分类
控制点(L3)
L2L3应对措施
a) 应保证网络设备的业务处理能力满a)依据业务需求进行网络设备足业务高峰期需要;选型,性能预留;
b)依据业务需求设计传输链
b) 应保证网络各个部分的带宽满足业
路,带宽预留,关键业务链路质
务高峰期需要;
量保障;
a) 应划分不同的网络区域,并按照c) 应划分不同的网络区域,并按照方
方便管理和控制的原则为各网络区域便管理和控制的原则为各网络区域分配c)网络分区分域设计;
8.1.2.1
分配地址;地址;
网络架构
b) 应避免将重要网络区域部署在边d) 应避免将重要网络区域部署在边界d)按照业务重要程度及风险类界处,重要网络区域与其他网络区域处,重要网络区域与其他网络区域之间型进行网络域划分,做好出口防之间应采取可靠的技术隔离手段。应采取可靠的技术隔离手段;护和边界隔离;
8.1.2
安全通信网络
应采用校验技术保证通信过程中数据
8.1.2.2的完整性。通信传输
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通
8.1.2.3信应用程序等进行可信验证,并在检可信验证测到其可信性受到破坏后进行报警,
并将验证结果形成审计记录送至安全管理中心。
应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
e) 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
a) 应采用校验技术或密码技术保证通信过程中数据的完整性;
b) 应采用密码技术保证通信过程中数据的保密性。
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
e)网络系统链路及设备冗余架构设计;
a)数据传输通信链路采用MD5,SHA校验算法;
b)数据传输通信链路采用加密传输技术
选择具备可信机制的网络设备组网,并实现可信系统与安全管理中心的联动;
8.1.3.1边界防护
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
8.1.3.2
c) 应对源地址、目的地址、源端口、
访问控制
目的端口和协议等进行检查,以允许/拒绝数据包进出;
d) 应能根据会话状态信息为进出数
d) 应能根据会话状态信息为进出数据
据流提供明确的允许/拒绝访问的能
流提供明确的允许/拒绝访问的能力;
力。
e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
应在关键网络节点处监视网络攻击行a) 应在关键网络节点处检测、防止或
从外部发起的网络攻击行为;为。
b) 应在关键网络节点处检测、防止或从内部发起的网络攻击行为;c) 应采取技术措施对网络行为进行分
8.1.3.3
析,实现对网络攻击特别是新型网络
8.1.3入侵防范
攻击行为的分析;
安全区
d) 当检测到攻击行为时,记录攻击源
域边界
IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
a)区域边界隔离控制,默认拒
a) 应保证跨越边界的访问和数据流通绝所有通信且根据IP五元组开启过边界设备提供的受控接口进行通信;必要通信,对于WEB网站进行应
用级防护;
b) 应能够对非授权设备私自联到内部
b)终端准入控制及资产识别;
网络的行为进行检查或;
c) 应能够对内部用户非授权联到外部
c)网络访问控制;
网络的行为进行检查或;
d)对无线网络进行统一管控,
d) 应无线网络的使用,保证无线控制其对关键业务系统的访问,网络通过受控的边界设备接入内部网无线网络接入边界(汇聚与核心
之间)部署必要的隔离控制手络。
段;
a) 应在网络边界或区域之间根据访问
a)区域边界隔离控制,默认拒
控制策略设置访问控制规则,默认情况
绝所有通信且根据IP五元组开启
下除允许通信外受控接口拒绝所有通
必要通信;
信;
b) 应删除多余或无效的访问控制规b)防火墙策略策略优化(避免则,优化访问控制列表,并保证访问控配置无效、冗余策略,优化匹配制规则数量最小化;顺序);
c) 应对源地址、目的地址、源端口、c)配置基于IP五元组的防火墙目的端口和协议等进行检查,以允许/策略,遵循最小化、精细化原拒绝数据包进出;则;
d)配置防火墙会话状态检查,
遵循最小化、精细化原则;e)通过应用识别、内容识别功能实现进出流量访问控制;a)互联网出口或其他局点接入平台防护,具备检测防护能力;b)区域边界隔离防护,具备检测防护能力;
