和 垃 圾 邮 件 防
b)应在关键网络节 b)应在关键网络节点 点处对垃圾邮件进 处对垃圾邮件进行 行检测和防护.并维 检测和防护,并维护 护垃圾邮件防护机 垃圾邮件防护机制 制的升级和更新。 的升级和更新。
a）应在网络边界. a)应在网络边界、 a) 应在网络边界、 重要网络节点进行 重要网络节点进行 重要网络节点进行 安全审计,审计覆盖 安全审计,审计覆盖 安全审计,审计覆盖 到每个用户,对重要 到每个用户,对重要 到每个用户,对重要 的用户行为和重要 的用户行为和重要 的用户行为和重要 安全事件进行审计; 安全事件进行审计: 安全事件进行审计;
d)应能根据会话状 d)应能根据会话状 d)应能根据会话状态 态信息为进出数据 态信息为进出数据 信息为进出数据流 流提供明确的允许/ 流提供明确的允许/ 提供明确的允许/拒 拒绝访间的能力。 拒绝访问的能力; 绝访问的能力;
e)应对进出网络的 e)应在网络边界通过
数据流实现基于应 通信协议转换或通
访 问 控 制
c)应对源地址.目 的地址、源端口 、目的端口和协 议等进行检查.以 允许/拒绝数据包 进出。
c)应对源地址.目的 地址、源端口、目 的端口和协议等进 行检查,以允许/拒 绝数据包进出
c)应对源地址,目的 地址、源端口、目 的端口和协议等进 行检查,以允许/拒 绝数据包进出;
c)应对源地址、日的 地址、源端口、目 的端口和协议等进 行检查,以允许/拒绝 数据包进出;
用协议和应用内容 信协议隔离等方式
的访间控制。
进行数据交换。
应在关键网络节点 处监视网络攻击行 为。
a)应在关键网络节 a)应在关键网络节点
点处检测.防止或限 处检测、防止或限
制从外部发起的网 制从外部发起的网
络攻击行为;
络攻击行为;
b)应在关键网络节 b)应在关键网络节点
点处检测、防止或 处检测、防止或限
d)应限制无线网络的 使用,保证无线网络 通过受控的边界设 备接人内部网络;
e) 应能够在发现非
授权设备私自联到
内部网络的行为或
内部用户非授权联
到外部网络的行为
时,对其进行有效阻
断;
f) 应采用可信验证机
制对接入到网络中
的设备进行可信验
证,保证接入网络的
设备真实可信.
a)应在网络边界 根据访问控制策 略设置访问控制 规则.默认情况下 除允许通信外受 控接口拒绝所有 通信;
b)应能够对非授权 b)应能够对非授权设
设备私自联到内部 备私自联到内部网
网络的行为进行检 络的行为进行检查
查或限制;
或限制:
c) 应能够对内部用 c)应能够对内部用户
户非授权联到外部 非授权联到外部网
网络的行为进行检 络的行为进行检查
9.1.
查或限制;
或限制;
3.1 边 界 防 护
d)应限制无线网络 的使用,保证无线网 络通过受控的边界 设备接入内部网络 。
一级
二级
三级
四级
应保证跨越边界 的访问和数据流 通过边界设备提 供的受控接口进 行通信
应保证跨越边界的 访问和数据流通过 边界设备提供的受 控接口进行通信。
应保证跨越边界的 访问和数据流通过 边界设备提供的受 控接口进行通信;
a)应保证跨越边界的 访问和数据流通过 边界设备提供的受 控接口进行通信;
审计记录送至安全 警,并
形成审计记录送至
管理中心
将验证结果形成审 安全管理中心，并
计记录送至安全管 进行动态关联感知
理中心。
。
。
程序、系统程序,重 要配置参数和边界 防护应用程序等进 行可信验证，并在 检测到其可信性受 到破坏后进行报警, 并将验证结果形成
护应用程序等进行 可 信验证,并在应用程 序的关键执行环节 进行动态可信验证, 在检测到其可信性 受到破坏后进行报
护应用程序等进行 可信验证,并在应用 程序的所有执行环 节进行动态可信验 证.在检测到其可信 性受到破坏后进行 报警,并将验证结果
b)应删除多余或 无效的访问控制 规则，优化访问 控制列表.并保证 9.1. 访问控制规则数 3.2 量最小化;.
b)应删除多余或无 效的访问控制规 则，优化访问控制 列表,并保证访问控 制规则数量最小化;
b)应删除多余或无 效的访问控制规则, 优化访问控制列表, 并保证访问控制规 则数量最小化;
b)应删除多余或无效 的访问控制规则.优 化访问控制列表,并 保证访问控制规则 数量最小化;
。
计和数据分析。
可基于可信根对边 可基于可信根对边
界设备的系统引导 界设备的系统引导
可基于可信根对边 程序.系统程序.重要 程序.系统程序.重要
界设备的系统引导 配置参数和边界防 配置参数和边界防
9.1. 3.6 可 信 验 证
可基于可信根对 边界设备的系统 引导程序.系统程 序等进行可信验 证,并在检测到其 可信性受到破坏 后进行报警。
a)应在网络边界或 a)应在网络边界或
区域之间根据访问 区域之间根据访问
控制策略设置访问 控制策略设置访问
控制规则,默认情况 控制规则，默认情
下除允许通信外受 况下除允许通信外
控接口拒绝所有通 受控接口拒绝所有
信;
通信;
a)应在网络边界或区 城之间根据访问控 制策略设置访问控 制规则,默认情况下 除允许通信外受控 接口拒绝所有通信;
9.1. 3.4 恶 意 代 码
应在关键网络节点 n)应在关键网络节 a)应在关键网络节点 处对恶意代码进行 点处对恶意代码进 处对恶意代码进行 检测和清除.并维护 行检测和清除,并维 检测和清除,并维护 恶意代码防护机制 护恶意代码防护机 恶意代码防护机制 的升级和更新。 制的升级和更新; 的升级和更新;
限制从内部发起的 制从内部发起的网
9.1.
网络攻击行为;
络攻击行ቤተ መጻሕፍቲ ባይዱ;
3.3
c)应采取技术措施 c)应采取技术措施对
入
对网络行为进行分 网络行为进行分析,
侵
析,实现对网络攻击 实现对网络攻击特
防
特别是新型网络攻 别是新型网络攻击
范
击行为的分析;
行为的分析;
d) 当检测到攻击行 d) 当检测到攻击行 为时，记录攻击源 为时,记录攻击源IP . IP ,攻击类型、攻击 攻击类型、攻击目 目标、攻击时间,在 标.攻击时间，在发 发生严重入侵事件 生严重人侵事件时 时应提供报警。 应提供报警。
计
c)应对审计记录进 c) 应对审计记录进
行保护,定期备份,避 行保护,定期备份,避
免受到未预期的删 免受到未预期的删
除、修改或覆盖等; 除.修改或覆盖等。
计
c)应对审计记录进 d) 应能对远程访问
行保护,定期备份,避 的用户行为、访间
免受到未预期的删 互联网的用户行为
除、修改或覆盖等 等单独进行行为审
9.1. 3.5 安 全 审
b)审计记录应包括 事件的日期和时间 、用户,事件类型,事 件是否成功及其他 与审计相关的信息;
b)审计记录应包括 事件的日期和时间 、用户.事件类型、 事件是否成功及其 他与审计相关的信 息;
b)审计记录应包括事 件的日期和时间、 用户.事件类型.事件 是否成功及其他与 审计相关的信息;