信息系统安全5个层面的安全要求:物理、网络、(2)
时间:2018-05-18 20:44 来源:网络整理 作者:墨客科技 点击:次
e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段 a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要; b) 应保证网络各个部分的带宽满足业务高峰期需要; c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径 d) e) f )应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段; g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机 a) 应保证网络设备的业务处理能力具备冗余空间,满足业务高峰期需要 b) c) d) e) f) g) 访问控制(G) a) 应在网络边界部署访问控制设备,启用访问控制功能; b) 应根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包出入; g) 应通过访问控制列表对系统资源实现允许或拒绝用户访问,控制粒度至少为用户组 a) b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。 g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户; h) 应限制具有拨号访问权限的用户数量 a) b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级; c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制; d) 应在会话处于非活跃一定时间或会话结束后终止网络连接; e) 应限制网络最大流量数及网络连接数; f) 重要网段应采取技术手段防止地址欺骗 g) h) a) b) 应不允许数据带通用协议通过; c) 应根据数据的敏感标记允许或拒绝数据通过; h) 应不开放远程拨号访问功能 安全审计(G) / a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 a) b) c) 应能够根据记录数据进行分析,并生成审计报表; d) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等 a) b) c) d) e) 应定义审计跟踪极限的阈值,当存储空间接近极限时,能采取必要的措施,当存储空间被耗尽时,终止可审计事件的发生; f) 应根据信息系统的统一安全策略,实现集中审计,时钟保持与时钟服务器同步 边界完整性检查(S) / b) 应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查 a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断; b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断 a) b) 入侵防范(G) / (责任编辑:admin) |
- 上一篇:linux运维最佳实践
- 下一篇:2017年网络安全行业大事记(最全完整版)