安全通用要求
边界防护
a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
b)应能够对非授权设备私自联到内部网络的行为进行检查或限制;
c)应能够对内部用户非授权联到外部网络的行为进行检查或限制;
d)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
访问控制
a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;
e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
入侵防范
a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;
c)应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;
d)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
恶意代码和垃圾邮件防范
a)应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
b)应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
安全审计
a)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
可信验证
a)可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
云计算安全扩展要求
访问控制
a)应在虚拟化网络边界部署访问控制机制,并设置访问控制规则;
b)应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则。
入侵防范
)应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
b)应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
c)应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量;
d)应在检测到网络攻击行为、异常流量情况时进行告警。
安全审计
a)应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启;
b)应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。
移动互联安全扩展要求
边界防护
a)应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。
访问控制
a)无线接入设备应开启接入认证功能,并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证。
入侵防范
a)应能够检测到非授权无线接入设备和非授权移动终端的接入行为;
b)应能够检测到针对无线接入设备的网络扫描、DDoS攻击、密钥破解、中间人攻击和欺骗攻击等行为;
c)应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态;
d)应禁用无线接入设备和无线接入网关存在风险的功能,如:SSID广播、WEP认证等;
e)应禁止多个AP使用同一个认证密钥;
f)应能够阻断非授权无线接入设备或非授权移动终端。
扫一扫
3213
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