c)部署结合情报系统的网络行为分析或者深层次建设设备;d)入侵防范设备选型是考量日志分析及预警能力,或者借助专业分析预警设备进行统一的分析展示;
应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机
8.1.3.4制的升级和更新。恶意代码和垃圾邮件防范
8.1.3.5安全审计
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边
8.1.3.6界防护应用程序等进行可信验证,并可信验证在检测到其可信性受到破坏后进行报
警,并将验证结果形成审计记录送至安全管理中心。a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;b) 应具有登录失败处理功能,应配置并启用结束会话、非法登录次数和当登录连接超时自动退出等相关措
8.1.4.1施;
身份鉴别c) 当进行远程管理时,应采取必要措
施防止鉴别信息在网络传输过程中被窃听。
a)根据关键节点部位选在部署
a) 应在关键网络节点处对恶意代码进
专用网络防病毒系统(设备),
行检测和清除,并维护恶意代码防护机
配置自动更新策略或者手动高频
制的升级和更新;
定期更新;
b)邮件服务器配置反垃圾机制
b) 应在关键网络节点处对垃圾邮件进并定期升级更新垃圾地址库或者行检测和防护,并维护垃圾邮件防护在邮件服务器前端部署DLP进行
内容识别检测,通关关键字定义机制的升级和更新。
匹配反垃圾邮件;
a) 应在网络边界、重要网络节点进行a)通过日志归集分析或者专业安全审计,审计覆盖到每个用户,对重的采集分析设备实现对单ip、单要的用户行为和重要安全事件进行审用户的流量分析审计,且能够实计;现流量标记及细粒度时间分析;b) 审计记录应包括事件的日期和时间b)审计设备或者边界防护设备、用户、事件类型、事件是否成功及其选型时考量日志细粒度分析能他与审计相关的信息;力;
c)边界防护设备选型时考量日志存储及转存能力,专业审计设c) 应对审计记录进行保护,定期备
份,避免受到未预期的删除、修改或覆备的存储空间需要满足日志归集
存储的需求同时应具备转存能盖等;
力;
d) 应能对远程访问的用户行为、访问
d)通过用户群组定义对用户行
互联网的用户行为等单独进行行为审
为进行审计分析;
计和数据分析。
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防
护应用程序等进行可信验证,并在应用选择具备可信机制的安全设备组程序的关键执行环节进行动态可信验网,并实现可信系统与安全管理证,在检测到其可信性受到破坏后进行中心的联动;报警,并将验证结果形成审计记录送至安全管理中心。
a) 应对登录的用户进行身份标识和鉴
a)禁止设备无密登录,配置账
别,身份标识具有唯一性,身份鉴别信
户及密码策略;
息具有复杂度要求并定期更换;
b) 应具有登录失败处理功能,应配置
b)配置设备登录失败或者登录
并启用结束会话、非法登录次数和
超时处理机制;
当登录连接超时自动退出等相关措施;c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
c)禁用Telnet、RDP远程登录协议或者借助堡垒机进行主机管理;
d)设备身份鉴别采用多因素认证
a)用户身份认证,禁止无密登录
b)禁用默认账号c)账号定期清理优化
d)“三权分立”,遵循最小化权限分配原则
e)通过防火墙或者系统防火墙实现基于IP五元组的访问控制;
f)配置基于应用(数据库、文件系统等)的访问控制策略;g)通过强制身份标记实现所有访问的控制(凝思);a)对服务器日志及告警信息等进行归集、分析并根据用户及事件等级等维度进行展示;b)审计设备选型时考量日志细粒度分析能力;
a) 应对登录的用户分配账户和权限;a) 应对登录的用户分配账户和权限;
b) 应重命名或删除默认账户,修改默认账户的默认口令;
c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;
d) 应授予管理用户所需的最小权限,实现管理用户的权限分离;
8.1.4.2
e) 应由授权主体配置访问控制策略,
访问控制
访问控制策略规定主体对客体的访问规则;
f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
g) 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
