安全区域边界(设备和技术注解)

news2024/12/22 16:19:50

网络安全等级保护相关标准参考《GB/T 22239-2019 网络安全等级保护基本要求》和《GB/T 28448-2019 网络安全等级保护测评要求》
密码应用安全性相关标准参考《GB/T 39786-2021 信息系统密码应用基本要求》和《GM/T 0115-2021 信息系统密码应用测评要求》

1边界防护
1.1应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信
    -网闸、防火墙、路由器、交换机和WAG无线接入网关设备
1.2能够对非授权设备私自联到内部网络的行为进行检查或限制
    -终端安全准入系统
1.3能够对内部用户非授权联到外部网络的行为进行检查和限制
    -终端安全管理系统
1.4限制无线网络的使用,保证无线网络设备通过受控的边界设备接入内部网络(高风险判例)
    -WAG无线接入网关设备
1.5能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时,对其进行有效阻断
    -终端安全准入系统、终端安全管理系统
1.6应采用可信验证机制对接入到网络中的设备进行可信验证,保证接入网络的设备真实可信
    -安全接入认证,采用密码技术对从外部连接到内部网络的设备进行接入认证

2访问控制
2.1在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信(高风险判例)
    -网闸、防火墙、路由器、交换机和WAG无线接入网关设备
2.2删除多余或无效的访问控制规则,优化访问控制表,并保证访问控制规则数量最小化
2.3对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出
2.4能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力
2.5对进出网络的数据流实现基于应用协议和应用内容的访问控制
    -WAF应用防火墙
2.6应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换
    -网闸

3入侵防范
3.1在关键网络节点处检测、防止或限制从外部发起的网络攻击行为(高风险判例)
    -IPS入侵保护系统、抗APT攻击系统、抗DDoS攻击系统、网络回溯系统、威胁情报检测系统
3.2在关键网络节点处检测、防止或限制从内部发起的网络攻击行为(高风险判例)
    -内部威胁安全事件(资产管理失控、网络资源滥用、病毒蠕虫入侵、外部非法接入、内部非法外联、重要信息泄密、补丁管理混乱)
3.3采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析
    -抗APT攻击系统、网络回溯系统、威胁情报检测系统
3.4当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时提供报警

4恶意代码和垃圾邮件防范
4.1在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新(高风险判例)
    -AV防病毒网关、UTM统一威胁管理
4.2在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新
    -防垃圾邮件网关

5安全审计
5.1在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计(高风险判例)
    -综合安全审计系统
5.2审计记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
5.3对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
5.4对远程访问的用户行为,访问互联网的用户行为等单独进行行为审计和数据分析

6可信验证
    -基于基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知
    
7云计算安全扩展
7.1在虚拟边界部署访问控制机制,并设置访问控制规则
    -虚拟化网络边界设备
7.2在不同等级的网络区域边界部署访问控制机制,设置访问控制规则
7.3应能检测到云服务客户发起的攻击行为,并能记录攻击类型、攻击时间、攻击流量等
7.4应检测到虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等
7.5应检测到虚拟机和宿主机、虚拟机和虚拟机之间的异常流量
7.6应在检测到网络攻击行为、异常流量时进行告警
7.7应对云服务商和云服务客户在远程管理时执行特权的命令进行审计,至少包括虚拟机删除、虚拟机重启
7.8应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计

8移动互联安全扩展
8.1应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备
    -WAG无线接入网关
8.2无线接入设备应开启接入认证功能,并支持采用认证服务器认证或国家密码管理机构批准的密码模块认证
    -AP无线接入设备
    -WAPI安全协议(国密SM2、SM4算法)
8.3应能检测到非授权无线接入设备和非授权移动终端的接入行为
8.4应能检测到针对无线接入设备的网络扫描、DDoS攻击、密钥破解、中间人攻击和欺骗攻击等行为
8.5应能检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态
8.6应禁止无线接入设备和无线接入网关存在风险的功能,如:SSID广播、WEP认证等
8.7应禁止多个AP使用同一个鉴别密钥
8.8应能够定位和阻断非授权无线接入设备或非授权移动终端
    -终端安全准入系统

9物联网安全扩展
9.1应保证只有授权的感知节点可以接入
9.2应能限制与感知节点通信的目标地址,以避免对陌生地址的攻击行为
9.3应能限制与网关节点通信的目标地址,以避免对陌生地址的攻击行为

