安全区域边界(设备和技术注解)

网络安全等级保护相关标准参考《GB/T 22239-2019 网络安全等级保护基本要求》和《GB/T 28448-2019 网络安全等级保护测评要求》
密码应用安全性相关标准参考《GB/T 39786-2021 信息系统密码应用基本要求》和《GM/T 0115-2021 信息系统密码应用测评要求》

1边界防护
1.1应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信
    -网闸、防火墙、路由器、交换机和WAG无线接入网关设备
1.2能够对非授权设备私自联到内部网络的行为进行检查或限制
    -终端安全准入系统
1.3能够对内部用户非授权联到外部网络的行为进行检查和限制
    -终端安全管理系统
1.4限制无线网络的使用,保证无线网络设备通过受控的边界设备接入内部网络(高风险判例)
    -WAG无线接入网关设备
1.5能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时,对其进行有效阻断
    -终端安全准入系统、终端安全管理系统
1.6应采用可信验证机制对接入到网络中的设备进行可信验证,保证接入网络的设备真实可信
    -安全接入认证,采用密码技术对从外部连接到内部网络的设备进行接入认证

2访问控制
2.1在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信(高风险判例)
    -网闸、防火墙、路由器、交换机和WAG无线接入网关设备
2.2删除多余或无效的访问控制规则,优化访问控制表,并保证访问控制规则数量最小化
2.3对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出
2.4能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力
2.5对进出网络的数据流实现基于应用协议和应用内容的访问控制
    -WAF应用防火墙
2.6应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换
    -网闸

3入侵防范
3.1在关键网络节点处检测、防止或限制从外部发起的网络攻击行为(高风险判例)
    -IPS入侵保护系统、抗APT攻击系统、抗DDoS攻击系统、网络回溯系统、威胁情报检测系统
3.2在关键网络节点处检测、防止或限制从内部发起的网络攻击行为(高风险判例)
    -内部威胁安全事件(资产管理失控、网络资源滥用、病毒蠕虫入侵、外部非法接入、内部非法外联、重要信息泄密、补丁管理混乱)
3.3采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析
    -抗APT攻击系统、网络回溯系统、威胁情报检测系统
3.4当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时提供报警

4恶意代码和垃圾邮件防范
4.1在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新(高风险判例)
    -AV防病毒网关、UTM统一威胁管理
4.2在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新
    -防垃圾邮件网关

5安全审计
5.1在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计(高风险判例)
    -综合安全审计系统
5.2审计记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
5.3对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
5.4对远程访问的用户行为,访问互联网的用户行为等单独进行行为审计和数据分析

6可信验证
    -基于基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知
    
7云计算安全扩展
7.1在虚拟边界部署访问控制机制,并设置访问控制规则
    -虚拟化网络边界设备
7.2在不同等级的网络区域边界部署访问控制机制,设置访问控制规则
7.3应能检测到云服务客户发起的攻击行为,并能记录攻击类型、攻击时间、攻击流量等
7.4应检测到虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等
7.5应检测到虚拟机和宿主机、虚拟机和虚拟机之间的异常流量
7.6应在检测到网络攻击行为、异常流量时进行告警
7.7应对云服务商和云服务客户在远程管理时执行特权的命令进行审计,至少包括虚拟机删除、虚拟机重启
7.8应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计

8移动互联安全扩展
8.1应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备
    -WAG无线接入网关
8.2无线接入设备应开启接入认证功能,并支持采用认证服务器认证或国家密码管理机构批准的密码模块认证
    -AP无线接入设备
    -WAPI安全协议(国密SM2、SM4算法)
8.3应能检测到非授权无线接入设备和非授权移动终端的接入行为
8.4应能检测到针对无线接入设备的网络扫描、DDoS攻击、密钥破解、中间人攻击和欺骗攻击等行为
8.5应能检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态
8.6应禁止无线接入设备和无线接入网关存在风险的功能,如:SSID广播、WEP认证等
8.7应禁止多个AP使用同一个鉴别密钥
8.8应能够定位和阻断非授权无线接入设备或非授权移动终端
    -终端安全准入系统