a) 应启用安全审计功能,审计覆盖a) 应启用安全审计功能,审计覆盖到到每个用户,对重要的用户行为和重每个用户,对重要的用户行为和重要安要安全事件进行审计;全事件进行审计;
b) 审计记录应包括事件的日期和时b) 审计记录应包括事件的日期和时间间、用户、事件类型、事件是否成功、用户、事件类型、事件是否成功及其
8.1.4.3
及其他与审计相关的信息;他与审计相关的信息;
安全审计
b) 应重命名或删除默认账户,修改默认账户的默认口令;
c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;d) 应授予管理用户所需的最小权限,实现管理用户的权限分离。
安全审计
8.1.4.4入侵防范
8.1.4安全计算环境
8.1.4.5恶意代码防范
8.1.4.6可信验证
8.1.4.7数据完整性
8.1.4.8数据保密性
8.1.4.9数据备份恢复
8.1.4.10剩余信息保护
8.1.4.11个人信息
c)审计设备的存储空间需要满足日志归集存储的需求同时应具备转存能力;
d)采用专业审计设备进行审计数据处理;
a)不要安装非必要软件,用进
a) 应遵循最小安装的原则,仅安装需a) 应遵循最小安装的原则,仅安装需
程监控模块或者资产梳理模块进
要的组件和应用程序;要的组件和应用程序;
行管理;
b)关闭不需要的系统服务、默
b) 应关闭不需要的系统服务、默认共b) 应关闭不需要的系统服务、默认共认共享和高危端口,用进程监控
模块或者资产梳理模块进行管享和高危端口;享和高危端口;
理;
c) 应通过设定终端接入方式或网络c) 应通过设定终端接入方式或网络地c)做好准入控制和资产管理地址范围对通过网络进行管理的管理址范围对通过网络进行管理的管理终端(IP、设备),配置必要的防护终端进行;进行;策略,比如IP-MAC绑定等;d) 应提供数据有效性检验功能,保d) 应提供数据有效性检验功能,保证d)业务系统开发设置相应的机证通过人机接口输入或通过通信接口通过人机接口输入或通过通信接口输入制,主机及系统维护通过堡垒机输入的内容符合系统设定要求;的内容符合系统设定要求;做好审计;e) 应能发现可能存在的已知漏洞,e) 应能发现可能存在的已知漏洞,并
e)定期检查修改漏洞,高位漏
并在经过充分测试评估后,及时修补在经过充分测试评估后,及时修补漏
洞及时修复;
漏洞。洞;
f) 应能够检测到对重要节点进行入侵
f)关键主机深层次(进程、文
的行为,并在发生严重入侵事件时提
件)监控和重要事件告警;
供报警。
应安装防恶意代码软件或配置具有相应采用免受恶意代码攻击的技术措施
应功能的软件,并定期进行升级和更或主动免疫可信验证机制及时识别入主机杀毒
侵和病毒行为,并将其有效阻断。新防恶意代码库。
可基于可信根对计算设备的系统引导程
可基于可信根对计算设备的系统引导
序、系统程序、重要配置参数和应用程
程序、系统程序、重要配置参数和应
序等进行可信验证,并在应用程序的关选择具备可信机制的计算设备,
用程序等进行可信验证,并在检测到
键执行环节进行动态可信验证,在检测并实现可信系统与安全管理中心
其可信性受到破坏后进行报警,并将
到其可信性受到破坏后进行报警,并将的联动;
验证结果形成审计记录送至安全管理
验证结果形成审计记录送至安全管理中
中心。
心。
a) 应采用校验技术或密码技术保证重
要数据在传输过程中的完整性,包括但a)运用MD5、HASH等技术进行数
应采用校验技术保证重要数据在传输
不限于鉴别数据、重要业务数据、重要据完整性校验,同时运用数据防
过程中的完整性
审计数据、重要配置数据、重要视频数泄漏产品把控敏感数据的传输;据和重要个人信息等;
b) 应采用校验技术或密码技术保证重
要数据在存储过程中的完整性,包括b)运用MD5、HASH等技术进行数但不限于鉴别数据、重要业务数据、据完整性校验,同时运用数据扫重要审计数据、重要配置数据、重要描设备掌握关键数据分布情况;视频数据和重要个人信息等。
a) 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴
a)数据传输加密;
别数据、重要业务数据和重要个人信息等;
b) 应采用密码技术保证重要数据在存
b)选择具有数据加密功能的存
储过程中的保密性,包括但不限于鉴
储或者使用加密软硬件对数据进
别数据、重要业务数据和重要个人信
行加密,例如BitLocker;
息等。
a) 应提供重要数据的本地数据备份与a) 应提供重要数据的本地数据备份与
a)备份系统建设;
恢复功能;恢复功能;
b) 应提供异地数据备份功能,利用b) 应提供异地实时备份功能,利用通
