等级保护网络安全测评内容及山石网科应对方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
条款理解
根据实际情况和区域安全防护要求,应在主要网络设备上进行VLAN划分或子网划 分。
不同VLAN内的报文在传输时是相互隔离的。如果不同VLAN要进行通信,则需要通 过路由器或三层交换机等三层设备实现
检查方法
访谈网络管理员,是否依据部门的工作职能、重要性和应用系统的级别划分了不同 的VLAN或子网。
Hillstone山石网科安全网关实现安全域定义与隔离
Hillstone山石网科安全网关可将不同的接口定义到不同的安全域上,然后在安全域之间进行隔离与访问控制; Hillstone山石网科安全网关也可将同一个接口定义到不同的安全子域上,同样在不同的子域之间进行访问控制; Hillstone山石网科安全来自百度文库关还可以将不同的接口定义到一个安全域内,但此时不同接口间的访问也需要进行访问 控制。
b) 应保证网络各个部分的带宽满足业务高峰期需要; 条款理解
对网络各个部分进行带宽分配,从而保证在业务高峰期业务服务的 连续性
检查方法
询问当前网络各部分的带宽是否满足业务高峰期需要 如果无法满足业务高峰期需要,则需进行带宽分配。检查主要网络
设备是否进行带宽分配
Hillstone山石网科安全网关的流量控制策略
条款理解
为了保证信息系统的可用性,主要网络设备的业务处理能力应具备 冗余空间
检查方法
访谈网络管理员,询问主要网络设备的性能及业务高峰流量 访谈网络管理员,询问采取何种手段对网络设备进行监控
Hillstone山石网科安全网关的状态监控
接口流量监控
设备状态监控
特色功能:应用和用户流量监控
结构安全部分
边界完整性检查 (2项要求)
结构安全(7项)
结构安全是网络安全测评检查的重点,网络结构是否合理 直接关系到信息系统的整体安全
典型的方法为访谈、检查两种手段 Hillstone山石网科安全网关的价值在于提供带灵活宽管理
手段
结构安全部分
a) 应保证主要网络设备等而业务处理能力具备冗余空间,满 足业务高峰期需要;
检查网络拓扑结构,查看是否将重要网段部署在网络边界处,重要网段和其它网段 之间是否配置安全策略进行访问控制。
Hillstone山石网科安全网关实现分域安全防护
ERP安全域
ERP应用服务器
ERP数据库
Hillstone山石网科解决方案事业部
编写目的
大多数行业用户多要做等级保护 等级保护建设的关键任务是通过测评 山石的价值在于提供满足等保要求的产品 从测评内容反观山石网关能做的事情
编写内容
用户等级保护建设的要点
用户等级保护建设结果的考察点
Hillstone山石网科安 全网关可为用户提供
的价值
依据
如果使用动态路由协议应配置使用路由协议认证功能,保证网络路由安全。
检查方法
检查边界设备和主要网络设备,查看是否进行了路由控制建立安全的访问路径。 查看动态路由协议是否启用了“认证码”的配置
Hillstone山石网科安全网关支持的路由功能
Hillstone山石网科安全网关提供多种路由技术,包 括静态路由:目的路由、源路由、源接口路由、ISP 路由、策略路由,动态路由:RIPV1/V2、OSPF 山石能够根据具体的应用和用户指定策略路由,使 得对不同应用和不同用户的访问控制更加灵活。
恶意代码防范(G)
网络设备防护(G)
主机安全
应用安全
数据安全
身份鉴别(S) 安全标记(S) 访问控制(S) 可信路径(S) 安全审计(G) 剩余信息保护(S) 入侵防范(G) 恶意代码防范(G) 资源控制(A)
身份鉴别(S) 安全标记(S) 访问控制(S) 可信路径(S) 安全审计(G) 剩余信息保护(S) 通信完整性(S) 通信保密性(S) 抗抵赖(G) 软件容错(A) 资源控制(A)
结构安全部分
d) 应绘制与当前运行情况相符的网络拓扑结构图 条款理解
为了便于网络管理,应绘制与当前运行情况相符的网络拓扑结构图。当网络拓扑结 构发生改变时,应及时更新。
检查方法
检查网络拓扑图,查看其与当前运行情况是否一致。
结构安全部分