9物联网安全扩展
9.1应保证只有授权的感知节点可以接入
9.2应能限制与感知节点通信的目标地址,以避免对陌生地址的攻击行为
9.3应能限制与网关节点通信的目标地址,以避免对陌生地址的攻击行为

10工业控制系统安全扩展
10.1工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务
10.2安全域和安全域之间的边界防护机制失效时,及时进行报警
10.3工业控制系统确需使用拨号访问服务的,应限制具有拨号访问权限的用户数量,并采取用户身份鉴别和访问控制等措施
10.4涉及实时控制和数据传输的工业控制系统禁止使用拨号访问服务
10.5拨号服务器和客户端均应使用经安全加固的操作系统,并采用数字证书认证、传输加密和访问控制等措施
10.6应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一标识和鉴别
10.7应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制
10.8应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护
10.9对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设备,报告未经授权试图接入或干扰控制系统行为

11大数据安全扩展

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/142110.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Spark数据倾斜优化

1 数据倾斜现象 1、现象 绝大多数task任务运行速度很快,但是就是有那么几个task任务运行极其缓慢,慢慢的可能就接着报内存溢出的问题。 2、原因 数据倾斜一般是发生在shuffle类的算子,比如distinct、groupByKey、reduceByKey、aggregateByKey…

vue脚手架初始化项目搭建后配置路由【小白易学】

首先这里你已经创建好项目了,这是跑起来的效果 首先第一步,需要下载路由router npm install vue-router4下载好了之后找到main.js页面,加入router import { createApp } from vue; import App from ./App.vue; import router from ./routercreateApp(A…

采集标准Docker容器日志:部署阿里云Logtail容器以及创建Logtail配置,用于采集标准Docker容器日志

文章目录 引言I 预备知识1.1 LogtailII 查询语法2.1 具体查询语法2.2 查询示例2.3 设置token时间(登录过期时间)see also引言 I 预备知识 1.1 Logtail Logtail是日志服务提供的日志采集Agent,用于采集阿里云ECS、自建IDC、其他云厂商等服务器上的日志。本文介绍Logtail的功…

RTOS实时操作系统在嵌入式开发中的应用

随着各种嵌入式系统应用的日益复杂和对实时性要求的提高,使用实时操作系统(RTOS)成为嵌入式开发中的一种重要选择。STM32微控制器作为一种强大的嵌入式处理器,与各种RTOS相结合,能够提供更高效、可靠并且易于维护的系统…

ESP32网络开发实例-BME280传感器数据保存到InfluxDB时序数据库

BME280传感器数据保存到InfluxDB时序数据库 文章目录 BME280传感器数据保存到InfluxDB时序数据库1、BM280和InfluxDB介绍2、软件准备3、硬件准备4、代码实现在本文中,将详细介绍如何将BME280传感器数据上传到InfluxDB中,方便后期数据处理。 1、BM280和InfluxDB介绍 InfluxDB…

postgreSQL中的高速缓存

1. 高速缓存简介 ​如下图所示,当一个postgreSQL进程读取一个元组时,需要获取表的基本信息(例如:表的oid、索引信息和统计信息等)及元组的模式信息,这些信息被分别记录在多个系统表中。通常一个表的模式信…

果园自主跟随碎枝机器人

开发背景 农业扶贫项目—— 开发一款适用于猕猴桃果园的跟随碎枝机器人。 在猕猴桃的种植培育过程中,一项非常重要的环节便是剪枝,通常有冬剪和夏剪。以往果农剪完枝条后要将散落于地的枝条归拢后统一粉碎还田。这需要专门收集地面上的枝条并将其归拢到…

C语言指针进阶

文章目录 1.字符指针1.1字符1.2字符串 2.数组指针2.2数组名和&数组名2.3数组指针的使用2.3.1一维数组例子2.3.2 二维数组传参2.3.2.1参数是数组的形式2.3.2.2参数是指针的形式 3.指针数组4.数组传参和指针传参4.1 一维数组传参4.1.1参数为数组的形式,参数为指针…

windows系统用于 SDN 的软件负载均衡器 (SLB)

