資源描述:
《最新等保2.0二���、三級(jí)對(duì)比解讀》由會(huì)員上傳分享,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�。
1、控制點(diǎn)分類L2L3應(yīng)對(duì)措施(L3)a)應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿a)依據(jù)業(yè)務(wù)需求進(jìn)行網(wǎng)絡(luò)設(shè)備足業(yè)務(wù)高峰期需要���;選型,性能預(yù)留���;b)依據(jù)業(yè)務(wù)需求設(shè)計(jì)傳輸鏈b)應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)路,帶寬預(yù)留����,關(guān)鍵業(yè)務(wù)鏈路質(zhì)務(wù)高峰期需要;量保障���;a)應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域���,并按照c)應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域��,并按照方方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配c)網(wǎng)絡(luò)分區(qū)分域設(shè)計(jì)�;8.1.2.1分配地址��;地址���;網(wǎng)絡(luò)架構(gòu)b)應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊d)應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界d)按照業(yè)
2�����、務(wù)重要程度及風(fēng)險(xiǎn)類界處,重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域處��,重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間型進(jìn)行網(wǎng)絡(luò)域劃分���,做好出口防之間應(yīng)采取可靠的技術(shù)隔離手段���。應(yīng)采取可靠的技術(shù)隔離手段;護(hù)和邊界隔離���;8.1.2e)應(yīng)提供通信線路��、關(guān)鍵網(wǎng)絡(luò)設(shè)備和安全通e)網(wǎng)絡(luò)系統(tǒng)鏈路及設(shè)備冗余架關(guān)鍵計(jì)算設(shè)備的硬件冗余�,保證系統(tǒng)信網(wǎng)絡(luò)構(gòu)設(shè)計(jì);的可用性��。應(yīng)采用校驗(yàn)技術(shù)保證通信過程中數(shù)據(jù)a)應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通a)數(shù)據(jù)傳輸通信鏈路采用MD5�,8.1.2.2的完整性。信過程中數(shù)據(jù)的完整性�;SHA校驗(yàn)算法;通信傳輸b)應(yīng)采用密碼技術(shù)保證通
3�����、信過程中數(shù)b)數(shù)據(jù)傳輸通信鏈路采用加密據(jù)的保密性��。傳輸技術(shù)可基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程可基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)序����、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)程序���、系統(tǒng)程序��、重要配置參數(shù)和通用程序等進(jìn)行可信驗(yàn)證��,并在應(yīng)用程序選擇具備可信機(jī)制的網(wǎng)絡(luò)設(shè)備組8.1.2.3信應(yīng)用程序等進(jìn)行可信驗(yàn)證���,并在檢的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證�,在網(wǎng)�����,并實(shí)現(xiàn)可信系統(tǒng)與安全管理可信驗(yàn)證測(cè)到其可信性受到破壞后進(jìn)行報(bào)警�,檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警,中心的聯(lián)動(dòng)����;并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安
4、全管管理中心��。理中心����。a)區(qū)域邊界隔離控制���,默認(rèn)拒應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過a)應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通絕所有通信且根據(jù)IP五元組開啟邊界設(shè)備提供的受控接口進(jìn)行通信���。過邊界設(shè)備提供的受控接口進(jìn)行通信;必要通信����,對(duì)于WEB網(wǎng)站進(jìn)行應(yīng)用級(jí)防護(hù)�;b)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部b)終端準(zhǔn)入控制及資產(chǎn)識(shí)別�;網(wǎng)絡(luò)的行為進(jìn)行檢查或限制;8.1.3.1c)應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部邊界防護(hù)c)網(wǎng)絡(luò)訪問控制�����;網(wǎng)絡(luò)的行為進(jìn)行檢查或限制���;d)對(duì)無線網(wǎng)絡(luò)進(jìn)行統(tǒng)一管控���,d)應(yīng)限制無線網(wǎng)絡(luò)的使用,保證無線控制其
5�����、對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)的訪問����,網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)無線網(wǎng)絡(luò)接入邊界(匯聚與核心絡(luò)。之間)部署必要的隔離控制手段����;a)應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問a)應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問a)區(qū)域邊界隔離控制����,默認(rèn)拒控制策略設(shè)置訪問控制規(guī)則��,默認(rèn)情控制策略設(shè)置訪問控制規(guī)則���,默認(rèn)情況絕所有通信且根據(jù)IP五元組開啟況下除允許通信外受控接口拒絕所有下除允許通信外受控接口拒絕所有通必要通信����;通信����;信;b)應(yīng)刪除多余或無效的訪問控制規(guī)b)應(yīng)刪除多余或無效的訪問控制規(guī)b)防火墻策略策略優(yōu)化(避免則���,優(yōu)化訪問控制列表��,并
6��、保證訪問則�,優(yōu)化訪問控制列表����,并保證訪問控配置無效、冗余策略����,優(yōu)化匹配控制規(guī)則數(shù)量最小化;制規(guī)則數(shù)量最小化�;順序);8.1.3.2c)應(yīng)對(duì)源地址�����、目的地址����、源端口、c)應(yīng)對(duì)源地址��、目的地址��、源端口���、c)配置基于IP五元組的防火墻訪問控制目的端口和協(xié)議等進(jìn)行檢查��,以允許/目的端口和協(xié)議等進(jìn)行檢查���,以允許/策略�,遵循最小化�、精細(xì)化原拒絕數(shù)據(jù)包進(jìn)出;拒絕數(shù)據(jù)包進(jìn)出�;則;d)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)d)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)d)配置防火墻會(huì)話狀態(tài)檢查�����,據(jù)流提供明確的允許/拒絕訪問的能流提供明確的允許
7����、/拒絕訪問的能力;遵循最小化��、精細(xì)化原則���;力�����。e)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)e)通過應(yīng)用識(shí)別���、內(nèi)容識(shí)別功用協(xié)議和應(yīng)用內(nèi)容的訪問控制���。能實(shí)現(xiàn)進(jìn)出流量訪問控制���;應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處監(jiān)視網(wǎng)絡(luò)攻擊行a)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)�����、防止或a)互聯(lián)網(wǎng)出口或其他局點(diǎn)接入為����。限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為�����;平臺(tái)防護(hù)�����,具備檢測(cè)防護(hù)能力��;b)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)�����、防止或b)區(qū)域邊界隔離防護(hù),具備檢限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為���;測(cè)防護(hù)能力��;c)應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分8.1.3.3c)部署結(jié)合情報(bào)系統(tǒng)的網(wǎng)絡(luò)行析�,實(shí)現(xiàn)對(duì)網(wǎng)
8�����、絡(luò)攻擊特別是新型網(wǎng)絡(luò)8.1.3入侵防范為分析或者深層次建設(shè)設(shè)備�����;攻擊行為的分析���;安全區(qū)d)當(dāng)檢測(cè)到攻擊行為時(shí)��,記錄攻擊源d)入侵防范設(shè)備選型是考量日域邊界IP���、攻擊類型、攻擊目標(biāo)�����、攻擊時(shí)志分析及預(yù)警能力,或者借助專間�����,在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)業(yè)分析預(yù)警設(shè)備進(jìn)行統(tǒng)一的分析警����。展示�;a)根據(jù)關(guān)鍵節(jié)點(diǎn)部位選在部署應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)行a)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)專用網(wǎng)絡(luò)防病毒系統(tǒng)(設(shè)備),檢測(cè)和清除��,并維護(hù)惡意代碼防護(hù)機(jī)行檢測(cè)