e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同 的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段
结构安全部分
f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其 他网段之间采取可靠的技术隔离手段
条款理解
为了保证信息系统的安全,应避免将重要网段部署在网络边界处且直接连接外部信 息系统,防止来自外部信息系统的攻击。
在重要网段和其它网段之间配置安全策略进行访问控制。
检查方法
特色功能:根据业务动态调整带宽
结构安全部分
c) 应在而业务终端与业务服务器之间进行路由控制建立安全的访问路径 条款理解
静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够自动地 建立自己的路由表。
路由器之间的路由信息交换是基于路由协议实现的,如OSPF路由协议是一种典型的 链路状态的路由协议。
Hillstone山石 网数据科完安整全性网(关S) 技术可以满足 数的据部保分密性(S) 备份与恢复(A)
等级保护网络安全要求概述
网络设备防护 (8项要求)
结构安全 (7项要求)
以三级系统为例
访问控制 (8项要求)
恶意代码防范 (2项要求)
7个控制点 33个要求项
安全审计 (4项要求)
入侵防范 (2项要求)
依据特定接口的特定应用制定发送流 依据特定接口的特定应用制定接受流
量控制规则
量控制规则
依据特定接口的特定地址制定发送流 量控制规则
依据特定接口的特定地址制定接受流 量控制规则
Hillstone山石网科安全网关的流量控制策略
依据特定接口/特定用户/特定应用制定QOS策略 支持QOS嵌套
特色功能:根据业务动态调整带宽
理解
反观
先看等级保护的基本要求
技术要求
物理安全
网络安全
物理位置的选择(G) 物理访问控制(G) 防盗窃和破坏(G) 防雷/火/水(G) 防静电(G) 温湿度控制(G) 电力供应(A) 电磁防护(S)
结构安全(G)
访问控制(G)
安全审计(G)
Hillstone山石网 科边安界完全整网性关检技查术(S) 可入以侵防满范足(的G部)分
根据实际情况和区域安全防护要求,应在主要网络设备上进行VLAN划分或子网划 分。
不同VLAN内的报文在传输时是相互隔离的。如果不同VLAN要进行通信,则需要通 过路由器或三层交换机等三层设备实现
检查方法
访谈网络管理员,是否依据部门的工作职能、重要性和应用系统的级别划分了不同 的VLAN或子网。
Hillstone山石网科安全网关实现安全域定义与隔离
Hillstone山石网科安全网关可将不同的接口定义到不同的安全域上,然后在安全域之间进行隔离与访问控制; Hillstone山石网科安全网关也可将同一个接口定义到不同的安全子域上,同样在不同的子域之间进行访问控制; Hillstone山石网科安全来自百度文库关还可以将不同的接口定义到一个安全域内,但此时不同接口间的访问也需要进行访问 控制。
b) 应保证网络各个部分的带宽满足业务高峰期需要; 条款理解
对网络各个部分进行带宽分配,从而保证在业务高峰期业务服务的 连续性
检查方法
询问当前网络各部分的带宽是否满足业务高峰期需要 如果无法满足业务高峰期需要,则需进行带宽分配。检查主要网络
设备是否进行带宽分配
Hillstone山石网科安全网关的流量控制策略
条款理解
为了保证信息系统的可用性,主要网络设备的业务处理能力应具备 冗余空间
检查方法
访谈网络管理员,询问主要网络设备的性能及业务高峰流量 访谈网络管理员,询问采取何种手段对网络设备进行监控
Hillstone山石网科安全网关的状态监控
接口流量监控
设备状态监控
特色功能:应用和用户流量监控
结构安全部分
边界完整性检查 (2项要求)
结构安全(7项)
结构安全是网络安全测评检查的重点,网络结构是否合理 直接关系到信息系统的整体安全
典型的方法为访谈、检查两种手段 Hillstone山石网科安全网关的价值在于提供带灵活宽管理
手段
结构安全部分
a) 应保证主要网络设备等而业务处理能力具备冗余空间,满 足业务高峰期需要;