通信网络将重要数据定时批量传送至信网络将重要数据实时备份至备份场b)“两地三中心”建设备用场地。地;
c)存储及备份系统冗余架构设计
c) 应提供重要数据处理系统的热冗
或者采用双活数据数据中心,多
余,保证系统的高可用性。
副本机制
应保证鉴别信息所在的存储空间被释a) 应保证鉴别信息所在的存储空间被a)建立起完善的剩余信息保护放或重新分配前得到完全清除。释放或重新分配前得到完全清除;机制;
b) 应保证存有敏感数据的存储空间被b)建立起完善的剩余信息保护释放或重新分配前得到完全清除。机制;
a)建立起完善的信息采集机制
a) 应仅采集和保存业务必需的用户a) 应仅采集和保存业务必需的用户个并应用到应用程序开发中,通过
数据扫描和数据防泄漏系统掌握个人信息;人信息;
个人信息采集存储情况;
c) 应对审计记录进行保护,定期备c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或份,避免受到未预期的删除、修改或覆覆盖等。盖等;
d) 应对审计进程进行保护,防止未经授权的中断。
个人信息保护
b) 应禁止未授权访问和非法使用用户个人信息。
a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
8.1.5.1
系统管理b) 应通过系统管理员对系统的资源和
运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行
8.1.5.2审计;审计管理
b) 应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
8.1.5
安全管8.1.5.3理中心安全管理
8.1.5.4集中管控
b)建立起完善的信息数据适用
b) 应禁止未授权访问和非法使用用户机制并应用到应用程序开发中,
通过数据防泄漏系统和数据库审个人信息。
计系统掌握数据调用适用情况;a)产品选型时考虑“三元角色
a) 应对系统管理员进行身份鉴别,只
”支持能力,设置的系统管
允许其通过特定的命令或操作界面进行
理员并在管理界面进行操作审计
系统管理操作,并对这些操作进行审
记录或者借助堡垒机进行操作审
计;
计;
b) 应通过系统管理员对系统的资源和
运行进行配置、控制和管理,包括用户b)“三元角色”严格设定各个身份、系统资源配置、系统加载和启动角色的权限划分,并制定相应的、系统运行的异常处理、数据和设备的管理制度宣贯执行;备份与恢复等。
a)产品选型时考虑“三元角色
a) 应对审计管理员进行身份鉴别,只
”支持能力,设置的审计管
允许其通过特定的命令或操作界面进行
理员并在管理界面进行操作审计
安全审计操作,并对这些操作进行审
记录或者借助堡垒机进行操作审
计;
计;
b) 应通过审计管理员对审计记录应进
b)“三元角色”严格设定各个
行分析,并根据分析结果进行处理,包
角色的权限划分,并制定相应的
括根据安全审计策略对审计记录进行存
管理制度宣贯执行;
储、管理和查询等。
a) 应对安全管理员进行身份鉴别,只a)产品选型时考虑“三元角色允许其通过特定的命令或操作界面进”支持能力,设置的安全管行安全管理操作,并对这些操作进行理员并在管理界面进行操作或者审计;借助堡垒机进行操作审计;
b)“三元角色”严格设定各个
b) 应通过安全管理员对系统中的安全角色的权限划分,并制定相应的
管理制度宣贯执行;(此部分强策略进行配置,包括安全参数的设
置,主体、客体进行统一安全标记,调了主客体安全标记,除了细粒对主体进行授权,配置可信验证策略度的控制对象外还有强制身份标
记的应用,比如说凝思的安全系等。
统)
a) 应划分出特定的管理区域,对分布
在网络中的安全设备或安全组件进行a)设置“安全管理区”;管控;
b) 应能够建立一条安全的信息传输路b)建立带外传输网络进行安全径,对网络中的安全设备或安全组件管理并把“安全管理区”作为独进行管理;立的网络域进行安全防护;c) 应对网络链路、安全设备、网络设
c)网络状态及设备状态集中监
备和服务器等的运行状况进行集中监
控;
测;
d) 应对分散在各个设备上的审计数据
进行收集汇总和集中分析,并保证审d)日志或者日志集中采集分计记录的留存时间符合法律法规要析,至少保存6个月;求;
e)通过集中平台纳管管理组网
e) 应对安全策略、恶意代码、补丁升
设备,进行升级操作、策略下发
级等安全相关事项进行集中管理;
等;
f) 应能对网络中发生的各类安全事件f)对全网日志或者流量进行归进行识别、报警和分析。集分析展示,告警
