三:安全区域边界第三级安全要求
安全区域边界针对网络边界提出了安全控制要求,主要对象为系统边界和区域边界等,涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。
3.1边界防护
- 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
- 应能够对非授权设备私自联到内部网络的行为进行检查或限制;
c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制;
d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
3.2访问控制
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;
e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
3.3入侵防范
- 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。
- 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。
- 应采取技术措施对网络行为进行分折,实现对网络政击特别是新型网络攻击行为的分析