网康等级保护主打（含方案）.ppt

附录1——三级等保技术要求网络安全说明 分类 考察项目 基本要求 方案说明 网络安全 结构安全 a) 应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； 根据不同的要求，选择合适设备。指标能够满足。 b) 应保证网络各个部分的带宽满足业务高峰期需要； ITM、NGFW：可分配带宽 WOG：在广域网上实现加速，保障带宽满足需求 c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径； NGFW：具有完整的路由功能，并具有智能选路（负载均衡）能力，可通过控制路由建立安全访问路径 d) 应绘制与当前运行情况相符的网络拓扑结构图； 可提供服务 e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段； NGFW：可以进行不同网段的划分，并为各子网、网段分配地址段。另外支持安全域划分，对不同的安全域实施不同的安全策略，提供等级不同的安全保护。 f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段； NGFW：可部署在网络边界实现网络隔离 g) 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。 NGFW、ITM、ICG：精细化流控管理 访问控制 a)应在网络边界部署访问控制设备，启用访问控制功能； NGFW：具备访问控制功能，除了传统的五元组，还可以根据人、应用、内容进行访问控制。 b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； NGFW：可根据会话状态信息，对五元组进行访问控制，做到允许/拒绝访问。控制力度可以为内容级。 c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制； NGFW：访问控制可以控制到具体协议。对所提及的5种协议可以进行命令级的控制。并可提升至应用层的内容级过滤。 d)应在会话处于非活跃一定时间或会话结束后终止网络连接； ICG、NGFW：可配置访问时长等策略 e)应限制网络最大流量数及网络连接数； NGFW：支持带宽限制和连接数限制。可以根据安全策略限定最大网络带宽，可以设定系统的、具体IP的最大并发连接数 f)重要网段应采取技术手段防止地址欺骗； ICG、NGFW：内网管理可采用IP-MAC绑定措施来防止ARP欺骗 g)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户； 认证系统和安全策略结合 h)应限制具有拨号访问权限的用户数量。 NGFW：支持L2TP、SSL VPN拨号用户，可以在用户组中限定用户数量。 附录2——三级等保技术要求网络安全说明 分类 考察项目 基本要求 方案说明 网络安全 安全审计 a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； ICG、NGFW：可提供多种日志信息 b) 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； ICG、NGFW：均可满足，并提供更加完善的可视化体验 c) 应能够根据记录数据进行分析，并生成审计报表； NGFW：多种类型日志智能关联，提供多维分析功能，支持XLS/CSV/PDF等格式的报表导出。 d) 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。 ICG、NGFW：访问审计记录需身份认证，相关操作需要权限 边界完整性检查 a) 应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断； ICG：防私接功能 b) 应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。 入侵防范 a) 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等； NGFW：传统安全防护+一体化应用层威胁防御 b) 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 NGFW：具备防范各种网络攻击的能力，同时可以对网络攻击进行记录 恶意代码防范 a) 应在网络边界处对恶意代码进行检测和清除； NGFW：具有对病毒、木马等恶意代码进行防护的能力，并即时从网康安全中心进行代码库升级 b) 应维护恶意代码库的升级和检测系统的更新。 网络设备防护 a) 应对登录网络设备的用户进行身份鉴别； 网康全线产品及360产品均有身份鉴别模块 b) 应对网络设备的管理员登录地址进行限制； c) 网络设备用户的标识应唯一； 可实现 d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别； e)