最新等保2.0二、三级对比解读

最新等保2.0二、三级对比解读

ID:40603252

大小:213.13 KB

页数:4页

时间:2019-08-04

最新等保2.0二、三级对比解读_第1页
最新等保2.0二、三级对比解读_第2页
最新等保2.0二、三级对比解读_第3页
最新等保2.0二、三级对比解读_第4页
资源描述:

《最新等保2.0二、三级对比解读》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、控制点分类L2L3应对措施(L3)a)应保证网络设备的业务处理能力满a)依据业务需求进行网络设备足业务高峰期需要;选型,性能预留;b)依据业务需求设计传输链b)应保证网络各个部分的带宽满足业路,带宽预留,关键业务链路质务高峰期需要;量保障;a)应划分不同的网络区域,并按照c)应划分不同的网络区域,并按照方方便管理和控制的原则为各网络区域便管理和控制的原则为各网络区域分配c)网络分区分域设计;8.1.2.1分配地址;地址;网络架构b)应避免将重要网络区域部署在边d)应避免将重要网络区域部署在边界d)按照业

2、务重要程度及风险类界处,重要网络区域与其他网络区域处,重要网络区域与其他网络区域之间型进行网络域划分,做好出口防之间应采取可靠的技术隔离手段。应采取可靠的技术隔离手段;护和边界隔离;8.1.2e)应提供通信线路、关键网络设备和安全通e)网络系统链路及设备冗余架关键计算设备的硬件冗余,保证系统信网络构设计;的可用性。应采用校验技术保证通信过程中数据a)应采用校验技术或密码技术保证通a)数据传输通信链路采用MD5,8.1.2.2的完整性。信过程中数据的完整性;SHA校验算法;通信传输b)应采用密码技术保证通

3、信过程中数b)数据传输通信链路采用加密据的保密性。传输技术可基于可信根对通信设备的系统引导程可基于可信根对通信设备的系统引导序、系统程序、重要配置参数和通信应程序、系统程序、重要配置参数和通用程序等进行可信验证,并在应用程序选择具备可信机制的网络设备组8.1.2.3信应用程序等进行可信验证,并在检的关键执行环节进行动态可信验证,在网,并实现可信系统与安全管理可信验证测到其可信性受到破坏后进行报警,检测到其可信性受到破坏后进行报警,中心的联动;并将验证结果形成审计记录送至安全并将验证结果形成审计记录送至安

4、全管管理中心。理中心。a)区域边界隔离控制,默认拒应保证跨越边界的访问和数据流通过a)应保证跨越边界的访问和数据流通绝所有通信且根据IP五元组开启边界设备提供的受控接口进行通信。过边界设备提供的受控接口进行通信;必要通信,对于WEB网站进行应用级防护;b)应能够对非授权设备私自联到内部b)终端准入控制及资产识别;网络的行为进行检查或限制;8.1.3.1c)应能够对内部用户非授权联到外部边界防护c)网络访问控制;网络的行为进行检查或限制;d)对无线网络进行统一管控,d)应限制无线网络的使用,保证无线控制其

5、对关键业务系统的访问,网络通过受控的边界设备接入内部网无线网络接入边界(汇聚与核心络。之间)部署必要的隔离控制手段;a)应在网络边界或区域之间根据访问a)应在网络边界或区域之间根据访问a)区域边界隔离控制,默认拒控制策略设置访问控制规则,默认情控制策略设置访问控制规则,默认情况绝所有通信且根据IP五元组开启况下除允许通信外受控接口拒绝所有下除允许通信外受控接口拒绝所有通必要通信;通信;信;b)应删除多余或无效的访问控制规b)应删除多余或无效的访问控制规b)防火墙策略策略优化(避免则,优化访问控制列表,并

6、保证访问则,优化访问控制列表,并保证访问控配置无效、冗余策略,优化匹配控制规则数量最小化;制规则数量最小化;顺序);8.1.3.2c)应对源地址、目的地址、源端口、c)应对源地址、目的地址、源端口、c)配置基于IP五元组的防火墙访问控制目的端口和协议等进行检查,以允许/目的端口和协议等进行检查,以允许/策略,遵循最小化、精细化原拒绝数据包进出;拒绝数据包进出;则;d)应能根据会话状态信息为进出数d)应能根据会话状态信息为进出数据d)配置防火墙会话状态检查,据流提供明确的允许/拒绝访问的能流提供明确的允许

7、/拒绝访问的能力;遵循最小化、精细化原则;力。e)应对进出网络的数据流实现基于应e)通过应用识别、内容识别功用协议和应用内容的访问控制。能实现进出流量访问控制;应在关键网络节点处监视网络攻击行a)应在关键网络节点处检测、防止或a)互联网出口或其他局点接入为。限制从外部发起的网络攻击行为;平台防护,具备检测防护能力;b)应在关键网络节点处检测、防止或b)区域边界隔离防护,具备检限制从内部发起的网络攻击行为;测防护能力;c)应采取技术措施对网络行为进行分8.1.3.3c)部署结合情报系统的网络行析,实现对网

8、络攻击特别是新型网络8.1.3入侵防范为分析或者深层次建设设备;攻击行为的分析;安全区d)当检测到攻击行为时,记录攻击源d)入侵防范设备选型是考量日域边界IP、攻击类型、攻击目标、攻击时志分析及预警能力,或者借助专间,在发生严重入侵事件时应提供报业分析预警设备进行统一的分析警。展示;a)根据关键节点部位选在部署应在关键网络节点处对恶意代码进行a)应在关键网络节点处对恶意代码进专用网络防病毒系统(设备),检测和清除,并维护恶意代码防护机行检测

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。