10工业控制系统安全扩展
10.1工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务
10.2安全域和安全域之间的边界防护机制失效时,及时进行报警
10.3工业控制系统确需使用拨号访问服务的,应限制具有拨号访问权限的用户数量,并采取用户身份鉴别和访问控制等措施
10.4涉及实时控制和数据传输的工业控制系统禁止使用拨号访问服务
10.5拨号服务器和客户端均应使用经安全加固的操作系统,并采用数字证书认证、传输加密和访问控制等措施
10.6应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一标识和鉴别
10.7应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制
10.8应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护
10.9对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设备,报告未经授权试图接入或干扰控制系统行为

11大数据安全扩展

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1204883.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

数据结构与算法之美学习笔记:18 | 散列表(上):Word文档中的单词拼写检查功能是如何实现的?

目录 前言散列思想散列函数散列冲突解答开篇 前言 本节课程思维导图: Word 的单词拼写检查功能,虽然很小但却非常实用。你有没有想过,这个功能是如何实现的呢?其实啊,一点儿都不难。只要你学完今天的内容,…

DDD领域驱动设计模式结构图面向接口编程

DDD领域驱动设计模式结构图面向接口编程 9.资源库 在刚接触资源库(Repository)时,第一反应便是这就是个 DAO 层,访问数据库,然后吧啦吧啦,但是,当接触的越久,越发认识到第一反应是错的,资源库更…

HTML5学习系列之主结构

HTML5学习系列之主结构 前言HTML5主结构定义页眉定义导航定义主要区域定义文章块定义区块定义附栏定义页脚 具体使用总结 前言 学习记录 HTML5主结构 定义页眉 head表示页眉&#xff0c;用来表示标题栏&#xff0c;引导和导航作用的结构元素。 <header role"banner…

YTM32的循环冗余校验CRC外设模块详解

YTM32的循环冗余校验CRC外设模块详解 文章目录 YTM32的循环冗余校验CRC外设模块详解引言原理与机制CRC算法简介从CRC算法到CRC硬件外设 应用要点&#xff08;软件&#xff09;CRC16 用例CRC32 用例 总结参考文献 引言 在串行通信帧中&#xff0c;为了保证数据在传输过程中的完…

尝试使用php给pdf添加水印

在开发中增加pdf水印的功能是很常见的&#xff0c;经过实验发现这中间还是会有很多问题的。第一种模式&#xff0c;采用生成图片的方式把需要添加的内容保存成图片&#xff0c;再将图片加到pdf中间&#xff0c;这种方法略麻烦一些&#xff0c;不过可以解决中文乱码的问题&#…

【MySQL】库的相关操作 + 库的备份和还原

库的操作 前言正式开始创建数据库删除数据库编码集查看系统默认字符集以及校验规则字符集校验规则 所有支持的字符集和校验规则所有字符集所有校验规则 指明字符集和校验规则创建数据库相同的字符集用不同的校验规则读取会出现什么情况 alter修改数据库show create databasealt…

全国各区县平均降水月数据!多时间版本可查询

本周给大家推荐一些环境监测数据~ 今天分享的是全国平均降水数据~ 全国平均降水是指全国各个地区降水的平均值。这个值是通过收集和统计全国各地的降雨和降雪数据得出的。由于各地的气候条件和地形不同&#xff0c;因此全国平均降水并不是简单的平均数&#xff0c;而是根据各…

lora微调模版

lora微调模版 1、版一&#xff1a;使用peft包的lora微调&#xff08;1&#xff09;设置超参方式一&#xff1a;代码中设置&#xff08;便于debug&#xff09;方式二&#xff1a; .sh文件指定 &#xff08;2&#xff09;加载数据集I、对应的.jsonl或json文件, 原始格式为&#x…

【Linux】第十三站:进程状态

文章目录 一、进程状态1.运行状态2.阻塞状态3.挂起状态 二、具体Linux中的进程状态1.Linux中的状态2.R状态3.S状态4.D状态5.T、t状态6.X状态(dead)7.Z状态&#xff08;zombie&#xff09;8.僵尸进程总结9.孤儿进程总结 一、进程状态 在我们一般的操作系统学科中&#xff0c;它…

