|
類別
|
序號
|
服務(wù)內(nèi)容
|
|
網(wǎng)絡(luò)安全
|
結(jié)構(gòu)安全
|
1
|
應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)理能力具備冗千空間���,滿足業(yè)務(wù)高峰期需要����。
|
|
2
|
應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要�����。
|
|
3
|
應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全的訪問路徑���。
|
|
4
|
應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖��。
|
|
5
|
應(yīng)根據(jù)各部門的工作職能���、重要性和所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段�����,并按照方便管理和控制的原則為各子網(wǎng)��、網(wǎng)段分配地址段�。
|
|
6
|
應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段�����。
|
|
7
|
應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別,保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機�����。
|
|
訪問控制
|
8
|
應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備�����,啟用訪問控制功能�。
|
|
9
|
應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級�。
|
|
10
|
應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾,實現(xiàn)對應(yīng)用層HTTP�����、FTP���。TELNET�����。SMTP POP3 等協(xié)議命令級的控制�����。
|
|
11
|
應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接���。
|
|
12
|
應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)�。
|
|
13
|
重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙����。
|
|
14
|
應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則�����,決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問���,控制粒度為單個用戶�����。
|
|
15
|
應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量���。
|
|
安全審計
|
16
|
應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量���、用戶行為等進行日志記錄�。
|
|
17
|
審計記錄應(yīng)包括:事件的日期和時間、用戶����、事件類型、事件是否成功及其他與審計相關(guān)的信息��。
|
|
18
|
應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析��,并生成審計報表�。
|
|
19
|
應(yīng)對審計記錄進行保護,避免受到未預(yù)期的刪除���、修改或覆蓋等�。
|
|
邊界完整性檢查
|
20
|
應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查����,準(zhǔn)確定出位置,并對其進行有效阻斷�����。
|
|
21
|
應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查�,準(zhǔn)確定出位置���,并對其進行有效阻斷����。
|
|
入侵防范(G3 )
|
22
|
應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為:端口掃描����、強力攻擊、木馬后門攻擊����、拒絕服務(wù)攻擊��、緩沖區(qū)溢出攻擊����、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。
|
|
23
|
當(dāng)檢測到敗擊行為時���,記錄攻擊源IP�、攻擊類型�����、攻擊目的���、攻擊時間��,在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警���。
|
|
惡意代碼防范
|
24
|
應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除��。
|
|
25
|
應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新�。
|
|
網(wǎng)絡(luò)設(shè)備防護
|
26
|
應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別��。
|
|
27
|
應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制��。
|
|
28
|
網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一��。
|
|
29
|
主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別�����。
|
|
30
|
身份鑒別信息應(yīng)具有不易被冒用的特點�����,口令應(yīng)有復(fù)雜度要求并定期更換�����。
|
|
31
|
應(yīng)具有登錄失敗處理功能,可采取結(jié)束會話�、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施。
|
|
32
|
當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠程管理時��,應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽�����。
|
|
33
|
應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離�����。
|
|
主機安全
|
身份鑒別
|
34
|
應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標(biāo)識和鑒別���。
|
|
35
|
操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點,口令應(yīng)有復(fù)雜度要求并定期更換���。
|
|
36
|
應(yīng)啟用登錄失敗處理功能��,可采取結(jié)束會話���、限制非法登錄次數(shù)和自動退出等措施。
|
|
37
|
當(dāng)對服務(wù)器進行遠程管理時,應(yīng)采取必要措施�����,防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽����。
|
|
38
|
應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分不同的用戶名,確保用戶名具有唯一性��。
|
|
39
|
應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別����。
|
|
通信完整性
|
40
|
應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。
|
|
通信保密性
|
41
|
在通信雙方建立連接之前���,應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進行會話初始化驗證�。
|
|
42
|
應(yīng)對通信過程中的整個報文或會話過程進行加密���。
|
|
抗抵賴(G3 )
|
43
|
應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能�。
|
|
44
|
應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能����。
|
|
軟件容錯
|
45
|
應(yīng)提供數(shù)據(jù)有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求。
|
|
46
|
應(yīng)提供自動保護功能�����,當(dāng)故障發(fā)生時自動保護當(dāng)前所有狀態(tài)�,保證系統(tǒng)能夠進行恢復(fù)。
|
|
數(shù)據(jù)安全
|
數(shù)據(jù)完整性
|
47
|
應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)�、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞,并在檢測到完整性錯誤時采取必要的恢復(fù)措施��。
|
發(fā)布時間:2021-11-05 11:56
閱讀次數(shù):