等保测评——安全通信网络——安全区域边界
安全通信网络网络架构
a) 应包管网络设备的业务处理能力满足业务高峰期须要;
b) 应包管网络各个部分的带宽满足业务高峰期须要;
c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地点;
应核查是否依据重要性、部门等因素划分不同的网络区域;
应核查干系网络设备配置信息,验证划分的网络区域是否与划分原则一致;
(重要网络区域与非重要网络区域在同一子网或网段,为高风险。)
d) 应避免将重要网络区域摆设在边界处,重要网络区域与其他网络区域之间应采取可靠的技能隔离本事;
应核查网络拓扑图是否与实际网络运行环境一致;
应核查重要网络区域是否未摆设在网络边界处;
应核查重要网络区域与其他网络区域之间是否采取可靠的技能隔离本事,如网闸、防火墙和设备访问控制列表等。
(重要网络区域与其他网络区域之间无访问控制战略,为高风险。)
通信传输
应采用校验技能或暗码技能包管通信过程中数据的完整性;
应核查是否在数据传输过程中利用校验技能或暗码技能来包管其完整性;
应测试验证暗码技能设备或组件可否包管通信过程中数据的完整性;
(网络层或应用层无任何重要数据传输完整性保护步伐,为高风险。)
应采用暗码技能包管通信过程中数据的保密性;
应核查是否在通信过程中采取保密步伐,具体采用哪些技能步伐;
应测试验证在通信过程中是否对数据进行加密;
(辨别信息、个人敏感信息或重要业务敏感信息等以明文方式在不可控网络环境中传输,为高风险。)
在算法选择时,须要选择国家暗码管理局承认的暗码算法,如SM1、SM2、SM3和SM4等,不答应单纯利用MD5、SHA-0、SHA-1、RSA1024和DES等不安全的算法。 国密算法: 对称算法:SM1、SM4、SM7、祖冲之暗码(ZUC) 非对称算法:SM2、SM9 杂凑算法:SM3
可信验证
可基于可信根对通信设备的体系引导步伐、体系步伐、重要配置参数和通信应用步伐等进行可信验证, 并在应用步伐的关键执行环节进举措态可信验证,在检测到其可信性受到破坏后进行报警,并将验证效果 形成审计记载送至安全管理中心;
干系安全产品包罗TCM芯片、TPCM芯片或板卡和TSB软件及支持内置可信盘算的路由器、交换机和VPN安全网关等提供可信验证功能的安全通信网络设备或干系固件及组件。
安全区域边界
边界防护
应包管跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
应核查在网络边界处是否摆设访问控制设备;
应核查设备配置信息是否订定端口进行跨越边界的网络通信,指定端口是否配置并启用了安全战略;
应能够对非授权设备私自联到内部网络的行为进行检查或限定;
应核查是否采用技能步伐防止非授权设备接入内部网络;
应核查所有路由器和交换机等干系设备闲置端口是否均已关闭
应能够对内部用户非授权联到外部网络的行为进行检查或限定;
应核查是否采用技能步伐防止内部用户存在非法外联行为;
应限定无线网络的利用,包管无线网络通过受控的边界设备接入内部网络。
应核查无线网络的摆设方式,是否单独组网后再连接到有限网络;
应核查无线网络是否通过受控的边界防护设备接入到内部有线网络;
访问控制
应在网络边界或区域之间根据访问控制战略设置访问控制规则,默认情况下除答应通信外受控接口拒绝所有通信;
a)应核查在网络边界或区域之间是否摆设访问控制设备并启用访问控制战略;
应核查设备的末了一条访问控制战略是否为克制所有网络通信。
b) 应删除多余或无效的访问控制规则,优化访问控制列表,并包管访问控制规则数量最小化;
应核查是否不存在多余或无效的访问控制战略;
应核查不用的访问控制战略之间的逻辑关系及前后排列顺序是否合理;
c) 应对源地点、目的地点、源端口、目的端口和协议等进行检查,以答应/拒绝数据包进出;
应核查设备的访问控制战略中时设定了源地点、目的地点、源端口、目的端口和协议等干系配置参数;
应测试验证访问控制战略中设定的干系配置参数是否有用;
d) 应能根据会话状态信息为进出数据流提供明确的答应/拒绝访问的能力;
e) 应对进出网络的数据流实现基于应用协媾和应用内容的访问控制。
入侵防范
应在关键网络节点处检测、防止或限定从外部发起的网络攻击行为;
应核查干系体系或组件可否检测从外部发起的网络攻击行为;
应核查干系体系或组件的规则库版本或威胁情报库是否已经更新到最新版本;
应核查干系体系或组件的配置信息或安全战略是否能够覆盖网络所有关键节点;
b) 应在关键网络节点处检测、防止或限定从内部发起的网络攻击行为;
1. 应核查干系体系或组件可否检测从外部发起的网络攻击行为;
2. 应核查干系体系或组件的规则库版本或威胁情报库是否已经更新到最新版本;
3. 应核查干系体系或组件的配置信息或安全战略是否能够覆盖网络所有关键节点;
c) 应采取技能步伐对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;
d) 当检测到攻击行为时,记载攻击源IP、攻击范例、攻击目的、攻击时间,在发生严峻入侵事件时应提供报警。
恶意代码和垃圾邮件防范
应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
应核查在关键网络节点处是否摆设防恶意代码功能的体系或干系组件;
应核查防恶意代码产品运行是否正常,恶意代码库是否已经更新到最新;
b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
应核查在关键网络节点处是否摆设了防垃圾邮件产品等技能步伐;
应核查防垃圾邮件产品运行是否正常,防垃圾邮件规则库已经更新到最新;
安全审计
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
应核查是否摆设了综合安全审计体系或雷同功能的平台;
应核查安全审计范围是否覆盖到每个用户; 迎合从是否对重要的用户行为和重要的安全事件进行了审计;
b) 审计记载应包罗事件的日期和时间、用户、事件范例、事件是否乐成及其他与审计干系的信息;
1. 应核查审计记载信息是否包罗时间的日期和时间、用户、事件范例、事件是否乐成及其他与审计干系的信息;
c) 应对审计记载进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
应核查是否采取了技能步伐对审计记载进行保护;
应核查是否采取技能步伐对审计记载进行备份,并核查其备份战略;
d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
1. 应核查是否对远程访问用户及互联网访问用户行为单独进行审计分析。
可信验证
可基于可信根对边界设备的体系引导步伐、体系步伐、重要配置参数和边界防护应用步伐等进行可信验证,并在应用步伐的关键执行环节进举措态可信验证,在检测到其可信性受到破坏后进行报警,并将验证效果形 成审计记载送至安全管理中心。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]