适用于:Azure Stack HCI 版本 22H2 和 21H2;Windows Server 2022、Windows Server 2019、Windows Server 2016 软件负载均衡器包括哪些内容? 软件负载均衡器提供以下功能: 适用于北/南和东/西 TCP/UDP 流量的第 4 层 (L4) 负载均…

制造企业使用设备健康管理平台的好处

智能科技的发展不仅改变了我们的日常生活,也给工业制造领域带来了巨大的变化。在制造业生产线上,每天都在使用各种不同的机器设备来生产我们日常使用的物品。然而,这些设备的维护、维修和状态监测成为了制造企业的一大挑战。随着科技的发展&a…

java学习part02一些特性

17-Java语言概述-Java语言的特点和JVM的功能_哔哩哔哩_bilibili 1.java优点 跨平台性 在jvm上运行 2.jvm 2.1实现跨平台性 不需要对每一种指令集编写编译器,只需要针对jvm编程,jvm会自动转换 2.2内存回收 内存溢出:用的内存太多已经占满了&…

机器视觉系统的组成

图像获取 光学系统采集图像,图像转换成模拟格式并传入计算机存储器。 图像处理和分析 处理器运用不同的算法来提高对结论有重要影响的图像要素并形成数据作为判决依据。 判决和输出 处理器的控制程序根据收到的数据做出结论并输出信息作反馈控制等应用。

初认识vue,v-for,v-if,v-bind,v-model,v-html等指令

vue 一.vue3介绍 1.为什么data是函数而不是对象? 因为vue是组件开发,组件会多次复用,data如果是对象,多次复用是共享,必须函数返回一个新的对象 1. 官网初识 Vue (发音为 /vjuː/,类似 view) 是一款用于构建用户界面的 JavaScript 框架。它基于标准 HTML、CSS …

11.10 知识总结(数据的增删改查、如何创建表关系、Django框架的请求生命周期流程图)

一、 数据的增删改查 1.1 用户列表的展示 把数据表中得用户数据都给查询出来展示在页面上 添加数据 id username password gender age action 修改 删除 1.2 修…

VB.NET三层之用户查询窗体

目录 前言: 过程: UI层代码展示: BLL层代码展示: DAL层代码展示: 查询用户效果图:​ 总结: 前言: 想要对用户进行查询,需要用到控件DataGrideView,通过代码的形式将数据库表中的数据显示在DataGrideview控件中,不用对DatGridView控件…

WordPress 文档主题模板Red Line -v0.2.2

此主题作为框架,做承载第三方页面之用,例如飞书文档等, 您可以将视频图片等资源放第三方文档上,通过使用此主题做目录用。 此主题使用前后端分离开发,也使用了一些技术尽量不影响正常的SEO,还望注意。 源码…

DevEco Studio开发工具下载、安装(HarmonyOS开发)_For Mac

一、说明 初学HarmonyOS开发,DevEco Studio开发工具的安装和使用是必须的。 (注:不多废话,跟着下面流程操作下载、安装DevEco Studio即可。) 二、下载DevEco Studio 1.官网下载地址: https://developer.…

什么是状态机?

什么是状态机? 定义 我们先来给出状态机的基本定义。一句话: 状态机是有限状态自动机的简称,是现实事物运行规则抽象而成的一个数学模型。 先来解释什么是“状态”( State )。现实事物是有不同状态的,例…

Linux高级编程:IPC之管道

一、无名管道 1.1 无名管道的概述 管道(pipe)又称无名管道。 无名管道是一种特殊类型的文件,在应用层体现为两个打开的文件描述符。 任何一个进程在创建的时候,系统都会 给他分配4G的虚拟内存,分为3G的用户空间和1G 的内核空间,内…

wpf devexpress项目中添加GridControl绑定数据

本教程讲解了如何添加GridControl到wpf项目中并且绑定数据 原文地址Lesson 1 - Add a GridControl to a Project and Bind it to Data | WPF Controls | DevExpress Documentation 1、使用 DevExpress Template Gallery创建一个新的空白mvvm应用程序,这个项目包括了…