感謝https://m.freebuf.com/articles/es/211964.html
侵聯(lián)刪,謝謝棚赔。
三級(jí)的
安全區(qū)域邊界
參考參考參考不重要的事情也要說三遍
1邊界防護(hù)
001應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信帝簇;
002應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制;
003應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制忆嗜;
004應(yīng)限制無線網(wǎng)絡(luò)的使用己儒,保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。
2訪問控制
005應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則捆毫,默認(rèn)情況下除允許通信外受控接口拒絕所有通信闪湾;
006應(yīng)刪除多余或無效的訪問控制規(guī)則,優(yōu)化訪問控制列表绩卤,并保證訪問控制規(guī)則數(shù)量最小化途样;
007應(yīng)對(duì)源地址、目的地址濒憋、源端口何暇、目的端口和協(xié)議等進(jìn)行檢查,以允許/拒絕數(shù)據(jù)包進(jìn)出凛驮;
008應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力裆站;
009應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制。
3入侵防范
010應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)黔夭、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為宏胯;
011應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為本姥;
012應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析肩袍,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析;
013當(dāng)檢測(cè)到攻擊行為時(shí)婚惫,記錄攻擊源IP氛赐、攻擊類型、攻擊目標(biāo)先舷、攻擊時(shí)間艰管,在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。
4惡意代碼和垃圾郵件防范
014應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)行檢測(cè)和清除蒋川,并維護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和更新蛙婴;
015應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)垃圾郵件進(jìn)行檢測(cè)和防護(hù),并維護(hù)垃圾郵件防護(hù)機(jī)制的升級(jí)和更新尔破。
5安全審計(jì)
016應(yīng)在網(wǎng)絡(luò)邊界街图、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì),審計(jì)覆蓋到每個(gè)用戶懒构,對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)餐济;
017審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶胆剧、事件類型絮姆、事件是否成功及其他與審計(jì)相關(guān)的信息;
018應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)秩霍,定期備份篙悯,避免受到未預(yù)期的刪除、修改或覆蓋等铃绒;
019應(yīng)能對(duì)遠(yuǎn)程訪問的用戶行為鸽照、訪問互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析。
6可信驗(yàn)證
020可基于可信根對(duì)邊界設(shè)備的系統(tǒng)引導(dǎo)程序颠悬、系統(tǒng)程序矮燎、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證,并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證赔癌,在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警诞外,并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。
