第二三级等保网络及部分主机安全实现的说明1210.docx
《第二三级等保网络及部分主机安全实现的说明1210.docx》由会员分享,可在线阅读,更多相关《第二三级等保网络及部分主机安全实现的说明1210.docx(17页珍藏版)》请在冰豆网上搜索。
第二三级等保网络及部分主机安全实现的说明1210
11 第二级基本要求
网络安全
结构安全(G2)
本项要求包括:
a)应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
支持:
双核心,核心设备支持多插槽,具备多业务扩展能力。
b)应保证接入网络和核心网络的带宽满足业务高峰期需要;
支持:
核心及接入设备的带宽可扩展万兆能力。
c)应绘制与当前运行情况相符的网络拓扑结构图;
需要配合网络管理软件系统实现,通过网络管理软件SNC查看全网二层、三层设备及拓扑图
d)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
支持:
实施时将严格对不同工作职能等的工作部门进行不同子网的分配访问控制(G2)
本项要求包括:
a)应在网络边界部署访问控制设备,启用访问控制功能;
支持:
核心设备配置防火墙模块,可支持多数量的虚拟防火墙,基于边界控制访问。
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。
支持:
通过防火墙和GSN,可实现基于每个网段的会话限制,以及相关数据流的访问控制。
c)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
支持:
通过GSN与防火墙模块相结合实现对用户的受控资源的访问,控制粒度为用户级。
d)应限制具有拨号访问权限的用户数量。
支持:
通过GSN桌管功能限制用户拨号、多网卡连接、代理外联。
安全审计(G2)
本项要求包括:
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
通过部署网管系统实现设备状态检测、网络流量查看,通过GSN桌管实现用户行为审计
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
通过架设E-log日志服务器与防火墙对接获取日志,通过网管和准入系统的日志系统、以及IDS实现
边界完整性检查(S2)
应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。
支持:
通过安全准入的桌管系统实现非法外联的检测和报告
入侵防范(G2)
应在网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
支持:
防火墙板卡可对安全事件进行防护,GSN和IDS联动可对网络攻击自动发现并自动阻止。
网络设备防护(G2)
本项要求包括:
a)应对登录网络设备的用户进行身份鉴别;
通过在网络设备上设置登录密码(可网管设备均支持)
b)应对网络设备的管理员登录地址进行限制;
通过在网络设备的登录配置模式里配置访问控制列表(可网管设备均支持)
c)网络设备用户的标识应唯一;
访问控制列表里仅允许管理员IP(可网管设备均支持)
d)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
通过在GSN里勾上“口令复杂性要求”及“口令过期时间”
e)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
通过在GSN里进行设置可以实现以上要求
f)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
主机安全
身份鉴别(S2)
本项要求包括:
a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
对操作系统和数据库设置登录密码(在操作系统上设置)
b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
通过在GSN里勾上“口令复杂性要求”及“口令过期时间”
c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
在GSN服务器上设置
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
e)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
通过GSN实现对用户统一管理
访问控制(S2)
本项要求包括:
a)应启用访问控制功能,依据安全策略控制用户对资源的访问;
支持:
GSN实现入网认证,身份识别,并通过GSN和防火墙板卡联动实现对用户访问资源的动态下发。
b)应实现操作系统和数据库系统特权用户的权限分离;
通过GSN和防火墙板卡联动实现安全域划分,不同业务系统在不同的安全域,并对不同用户给予不同的权限
c)应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
在GSN服务器上设置
d)应及时删除多余的、过期的帐户,避免共享帐户的存在。
在GSN服务器上设置
安全审计(G2)
本项要求包括:
a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;
通GSN桌管系统的客户端可以实现对每个用户、每个操作系统的进程、桌面定期截图等进行审计和记录。
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
GSN桌管能对所有用户的硬件资源、操作系统集中查看并生成报表,同时能对安装的软件、进程、注册表、系统命令集中管理,并通过截图、日志记录对用户行为进行监控。
c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
通过审计日志记录以上信息
d)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
通过对审计日志进行备份(通过Windows2003备份工具即可实现)
入侵防范(G2)
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
支持:
通过GSN实现系统补丁更新、杀毒软件更新
恶意代码防范(G2)
本项要求包括:
a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
针对重要服务器进行防恶意代码的保护,通过硬件WEB防火墙来实现,并支持代码库自动升级
b)应支持防恶意代码软件的统一管理。
(不支持)
资源控制(A2)
本项要求包括:
a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;
支持:
通过GSN准入控制实现
b)应根据安全策略设置登录终端的操作超时锁定;
支持:
通过在GSN服务器上设置
c)应限制单个用户对系统资源的最大或最小使用限度。
支持:
通过GSN权限设置实现
应用安全
身份鉴别(S2)
本项要求包括:
a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
通过GSN和防火墙板卡(控制模块)联动实现入网认证,惊醒身份识别和鉴别
b)应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
通过在GSN服务器上设置
c)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
通过在GSN服务器上设置,对于登录失败GSN会下发策略到交换机或防火墙板卡,对用户进行隔离
d)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
GSN支持用户名,主机IP、MAC、交换机端口、交换机IP等多元素灵活绑定,严格确保入网身份鉴别,对于多次登录失败的用户会对交换机下发策略进行隔离。
访问控制(S2)
本项要求包括:
a)应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
GSN针对用户下发访问控制策略,实现访问控制功能。
b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;
