| 安全区域边界 | 安全区域边界 | 安全区域边界 |
| 边界防护 | 边界防护 | 边界防护 |
| 本项要求包括 | 本项要求包括 | 本项要求异同点 |
| a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信; | a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信; | 本控制点要求第三级与第四级要求相同 |
| b)应能够对非授权设备私自联到内部网络的行为进行检查或限制; | b)应能够对非授权设备私自联到内部网络的行为进行检查或限制; | 本控制点要求第三级与第四级要求相同 |
| c)应能够对内部用户非授权联到外部网络的行为进行检查或限制; | c)应能够对内部用户非授权联到外部网络的行为进行检查或限制; | 本控制点要求第三级与第四级要求相同 |
| d)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。 | d)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络; | 本控制点要求第三级与第四级要求相同 |
| e)应能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时,对其进行有效阻断; | 本控制点为第四级比第三级增加的控制点 | |
| f)应采用可信验证机制对接入到网络中的设备进行可信验证,保证接入网络的设备真实可信。 | 本控制点为第四级比第三级增加的控制点 | |
| 访问控制 | 访问控制 | |
| 本项要求包括: | 本项要求包括: | |
| a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; | a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; | 本控制点要求第三级与第四级要求相同 |
| b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; | b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; | 本控制点要求第三级与第四级要求相同 |
| c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出; | c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出; | 本控制点要求第三级与第四级要求相同 |
| d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力; | d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力; | 本控制点要求第三级与第四级要求相同 |
| e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 | e)应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换。 | 本控制点为第四级比第三级要求控制强度增强 |
| 入侵防范 | 入侵防范 | |
| 本项要求包括: | 本项要求包括: | |
| a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为; | a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为; | 本控制点要求第三级与第四级要求相同 |
| b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为; | b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为; | 本控制点要求第三级与第四级要求相同 |
| c)应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析; | c)应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析; | 本控制点要求第三级与第四级要求相同 |
| d)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。 | d)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。 | 本控制点要求第三级与第四级要求相同 |
| 恶意代码和垃圾邮件防范 | 恶意代码和垃圾邮件防范 | |
| 本项要求包括: | 本项要求包括: | |
| a)应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新; | a)应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新; | 本控制点要求第三级与第四级要求相同 |
| b)应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。 | b)应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。 | 本控制点要求第三级与第四级要求相同 |
| 安全审计 | 安全审计 | |
| 本项要求包括: | 本项要求包括: | |
| a)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | a)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | 本控制点要求第三级与第四级要求相同 |
| b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; | b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; | 本控制点要求第三级与第四级要求相同 |
| c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; | c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 | 本控制点要求第三级与第四级要求相同 |
| d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 | 本控制点为第四级比第三级少的控制点 | |
| 可信验证 | 可信验证 | |
| 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。 | 本控制点为第四级比第三级要求控制强度增强,增加进行动态关联感知。 |
原文始发于微信公众号(河南等级保护测评):网络安全等级保护:第三级与第四级安全区域边界差异化要求
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论