等级保护网络安全测评内容及山石网科应对方案

Hillstone山石网科解决方案事业部|HillstoneConfidential编写目的大多数行业用户多要做等级保护等级保护建设的关键任务是通过测评山石的价值在于提供满足等保要求的产品从测评内容反观山石网关能做的事情|HillstoneConfidential编写内容依据理解反观Hillstone山石网科安全网关可为用户提供的价值用户等级保护建设的要点用户等级保护建设结果的考察点|HillstoneConfidential先看等级保护的基本要求物理安全网络安全主机安全应用安全数据安全身份鉴别（S）安全标记（S）访问控制（S）可信路径（S）安全审计（G）剩余信息保护（S）物理位置的选择（G）物理访问控制（G）防盗窃和破坏（G）防雷/火/水（G）温湿度控制（G）电力供应（A）数据完整性（S）数据保密性（S）备份与恢复（A）防静电（G）电磁防护（S）入侵防范（G）资源控制（A）恶意代码防范（G）结构安全（G）访问控制（G）安全审计（G）边界完整性检查（S）入侵防范（G）恶意代码防范（G）网络设备防护（G）身份鉴别（S）剩余信息保护（S）安全标记（S）访问控制（S）可信路径（S）安全审计（G）通信完整性（S）通信保密性（S）抗抵赖（G）软件容错（A）资源控制（A）技术要求Hillstone山石网科安全网关技术可以满足的部分Hillstone山石网科安全网关技术可以满足的部分|HillstoneConfidential等级保护网络安全要求概述结构安全（7项要求）访问控制（8项要求）安全审计（4项要求）边界完整性检查（2项要求）入侵防范（2项要求）恶意代码防范（2项要求）网络设备防护（8项要求）以三级系统为例7个控制点33个要求项|HillstoneConfidential结构安全（7项）结构安全是网络安全测评检查的重点，网络结构是否合理直接关系到信息系统的整体安全典型的方法为访谈、检查两种手段Hillstone山石网科安全网关的价值在于提供带灵活宽管理手段|HillstoneConfidential结构安全部分a)应保证主要网络设备等而业务处理能力具备冗余空间，满足业务高峰期需要；条款理解为了保证信息系统的可用性，主要网络设备的业务处理能力应具备冗余空间检查方法访谈网络管理员，询问主要网络设备的性能及业务高峰流量访谈网络管理员，询问采取何种手段对网络设备进行监控|HillstoneConfidentialHillstone山石网科安全网关的状态监控接口流量监控设备状态监控特色功能：应用和用户流量监控|HillstoneConfidential结构安全部分b)应保证网络各个部分的带宽满足业务高峰期需要；条款理解对网络各个部分进行带宽分配，从而保证在业务高峰期业务服务的连续性检查方法询问当前网络各部分的带宽是否满足业务高峰期需要如果无法满足业务高峰期需要，则需进行带宽分配。检查主要网络设备是否进行带宽分配|HillstoneConfidentialHillstone山石网科安全网关的流量控制策略依据特定接口的特定应用制定发送流量控制规则依据特定接口的特定应用制定接受流量控制规则依据特定接口的特定地址制定发送流量控制规则依据特定接口的特定地址制定接受流量控制规则|HillstoneConfidentialHillstone山石网科安全网关的流量控制策略依据特定接口/特定用户/特定应用制定QOS策略支持QOS嵌套特色功能：根据业务动态调整带宽特色功能：根据业务动态调整带宽|HillstoneConfidential结构安全部分c)应在而业务终端与业务服务器之间进行路由控制建立安全的访问路径条款理解静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够自动地建立自己的路由表。路由器之间的路由信息交换是基于路由协议实现的，如OSPF路由协议是一种典型的链路状态的路由协议。如果使用动态路由协议应配置使用路由协议认证功能，保证网络路由安全。检查方法检查边界设备和主要网络设备，查看是否进行了路由控制建立安全的访问路径。查看动态路由协议是否启用了“认证码”的配置|HillstoneConfidentialHillstone山石网科安全网关支持的路由功能Hillstone山石网科安全网关提供多种路由技术，包括静态路由：目的路由、源路由、源接口路由、ISP路由、策略路由，动态路由：RIPV1/V2、OSPF山石能够根据具体的应用和用户指定策略路由，使得对不同应用和不同用户的访问控制更加灵活。|HillstoneConfidential结构安全部分d)应绘制与当前运行情况相符的网络拓扑结构图条款理解为了便于网络管理，应绘制与当前运行情况相符的网络拓扑结构图。当网络拓扑结构发生改变时，应及时更新。检查方法检查网络拓扑图，查看其与当前运行情况是否一致。|HillstoneConfidential结构安全部分e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段条款理解根据实际情况和区域安全防护要求，应在主要网络设备上进行VLAN划分或子网划分。不同VLAN内的报文在传输时是相互隔离的。