单个用户对系统资源的最大或最小使用限度。支持:通过GSN权限设置实现1.1.3 应用安全1.1.3.1 身份鉴别(S2)本项要求包括:a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别;通

10、过GSN和防火墙板卡(控制模块)联动实现入网认证,惊醒身份识别和鉴别b) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;通过在GSN服务器上设置c) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; 通过在GSN服务器上设置,对于登录失败GSN会下发策略到交换机或防火墙板卡,对用户进行隔离d) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。GSN支持用户名,主机IP、MAC、交换机端口、交换机IP等多元素灵活绑定,严格确保入网身份鉴别,

11、对于多次登录失败的用户会对交换机下发策略进行隔离。1.1.3.2 访问控制(S2)本项要求包括:a) 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;GSN针对用户下发访问控制策略,实现访问控制功能。b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作; 通过GSN实现c) 应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限; 在授权服务器上进行设置d) 应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。通过GSN和防火墙板卡联动实现安全域,不同的账户拥有不同的权限,且将用户授予的权限设置到最小。1.1.3.3 安

12、全审计(G2)本项要求包括:a) 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;b) 应保证无法删除、修改或覆盖审计记录;c) 审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。1.1.3.4 通信完整性(S2)应采用校验码技术保证通信过程中数据的完整性。传输层本来就具有CRC校验机制,同时对于重要业务系统通过VPN实现更高的校验码技术1.1.3.5 通信保密性(S2)本项要求包括:a) 在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;对重要业务系统通过VPN访问方式实现数据加密、验证b) 应对通信过程中的敏感信息字段进行加密。通过

13、VPN加密方式实现1.1.3.6 软件容错(A2)(不支持)本项要求包括:a) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;b) 在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施。1.1.3.7 资源控制(A2)(不支持)本项要求包括:a) 当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;b) 应能够对应用系统的最大并发会话连接数进行限制;c) 应能够对单个帐户的多重并发会话进行限制。1.1.4 数据安全及备份恢复1.1.4.1 数据完整性(S2)应能够检测到鉴别信息和重要业务数据在传输

14、过程中完整性受到破坏。通过VPN实现1.1.4.2 数据保密性(S2)应采用加密或其他保护措施实现鉴别信息的存储保密性。(不支持)1.1.4.3 备份和恢复(A2)本项要求包括:a) 应能够对重要信息进行备份和恢复;通过主磁盘柜和备份磁盘柜实现数据备份和恢复。b) 应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性。 通过双核心、双链路上联实现设备、链路的冗余。2 第三级基本要求2.1 技术要求2.1.1 网络安全2.1.1.1 结构安全(G3)本项要求包括:a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;支持:双核心,核心设备支持多插槽,具备多业务

15、扩展能力。b) 应保证网络各个部分的带宽满足业务高峰期需要;支持:核心及接入设备的带宽可扩展万兆能力。c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;支持:通过GSN和防火墙板卡联动实现访问路径的隔离d) 应绘制与当前运行情况相符的网络拓扑结构图;通过网络管理软件系统SNC实现e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;支持:实施时将严格对不同工作职能等的工作部门进行不同子网的分配f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;支持:通过部署具备防地址欺骗的接入安全交换机实现g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。支持:在安全交换机上启用QOS实现2.1.1.2 访问控制(G3)本项

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 教学/培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号