您的位置:360文档中心› 最新等保2.0二、三级对比解读

最新等保2.0二、三级对比解读

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

分类

控制点

(L3)

L2L3应对措施

a) 应保证网络设备的业务处理能力满

足业务高峰期需要;

a)依据业务需求进行网络设备

选型,性能预留;

b) 应保证网络各个部分的带宽满足业

务高峰期需要;

b)依据业务需求设计传输链

路,带宽预留,关键业务链路质

量保障;

a) 应划分不同的网络区域,并按照

方便管理和控制的原则为各网络区域

分配地址;

c) 应划分不同的网络区域,并按照方

便管理和控制的原则为各网络区域分配

地址;

c)网络分区分域设计;

b) 应避免将重要网络区域部署在边

界处,重要网络区域与其他网络区域

之间应采取可靠的技术隔离手段。

d) 应避免将重要网络区域部署在边界

处,重要网络区域与其他网络区域之间

应采取可靠的技术隔离手段;

d)按照业务重要程度及风险类

型进行网络域划分,做好出口防

护和边界隔离;

e) 应提供通信线路、关键网络设备和

关键计算设备的硬件冗余,保证系统

的可用性。

e)网络系统链路及设备冗余架

构设计;

应采用校验技术保证通信过程中数据

的完整性。

a) 应采用校验技术或密码技术保证通

信过程中数据的完整性;

a)数据传输通信链路采用MD5,

SHA校验算法;

b) 应采用密码技术保证通信过程中数

据的保密性。

b)数据传输通信链路采用加密

传输技术

8.1.2.3

可信验证

可基于可信根对通信设备的系统引导

程序、系统程序、重要配置参数和通

信应用程序等进行可信验证,并在检

测到其可信性受到破坏后进行报警,

并将验证结果形成审计记录送至安全

管理中心。

可基于可信根对通信设备的系统引导程

序、系统程序、重要配置参数和通信应

用程序等进行可信验证,并在应用程序

的关键执行环节进行动态可信验证,在

检测到其可信性受到破坏后进行报警,

并将验证结果形成审计记录送至安全管

理中心。

选择具备可信机制的网络设备组

网,并实现可信系统与安全管理

中心的联动;

应保证跨越边界的访问和数据流通过

边界设备提供的受控接口进行通信。

a) 应保证跨越边界的访问和数据流通

过边界设备提供的受控接口进行通信;

a)区域边界隔离控制,默认拒

绝所有通信且根据IP五元组开启

必要通信,对于WEB网站进行应

用级防护;

b) 应能够对非授权设备私自联到内部

网络的行为进行检查或限制;

b)终端准入控制及资产识别;

c) 应能够对内部用户非授权联到外部

网络的行为进行检查或限制;

c)网络访问控制;

d) 应限制无线网络的使用,保证无线

网络通过受控的边界设备接入内部网

络。

d)对无线网络进行统一管控,

控制其对关键业务系统的访问,

无线网络接入边界(汇聚与核心

之间)部署必要的隔离控制手

段;

a) 应在网络边界或区域之间根据访问

控制策略设置访问控制规则,默认情

况下除允许通信外受控接口拒绝所有

通信;

a) 应在网络边界或区域之间根据访问

控制策略设置访问控制规则,默认情况

下除允许通信外受控接口拒绝所有通

信;

a)区域边界隔离控制,默认拒

绝所有通信且根据IP五元组开启

必要通信;

b) 应删除多余或无效的访问控制规

则,优化访问控制列表,并保证访问

控制规则数量最小化;

b) 应删除多余或无效的访问控制规

则,优化访问控制列表,并保证访问控

制规则数量最小化;

b)防火墙策略策略优化(避免

配置无效、冗余策略,优化匹配

顺序);

c) 应对源地址、目的地址、源端口、

目的端口和协议等进行检查,以允许/

拒绝数据包进出;

c) 应对源地址、目的地址、源端口、

目的端口和协议等进行检查,以允许/

拒绝数据包进出;

c)配置基于IP五元组的防火墙

策略,遵循最小化、精细化原

则;

d) 应能根据会话状态信息为进出数

据流提供明确的允许/拒绝访问的能

力。

d) 应能根据会话状态信息为进出数据

流提供明确的允许/拒绝访问的能力;

d)配置防火墙会话状态检查,

遵循最小化、精细化原则;

e) 应对进出网络的数据流实现基于应

用协议和应用内容的访问控制。

e)通过应用识别、内容识别功

能实现进出流量访问控制;

应在关键网络节点处监视网络攻击行

为。

a) 应在关键网络节点处检测、防止或

限制从外部发起的网络攻击行为;

a)互联网出口或其他局点接入

平台防护,具备检测防护能力;

b) 应在关键网络节点处检测、防止或

限制从内部发起的网络攻击行为;

b)区域边界隔离防护,具备检

测防护能力;

c) 应采取技术措施对网络行为进行分

析,实现对网络攻击特别是新型网络

攻击行为的分析;

c)部署结合情报系统的网络行

为分析或者深层次建设设备;

d) 当检测到攻击行为时,记录攻击源

IP、攻击类型、攻击目标、攻击时

间,在发生严重入侵事件时应提供报

警。

d)入侵防范设备选型是考量日

志分析及预警能力,或者借助专

业分析预警设备进行统一的分析

展示;

8.1.2安全通信网络8.1.3安全区域边界8.1.2.1网络架构8.1.2.2通信传输

8.1.3.1边界防护8.1.3.2访问控制

8.1.3.3入侵防范

相关文档
最新文档