信息安全等級保護制度是國家對基礎信息網絡和重要信息系統實施重點保護的關鍵措施。2017年6月1日,《中華人民共和國網絡安全法》施行。網安法第21條提出國家實行網絡安全等級保護制度,是從國家層面對等級保護工作的法律認可。
等級保護測評中技術要求類別分為:
物理安全
網絡安全
主機安全
應用軟件系統安全
數據保護安全
網絡結構安全
a) 關鍵網絡設備的業務處理能力應具備冗餘空間(至少為歷史峰值的3倍),滿足業務高峰期需要;
b)保證接入網絡和核心網絡的帶寬滿足業務高峰期需要;
c) 繪製與當前運行情況相符的網絡拓撲結構圖;
d) 根據網絡所涉及的各個業務部門的工作職能、重要性或所涉及信息的重要程度等因素,劃分不同的子網或網段,並按照方便管理和控制的原則為各子網、網段分配地址段。
網絡訪問控制
a) 在網絡節點和邊界設置訪問控制機制,按確定的網絡訪問控制策略控制用戶對網絡的訪問;
b) 網絡訪問控制策略應包含:
根據訪問控制列表對源地址、目的地址、源端口、目的端口和協議等進行檢查,允許/拒絕數據包出入;
通過訪問控制列表對系統資源實現允許或拒絕用戶訪問,控制粒度為用戶級和系統資源級;
根據會話狀態信息為數據流提供明確的允許/拒絕的能力,控制粒度為用戶級和網段級;
網絡訪問控制應設定過濾規則集,並涵蓋所有出人邊界數據包的處理方式,對於沒有明確定於的數據包,應缺省拒絕;
按用戶和系統之間的允許訪問規則,允許或拒絕用戶對受控系統進行資源訪問,控制粒度為用戶級和系統資源級;
應限制具有撥號訪問權限的用戶數量。
網絡安全審計
a) 在網絡節點和邊界設置安全審計;
b) 審計內容包含網絡設備運行狀況、用戶行為等安全相關事件;
c) 審計記錄包含事件的日期和時間、用戶、事件類型、事件是否成功等;
d) 提供按事件進行安全審計分類、安全審計事件選擇,以及進行安全審計查閱、安全審計分析並生成審計報表等功能;
e) 提供安全審計事件報警、安全審計記錄存儲與保護等功能;審計記錄應至少保存6個月;
f) 在安全審計存儲區記滿時,應採取相應的防止安全審計數據丟失的措施;
g) 為安全審計機制集中控制和審計數據的彙集提供接口。
邊界完整性保護
能夠對內部網絡用戶聯接到外部的行為(比如,網絡用戶終端採用雙網卡跨接外部網絡,或採用電話撥號、ADSL撥號、手機、無線上網卡等無線撥號方式連接其他外部網絡)進行檢查。
網絡設備登錄控制
a) 對網絡設備的管理員、審計員等進行身份標識、身份鑑別,並對登錄地址進行限制;
身份標識:在網絡用戶註冊到設備時進行,應對註冊信息的完整性及其在系統整個生存週期的唯一性進行保護;
身份鑑別:在網絡用戶登錄到設備時進行,採用強化管理的口令或具有相應安全強度的其他機制,並對鑑別所使用的鑑別信息的保密性和完整性進行保護;應具有登錄失敗處理能力,可採取結束會話、限制非法登錄次數和網絡登錄連接超時自動退出等措施;
b) 強化管理口令的具體要求如下:採用數字、字幕、符號的無規律混排方式;口令的長度至少應為8位,並且每季度至少更換1次,更新的口令至少5次內不能重複;
如果設備口令不支持上述複雜度要求,應使用所支持的最長長度,並適當縮小更換週期;也可以使用動態密碼卡等一次性口令認證方式。
c) 應刪除默認用戶或修改默認用戶的口令,系統無法實現的除外;
d) 對網絡設備進行遠程管理時,應採取必要措施防止鑑別信息在網絡傳輸過程中被竊取。
網絡備份與恢復
a) 提供關鍵網絡設備、通信線路的硬件備份;當相關設備或線路發生故障時,用備份設備或線路替換故障設備或線路;
b) 主備通信線路應採用不同運營商的設備;當相關設備或線路發生故障時進行主備切換,支持業務繼續運行。
相關推薦
