7个控制点
结构安全访问控制安全审计边界完整性检查入侵防范恶意代码防范网络设备防护
结构安全
a)应保证主要网络设备的业务处理能力**具备冗余空间**,满足业务高峰期需要
b)应保证网络各个部分的**带宽满足业务高峰期**需要;
)应在业务终端与业务服务器之间进行**路由控制**建立安全的访问路径;
d)应绘制与当前运行情况相符的**网络拓扑结构图**
e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照**方便管理和控制的原则**为各子网、网段分配地址段
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取**可靠的技术**隔离手段;
g)应按照对业务服务的重要次序来指定**带宽分配优先级别**,保证在网络发生拥堵的时候优先保护重要主机。
a)应在网络边界部署**访问控制设备**,启用**访问控制功能**
b)应能根据会话状态信息为数据流提供明确的**允许/拒绝访问的能力**,控制粒度为端口级
c)应对进出网络的信息**内容进行过滤**,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制
d)应在会话处于**非活跃一定时间或会话结束后终止网络连接**
e)应限制网络**最大流量数及网络连接数**
f)重要网段应采取技术手段**防止地址欺骗**
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户
h)应限制具有拨号**访问权限的用户数量**。
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
b)审计记录应包括:事件的**日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息**
c)应能够根据记**录数据进行分析,并生成审计报表**
d)应对审计记录进行**保护**,避免受到未预期的删除、修改或覆盖等
a)应能够对非授权设备私自联到内部网络的**行为进行检查**,准确定岀位置,并对其进行**有效阻断**;
b)应能够对内部网络用户私自联到外部网络的行为**进行检查**,准确定岀位置,并对其进行有**效阻断**
a)应在网络边界处**监视以下攻击行为**:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等
b)当检测到攻击行为时,**记录**攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应**提供报警**
a)应在网络边界处对恶意代码进行检测和清除;
b)应维护恶意代码库的升级和检测系统的更新。
a)应对登录网络设备的用户进行**身份鉴别**
b)应对网络设备的管理员**登录地址进行限制**
C)网络设备用户的**标识应唯一**
d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行**身份鉴别**
e)身份鉴别信息应具有不易被冒用的特点,口令应有**复杂度要求并定期更换;**
f)应具有**登录失败处理功能**,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施
g)当对网络设备进行**远程管理时,**应采取必要措施防止鉴别信息在网络传输过程中被窃听
h)应实现设备**特权用户**的权限分离。
放弃了的会遗憾,但完美只能是一种理想,
而不可能是一种存在。
– 山本文绪
