第二三级等保网络及部分主机安全实现的说明20101210课件.doc

第二级基本要求 网络安全 结构安全（G2） 本项要求包括： 应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； 支持：双核心，核心设备支持多插槽，具备多业务扩展能力。 应保证接入网络和核心网络的带宽满足业务高峰期需要； 支持：核心及接入设备的带宽可扩展万兆能力。 应绘制与当前运行情况相符的网络拓扑结构图； 需要配合网络管理软件系统实现，通过网络管理软件SNC查看全网二层、三层设备及拓扑图 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。 支持：实施时将严格对不同工作职能等的工作部门进行不同子网的分配访问控制（G2） 本项要求包括： 应在网络边界部署访问控制设备，启用访问控制功能； 支持：核心设备配置防火墙模块，可支持多数量的虚拟防火墙，基于边界控制访问。 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。 支持：通过防火墙和GSN，可实现基于每个网段的会话限制，以及相关数据流的访问控制。 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户； 支持：通过GSN与防火墙模块相结合实现对用户的受控资源的访问，控制粒度为用户级。 应限制具有拨号访问权限的用户数量。 支持：通过GSN桌管功能限制用户拨号、多网卡连接、代理外联。 安全审计（G2） 本项要求包括： 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； 通过部署网管系统实现设备状态检测、网络流量查看，通过GSN桌管实现用户行为审计 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 通过架设E-log日志服务器与防火墙对接获取日志，通过网管和准入系统的日志系统、以及IDS实现 边界完整性检查（S2） 应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。 支持：通过安全准入的桌管系统实现非法外联的检测和报告 入侵防范（G2） 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 支持：防火墙板卡可对安全事件进行防护，GSN和IDS联动可对网络攻击自动发现并自动阻止。 网络设备防护（G2） 本项要求包括： 应对登录网络设备的用户进行身份鉴别； 通过在网络设备上设置登录密码（可网管设备均支持） 应对网络设备的管理员登录地址进行限制； 通过在网络设备的登录配置模式里配置访问控制列表（可网管设备均支持） 网络设备用户的标识 应在会话处于非活跃一定时间或会话结束后终止网络连接； 应限制网络最大流量数及网络连接数； 支持：通过防火墙、流量控制设备等安全设备实现 重要网段应采取技术手段防止地址欺骗； 支持：通过GSN和锐捷具有ARP表项的网关设备、支持ARP check的交换机联动，三重立体防护ARP欺骗；客户端静态自动绑定 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户； 支持：通过GSN和防火墙板卡联动实现，GSN可下发基于不同用户的不同策略到防火墙板卡，实现针对用户的访问权限控制。 应限制具有拨号访问权限的用户数量。 支持：通过GSN桌管功能限制用户拨号、多网卡连接、代理外联。 安全审计（G3） 本项要求包括： 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； 支持：通过部署网管系统实现设备状态检测，通过GSN实现用户行为审计 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 支持：通过架设E-log服务器与防火墙对接获取日志，通过网管和准入系统的日志系统、以及IDS实现 应能够根据记录数据进行分析，并生成审计报表； 支持：通过架设E-log服务器与防火墙对接获取日志，通过网管和准入系统的日志系统、以及IDS实现 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。 需要管理员人工保留实现 边界完整性检查（S3） 本项要求包括： 应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断； 支持：通过GSN实现入网认证，未授权用户在网络边缘进行隔离（接入交换机），并通过警告日志直接定位到用户(GSN支持用户名、IP、 MAC、交换机IP、交换机端口等多元素绑定) 应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。 支持：通过GSN桌管组件限制用户拨号、多网卡连接、代理外联。并通过警告日志直接定位到用户(GSN支持用户名、IP、 MAC、交换机IP、交换机端口等多元素绑定)，可通过GSN的防非法外连