等级保护三级安全通信网络要求解读

序号安全控制点测评项要求解读12网络架构a）应保证网络设备的业务 处理能力满足业务高峰期 需要；为了保障数据通过受控边界，应明 确网络边界设备，并明确边界设备 物理端口，网络外连链路仅能通过 指定的设备端口进行数据通信b）应保证网络各个部分的 带宽满足业务高峰期需要；设备的“非授权接入”可能会破坏 原有的边界设计策略，可以采用技 术手段和管理措施对“非授权接 入”行为进行检查。技术手段包括 部署内网安全管理系统，关闭网络 设备未使用的端口，绑定IP/MAC 地址等3c）应划分不同的网络区域， 并按照方便管理和控制的 原则为各网络区域分配地 址；内网用户设备上的外部连接端口 的“非授权外联“行为也可能破坏 原有的过界设计策略，可以通成内 网安全管理系统的非授权外联管 控功能或者防非法外联系统实现“非授权外联”行为的控制，由于 内网安全官理系统可实现包括非 授权外连管控在内的众多的管理 功能，建议c采用该项措施。通过 对用户非授权建立网络连接访问 非可信网络的行为进行管控，从而 减少安全风险的引入4d）应避免将重要网络区域 部署在边界处，重要网络区 域与其他网络区域之间应 采取可靠的技术隔离手段；为了防止未经授权的无线网络接 入行为，无线网络应单独组网并通 过无线接入网关等受控的边界防 护设备接入到内部有线网络。同 时，应部署无线网络管控措施，对 分非授权无线网络进行检测、屏蔽5e）应提供通信线路、关键网 络设备和关键计算设备的 硬件冗余，保证系统的可用 性。应在网络边界或区域之间部 署网闸，防火墙、路由器、交换机 和无线接入网关等提供访问控制 功能的设备或相关组件，想据访问 控制策略设置有效的访问控制规 贝访问控制规测采用白名单机制67通信传输a）应采用校验技术或密码 技术保证通信过程中数据 的完整性；根据实际业务需求配置访问控制 策略，仅开放业务必须的端口，禁 止配置全通策略，保证边界访问控 制设备安全策略的有效性。不冋访 问控制策略之间的逻辑关系应合 理，访问控制策略之间不存在相互 冲突，重叠或包含的情况；同时， 应保障访问控制规则数量最小化。b）应采用密码技术保证通 信过程中数据的保密性。应对网络中网闸、防火墙、路由器、 交换机和无线接入网关等提供访 问控制功能的设备或相关组件进 行检查，访问控制策略应明确源地 址、目的地址，源端口、目的端口 和协议，以允许/拒绝数据包进出8可信验证a) 口基于可信根对通信设 备的系统引导程序、系统程 序、重要配置参数和通信应 用程序等进行可信验证，并 在应用程序的关键执行环 节进行动态可信验证，在检 测到其可信性受到破坏后 进行报警，并将验证结果形 成申计记录送至安全官理 中心。防火墙能够根据数据包的源地 址、目标地址、协议类型、源端口、 目标端口等对数据包进行控制，而 且能够记录通过防火墙的连接状 态，直接对包里的数据进行处理。 防火墙还应具有完备的状态检测 表来追踪连接会话状态，并结合前 后数据包的关系进行综合判断，然 后决定是否允许该数据包通过，通 过连接状态进行更迅速更安全地 过滤