等级保护网络安全测评内容及山石网科应对方案范例.pptx

等级保护网络安全测评内容及山石应对方案 Hillstone山石网科解决方案事业部 编写目的 大多数行业用户多要做等级保护 等级保护建设的关键任务是通过测评 山石的价值在于提供满足等保要求的产品 从测评内容反观山石网关能做的事情 编写内容 依据 理解 反观 Hillstone山石网科安全网关可为用户提供的价值 用户等级保护建设的要点 用户等级保护建设结果的考察点 先看等级保护的基本要求 物理安全 网络安全 主机安全 应用安全 数据安全 身份鉴别（S） 安全标记（S） 访问控制（S） 可信路径（S） 安全审计（G） 剩余信息保护（S） 物理位置的选择（G） 物理访问控制（G） 防盗窃和破坏（G） 防雷/火/水（G） 温湿度控制（G） 电力供应（A） 数据完整性（S） 数据必威体育官网网址性（S） 备份与恢复（A） 防静电（G） 电磁防护（S） 入侵防范（G） 资源控制（A） 恶意代码防范（G） 结构安全（G） 访问控制（G） 安全审计（G） 边界完整性检查（S） 入侵防范（G） 恶意代码防范（G） 网络设备防护（G） 身份鉴别（S） 剩余信息保护（S） 安全标记（S） 访问控制（S） 可信路径（S） 安全审计（G） 通信完整性（S） 通信必威体育官网网址性（S） 抗抵赖（G） 软件容错（A） 资源控制（A） 技术要求 Hillstone山石网科安全网关技术可以满足的部分 Hillstone山石网科安全网关技术可以满足的部分 等级保护网络安全要求概述 结构安全 （7项要求） 访问控制 （8项要求） 安全审计 （4项要求） 边界完整性检查 （2项要求） 入侵防范 （2项要求） 恶意代码防范 （2项要求） 网络设备防护 （8项要求） 以三级系统为例 7个控制点 33个要求项 结构安全（7项） 结构安全是网络安全测评检查的重点，网络结构是否合理直接关系到信息系统的整体安全 典型的方法为访谈、检查两种手段 Hillstone山石网科安全网关的价值在于提供带灵活宽管理手段 结构安全部分 应保证主要网络设备等而业务处理能力具备冗余空间，满足业务高峰期需要； 条款理解 为了保证信息系统的可用性，主要网络设备的业务处理能力应具备冗余空间 检查方法 访谈网络管理员，询问主要网络设备的性能及业务高峰流量 访谈网络管理员，询问采取何种手段对网络设备进行监控 Hillstone山石网科安全网关的状态监控 接口流量监控 设备状态监控 特色功能：应用和用户流量监控 结构安全部分 应保证网络各个部分的带宽满足业务高峰期需要； 条款理解 对网络各个部分进行带宽分配，从而保证在业务高峰期业务服务的连续性 检查方法 询问当前网络各部分的带宽是否满足业务高峰期需要 如果无法满足业务高峰期需要，则需进行带宽分配。检查主要网络设备是否进行带宽分配 Hillstone山石网科安全网关的流量控制策略 依据特定接口的特定应用制定发送流量控制规则 依据特定接口的特定应用制定接受流量控制规则 依据特定接口的特定地址制定发送流量控制规则 依据特定接口的特定地址制定接受流量控制规则 Hillstone山石网科安全网关的流量控制策略 依据特定接口/特定用户/特定应用制定QOS策略 支持QOS嵌套 特色功能：根据业务动态调整带宽 特色功能：根据业务动态调整带宽 结构安全部分 应在而业务终端与业务服务器之间进行路由控制建立安全的访问路径 条款理解 静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够自动地建立自己的路由表。 路由器之间的路由信息交换是基于路由协议实现的，如OSPF路由协议是一种典型的链路状态的路由协议。 如果使用动态路由协议应配置使用路由协议认证功能，保证网络路由安全。 检查方法 检查边界设备和主要网络设备，查看是否进行了路由控制建立安全的访问路径。 查看动态路由协议是否启用了“认证码”的配置 Hillstone山石网科安全网关支持的路由功能 Hillstone山石网科安全网关提供多种路由技术，包括静态路由：目的路由、源路由、源接口路由、ISP路由、策略路由，动态路由：RIPV1/V2、OSPF 山石能够根据具体的应用和用户指定策略路由，使得对不同应用和不同用户的访问控制更加灵活。 结构安全部分 应绘制与当前运行情况相符的网络拓扑结构图 条款理解 为了便于网络管理，应绘制与当前运行情况相符的网络拓扑结构图。当网络拓扑结构发生改变时，应及时更新。 检查方法 检查网络拓扑图，查看其与当前运行情况是否一致。 结构安全部分 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段 条款理解 根据实际情况和区域安全防护要求，应在主要网络设备上进行VLAN划分或子网划分。 不同VLAN内的报文在传输时是相互隔离的。如果不同V