基于springboot实现家具商城管理系统项目【项目源码】

基于springboot实现家具商城系统演示 Java语言简介 Java是由SUN公司推出&#xff0c;该公司于2010年被oracle公司收购。Java本是印度尼西亚的一个叫做爪洼岛的英文名称&#xff0c;也因此得来java是一杯正冒着热气咖啡的标识。Java语言在移动互联网的大背景下具备了显著的优势…

Linux学习第41天:Linux SPI 驱动实验(二):乾坤大挪移

Linux版本号4.1.15 芯片I.MX6ULL 大叔学Linux 品人间百味 思文短情长 本章的思维导图如下&#xff1a; 二、I.MX6U SPI主机驱动分析 主机驱动一般都是由SOC厂商写好的。不作为重点需要掌握的内容。 三、SPI设备驱动编写流程 1、SP…

Unity中Shader的雾效

文章目录 前言一、Unity中的雾效在哪开启二、Unity中不同种类雾的区别1、线性雾2、指数雾1&#xff08;推荐用这个&#xff0c;兼具效果和性能&#xff09;3、指数雾2&#xff08;效果更真实&#xff0c;性能消耗多&#xff09; 三、在我们自己的Shader中实现判断&#xff0c;是…

Java常用类和基础API

我是南城余&#xff01;阿里云开发者平台专家博士证书获得者&#xff01; 欢迎关注我的博客&#xff01;一同成长&#xff01; 一名从事运维开发的worker&#xff0c;记录分享学习。 专注于AI&#xff0c;运维开发&#xff0c;windows Linux 系统领域的分享&#xff01; 本…

Spark SQL 每年的1月1日算当年的第一个自然周, 给出日期,计算是本年的第几周

一、问题 按每年的1月1日算当年的第一个自然周 (遇到跨年也不管&#xff0c;如果1月1日是周三&#xff0c;那么到1月5号&#xff08;周日&#xff09;算是本年的第一个自然周, 如果按周一是一周的第一天) 计算是本年的第几周&#xff0c;那么 spark sql 如何写 ? 二、分析 …

蓝桥杯 插入排序

插入排序的思想 插入排序是一种简单直观的排序算法&#xff0c;其基本思想是将待排序的元素逐个插入到已排序序列 的合适位置中&#xff0c;使得已排序序列逐渐扩大&#xff0c;从而逐步构建有序序列&#xff0c;最终得到完全有序的序 列。 它类似于我们打扑克牌时的排序方式&…

缅因州政府通知130万人MOVEit数据泄露事件

大家好&#xff0c;今天我要向大家通报一个令人震惊的消息&#xff1a;缅因州政府的系统遭到了入侵&#xff0c;黑客利用MOVEit文件传输工具的漏洞&#xff0c;获取了约130万人的个人信息&#xff0c;这几乎相当于该州的整个人口数量。 MOVEit攻击是Clop勒索软件团伙进行的一次…

数据结构(超详细讲解!!)第二十三节 树型结构

1.定义 树型结构是一类重要的非线性数据结构&#xff0c;是以分支关系定义的层次结构。是一种一对多的逻辑关系。 树型结构是结点之间有分支&#xff0c;并且具有层次关系的结构&#xff0c;它非常类似于自然界中的树。树结构在客观世界中是大量存在的&#xff0c;例如家谱、…

nginx代理docker容器服务

场景描述 避免暴力服务端口&#xff0c;使用nginx代理 一个前端&#xff0c;一个后端&#xff0c;docker方式部署到服务器&#xff0c;使用docker创建的nginx代理端口请求到前端端口 过程 1 docker 安装nginx 1.1 安装一个指定版本的nginx docker pull nginx#启动一个ngi…

【MySQL】对表结构进行增删查改的操作

表的操作 前言正式开始建表查看表show tables;desc xxx;show create table xxx; 修改表修改表名 rename to对表结构进行修改新增一个列 add 对指定列的属性做修改 modify修改列名 change 删除某列 drop 删除表 drop 前言 前一篇讲了库相关的操作&#xff0c;如果你不太懂&…

麒麟信安:助力医疗行业操作系统自主创新,提升可靠性与安全性

应用场景 湖南省康复医院是省卫生健康委直属公立三级康复医院&#xff0c;也是全省唯一一所集预防、医疗、康复、科研、教学、健康管理为一体的省级三级公立康复医院。 湖南省康复医院使用的医慧管平台由湖南蓝途方鼎科技有限公司开发&#xff0c;利用互联网技术&#xff0c;…