如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备实现检查方法访谈网络管理员，是否依据部门的工作职能、重要性和应用系统的级别划分了不同的VLAN或子网。|HillstoneConfidentialHillstone山石网科安全网关实现安全域定义与隔离Hillstone山石网科安全网关可将不同的接口定义到不同的安全域上，然后在安全域之间进行隔离与访问控制；Hillstone山石网科安全网关也可将同一个接口定义到不同的安全子域上，同样在不同的子域之间进行访问控制；Hillstone山石网科安全网关还可以将不同的接口定义到一个安全域内，但此时不同接口间的访问也需要进行访问控制。|HillstoneConfidential结构安全部分f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段条款理解为了保证信息系统的安全，应避免将重要网段部署在网络边界处且直接连接外部信息系统，防止来自外部信息系统的攻击。在重要网段和其它网段之间配置安全策略进行访问控制。检查方法检查网络拓扑结构，查看是否将重要网段部署在网络边界处，重要网段和其它网段之间是否配置安全策略进行访问控制。|HillstoneConfidentialHillstone山石网科安全网关实现分域安全防护互联网电信专线ERP应用服务器ERP数据库OA应用服务器OA数据库网站应用服务器网站数据库终端主机运维主机终端主机终端主机终端主机移动办公终端总部分支机构1分支机构2分支机构3网站安全域OA安全域ERP安全域终端安全域运维安全域终端安全域终端安全域终端安全域Hillstone山石网科安全网关Hillstone山石网科安全网关Hillstone山石网科安全网关Hillstone山石网科安全网关Hillstone山石网科安全网关Hillstone山石网科安全网关Hillstone山石网科安全网关山石安全管理中心网站安全域终端安全域应用系统安全域运维安全域终端安全域终端安全域终端安全域数据中心安全域数据中心安全域应用系统安全域数据中心安全域应用系统安全域|HillstoneConfidential结构安全部分g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机条款理解为了保证重要业务服务的连续性，应按照对业务服务的重要次序来指定带宽分配优先级别，从而保证在网络发生拥堵的时候优先保护重要主机。检查方法访谈网络管理员，依据实际应用系统状况，是否进行了带宽优先级分配。|HillstoneConfidentialHillstone山石网科安全网关基于业务的带宽控制依据特定接口的特定应用制定发送流量控制规则依据特定接口的特定应用制定接受流量控制规则依据特定策略控制QOS优先级|HillstoneConfidential等级保护网络安全要求概述结构安全（7项要求）访问控制（8项要求）安全审计（4项要求）边界完整性检查（2项要求）入侵防范（2项要求）恶意代码防范（2项要求）网络设备防护（8项要求）以三级系统为例7个控制点33个要求项|HillstoneConfidential访问控制（8项）访问控制是网络测评检查中的核心部分，涉及到大部分网络设备、安全设备。这是网络安全设备必须满足的典型的方法为访谈、检查两种手段山石网关的价值在于提供灵活的访问控制策略|HillstoneConfidential访问控制部分a)应在网络边界部署访问控制设备，启用访问控制功能条款理解在网络边界部署访问控制设备,防御来自其他网络的攻击，保护内部网络的安全。检查方法检查网络拓扑结构，查看是否在网络边界处部署了访问控制设备，是否启用了访问控制功能。|HillstoneConfidential山石网络边界隔离与访问控制方案Hillstone山石网科安全网关作用在不同安全域的边界，进行隔离与访问控制措施，对重要业务进行有效保护。|HillstoneConfidential访问控制部分b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级条款理解在网络边界部署访问控制设备,对进出网络的流量进行过滤，保护内部网络的安全。配置的访问控制列表应有明确的源/目的地址、源/目的、协议及服务等。检查方法检查访问控制设备，看是否能够针对/目的地址、源/目的、协议及服务制定访问控制策略。查看策略是否可定义禁止和允许访问的能力。|HillstoneConfidentialHillstone山石网科安全网关安全访问策略Hillstone山石网科安全网关可根据IP地址、安全域、用户、服务、时间、特征等配置更细粒度的访问控制策略针对策略还可限定QOS优先级、病毒及入侵防御方式等|HillstoneConfidential访问控制部分c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制条款理解对于一些常用的应用层协议，能够在访问控制设备上实现应用层协议命令级的控制和内容检查，从而增强访问控制粒度。检查方法该测评项一般在防火墙、入侵防御系统上检查。首先查看防火墙、入侵防御系统是否具有该功能，然后登录设备查看是否启用了相应的功能。|HillstoneConfidentialHillstone山石网科安全网关应用行为控制技术Hillstone山石网科