通过GSN实现
c)应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;
在授权服务器上进行设置
d)应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
通过GSN和防火墙板卡联动实现安全域,不同的账户拥有不同的权限,且将用户授予的权限设置到最小。
安全审计(G2)
本项要求包括:
a)应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
b)应保证无法删除、修改或覆盖审计记录;
c)审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。
通信完整性(S2)
应采用校验码技术保证通信过程中数据的完整性。
传输层本来就具有CRC校验机制,同时对于重要业务系统通过VPN实现更高的校验码技术
通信保密性(S2)
本项要求包括:
a)在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;
对重要业务系统通过VPN访问方式实现数据加密、验证
b)应对通信过程中的敏感信息字段进行加密。
通过VPN加密方式实现
软件容错(A2)(不支持)
本项要求包括:
a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;
b)在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施。
资源控制(A2)(不支持)
本项要求包括:
a)当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
b)应能够对应用系统的最大并发会话连接数进行限制;
c)应能够对单个帐户的多重并发会话进行限制。
数据安全及备份恢复
数据完整性(S2)
应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。
通过VPN实现
数据保密性(S2)
应采用加密或其他保护措施实现鉴别信息的存储保密性。
(不支持)
备份和恢复(A2)
本项要求包括:
a)应能够对重要信息进行备份和恢复;
通过主磁盘柜和备份磁盘柜实现数据备份和恢复。
b)应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性。
通过双核心、双链路上联实现设备、链路的冗余。
12 第三级基本要求
技术要求
网络安全
结构安全(G3)
本项要求包括:
a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
支持:
双核心,核心设备支持多插槽,具备多业务扩展能力。
b)应保证网络各个部分的带宽满足业务高峰期需要;
支持:
核心及接入设备的带宽可扩展万兆能力。
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
支持:
通过GSN和防火墙板卡联动实现访问路径的隔离
d)应绘制与当前运行情况相符的网络拓扑结构图;
通过网络管理软件系统SNC实现
e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
支持:
实施时将严格对不同工作职能等的工作部门进行不同子网的分配
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
支持:
通过部署具备防地址欺骗的接入安全交换机实现
g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
支持:
在安全交换机上启用QOS实现
访问控制(G3)
本项要求包括:
a)应在网络边界部署访问控制设备,启用访问控制功能;
支持:
核心设备配置防火墙模块,可支持多数量的虚拟防火墙,基于边界控制访问。
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
支持:
通过GSN与防火墙模块相结合实现对用户的受控资源的访问,同时GSN支持用户、IP、MAC、交换机IP、交换机端口灵活绑定,控制粒度更细。
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
支持:
通过在接入安全交换机、路由器、防火墙板卡上设置扩展访问控制列表对端口号进行控制来实现
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;
e)应限制网络最大流量数及网络连接数;
支持:
通过防火墙、流量控制设备等安全设备实现
f)重要网段应采取技术手段防止地址欺骗;
支持:
通过GSN和锐捷具有ARP表项的网关设备、支持ARPcheck的交换机联动,三重立体防护ARP欺骗;客户端静态自动绑定
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
支持:
通过GSN和防火墙板卡联动实现,GSN可下发基于不同用户的不同策略到防火墙板卡,实现针对用户的访问权限控制。
h)应限制具有拨号访问权限的用户数量。
支持:
通过GSN桌管功能限制用户拨号、多网卡连接、代理外联。
安全审计(G3)
本项要求包括:
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
支持:
通过部署网管系统实现设备状态检测,通过GSN实现用户行为审计
b)审计记录应包括:
事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
支持:
通过架设E-log服务器与防火墙对接获取日志,通过网管和准入系统的日志系统、以及IDS实现
c)应能够根据记录数据进行分析,并生成审计报表;
支持:
通过架设E-log服务器与防火墙对接获取日志,通过网管和准入系统的日志系统、以及IDS实现
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
需要管理员人工保留实现
边界完整性检查(S3)
本项要求包括:
a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
支持:
通过GSN实现入网认证,未授权用户在网络边缘进行隔离(接入交换机),并通过警告日志直接定位到用户(GSN支持用户名、IP、MAC、交换机IP、交换机端口等多元素绑定)
b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
支持:
通过GSN桌管组件限制用户拨号、多网卡连接、代理外联。
并通过警告日志直接定位到用户(GSN支持用户名、IP、MAC、交换机IP、交换机端口等多元素绑定),可通过GSN的防非法外连功能,实现对于一切非法外连行为的管理和日志
入侵防范(G3)
本项要求包括:
a)应在网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
支持:
防火墙板卡可对安全事件进行防护,GSN和IDS联动可对网络攻击自动发现并自动阻止。
b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
支持:
通过IDS和日志系统E-log联动实现
恶意代码防范(G3)
本项要求包括:
a)应在网络边界处对恶意代码进行检测和清除;
支持:
通过边界防火墙,并通过IDS和GSN联动对恶意代码和网络攻击自动检测和清除。
b)应维护恶意代码库的升级和检测系统的更新。
支持:
IDS支持代码库自动升级
网络设备防护(G3)
本项要求包括:
a)应对登录网络设备的用户进行身份鉴别;
在网络设备上配置登录口令(可网管设备均支持)
b)应对网络设备的管理员登录地址进行限制;
登录配置模式下设置访问控制列表(可网管设备均支持)
c)网络设备用户的标识应唯一;
访问控制列表里仅允许管理员可登录(可网管设备均支持)
d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
通过GSN入网认证进行身份识别,同时通过在设备上配置登录口令进行身份识别。
e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
通过在GSN里勾上“口令复杂性要求”及“口令过期时间”
