安全資訊

等級保護評估的技術(shù)要求可分為五類(lèi)：物理安全、網(wǎng)絡(luò )安全、主機安全、應用安全和數據安全、備份恢復。今天，我們不得不等待網(wǎng)絡(luò )安全的技術(shù)要求被整理出來(lái)，以供大家學(xué)習。
1、結構安全（G3）
應確保主要網(wǎng)絡(luò )設備的服務(wù)處理能力有冗余的空間，以滿(mǎn)足高峰期的需求。
確保網(wǎng)絡(luò )各部分的帶寬滿(mǎn)足最高業(yè)務(wù)需求。
應在服務(wù)終端和服務(wù)服務(wù)器之間進(jìn)行路由控制，以建立安全的訪(fǎng)問(wèn)路徑。
應將拓撲映射到與當前性能相匹配。
應根據各部門(mén)的工作職能和重要性以及所涉信息的重要性等因素劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為每個(gè)子網(wǎng)和網(wǎng)段分配地址段。
重要的網(wǎng)絡(luò )段應部署在網(wǎng)絡(luò )邊界并直接連接到外部信息系統，重要的網(wǎng)段和其他網(wǎng)段之間采用可靠的技術(shù)隔離。
應在業(yè)務(wù)服務(wù)的重要順序中指定帶寬分配優(yōu)先級，以確保在網(wǎng)絡(luò )發(fā)生擁塞時(shí)優(yōu)先考慮重要主機。
必須等待分析：核心設備需要考慮冗余，如核心交換機，注意帶寬劃分，確保重要主機的應用，合理劃分網(wǎng)段，做好不同網(wǎng)段的技術(shù)隔離，涉及安全設備：防火墻、在線(xiàn)行為管理或FLOW控制。
 
2、訪(fǎng)問(wèn)控制（G3）
應在網(wǎng)絡(luò )邊界部署出入控制設備，以實(shí)現出入控制功能。
應根據會(huì )話(huà)狀態(tài)信息提供允許/拒絕訪(fǎng)問(wèn)數據流的能力，控制粒度應在端口級。
對網(wǎng)絡(luò )內外的信息內容進(jìn)行過(guò)濾，以控制應用層HTTP、FTP、Telnet、SMTP、POP 3等應用層的協(xié)議命令層。
網(wǎng)絡(luò )連接應在會(huì )話(huà)處于非活動(dòng)狀態(tài)一段時(shí)間后或會(huì )話(huà)結束后終止。
應限制網(wǎng)絡(luò )流量和網(wǎng)絡(luò )連接的最大數量。
重要部門(mén)應采取技術(shù)措施，防止地址欺詐。
根據用戶(hù)與系統之間的允許訪(fǎng)問(wèn)規則，允許或拒絕用戶(hù)訪(fǎng)問(wèn)被控系統的資源，控制粒度為單用戶(hù)。
應該限制撥號接入的用戶(hù)數量。
不得不等待分析：這里主要注意防火墻策略做端口級別，這是第二級和第三級之間的明顯區別之一，另一種是限制流量和網(wǎng)絡(luò )連接的最大數量和IP地址管理，涉及的安全設備是：網(wǎng)關(guān)設備，如防火墻和UTM以及IP地址管理設備。
等級保護測評公司
3、安全審計（G3）
應記錄網(wǎng)絡(luò )設備的運行狀態(tài)、網(wǎng)絡(luò )流量和用戶(hù)在網(wǎng)絡(luò )系統中的行為。
審計記錄應包括：活動(dòng)的日期和時(shí)間、用戶(hù)、活動(dòng)類(lèi)型、活動(dòng)的成功和其他與審計有關(guān)的信息。
應能夠根據記錄的數據進(jìn)行分析并編制審計報表。
應保護審計記錄不被意外刪除、修改或覆蓋。
必須等待分析：此要求強調需要具有日志記錄。有必要注意生成審計報告和避免未經(jīng)授權的刪除的能力。此常規設備沒(méi)有日志功能，因此建議您具備條件。頂部：日志審核設備，這是網(wǎng)絡(luò )安全法中明確要求的，必須保留六個(gè)月以上。
 
4。邊界完整性檢查（S3）
與內部網(wǎng)絡(luò )連接的未經(jīng)授權的設備應能夠檢查其位置并加以有效封鎖。
應該能夠檢查內部網(wǎng)絡(luò )用戶(hù)與外部網(wǎng)絡(luò )的私有連接，準確地確定位置并有效地阻止它。
我們必須等待分析：這里強調的是非法外聯(lián)和非法獲取的問(wèn)題，這在第二和第三層次都是必要的。區別在于，可以找到第二層發(fā)現，而第三層也需要阻塞。所涉及的設備是安全接入設備或桌面管理軟件。
 
5。入侵防范（G3）
應在網(wǎng)絡(luò )邊界監視以下攻擊：端口掃描，暴力攻擊，木馬后門(mén)攻擊，拒絕服務(wù)攻擊，緩沖區溢出攻擊，IP碎片攻擊和網(wǎng)絡(luò )蠕蟲(chóng)攻擊;
當檢測到攻擊時(shí)，記錄攻擊源的IP、攻擊類(lèi)型、攻擊目的和攻擊時(shí)間，并在發(fā)生嚴重入侵時(shí)發(fā)出警報。
我們必須拭目以待：這表明入侵檢測設備需要部署在網(wǎng)絡(luò )邊界，涉及的設備有：ids/ips，下一代防火墻等。
 
6。惡意代碼預防(G3)
應在網(wǎng)絡(luò )邊界檢測和清除惡意代碼。
應保持對惡意代碼庫的更新和對檢測系統的更新。
必須等待分析：這里還有一個(gè)明確的部署在網(wǎng)絡(luò )邊界的防病毒墻，涉及設備：防病毒墻、IP、UTM等。

等級保護測評公司
7。網(wǎng)絡(luò )設備保護（g3）
應對登錄網(wǎng)絡(luò )設備的用戶(hù)進(jìn)行身份驗證。
應對網(wǎng)絡(luò )設備管理員的登錄地址施加限制。
網(wǎng)絡(luò )設備用戶(hù)的身份應該是唯一的。
主要網(wǎng)絡(luò )設備應通過(guò)選擇兩種或兩種以上的認證技術(shù)組合來(lái)識別同一用戶(hù)。
識別信息不應輕易被濫用，密碼應符合復雜要求，并應定期更換。
應具有登錄失敗的功能，并可采取終止會(huì )話(huà)、限制非法登錄次數、在網(wǎng)絡(luò )登錄連接超時(shí)自動(dòng)退出等措施。
在遠程管理網(wǎng)絡(luò )設備時(shí)，應采取必要措施，防止認證信息在網(wǎng)絡(luò )傳輸過(guò)程中被竊聽(tīng)。
應實(shí)現設備特權用戶(hù)的權限分離。
 
必須等待分析：管理員的登錄地址應受到限制，不能在任何地址進(jìn)行管理，這是非常不安全的；管理權限應分開(kāi)，以避免超級管理員的存在；管理員的身份識別至少需要兩種身份驗證技術(shù)組合，以確保合法性。管理員身份；限制非法登錄次數，超時(shí)登錄處理功能，防止停止暴力破解和信息搶劫。涉及的安全設備包括：堡壘機、雙因素認證軟件等。