网络推广员是什么工作,佛山seo管理,搭建手机网站,网站建设明薇通网络服务好1.边界防护-非授权设备接入、非授权连接外部网络、无线网络使用和设备可信接入 #xff08;网络边界就是采用不同安全策略的两个网络的连接处#xff09; 1-1/2-1/3-4/4-6 a#xff09;保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信 b#xff09;应能够对… 1.边界防护-非授权设备接入、非授权连接外部网络、无线网络使用和设备可信接入 网络边界就是采用不同安全策略的两个网络的连接处 1-1/2-1/3-4/4-6 a保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信 b应能够对非授权设备私自联到内部网络的行为进行检查或限制 c应能够对内部用户非授权联到外部网络的行为进行检查或限制 d应限制无线网络的使用保证无线网络通过授控的边界设备接入内部网络 e应能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时对其进行有效阻断 f应采用可信验证机制对接入到网络中的设备进行可信验证保证接入网络的设备真实可信 测评实施重点 1通过边界设备提供的受控端口进行通信受控端口配置并启用安全策略 2通过终端管理系统、终端准入控制系统或IP/MAC地址绑定等措施对非授权接入行为进行限制和检查 3采用技术手段终端管理系统、终端准入系统等和管理措施对非授权连接外部网络的行为进行限制或检查 43级及以上系统限制无线网络的使用要求无线网络单独组网后连接到有线网络且必须通过受控的边界防护设备接入内部有线网络 2.访问控制-访问控制规则、通信协议转换和通信协议隔离 在全网对网络的连接状态进行监控并准确定位、及时报警和阻断而不仅是边界预设出入口 1-3/2-4/3-5/4-5 a应在网络边界根据访问控制策略设置访问控制规则默认情况下除允许通信外受控接口拒绝所有通信 b应删除多余或无效的访问控制规划优化访问控制列表并保证访问控制规则数量最小化 c应对源地址、目的地址、源端口、目的端口和协议等进行检查以允许/拒绝数据包进出如包过滤防火墙 d应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力如状态检测防火墙 e应对进出网络的数据流实现基于应用协议和应用内容的访问控制如应用代理防火墙 e应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换 测评实施重点 1设置访问控制规则默认情况下除允许通信外受控接口拒绝所有通信 2优化访问控制列表ACL至最小化 3明确的五元组访问控制规则 4对进出网络的流量进行过滤 5部署NGFW实现基于应用协议和应用内容的访问控制 64级系统例如SCADA、电网调度系统等要求采用通信协议转换、通信协议隔离等方式进行数据交换 3.入侵检测-外部网络攻击、内部网络攻击和新型网络攻击 在关键网络节点监视所在网络内的各种数据包 1-0/2-1/3-4/4-4 a应在关键网络节点处监视网络攻击行为如抗APT攻击系统、网络回溯系统、IPS等 a应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为 b应在关键网络节点处检测、防止或限制从内部发起的网络攻击行 c应采取技术措施对网络行为进行分析实现对网络攻击特别是新型网络攻击行为的分析 e当检测到攻击行为时记录攻击源IP、攻击类型、攻击目标、攻击时间在发生严重入侵事件时应提供报警应能通过短信、邮件等向相关人员报警 测评实施重点同上 4.恶意代码和垃圾邮件防范-从网络层面的防恶意代码、防垃圾邮件提出要求 1-0/2-1/3-2/4-2 a应在关键网络节点处对恶意代码进行检测和清除并维护恶意代码防护机制的升级和更新 b应在关键网络节点处对垃圾邮件进行监测和防护并维护垃圾邮件防护机制的升级和更新 测评实施重点 1在关键网络节点处部署恶意代码防护设备如UTM、反病毒防火墙、防病毒网关在邮件系统外部署防垃圾邮件网关设备 2保持相关设备的可用性 3保持相关设备的有效性 4配置相关设备的审计功能实现对安全事件的实时审计并验证防护策略的有效性 5.安全审计-从网络层对终端用户的访问行为进行审计 1-0/2-3/3-4/3-3 a应在网络边界、重要网络节点进行安全审计审计覆盖至每个用户对重要的用户行为和重要安全事件进行审计 b审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 c应对审计记录进行保护定期备份避免受到未预期的删除、修改或覆盖 d应能对远程访问的用户行为访问互联网的用户行为等单独进行行为审计和数据分析 测评实施重点 1在网络边界处、重要节点处部署综合安全审计系统或具有类似功能的系统平台审计范围覆盖所有用户 2配置详细的审计策略对事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息进行记录 3对审计结果数据采取必要的保护措施 4单独对2类访问行为进行安全审计和必要的分析通过互联网或专网远程访问应用系统的业务终端或者从内部访问互联网的业务终端 6.可信验证-安全区域边界的各类设备在启动及运行各环节中进行安全验证 1-1/2-1/3-1/4-1 a对边界设备的系统引导程序、系统程序等进行可信验证并在检测到其可信息性受到破坏后进行报警 a对边界设备的系统引导程序、系统程序等进行可信验证并在检测到其可信息性受到破坏后进行报警并将验证结果形成审计记录送至安全管理 a对边界设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证并在应用程序的关键执行环节进行动态可信验证在检测到其可信息性受到破坏后进行报警并将验证结果形成审计记录送至安全管理中心 a对边界设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证并在应用程序的所有执行环节进行动态可信验证在检测到其可信息性受到破坏后进行报警并将验证结果形成审计记录送至安全管理中心并进行动态关联感知 测评实施重点同上