f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
通过在GSN服务器上设置实现
g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
h)应实现设备特权用户的权限分离。
通过GSN和防火墙板卡联动实现安全域划分,不同业务系统在不同的安全域,并对不同用户给予不同的权限
主机安全
身份鉴别(S3)
本项要求包括:
a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
对操作系统和数据库设置登录密码(在操作系统上设置)
b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
通过在GSN里勾上“口令复杂性要求”及“口令过期时间”
c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
在GSN服务器上设置
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;(不支持)
e)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
通过GSN实现对用户统一管理
f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
通过GSN入网认证进行身份识别,同时通过在主机上配置登录口令进行身份识别。
访问控制(S3)
本项要求包括:
a)应启用访问控制功能,依据安全策略控制用户对资源的访问;
支持:
GSN实现入网即认证,同时通过和防火墙板卡联动实现基于用户名的资源权限下发。
b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
c)应实现操作系统和数据库系统特权用户的权限分离;(不支持)
d)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
通过GSN设置实现,通过桌面管理实现
e)应及时删除多余的、过期的帐户,避免共享帐户的存在。
通过GSN设置实现,通过桌面管理实现
f)应对重要信息资源设置敏感标记;(不支持)
g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;(不支持)
安全审计(G3)
本项要求包括:
a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
d)应能够根据记录数据进行分析,并生成审计报表;
e)应保护审计进程,避免受到未预期的中断;
f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
剩余信息保护(S3)
本项要求包括:
a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
入侵防范(G3)
本项要求包括:
a)应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
通过GSN、IDS、WEB防火墙、日志系统联动实现。
b)应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;
GSN能对安装软件进行检测并恢复
c)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
通过GSN实现系统补丁、杀毒软件及时更新。
恶意代码防范(G3)
针对重要服务器进行防恶意代码的保护,通过硬件WEB防火墙来实现,并支持代码库自动升级
本项要求包括:
a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
c)应支持防恶意代码的统一管理。
(不支持)
资源控制(A3)
本项要求包括:
a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;
支持:
通过GSN准入控制实现
b)应根据安全策略设置登录终端的操作超时锁定;
通过在GSN服务器上设置实现
c)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;
需通过运维管理软件RIIL实现对服务器、数据库、路由器、交换机、业务系统统一管理。
d)应限制单个用户对系统资源的最大或最小使用限度;
支持:
通过GSN实现
e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。
通过网管软件设置报警阈值
应用安全
身份鉴别(S3)
本项要求包括:
a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
通过GSN和防火墙板卡(控制模块)联动实现入网认证,进行身份识别和鉴别
b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
通过GSN实现认证身份识别,通过通过在主机或系统上设置身份认证识别
c)应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
通过在GSN服务器上设置
d)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
通过在GSN服务器上设置,对于登录失败GSN会下发策略到交换机或防火墙板卡,对用户进行隔离,可限制一定时间内的登陆次数,避免暴力破解
e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
GSN支持用户名,主机IP、MAC、交换机端口、交换机IP、硬盘序列号等多元素灵活绑定,严格确保入网身份鉴别,对于多次登录失败的用户会对交换机下发策略进行隔离。
访问控制(S3)(不支持)
本项要求包括:
a)应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;
c)应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;
d)应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
e)应具有对重要信息资源设置敏感标记的功能;
f)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;
安全审计(G3)
本项要求包括:
a)应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
通过GSN桌管实现安全审计功能,每个用户都安装客户端,能覆盖每个用户。
b)应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;
c)桌面审计组件客户端进程具有防杀死功能
d)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;
通过GSN桌管实现
e)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
GSN桌管生成报表
剩余信息保护(S3)(不支持)
本项要求包括:
a)应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
b)应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。
通信完整性(S3)
应采用密码技术保证通信过程中数据的完整性。
通过VPN实现
通信保密性(S3)
本项要求包括:
a)在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;
通过VPN实现
b)应对通信过程中的整个报文或会话过程进行加密。
通过VPN实现
抗抵赖(G3)(不支持)
本项要求包括:
a)应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能;
b)应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
软件容错(A3)(不支持)
本项要求包括:
a)应提供数据有效性检验功能,保证通过人机
升级会员 