检查网络拓扑结构,查看是否将重要网段部署在网络边界处,重要网段和其它网段 之间是否配置安全策略进行访问控制。
Hillstone山石网科安全网关实现分域安全防护
ERP安全域
ERP应用服务器
ERP数据库
Hillstone山石网科解决方案事业部
编写目的
大多数行业用户多要做等级保护 等级保护建设的关键任务是通过测评 山石的价值在于提供满足等保要求的产品 从测评内容反观山石网关能做的事情
编写内容
用户等级保护建设的要点
用户等级保护建设结果的考察点
Hillstone山石网科安 全网关可为用户提供
的价值
依据
如果使用动态路由协议应配置使用路由协议认证功能,保证网络路由安全。
检查方法
检查边界设备和主要网络设备,查看是否进行了路由控制建立安全的访问路径。 查看动态路由协议是否启用了“认证码”的配置
Hillstone山石网科安全网关支持的路由功能
Hillstone山石网科安全网关提供多种路由技术,包 括静态路由:目的路由、源路由、源接口路由、ISP 路由、策略路由,动态路由:RIPV1/V2、OSPF 山石能够根据具体的应用和用户指定策略路由,使 得对不同应用和不同用户的访问控制更加灵活。
恶意代码防范(G)
网络设备防护(G)
主机安全
应用安全
数据安全
身份鉴别(S) 安全标记(S) 访问控制(S) 可信路径(S) 安全审计(G) 剩余信息保护(S) 入侵防范(G) 恶意代码防范(G) 资源控制(A)
身份鉴别(S) 安全标记(S) 访问控制(S) 可信路径(S) 安全审计(G) 剩余信息保护(S) 通信完整性(S) 通信保密性(S) 抗抵赖(G) 软件容错(A) 资源控制(A)
结构安全部分
d) 应绘制与当前运行情况相符的网络拓扑结构图 条款理解
为了便于网络管理,应绘制与当前运行情况相符的网络拓扑结构图。当网络拓扑结 构发生改变时,应及时更新。
检查方法
检查网络拓扑图,查看其与当前运行情况是否一致。
结构安全部分
e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同 的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段
结构安全部分
f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其 他网段之间采取可靠的技术隔离手段
条款理解
为了保证信息系统的安全,应避免将重要网段部署在网络边界处且直接连接外部信 息系统,防止来自外部信息系统的攻击。
在重要网段和其它网段之间配置安全策略进行访问控制。
检查方法
特色功能:根据业务动态调整带宽
结构安全部分
c) 应在而业务终端与业务服务器之间进行路由控制建立安全的访问路径 条款理解
静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够自动地 建立自己的路由表。
路由器之间的路由信息交换是基于路由协议实现的,如OSPF路由协议是一种典型的 链路状态的路由协议。
Hillstone山石 网数据科完安整全性网(关S) 技术可以满足 数的据部保分密性(S) 备份与恢复(A)
等级保护网络安全要求概述
网络设备防护 (8项要求)
结构安全 (7项要求)
以三级系统为例
访问控制 (8项要求)
恶意代码防范 (2项要求)
7个控制点 33个要求项
安全审计 (4项要求)
入侵防范 (2项要求)
依据特定接口的特定应用制定发送流 依据特定接口的特定应用制定接受流
量控制规则
量控制规则
依据特定接口的特定地址制定发送流 量控制规则
依据特定接口的特定地址制定接受流 量控制规则
Hillstone山石网科安全网关的流量控制策略
依据特定接口/特定用户/特定应用制定QOS策略 支持QOS嵌套
特色功能:根据业务动态调整带宽
理解
反观
先看等级保护的基本要求
技术要求
物理安全
网络安全
物理位置的选择(G) 物理访问控制(G) 防盗窃和破坏(G) 防雷/火/水(G) 防静电(G) 温湿度控制(G) 电力供应(A) 电磁防护(S)
结构安全(G)
访问控制(G)
安全审计(G)
Hillstone山石网 科边安界完全整网性关检技查术(S) 可入以侵防满范足(的G部)分