2013年安全检查技术检查方法介绍.pdfVIP

2013年度信息安全检查 技术检查方法介绍 江苏省信息安全测评中心 2013 年7月12 日 技术安全管理检查内容 一、边界安全管理 二、网站安全管理 三、终端安全管理 四、存储设备安全管理 五、系统安全管理 江苏省信息安全测评中心 一、边界安全管理 江苏省信息安全测评中心 一、边界安全管理 ①非涉密信息系统与互联网及其他公共信息网络隔离情况 □物理隔离 □逻辑隔离 □无隔离 物理隔离：非涉密系统网络与互联网及其它信息网络之间没有 任何形式物理连接 逻辑隔离：网络之间使用防火墙、UTM等网络访问控制设备 无隔离：未使用任何链路或网络隔离设备 使用网闸等链路控制隔离设备可以认为是物理隔离 仅使用路由器等网络设备而没有使用防火墙、UTM等设备，不 认为是逻辑隔离，属于无隔离 江苏省信息安全测评中心 一、边界安全管理 ②涉密信息系统与互联网及其他公共信息网络隔离情况 □物理隔离 □逻辑隔离 □无隔离 □无涉密信息系统 物理隔离：涉密系统网络与互联网及其它信息网络之间没有任 何形式物理连接 逻辑隔离：网络之间使用防火墙、UTM等网络访问控制设备 无隔离：未使用任何链路或网络隔离设备 使用网闸等链路控制隔离设备可以认为是物理隔离 仅使用路由器等网络设备而没有使用防火墙、UTM等设备，不 认为是逻辑隔离，属于无隔离 江苏省信息安全测评中心 一、边界安全管理 ③网络区域划分是否合理 □合理 □不合理 合理：查看网络拓扑图，根据网络各区域的功能和安全等级高 低来划分网络区域，如互联网接入区、DMZ区、核心交换区、 互联网办公区、内部应用服务区、核心数据区等 不合理：未按照上述要求划分网络区域 典型的连接互联网的网络区域划分方式：从安全等级高低来 划分，从低到高依次是：互联网接入区、DMZ区、核心交换区、 互联网办公区、内部应用服务区、核心数据区 典型的行业专网网络区域划分方式：从安全等级高低来划分， 从低到高依次是：地市或省级等上下级网络边界区、核心交 换区、内网办公区、内网应用区、内网数据区 江苏省信息安全测评中心 一、边界安全管理 ④安全防护设备策略 □使用默认配置 □根据应用自主配置 使用默认配置：部署安全设备（防火墙、IDS/IPS、UTM等）时 使用设备出厂的默认配置，未进行合理的配置以满足网络的安 全和功能性能需求 根据应用自主配置：根据网络的安全和功能性能的要求，合理 的配置设备 防火墙设备的合理配置包括：配置防火墙设备的登录方式为 https，不使用telnet等明文传输方式；设置8位以上含数字、 字母和特殊字符的强口令；限定只允许信息安全管理人员可以 访问防火墙配置界面，对防火墙进行配置；依据最小授权原则， 配置防火墙的访问控制列表，默认拒绝双向的所有网络连接， 再根据应用需求合理添加允许的网络访问；设置合理的最大连 接数，以保证网络能在限定的带宽下正常运行等 江苏省信息安全测评中心 一、边界安全管理 ⑤网络边界防护措施 □访问控制 □安全审计 □入侵防范 □边界完整性检查 □恶意代码防范 □无措施 访问控