- 1、本文档共13页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第二三级等保网络及部分主机安全实现的说明20101210课件
第二级基本要求
网络安全
结构安全(G2)
本项要求包括:
应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
支持:双核心,核心设备支持多插槽,具备多业务扩展能力。
应保证接入网络和核心网络的带宽满足业务高峰期需要;
支持:核心及接入设备的带宽可扩展万兆能力。
应绘制与当前运行情况相符的网络拓扑结构图;
需要配合网络管理软件系统实现,通过网络管理软件SNC查看全网二层、三层设备及拓扑图
应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
支持:实施时将严格对不同工作职能等的工作部门进行不同子网的分配访问控制(G2)
本项要求包括:
应在网络边界部署访问控制设备,启用访问控制功能;
支持:核心设备配置防火墙模块,可支持多数量的虚拟防火墙,基于边界控制访问。
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。
支持:通过防火墙和GSN,可实现基于每个网段的会话限制,以及相关数据流的访问控制。
应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
支持:通过GSN与防火墙模块相结合实现对用户的受控资源的访问,控制粒度为用户级。
应限制具有拨号访问权限的用户数量。
支持:通过GSN桌管功能限制用户拨号、多网卡连接、代理外联。
安全审计(G2)
本项要求包括:
应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
通过部署网管系统实现设备状态检测、网络流量查看,通过GSN桌管实现用户行为审计
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
通过架设E-log日志服务器与防火墙对接获取日志,通过网管和准入系统的日志系统、以及IDS实现
边界完整性检查(S2)
应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。
支持:通过安全准入的桌管系统实现非法外联的检测和报告
入侵防范(G2)
应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
支持:防火墙板卡可对安全事件进行防护,GSN和IDS联动可对网络攻击自动发现并自动阻止。
网络设备防护(G2)
本项要求包括:
应对登录网络设备的用户进行身份鉴别;
通过在网络设备上设置登录密码(可网管设备均支持)
应对网络设备的管理员登录地址进行限制;
通过在网络设备的登录配置模式里配置访问控制列表(可网管设备均支持)
网络设备用户的标识
应在会话处于非活跃一定时间或会话结束后终止网络连接;
应限制网络最大流量数及网络连接数;
支持:通过防火墙、流量控制设备等安全设备实现
重要网段应采取技术手段防止地址欺骗;
支持:通过GSN和锐捷具有ARP表项的网关设备、支持ARP check的交换机联动,三重立体防护ARP欺骗;客户端静态自动绑定
应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
支持:通过GSN和防火墙板卡联动实现,GSN可下发基于不同用户的不同策略到防火墙板卡,实现针对用户的访问权限控制。
应限制具有拨号访问权限的用户数量。
支持:通过GSN桌管功能限制用户拨号、多网卡连接、代理外联。
安全审计(G3)
本项要求包括:
应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
支持:通过部署网管系统实现设备状态检测,通过GSN实现用户行为审计
审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
支持:通过架设E-log服务器与防火墙对接获取日志,通过网管和准入系统的日志系统、以及IDS实现
应能够根据记录数据进行分析,并生成审计报表;
支持:通过架设E-log服务器与防火墙对接获取日志,通过网管和准入系统的日志系统、以及IDS实现
应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
需要管理员人工保留实现
边界完整性检查(S3)
本项要求包括:
应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
支持:通过GSN实现入网认证,未授权用户在网络边缘进行隔离(接入交换机),并通过警告日志直接定位到用户(GSN支持用户名、IP、 MAC、交换机IP、交换机端口等多元素绑定)
应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
支持:通过GSN桌管组件限制用户拨号、多网卡连接、代理外联。并通过警告日志直接定位到用户(GSN支持用户名、IP、 MAC、交换机IP、交换机端口等多元素绑定),可通过GSN的防非法外连
您可能关注的文档
- 第九章统计热力学课件.ppt
- 第九章浅基础设计课件.ppt
- 第九章糖类05课件.ppt
- 第九章结晶-制药工程原理与设备课件.ppt
- 第九章结晶课件.ppt
- 第九章环境污染自动监测76课件.ppt
- 第九章结构施工图课件.ppt
- 第九章药用高分子课件.ppt
- 第九章融资融券业务及会计核算课件.ppt
- 第九章脂类代谢的合成与课件.ppt
- 第12课 大一统王朝的巩固 课件(20张ppt).pptx
- 第17课 君主立宪制的英国 课件.pptx
- 第6课 戊戌变法 课件(22张ppt).pptx
- 第三章 物态变化 第2节_熔化和凝固_课件 (共46张ppt) 人教版(2024) 八年级上册.pptx
- 第三章 物态变化 第5节_跨学科实践:探索厨房中的物态变化问题_课件 (共28张ppt) 人教版(2024) 八年级上册.pptx
- 2025年山东省中考英语一轮复习外研版九年级上册.教材核心考点精讲精练(61页,含答案).docx
- 2025年山东省中考英语一轮复习(鲁教版)教材核心讲练六年级上册(24页,含答案).docx
- 第12课近代战争与西方文化的扩张 课件(共48张ppt)1.pptx
- 第11课 西汉建立和“文景之治” 课件(共17张ppt)1.pptx
- 唱歌 跳绳课件(共15张ppt内嵌音频)人音版(简谱)(2024)音乐一年级上册第三单元 快乐的一天1.pptx
文档评论(0)